32019R0881[1]
Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály)
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2019/881 RENDELETE
(2019. április 17.)
az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály)
(EGT-vonatkozású szöveg)
I. CÍM
ÁLTALÁNOS RENDELKEZÉSEK
1. cikk
Tárgy és hatály
(1) A belső piac megfelelő működésének biztosítása és ezzel egyidejűleg az Unión belül a kiberbiztonság, a kiberellenálló képesség és a kiberbiztonságba vetett bizalom magas szintjének elérése érdekében ez a rendelet megállapítja:
a) az ENISA (a továbbiakban: az Európai Uniós Kiberbiztonsági Ügynökség) célkitűzéseit, feladatait és szervezeti vonatkozásait; valamint
b) az európai kiberbiztonsági tanúsítási rendszerek létrehozásának keretrendszerét az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások megfelelő kiberbiztonsági szintjének az Unióban történő biztosítása céljából, valamint abból a célból, hogy megakadályozza a belső piac széttagoltságát az Unión belüli kiberbiztonsági tanúsítási rendszerek tekintetében.
Az első albekezdés b) pontjában említett keretrendszer az egyéb uniós jogi aktusokban az önkéntes vagy kötelező tanúsításra vonatkozóan előírt különös rendelkezések sérelme nélkül alkalmazandó.
(2) Ez a rendelet nem érinti a közbiztonsággal, a honvédelemmel és a nemzetbiztonsággal kapcsolatos tevékenységekkel, valamint az állam büntetőjog területén folytatott tevékenységeivel kapcsolatos tagállami hatásköröket.
2. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1. "kiberbiztonság" : azok a tevékenységek, amelyek a kiberfenyegetésekkel érintett hálózati és információs rendszereknek, az ilyen rendszerek felhasználóinak és más személyeknek a védelméhez szükségesek;
2. "hálózati és információs rendszer" : az (EU) 2016/1148 irányelv 4. cikkének 1. pontjában meghatározott hálózati és információs rendszer;
3. "a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia" : az (EU) 2016/1148 irányelv 4. cikkének 3. pontjában meghatározott hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia;
4. "alapvető szolgáltatásokat nyújtó szereplő" : az (EU) 2016/1148 irányelv 4. cikkének 4. pontjában meghatározott alapvető szolgáltatásokat nyújtó szereplő;
5. "digitális szolgáltató" : az (EU) 2016/1148 irányelv 4. cikkének 6. pontjában meghatározott digitális szolgáltató;
6. "biztonsági esemény" : az (EU) 2016/1148 irányelv 4. cikkének 7. pontjában meghatározott biztonsági esemény;
7. "biztonsági esemény kezelése" : az (EU) 2016/1148 irányelv 4. cikkének 8. pontjában meghatározott biztonsági esemény kezelése;
8. "kiberfenyegetés" : bármely olyan potenciális körülmény, esemény vagy cselekmény, amely károsíthatja vagy megzavarhatja a hálózati és információs rendszereket, az ilyen rendszerek felhasználóit és más személyeket, vagy azokra egyéb kedvezőtlen hatást gyakorolhat;
9. "európai kiberbiztonsági tanúsítási rendszer" : adott IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások tanúsítására vagy megfelelőségértékelésére alkalmazandó szabályok, műszaki követelmények, szabványok és eljárások uniós szinten meghatározott átfogó rendszere;
10. "nemzeti kiberbiztonsági tanúsítási rendszer" : az adott tanúsítási rendszer hatálya alá tartozó IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások tanúsítására vagy megfelelőségértékelésére alkalmazandó, valamely nemzeti hatóság által kidolgozott és elfogadott szabályok, műszaki követelmények, szabványok és eljárások átfogó rendszere;
11. "európai kiberbiztonsági tanúsítvány" : az illetékes szerv által kibocsátott dokumentum, amely igazolja, hogy egy adott IKT-termék, IKT-szolgáltatás, IKT-folyamat vagy irányított biztonsági szolgáltatás esetében értékelték, hogy megfelel-e valamely európai kiberbiztonsági tanúsítási rendszer konkrét biztonsági követelményeinek;
12. "IKT-termék" : valamely hálózati vagy információs rendszer eleme vagy elemeinek csoportja;
13. "IKT-szolgáltatás" : olyan szolgáltatás, amely teljes mértékben vagy legnagyobb részben információ hálózati és információs rendszerek útján történő továbbításából, tárolásából, lekérdezéséből vagy kezeléséből áll;
14. "IKT-folyamat" : valamely IKT-termék vagy IKT-szolgáltatás tervezése, fejlesztése, rendelkezésre bocsátása illetve nyújtása vagy karbantartása céljából végzett tevékenységek összessége;
14a. "irányított biztonsági szolgáltatás" : olyan, harmadik félnek nyújtott szolgáltatás, amely a kiberbiztonsági kockázatkezeléssel kapcsolatos tevékenységek - például események kezelése, behatolásvizsgálat, biztonsági ellenőrzések és technikai támogatással kapcsolatos tanácsadás, többek között szakértői tanácsadás - elvégzéséből vagy az azokhoz nyújtott segítségből áll;
15. "akkreditáció" : a 765/2008/EK rendelet 2. cikkének 10. pontjában meghatározott akkreditálás;
16. "nemzeti akkreditáló testület" : a 765/2008/EK rendelet 2. cikkének 11. pontjában meghatározott nemzeti akkreditáló testület;
17. "megfelelőségértékelés" : a 765/2008/EK rendelet 2. cikkének 12. pontjában meghatározott megfelelőségértékelés;
18. "megfelelőségértékelő szervezet" : a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott megfelelőségértékelő szervezet;
19. "szabvány" : az 1025/2012/EU rendelet 2. cikkének 1. pontjában meghatározott szabvány;
20. "műszaki előírás" : olyan dokumentum, amely megadja, hogy valamely IKT-terméknek, IKT-szolgáltatásnak, IKT-folyamatnak vagy irányított biztonsági szolgáltatásnak milyen műszaki követelményeket kell teljesítenie vagy arra milyen megfelelőségértékelési eljárások vonatkoznak;
21. "megbízhatósági szint" : az az iránti bizalom alapja, hogy valamely IKT-termék, IKT-szolgáltatás, IKT-folyamat vagy irányított biztonsági szolgáltatás teljesíti egy adott európai kiberbiztonsági tanúsítási rendszer biztonsági követelményeit, és megmutatja, hogy valamely IKT-terméket, IKT-szolgáltatást, IKT-folyamatot vagy irányított biztonsági szolgáltatást milyen szinten értékeltek, de nem méri az érintett IKT-termék, IKT-szolgáltatás, IKT-folyamat vagy irányított biztonsági szolgáltatás biztonságát;
22. "megfelelőségi önértékelés" : az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások gyártói vagy szolgáltatói által végzett olyan tevékenység, amely értékeli, hogy az adott IKT-termékek, IKT-szolgáltatások vagy IKT-folyamatok vagy irányított biztonsági szolgáltatások teljesítik-e egy adott európai kiberbiztonsági tanúsítási rendszer biztonsági követelményeit.
II. CÍM
ENISA (AZ EURÓPAI UNIÓS KIBERBIZTONSÁGI ÜGYNÖKSÉG)
I. FEJEZET
Megbízatás és célkitűzések
3. cikk
Megbízatás
(1) Az ENISA-nak el kell végeznie az e rendelet által ráruházott feladatokat, az egységesen magas szintű kiberbiztonság elérése céljából az egész Unióban, többek között annak révén, hogy aktív támogatást nyújt a tagállamoknak, valamint az uniós intézményeknek, szerveknek és hivataloknak a kiberbiztonság javításához. Az ENISA-nak az uniós intézmények, szervek és hivatalok, valamint egyéb uniós érdekelt felek számára a kiberbiztonsággal kapcsolatos tanácsadás és szakértelem referenciapontjaként kell szolgálnia.
Az ENISA-nak az e rendelet által ráruházott feladatok ellátásával hozzá kell járulnia a belső piac széttagoltságának csökkentéséhez.
(2) Az ENISA-nak el kell látnia a kiberbiztonsággal kapcsolatos tagállami törvényi, rendeleti és közigazgatási rendelkezések közelítésére vonatkozó intézkedéseket meghatározó uniós jogi aktusok által ráruházott feladatokat.
(3) Feladatainak ellátása során az ENISA-nak függetlenül kell eljárnia, és egyúttal el kell kerülnie a tagállamok tevékenységeivel való párhuzamosságokat, figyelembe véve a tagállamokban meglévő szakértelmet.
(4) Az ENISA-nak ki kell építenie saját, az e rendelet által ráruházott feladatok ellátásához szükséges erőforrásait, ideértve a műszaki és a humán képességeket és készségeket is.
4. cikk
Célkitűzések
(1) Az ENISA-nak kiberbiztonsági szakértői központként kell működnie függetlensége, az általa biztosított tanácsadás, segítségnyújtás és információk tudományos és műszaki minősége, működési eljárásainak átláthatósága, működési módszerei, valamint a feladatai ellátásában tanúsított gondosság révén.
(2) Az ENISA-nak segítséget kell nyújtania az uniós intézmények, szervek és hivatalok, valamint a tagállamok számára a kiberbiztonsággal kapcsolatos uniós szakpolitikák, többek között a kiberbiztonsággal kapcsolatos ágazati szakpolitikák kidolgozásában és végrehajtásában.
(3) Az ENISA-nak támogatnia kell az Unión belüli kapacitásépítést és felkészültséget azáltal, hogy segítséget nyújt az uniós intézmények, szervek és hivatalok, valamint a tagállamok, illetve a köz- és a magánszféra érdekelt felei számára hálózati és információs rendszereik védelmének fokozása, a kiberellenálló képesség és a kiberbiztonsági eseményekre való reagálási kapacitások fejlesztése és javítása, valamint a kiberbiztonsági készségek és kompetenciák fejlesztése érdekében.
(4) Az ENISA-nak a kiberbiztonsággal kapcsolatos kérdésekben elő kell mozdítania az uniós szintű együttműködést - beleértve az információmegosztást - és koordinációt a tagállamok, az uniós intézmények, szervek és hivatalok, valamint a köz- és a magánszféra releváns érdekelt felei között.
(5) Az ENISA-nak hozzá kell járulnia az uniós szintű kiberbiztonsági képességek növeléséhez annak érdekében, hogy támogassa a kiberfenyegetések megelőzése és az azokra való reagálás terén tett tagállami intézkedéseket, különösen a határokon átnyúló biztonsági események esetében.
(6) Az ENISA-nak elő kell mozdítania az európai kiberbiztonsági tanúsítás használatát a belső piac széttagoltságának elkerülése érdekében. Az ENISA-nak hozzá kell járulnia egy európai kiberbiztonsági tanúsítási keretrendszernek az e rendelet III. címével összhangban történő létrehozásához és fenntartásához, annak érdekében, hogy a kiberbiztonság tekintetében átláthatóbbá váljon, hogy mennyire megbízhatóak az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások, megerősítve ezzel a digitális belső piacba és annak versenyképességébe vetett bizalmat.
(7) Az ENISA-nak elő kell segítenie azt, hogy a polgárok, a szervezetek és a vállalkozások a kiberbiztonsághoz kapcsolódó kérdések - ideértve a kiberhigiéniát és a kiberbiztonsági jártasságot is - tekintetében nagy fokú kiberbiztonsági tudatossággal rendelkezzenek.
II. FEJEZET
Feladatok
5. cikk
Az uniós szakpolitika és jogszabályok kidolgozása és végrehajtása
Az ENISA-nak az alábbiakkal kell hozzájárulnia az uniós szakpolitika és jogszabályok kidolgozásához és végrehajtásához:
1. segítségnyújtás és tanácsadás a kiberbiztonság területére vonatkozó uniós szakpolitika és jogszabályok, valamint a kiberbiztonsági kérdéseket magukban foglaló ágazatspecifikus szakpolitikai és jogalkotási kezdeményezések kidolgozásához és felülvizsgálatához, különösen független vélemény és elemzések nyújtása, valamint előkészítő munka révén;
2. segítségnyújtás a tagállamok számára a kiberbiztonsággal kapcsolatos uniós szakpolitika és jogszabályok következetes végrehajtásához, különösen az (EU) 2016/1148 irányelv vonatkozásában, többek között a kockázatkezelés, a biztonsági események bejelentése és az információk megosztása tekintetében véleményekkel, iránymutatásokkal, tanácsadással és bevált gyakorlatokkal, valamint az ezzel a területtel kapcsolatos bevált gyakorlatok illetékes hatóságok közötti cseréjének elősegítésével;
3. segítségnyújtás a tagállamok, valamint az uniós intézmények, szervek és hivatalok számára olyan kiberbiztonsági szakpolitikák kidolgozásához és előmozdításához, amelyek a nyílt internet nyilvános alkotóelemei általános elérhetőségének vagy integritásának fenntartásához kapcsolódnak;
4. szakértelemmel és segítségnyújtással való hozzájárulás az (EU) 2016/1148 irányelv 11. cikke szerinti együttműködési csoport munkájához;
5. az alábbiak támogatása:
a) az elektronikus azonosítás és a bizalmi szolgáltatások területére vonatkozó uniós szakpolitika kidolgozása és végrehajtása, különösen tanácsadással és műszaki iránymutatásokkal, valamint a bevált gyakorlatok illetékes hatóságok közötti cseréjének elősegítésével;
b) az elektronikus hírközlés magasabb biztonsági szintjének előmozdítása, többek között tanácsadással és szakértelemmel, valamint a bevált gyakorlatok illetékes hatóságok közötti cseréjének elősegítésével;
c) az adatvédelemhez és a magánélet tiszteletben tartásához kapcsolódó uniós szakpolitikák és jogszabályok egyes kiberbiztonsági vonatkozásainak végrehajtása a tagállamok tekintetében, többek között - kérésre - az Európai Adatvédelmi Testület részére történő tanácsadással;
6. az uniós szakpolitikai tevékenységek rendszeres felülvizsgálatához nyújtott támogatás a vonatkozó jogi keretrendszer végrehajtásának állásáról szóló éves jelentés előkészítésével, a következők tekintetében:
a) az egyedüli kapcsolattartó pontok által az (EU) 2016/1148 irányelv 10. cikkének (3) bekezdése alapján az együttműködési csoportnak nyújtott, a tagállami biztonságiesemény-bejelentésekre vonatkozó információ;
b) a felügyeleti szervek által a 910/2014/EU európai parlamenti és tanácsi rendelet ( 1 ) 19. cikkének (3) bekezdése alapján az ENISA-nak nyújtott, a bizalmi szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentések összefoglalója;
c) az illetékes hatóságok által az (EU) 2018/1972 irányelv 40. cikke alapján az ENISA-nak benyújtott, a nyilvános elektronikus hírközlő hálózatokat üzemeltető vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók által tett biztonságiesemény-bejelentések.
6. cikk
Kapacitásépítés
(1) Az ENISA-nak támogatnia kell:
a) a tagállamokat a kiberfenyegetések és a biztonsági események megelőzésének, észlelésének és elemzésének, valamint az ezekre való reagálási képességnek a javítására irányuló erőfeszítéseikben, ismereteket és szaktudást biztosítva számukra;
b) a tagállamokat és az uniós intézményeket, szerveket és hivatalokat, hogy önkéntes módon sebezhetőségfeltárási politikákat dolgozzanak ki és hajtsanak végre;
c) az uniós intézményeket, szerveket és hivatalokat a kiberfenyegetések és a biztonsági események megelőzésének, észlelésének és elemzésének, valamint az ezekre való reagálási képességnek a javítására irányuló erőfeszítéseikben, különösen a CERT-EU megfelelő támogatása révén;
d) kérés esetén a tagállamokat a nemzeti CSIRT-ek továbbfejlesztésében az (EU) 2016/1148 irányelv 9. cikkének (5) bekezdése alapján;
e) kérés esetén a tagállamokat a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia kidolgozásában az (EU) 2016/1148 irányelv 7. cikkének (2) bekezdése alapján, valamint az említett stratégiák terjesztésének előmozdításában és azok Unióban történő végrehajtása figyelemmel kísérésében a bevált gyakorlatok előmozdítása érdekében;
f) az uniós intézményeket a kiberbiztonsággal kapcsolatos uniós stratégiák kidolgozásában és felülvizsgálatában, elősegítve azok terjesztését és végrehajtásuk előrehaladásának nyomon követését;
g) a nemzeti és az uniós CSIRT-eket képességeik fejlesztésében, többek között a párbeszéd és az információcsere előmozdítása révén, annak biztosítása érdekében, hogy a technika legutóbbi állására tekintettel minden CSIRT rendelkezzen közös minimumképességekkel, és a bevált gyakorlatok szerint működjön;
h) a tagállamokat a 7. cikk (5) bekezdésében említett, uniós szintű rendszeres és legalább kétévenkénti kiberbiztonsági gyakorlatok megszervezésével, valamint a gyakorlatok értékelésén és a levont tanulságokon alapuló szakpolitikai ajánlások kidolgozásával;
i) a releváns állami szerveket a kiberbiztonsággal kapcsolatos képzések kínálásával, adott esetben az érdekelt felekkel együttműködve;
j) az együttműködési csoportot, a bevált gyakorlatok megosztásában, különösen az alapvető szolgáltatásokat nyújtó szereplők tagállamok általi azonosítása tekintetében - beleértve a határokon átnyúló függőségeket, a biztonsági kockázatokra és biztonsági eseményekre vonatkozóan is - az (EU) 2016/1148 irányelv 11. cikke (3) bekezdése l) pontja alapján.
(2) Az ENISA-nak támogatnia kell az ágazatokon belüli és az azok közötti információmegosztást, különösen az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokban, azáltal, hogy rendelkezésre bocsátja a rendelkezésre álló eszközökkel és eljárásokkal, valamint az információk megosztásával kapcsolatos szabályozási kérdések kezelésének mikéntjével kapcsolatban bevált gyakorlatokat és iránymutatást nyújt azokra vonatkozóan.
7. cikk
Uniós szintű operatív együttműködés
(1) Az ENISA-nak támogatnia kell a tagállamok, az uniós intézmények, szervek és hivatalok közötti, valamint az érdekeltek közötti operatív együttműködést.
(2) Az ENISA-nak operatív szinten kell együttműködnie és szinergiákat kell kialakítania az uniós intézményekkel, szervekkel és hivatalokkal, köztük a CERT-EU-val, a kiberbűnözés elleni szolgálatokkal, valamint a magánélet és a személyes adatok védelmével foglalkozó felügyeleti hatóságokkal a közös problémák kezelése érdekében, többek között a következők által:
a) a know-how és a bevált gyakorlatok megosztása;
b) kiberbiztonsággal kapcsolatos releváns kérdésekkel kapcsolatos tanácsadás nyújtása és iránymutatások kiadása;
c) a Bizottsággal folytatott konzultációt követően gyakorlati szabályok megállapítása az egyes feladatok végrehajtására vonatkozóan.
(3) Az (EU) 2016/1148 irányelv 12. cikkének (2) bekezdése alapján az ENISA-nak kell biztosítania a CSIRT-ek hálózatának titkárságát, és ebben a minőségében aktívan támogatnia kell a hálózat tagjai közötti információmegosztást és együttműködést.
(4) Az ENISA-nak támogatnia kell a tagállamokat a CSIRT-ek hálózatán belüli operatív együttműködésben a következők révén:
a) a biztonsági események megelőzésére, észlelésére és az azokra való reagálásra irányuló képességeik javításának mikéntjével kapcsolatos tanácsadás, valamint - egy vagy több tagállam kérésére - egy adott kiberfenyegetéssel kapcsolatos tanácsadás;
b) segítségnyújtás egy vagy több tagállam kérésére a jelentős vagy lényeges hatással járó biztonsági események értékelésében szakértelem biztosítása, valamint ezen biztonsági események műszaki kezelésének megkönnyítése révén, többek között különösen a releváns információk és a műszaki megoldások tagállamok közötti önkéntes megosztásának támogatása révén;
c) a sebezhetőségek és a biztonsági események elemzése a nyilvánosan elérhető információk, vagy a tagállamok által önkéntes alapon e célból szolgáltatott információk alapján; és
d) egy vagy több tagállam kérésére támogatás az (EU) 2016/1148 irányelv értelmében vett jelentős vagy lényeges hatású biztonsági események utólagos műszaki vizsgálatához.
E feladatok ellátása során az ENISA-nak és a CERT-EU-nak strukturált együttműködést kell folytatnia a szinergiák kihasználása és a tevékenységek párhuzamos végzésének elkerülése érdekében.
(5) Az ENISA-nak rendszeresen kiberbiztonsági gyakorlatokat kell szerveznie uniós szinten, és kérésre támogatást kell biztosítania a tagállamoknak, valamint az uniós intézményeknek, szerveknek és hivataloknak kiberbiztonsági gyakorlatok szervezéséhez. Az ilyen kiberbiztonsági uniós szintű gyakorlatok műszaki, operatív vagy stratégiai elemeket tartalmazhatnak. Az ENISA-nak kétévente szerveznie kell egy nagyszabású átfogó gyakorlatot.
Az ENISA-nak továbbá adott esetben hozzá kell járulnia és segítséget kell nyújtania az ágazati kiberbiztonsági gyakorlatok megszervezéséhez a releváns szervezetekkel együtt, amelyek részt vesznek az uniós szintű kiberbiztonsági gyakorlatokban is.
(6) Az ENISA-nak a tagállamokkal szoros együttműködésben rendszeres és részletes uniós kiberbiztonsági műszaki helyzetjelentést kell készítenie a biztonsági eseményekről és a kiberfenyegetésekről nyilvánosan hozzáférhető információk, saját elemzése, valamint többek között a tagállamok CSIRT-jei, az (EU) 2016/1148 irányelvvel létrehozott egyedüli kapcsolattartó pontok (mindkettő esetében önkéntes alapon), az EC3 és a CERT-EU által rendelkezésre bocsátott jelentések alapján.
(7) Az ENISA-nak hozzá kell járulnia ahhoz, hogy a kiberbiztonsággal kapcsolatos nagy kiterjedésű, határokon átnyúló biztonsági eseményekre vagy válságokra uniós és tagállami szinten együttműködésen alapuló válasz kerüljön kidolgozásra, elsősorban az alábbiak révén:
a) a nyilvánosan hozzáférhető vagy az önkéntes alapon megosztott, nemzeti forrásokból származó jelentések összesítése és elemzése a közös helyzetismeret kialakításához való hozzájárulás céljából;
b) a CSIRT-ek hálózata és az uniós szintű technikai és politikai döntéshozók közötti hatékony információáramlás és eszkalációs mechanizmusok biztosítása;
c) kérésre a biztonsági események vagy válságok műszaki kezelésének elősegítése, többek között különösen a műszaki megoldások tagállamok közötti önkéntes megosztásának támogatása révén;
d) az uniós intézmények, szervek és hivatalok, valamint kérésükre a tagállamok támogatása az említett biztonsági eseményekkel vagy válságokkal kapcsolatos nyilvános kommunikációban;
e) az említett biztonsági eseményekre vagy válságokra való reagálást célzó együttműködési tervek tesztelése uniós szinten, és kérésükre a tagállamok támogatása ezen tervek nemzeti szintű tesztelésében.
8. cikk
Piac, kiberbiztonsági tanúsítás, valamint szabványosítás
(1) Az ENISA-nak támogatnia kell és elő kell mozdítania az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások e rendelet III. címében meghatározott kiberbiztonsági tanúsítására vonatkozó uniós szakpolitika kidolgozását és végrehajtását, az alábbiak révén:
a) a kapcsolódó területeken folytatott szabványosítás fejleményeinek folyamatos nyomon követése és az európai kiberbiztonsági tanúsítási rendszerek fejlesztéséhez használandó megfelelő műszaki előírásokra vonatkozó ajánlások az 54. cikk (1) bekezdésének c) pontja alapján az olyan esetekre, amikor nem állnak rendelkezésre szabványok;
b) javaslati európai kiberbiztonsági tanúsítási rendszerek (a továbbiakban: javasolt tanúsítási rendszerek) kidolgozása IKT-termékekre, IKT-szolgáltatásokra, IKT-folyamatokra és irányított biztonsági szolgáltatásokra vonatkozóan a 49. cikkel összhangban;
c) az elfogadott európai kiberbiztonsági tanúsítási rendszerek értékelése a 49. cikk (8) bekezdésével összhangban;
d) részvétel az 59. cikk (4) bekezdése szerinti kölcsönös felülvizsgálatban;
e) a Bizottság támogatása az európai kiberbiztonsági tanúsítási csoport titkárságának a 62. cikk (5) bekezdése alapján történő biztosításában.
(2) Az érdekelt felek kiberbiztonsági tanúsítási csoportjának titkárságát a 22. cikk (4) bekezdése alapján az ENISA biztosítja.
(3) Az ENISA-nak az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások kiberbiztonsági követelményeire vonatkozó iránymutatásokat kell összeállítania és közzétennie, valamint bevált gyakorlatokat kialakítania, formális, strukturált és átlátható módon együttműködve a nemzeti kiberbiztonsági tanúsító hatóságokkal és az ágazattal.
(4) Az ENISA-nak hozzá kell járulnia az értékelési és tanúsítási folyamattal kapcsolatos kapacitásépítéshez iránymutatások kidolgozásával és kibocsátásával, valamint kérésükre a tagállamoknak nyújtott támogatással.
(5) Az ENISA-nak elő kell segítenie a kockázatkezelésre és az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások biztonságára vonatkozó európai és nemzetközi szabványok kidolgozását.
(6) Az ENISA-nak a tagállamokkal és az ágazattal együttműködésben tanácsot kell adnia és iránymutatásokat kell készítenie az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkozó biztonsági követelményekkel kapcsolatos műszaki területekre, valamint a már létező szabványokra - a tagállamok nemzeti szabványait is beleértve - vonatkozóan, az (EU) 2016/1148 irányelv 19. cikkének (2) bekezdése alapján.
(7) Az ENISA-nak a kiberbiztonsági piac keresleti és kínálati oldalára jellemző fő tendenciákat rendszeresen elemeznie, és ezen elemzéseket terjesztenie kell, az Unió kiberbiztonsági piacának megerősítése céljából.
9. cikk
Ismeretek és tájékoztatás
Az ENISA-nak:
a) elemzéseket kell készítenie a kialakulóban lévő technológiákról, és tematikus értékeléseket kell végeznie a műszaki innovációknak a kiberbiztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól;
b) el kell végeznie a kiberbiztonsági fenyegetések és események hosszú távú stratégiai elemzését a kialakulóban lévő tendenciák azonosítása és a kiberbiztonsági események megelőzésének elősegítése érdekében;
c) a tagállami hatóságok szakértőivel és a releváns érdekelt felekkel együttműködve tanácsot kell adnia, iránymutatásokat kell készítenie és bevált gyakorlatokat kell rendelkezésre bocsátania a hálózati és információs rendszerek biztonságával, különösen az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokat támogató infrastruktúrák, valamint az említett irányelv III. mellékletében felsorolt digitális szolgáltatások nyújtói által használt infrastruktúrák biztonságával kapcsolatban;
d) össze kell gyűjtenie, rendszereznie kell és a nyilvánosság számára elérhetővé kell tennie egy külön erre a célra szolgáló portálon az uniós intézmények, szervek és hivatalok által, valamint az önkéntes alapon a tagállamok és a magán- és közszférabeli érdekeltek által a kiberbiztonsággal kapcsolatban rendelkezésre bocsátott információkat;
e) össze kell gyűjtenie és elemeznie kell a jelentős biztonsági eseményekkel kapcsolatos nyilvánosan hozzáférhető információkat, valamint jelentéseket kell készítenie annak érdekében, hogy Unió-szerte iránymutatást nyújtson a polgárok, a szervezetek és a vállalkozások számára.
10. cikk
Tudatosítás és oktatás
Az ENISA-nak:
a) növelnie kell a közvélemény kiberbiztonsági kockázatokkal kapcsolatos tudatosságát, és a bevált gyakorlatokról az egyedi felhasználóknak szánt iránymutatást kell nyújtania a polgárok, a szervezetek és a vállalkozások számára, többek között a kiberhigiéniát és a kiberbiztonsági jártasságot illetően;
b) rendszeres tájékoztató kampányokat kell szerveznie a tagállamokkal, az uniós intézményekkel, szervekkel és hivatalokkal, valamint az ágazati szereplőkkel együttműködve, hogy az Unión belül fokozódjon a kiberbiztonság és annak láthatósága, valamint ösztönöznie kell a széleskörű nyilvános vitát;
c) segítséget kell nyújtania a tagállamoknak a kiberbiztonsággal kapcsolatos tudatosság növelése és a kiberbiztonsággal kapcsolatos oktatás előmozdítása érdekében tett erőfeszítéseikhez;
d) támogatnia kell a tagállamok közötti szorosabb koordinációt és a bevált gyakorlatok intenzívebb cseréjét a kiberbiztonsággal kapcsolatos tudatosság és a kiberbiztonsággal kapcsolatos oktatás területén.
11. cikk
Kutatás és innováció
A kutatás és az innováció tekintetében az ENISA-nak:
a) tanácsokkal kell ellátnia az uniós intézményeket, szerveket és hivatalokat, valamint a tagállamokat a tekintetben, hogy a kiberbiztonság területén milyen kutatási szükségleteknek és prioritásoknak kell eleget tenni, hogy eredményesen lehessen reagálni a jelenlegi és jövőbeli kockázatokra és kiberfenyegetésekre, beleértve az új és kialakulóban lévő információs és kommunikációs technológiákat érintőket is, és, hogy eredményesen lehessen alkalmazni a kockázatmegelőző technológiákat;
b) amennyiben a Bizottság az erre vonatkozó hatásköröket rá ruházta, részt kell vennie a kutatás és az innováció finanszírozását célzó programok megvalósítási szakaszában, vagy kedvezményezettként;
c) hozzá kell járulnia a kiberbiztonság területén az uniós szintű stratégiai kutatáshoz és innovációhoz.
12. cikk
Nemzetközi együttműködés
Az ENISA-nak a kiberbiztonsággal kapcsolatos kérdésekre vonatkozó nemzetközi együttműködés elősegítése érdekében hozzá kell járulnia a harmadik országokkal és nemzetközi szervezetekkel, valamint a vonatkozó nemzetközi együttműködési kereteken belül folytatandó együttműködésre irányuló uniós erőfeszítésekhez azáltal, hogy:
a) adott esetben megfigyelőként részt vesz a nemzetközi gyakorlatok szervezésében, valamint az ilyen gyakorlatok eredményeiről elemzést és jelentést készít az igazgatótanácsnak;
b) a Bizottság kérésére elősegíti a bevált módszerek cseréjét;
c) a Bizottság kérésre szakértelemmel támogatja a Bizottságot;
d) a 62. cikkel létrehozott európai kiberbiztonsági tanúsítási csoporttal együttműködve tanácsadást és támogatást nyújt a Bizottságnak a kiberbiztonsági tanúsítványok harmadik országokkal való kölcsönös elismerésére vonatkozó megállapodásokhoz kapcsolódó kérdésekben.
III. FEJEZET
Az ENISA felépítése
13. cikk
Az ENISA struktúrája
Az ENISA igazgatási és irányítási struktúrája a következőkből áll:
a) az igazgatótanács;
b) a felügyelőtestület;
c) az ügyvezető igazgató;
d) az ENISA tanácsadó csoportja;
e) a nemzeti kapcsolattartó tisztviselők hálózata.
1. szakasz
Igazgatótanács
14. cikk
Az igazgatótanács összetétele
(1) Az igazgatótanács tagállamonként egy, a tagállam által kijelölt tagból és a Bizottság által kijelölt két tagból áll. Valamennyi tag szavazati joggal rendelkezik.
(2) Az igazgatótanács minden egyes tagja rendelkezik egy póttaggal. A póttag a tagot képviseli annak távollétében.
(3) Az igazgatótanács tagjait és azok póttagjait a kiberbiztonság terén meglévő tudásuk alapján kell kinevezni, a megfelelő vezetői, igazgatási és költségvetési készségeik figyelembevételével. Az igazgatótanács munkájának folytonosságát biztosítandó, a Bizottság és a tagállamok törekednek arra, hogy képviselőik ne cserélődjenek túl gyakran az igazgatótanácsban. A Bizottság és a tagállamok törekednek arra, hogy a nők és férfiak kiegyensúlyozott arányban legyenek képviselve az igazgatótanácsban.
(4) Az igazgatótanács tagjainak és azok póttagjainak hivatali ideje négy év. Ez a hivatali idő megújítható.
15. cikk
Az igazgatótanács feladatköre
(1) Az igazgatótanács:
a) meghatározza az ENISA működésének általános irányát, és biztosítja, hogy az ENISA az e rendeletben megállapított szabályoknak és elveknek megfelelően végezze tevékenységét; biztosítja továbbá, hogy az ENISA munkája összhangban legyen a tagállamok által és az Unió szintjén folytatott tevékenységekkel;
b) elfogadja az ENISA 24. cikkben említett egységes programozási dokumentumának tervezetét, mielőtt a dokumentumot benyújtanák a Bizottsághoz véleményezésre;
c) a Bizottság véleményének figyelembevételével elfogadja az ENISA egységes programozási dokumentumát;
d) felügyeli az egységes programozási dokumentumban szereplő többéves és éves programozás végrehajtását;
e) elfogadja az ENISA éves költségvetését, és a IV. fejezettel összhangban ellátja az ENISA költségvetéséhez kapcsolódó egyéb feladatokat;
f) értékeli és elfogadja az ENISA tevékenységéről szóló összevont éves jelentést, amely tartalmazza az elszámolást és azt, hogy az ENISA hogyan teljesítette teljesítménymutatóit, a következő év július 1-jéig megküldi az éves jelentést és annak értékelését az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére, valamint közzéteszi az éves jelentést;
g) elfogadja az ENISA-ra alkalmazandó pénzügyi szabályzatot a 32. cikkel összhangban;
h) olyan csalás elleni stratégiát fogad el, amely - figyelemmel a végrehajtandó intézkedések költség-haszon elemzésére - arányos a csalási kockázatokkal;
i) az igazgatótanács tagjai tekintetében az összeférhetetlenségek megelőzésére és kezelésére vonatkozó szabályokat fogad el;
j) biztosítja az Európai Csalás Elleni Hivatal (OLAF) vizsgálataiból és a különböző belső vagy külső ellenőrzési jelentésekből és értékelésekből következő megállapítások és ajánlások megfelelő nyomon követését;
k) elfogadja eljárási szabályzatát, ideértve a meghatározott feladatoknak a 19. cikk (7) bekezdése alapján történő átruházására vonatkozó ideiglenes határozatok szabályait;
l) e cikk (2) bekezdésével összhangban az ENISA személyzete vonatkozásában gyakorolja a 259/68/EGK, Euratom, ESZAK tanácsi rendelettel ( 2 ) megállapított, az Európai Unió tisztviselőinek személyzeti szabályzatában (a továbbiakban: személyzeti szabályzat) és az Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételekben (a továbbiakban: az egyéb alkalmazottakra vonatkozó alkalmazási feltételek) a kinevezésre jogosult hatóságra és a munkaszerződések megkötésére jogosult hatóságra ruházott hatásköröket (a továbbiakban: a kinevezésre jogosult hatóságot megillető hatáskörök);
m) a személyzeti szabályzat 110. cikkével összhangban végrehajtási szabályokat fogad el a személyzeti szabályzat és az egyéb alkalmazottakra vonatkozó alkalmazási feltételek érvényre juttatása céljából;
n) a 36. cikkel összhangban kinevezi az ügyvezető igazgatót, és adott esetben meghosszabbítja hivatali idejét, vagy felmenti hivatalából;
o) számvitelért felelős tisztviselőt nevez ki, aki lehet a Bizottság számvitelért felelős tisztviselője is, és aki feladatai ellátása során teljes mértékben függetlenül jár el;
p) meghozza az ENISA belső struktúráinak kialakításával és szükség szerint az említett belső struktúrák módosításával kapcsolatos összes döntést, az ENISA tevékenységével kapcsolatos szükségletek és a hatékony és eredményes költségvetési gazdálkodás figyelembevételével;
q) a 7. cikk tekintetében munkamegállapodások létrehozását engedélyezi;
r) a 42. cikkel összhangban munkamegállapodások létrehozását és megkötését engedélyezi.
(2) Az igazgatótanács a személyzeti szabályzat 110. cikkével összhangban, a személyzeti szabályzat 2. cikkének (1) bekezdése és az egyéb alkalmazottakra vonatkozó alkalmazási feltételek 6. cikke alapján határozat elfogadása útján a kinevezésre jogosult hatóságot megillető vonatkozó hatásköröket az ügyvezető igazgatóra ruházza, és megállapítja azon feltételeket, amelyek mellett a hatáskör-átruházás felfüggeszthető. Az ügyvezető igazgató jogosult e hatáskörök további átruházására.
(3) Amennyiben kivételes körülmények szükségessé teszik, az igazgatótanács határozatban ideiglenesen felfüggesztheti a kinevezésre jogosult hatóságot megillető, az ügyvezető igazgatóra ruházott hatásköröket, illetve az ügyvezető igazgató által továbbruházott hatásköröket, és azokat maga gyakorolja vagy e hatásköröket valamelyik tagjára vagy a személyzetnek az ügyvezető igazgatótól eltérő tagjára ruházza.
16. cikk
Az igazgatótanács elnöke
Az igazgatótanácsnak tagjai közül tagjai szavazatainak kétharmados többségével elnököt és elnökhelyettest választ. Az elnök és az elnökhelyettesek hivatali ideje négy év, hivatali idejük egy alkalommal megújítható. Ha igazgatótanácsi tagságuk hivatali idejük alatt bármikor megszűnik, ugyanezen a napon elnöki vagy elnökhelyettesi megbízatásuk is automatikusan megszűnik. Ha az elnök nem tudja ellátni feladatait, az elnökhelyettes az elnököt hivatalból helyettesíti.
17. cikk
Az igazgatótanács ülései
(1) Az igazgatótanács üléseit az elnök hívja össze.
(2) Az igazgatótanácsnak évente legalább két rendes ülést kell tart. Ezen túlmenően az igazgatótanács az elnök kérésére, a Bizottság kérésére vagy tagjai legalább egyharmadának kérésére rendkívüli ülést tart.
(3) Az ügyvezető igazgatónak részt kell vennie az igazgatótanács ülésein, de szavazati joggal nem rendelkezik.
(4) Az ENISA tanácsadó csoportjának tagjai az elnök meghívására szavazati jog nélkül részt vehetnek az igazgatótanács ülésein.
(5) Az igazgatótanács tagjai és azok póttagjai - az igazgatótanács eljárási szabályzatával összhangban - az üléseken tanácsadók és szakértők segítségét is igénybe vehetik.
(6) Az ENISA az igazgatótanács számára a titkárságot biztosít.
18. cikk
Az igazgatótanács szavazási szabályai
(1) Az igazgatótanács határozatait tagjai többségének szavazatával fogadja el.
(2) Az egységes programozási dokumentum, az éves költségvetés, az ügyvezető igazgató kinevezése, hivatali idejének meghosszabbítása vagy hivatalból való felmentése elfogadásához az igazgatótanács tagjai kétharmados többségének szavazata szükséges.
(3) Minden tag egy szavazattal rendelkezik. Valamely tag távolléte esetén az őt helyettesítő póttag jogosult a tagot megillető szavazati jog gyakorlására.
(4) Az igazgatótanács elnöke részt vesz a szavazásban.
(5) Az ügyvezető igazgató nem vesz részt a szavazásban.
(6) Az igazgatótanács eljárási szabályzata részletesebben rendelkezik a szavazás szabályairól, így különösen arról, hogy egy tag milyen feltételek mellett járhat el egy másik tag nevében.
2. szakasz
Felügyelőtestület
19. cikk
A felügyelőtestület
(1) Az igazgatótanács munkáját a felügyelőtestület segíti.
(2) A felügyelőtestület:
a) előkészíti az igazgatótanács által elfogadandó határozatokat;
b) az igazgatótanáccsal együtt biztosítja az OLAF vizsgálataiból, valamint a különböző belső vagy külső ellenőrzési jelentésekből és értékelésekből származó megállapítások és ajánlások megfelelő nyomon követését;
c) az ügyvezető igazgató 20. cikkben meghatározott feladatainak sérelme nélkül segítséget nyújt és tanácsot ad az ügyvezető igazgató számára az igazgatótanács igazgatási és költségvetési ügyekben hozott határozatainak a 20. cikk szerinti végrehajtásához.
(3) A felügyelőtestület öt tagból áll. A felügyelőtestület tagjait az igazgatótanács tagjai közül nevezik ki. Az egyik tag az igazgatótanács elnöke, aki betöltheti a felügyelőtestület elnöki tisztségét is, egy másik tag pedig a Bizottság egyik képviselője. A felügyelőtestület tagjainak kinevezésénél törekedni kell a nemek közötti egyensúly biztosítására a felügyelőtestületben. Az ügyvezető igazgatónak részt kell vennie a felügyelőtestület ülésein, de szavazati joggal nem rendelkezik.
(4) A felügyelőtestület tagjainak hivatali ideje négy év. Ez a hivatali idő megújítható.
(5) A felügyelőtestület legalább háromhavonta egyszer ülésezik. A felügyelőtestület elnöke a tagok kérésére további üléseket hív össze.
(6) A felügyelőtestület eljárási szabályzatát az igazgatótanács állapítja meg.
(7) Amennyiben sürgősség miatt szükséges, a felügyelőtestület az igazgatótanács nevében meghozhat bizonyos ideiglenes határozatokat, különösen az igazgatási irányítást érintő kérdésekben, ideértve a kinevezésre jogosult hatóság hatáskörei átruházásának felfüggesztését és a költségvetési kérdéseket is. Az ilyen ideiglenes határozatokról az igazgatótanácsot indokolatlan késedelem nélkül értesíteni kell. Azigazgatótanácsnak a határozat meghozatalától számított legfeljebb három hónapon belül döntenie kell, hogy jóváhagyja vagy elutasítja az ideiglenes határozatot. A felügyelőtestület az igazgatótanács nevében nem hozhat olyan határozatot, amely jóváhagyásához az igazgatótanács tagjainak kétharmados többsége szükséges.
3. szakasz
Ügyvezető igazgató
20. cikk
Az ügyvezető igazgató feladatai
(1) Az ENISA-t az ügyvezető igazgató vezeti, akinek feladatai ellátása során függetlenül kell eljárnia. Az ügyvezető igazgató a tevékenységéért az igazgatótanácsnak tartozik felelősséggel.
(2) Az ügyvezető igazgató, amennyiben erre felkérést kap, feladatai teljesítéséről beszámol az Európai Parlamentnek. A Tanács is felkérheti az ügyvezető igazgatót, hogy számoljon be feladatai teljesítéséről.
(3) Az ügyvezető igazgató feladatai a következők:
a) az ENISA napi ügyvitele;
b) az igazgatótanács által elfogadott határozatok végrehajtása;
c) az egységes programozási dokumentum tervezetének elkészítése és annak benyújtása az igazgatótanácshoz jóváhagyás céljából a Bizottsághoz való benyújtást megelőzően;
d) az egységes programozási dokumentum végrehajtása, majd beszámolás arról az igazgatótanácsnak;
e) összevont éves jelentés készítése az ENISA tevékenységéről, az ENISA éves munkaprogramjának végrehajtását is beleértve, és annak benyújtása az igazgatótanácshoz értékelésre és elfogadásra;
f) a visszamenőleges értékelések megállapításain alapuló cselekvési terv elkészítése és kétévente jelentéstétel az eredményekről a Bizottságnak;
g) cselekvési terv elkészítése a belső vagy külső ellenőrzési jelentésekből, valamint az OLAF vizsgálataiból származó megállapítások nyomán, továbbá kétévente jelentéstétel az elért haladásról a Bizottságnak, valamint rendszeresen az igazgatótanácsnak;
h) 32. cikkben említett, az ENISA-ra alkalmazandó pénzügyi szabályzat tervezetének elkészítése;
i) az ENISA tervezett bevételekre és kiadásokra vonatkozó kimutatás tervezetének elkészítése és költségvetésének végrehajtása;
j) az Unió pénzügyi érdekeinek védelme a csalás, a korrupció és egyéb jogellenes tevékenységek elleni megelőző intézkedések alkalmazásával, hatékony ellenőrzésekkel, illetve szabálytalanságok észlelése esetén a jogalap nélkül kifizetett összegek visszafizettetésével, valamint adott esetben hatékony, arányos és visszatartó erejű közigazgatási és pénzügyi szankciók kiszabásával;
k) az ENISA csalás elleni stratégiájának elkészítése és annak benyújtása az igazgatótanácshoz jóváhagyás céljából;
l) kapcsolat kialakítása és fenntartása az üzleti élet szereplőivel és a fogyasztói szervezetekkel, a releváns érdekelt felekkel folytatott rendszeres párbeszéd biztosítása érdekében;
m) az uniós szakpolitika következetes alakításának és végrehajtásának biztosítása érdekében rendszeres vélemény- és információcsere az uniós intézményekkel, szervekkel és hivatalokkal azok kiberbiztonsági tevékenységeire vonatkozóan;
n) az e rendeletben az ügyvezető igazgatóra ruházott további feladatok ellátása.
(4) Szükség esetén és az ENISA célkitűzései és feladatai keretében az ügyvezető igazgató eseti munkacsoportokat hozhat létre, amelyek szakértőkből, többek között az illetékes tagállami hatóságok szakértőiből állnak. Az ügyvezető igazgató erről az igazgatótanácsot előzetesen tájékoztatja. Különösen a munkacsoportok összetételével, a munkacsoportban részt vevő szakértőknek az ügyvezető igazgató általi kinevezésével, valamint a munkacsoportok működésével kapcsolatos eljárásokat az ENISA belső működési szabályzatában kell meghatározni.
(5) Az ügyvezető igazgató szükség esetén az ENISA feladatainak hatékony és eredményes ellátása céljából, megfelelő költség-haszon-elemzés alapján dönthet egy vagy több helyi iroda egy vagy több tagállamban történő létrehozásáról. A helyi irodára vonatkozó döntést megelőzően az ügyvezető igazgatónak ki kell kérnie az érintett tagállamok véleményét, azt a tagállamot is beleértve, amelyben az ENISA székhelye található, és meg kell szereznie a Bizottság és az igazgatótanács előzetes hozzájárulását. Ha az ügyvezető igazgató és az érintett tagállamok közötti konzultációs folyamat során nem alakul ki egyetértés, az ügyet a Tanács elé kell terjeszteni megvitatásra. A helyi irodák mindegyikében a szükséges minimumra kell korlátozni a személyzet összesített létszámát, és az nem haladhatja meg az ENISA-nak a székhelye szerinti tagállamban található személyzete teljes létszámának 40 %-át. Az egyes helyi irodák személyzetének létszáma nem haladhatja meg az ENISA-nak a székhelye szerinti tagállamban található személyzete teljes létszámának 10 %-át.
A helyi irodát létrehozó határozatban úgy kell megállapítani a helyi iroda által ellátandó tevékenységek körét, hogy ne legyenek szükségtelen költségek és indokolatlan átfedések az ENISA igazgatási feladatai közötti.
4. szakasz
Az enisa tanácsadó csoportja, az érdekelt felek kiberbiztonsági tanúsítási csoportja és a nemzeti kapcsolattartó tisztviselők hálózata
21. cikk
Az ENISA tanácsadó csoportja
(1) Az igazgatótanács az ügyvezető igazgató javaslatára átlátható módon létrehozza az ENISA tanácsadó csoportját, amely a releváns érdekelt feleket - például az IKT-ágazatot, a nyilvános elektronikus hírközlő hálózatok és nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóit, a kkv-kat, az alapvető szolgáltatásokat nyújtó szereplőket, a fogyasztói csoportokat és a kiberbiztonság területén tevékenykedő tudományos szakembereket - képviselő elismert szakértőkből, valamint az (EU) 2018/1972 irányelvvel összhangban bejelentett illetékes hatóságok, az európai szabványügyi szervek, továbbá a bűnüldöző hatóságok és az adatvédelmi felügyeleti hatóságok képviselőiből áll. Az igazgatótanácsnak törekednie kell a nemek közötti, a földrajzi, valamint az érdekelt felek különböző csoportjai közötti megfelelő egyensúly biztosítására.
(2) Az ENISA tanácsadó csoportjának különösen az összetételével, az ügyvezető igazgató (1) bekezdésben említett javaslatával, tagjainak számával és kinevezésével, valamint az ENISA tanácsadó csoportjának működésével kapcsolatos eljárásokat az ENISA belső működési szabályzatában kell meghatározni, és azokat nyilvánosságra kell hozni.
(3) Az ENISA tanácsadó csoportjában az elnöki teendőket az ügyvezető igazgató vagy az általa eseti alapon kinevezett személy látja el.
(4) Az ENISA tanácsadó csoportja tagjainak hivatali ideje két és fél év. Az ENISA tanácsadó csoportjának nem lehetnek olyan tagjai, akik az igazgatótanácsnak is tagjai. Az ENISA tanácsadó csoportjának ülésein jelen lehetnek, és munkájában részt vehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az ENISA tanácsadó csoportjának üléseire és a munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek olyan képviselői is meghívhatók, akik nem tagjai az ENISA tanácsadó csoportjának.
(5) Az ENISA tanácsadó csoportja - e rendelet III. címe rendelkezéseinek alkalmazása kivételével - tanácsadással segíti az ENISA-t feladatainak ellátásában. Az ENISA tanácsadó csoport különösen az ENISA munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekelt felekkel a munkaprogramot érintő kérdésekről folytatandó párbeszéd biztosításához ad tanácsot az ügyvezető igazgatónak.
(6) Az ENISA tanácsadó csoportja rendszeresen tájékoztatja tevékenységeiről az igazgatótanácsot.
22. cikk
Az érdekelt felek kiberbiztonsági tanúsítási csoportja
(1) Létrejön az érdekel felek kiberbiztonsági tanúsítási csoportja.
(2) Az érdekelt felek kiberbiztonsági tanúsítási csoportja a releváns érdekelt feleket képviselő elismert szakértőkből kiválasztott tagokból áll. Az érdekelt felek kiberbiztonsági tanúsítási csoportjának tagjait a Bizottság választja ki az ENISA javaslata alapján, átlátható és nyílt pályázati eljárás során, biztosítva az érdekelt felek különböző csoportjai közötti egyensúlyt, valamint megfelelő nemek közötti és a földrajzi egyensúlyt.
(3) Az érdekelt felek kiberbiztonsági tanúsítási csoportja:
a) tanácsot ad a Bizottságnak az európai kiberbiztonsági tanúsítási kerettel kapcsolatos stratégiai kérdéseket illetően;
b) kérésre tanácsot ad az ENISA számára az ENISA piaccal, kiberbiztonsági tanúsítással és szabványosítással kapcsolatos feladataihoz kapcsolódó általános és stratégiai kérdésekben;
c) segítséget nyújt a Bizottság számára a 47. cikkben említett uniós gördülő munkaprogram előkészítéséhez;
d) véleményt ad az uniós gördülő munkaprogramról a 47. cikk (4) bekezdése alapján; valamint
e) a 47. és a 48. cikkben foglaltak szerint sürgős esetekben tanácsot ad a Bizottság és az európai kiberbiztonsági tanúsítási csoport számára olyan további tanúsítási rendszerek szükségességével kapcsolatban, amelyek nem szerepelnek az uniós gördülő munkaprogramban.
(4) Az érdekelt felek kiberbiztonsági tanúsítási csoportja társelnöki tisztét a Bizottság és az ENISA képviselői töltik be, a titkárságát pedig az ENISA biztosítja.
23. cikk
A nemzeti kapcsolattartó tisztviselők hálózata
(1) Az igazgatótanács - az ügyvezető igazgató javaslata alapján - létrehozza a nemzeti kapcsolattartó tisztviselők hálózatát, amely valamennyi tagállamok képviselőiből (a továbbiakban: nemzeti kapcsolattartó tisztviselők) áll. Minden tagállam egy képviselőt jelöl ki a nemzeti kapcsolattartó tisztviselők hálózatába. A nemzeti kapcsolattartó tisztviselők hálózatának üléseire többféle szakértői formációban kerülhet sor.
(2) A nemzeti kapcsolattartó tisztviselők hálózatának különösen az ENISA és a tagállamok közötti információcserét kell megkönnyítenie, valamint támogatnia kell az ENISA-t abban, hogy Unió-szerte eljuttassa a tevékenységeivel, a megállapításaival és az ajánlásaival kapcsolatos információkat a releváns érdekelt felekhez.
(3) A nemzeti kapcsolattartó tisztviselőknek nemzeti szinten központi kapcsolattartó pontként kell működniük, hogy az ENISA éves munkaprogramjának végrehajtásával összefüggésben megkönnyítsék az ENISA és a nemzeti szakértők közötti együttműködést.
(4) Míg a nemzeti kapcsolattartó tisztviselőknek szorosan együtt kell működniük az igazgatótanács országukat képviselői tagjával, a nemzeti kapcsolattartó tisztviselők hálózatának el kell kerülnie a párhuzamos munkavégzést mind az igazgatótanáccsal, mind a többi uniós fórummal.
(5) A nemzeti kapcsolattartó tisztviselők hálózatának feladatait és eljárásait az ENISA belső működési szabályzatában kell meghatározni, és azokat nyilvánosságra kell hozni.
5. szakasz
Működés
24. cikk
Egységes programozási dokumentum
(1) Az ENISA a többéves és éves munkaprogramját tartalmazó egységes programozási dokumentummal összhangban működik, amelynek az ENISA valamennyi tervezett tevékenységét magában kell foglalnia.
(2) Az ügyvezető igazgató - az 1271/2013/EU felhatalmazáson alapuló bizottsági rendelet ( 3 ) 32. cikkével összhangban és a Bizottság által meghatározott iránymutatások figyelembevételével - minden évben elkészíti a többéves és éves programozást tartalmazó egységes programozási dokumentum tervezetét, amely a megfelelő pénzügyi- és humán erőforrásokra is kiterjed.
(3) Az igazgatótanács minden évben november 30-ig elfogadja az (1) bekezdésben említett egységes programozási dokumentumot, és a rákövetkező évben január 31-ig továbbítja azt az Európai Parlamentnek, a Tanácsnak és a Bizottságnak, valamint továbbítja az említett dokumentum később aktualizált változatait is.
(4) Az egységes programozási dokumentum az Unió általános költségvetésének végleges elfogadását követően válik véglegessé, és szükség esetén annak megfelelően ki kell igazítani.
(5) Az éves munkaprogram tartalmazza a részletes célkitűzéseket és az elvárt eredményeket, beleértve a kapcsolódó teljesítménymutatókat. Emellett - a tevékenységalapú költségvetés-tervezés és irányítás elveivel összhangban - ismerteti a finanszírozandó fellépéseket, és megjelöli az egyes fellépésekhez rendelt pénzügyi- és humán erőforrásokat. Az éves munkaprogram összhangban áll a (7) bekezdésben említett többéves munkaprogrammal. Az éves munkaprogram egyértelműen jelezi, hogy az előző pénzügyi évhez képest az ENISA mely feladata új, változott vagy szűnt meg.
(6) Amikor az ENISA új feladatot kap, az igazgatótanács módosítja az elfogadott éves munkaprogramot. Az éves munkaprogram minden lényeges módosítását ugyanazzal az eljárással kell elfogadni, mint az eredeti éves munkaprogramot. Az igazgatótanács az éves munkaprogram nem lényeges módosítására vonatkozó hatáskörét az ügyvezető igazgatóra ruházhatja.
(7) A többéves munkaprogramnak átfogó stratégiai programozást kell meghatároznia, ideértve a célkitűzéseket, az elvárt eredményeket és a teljesítménymutatókat is. Ismertetnie kell az erőforrások programozását, ideértve a többéves költségvetést és a személyzeti tervet is.
(8) Az erőforrások programozását évente aktualizálni kell. A stratégiai programozást indokolt esetben - és különösen amikor az a 67. cikkben említett értékelés kimenetelének figyelembevétele céljából szükséges - aktualizálni kell.
25. cikk
Érdekeltségi nyilatkozat
(1) Az igazgatótanács tagjai, az ügyvezető igazgató és a tagállamok által ideiglenesen kirendelt tisztviselők mindegyike kötelezettségvállalási nyilatkozat tesz, továbbá nyilatkozik arról, hogy van-e olyan közvetlen vagy közvetett érdeke, amelyről feltehető, hogy függetlenségét befolyásolhatja. A nyilatkozatnak pontosnak és teljeskörűnek kell lennie, azt évente írásban kell megtenni, és szükség esetén aktualizálni kell.
(2) Az igazgatótanács tagjai, az ügyvezető igazgató és az eseti munkacsoportok munkájában részt vevő külső szakértők mindegyike köteles legkésőbb minden egyes ülés kezdetén pontosan és teljeskörűen nyilatkozni az egyes napirendi pontokkal kapcsolatos bármely olyan érdekéről, amelyről feltehető, hogy függetlenségét befolyásolhatja, az ilyen napirendi pontok megvitatásában való részvételtől és az azokról való szavazástól pedig köteles tartózkodni.
(3) Az ENISA-nak belső működési szabályzatában meg kell állapítania az (1) és a (2) bekezdésben említett érdekeltségi nyilatkozatokkal kapcsolatos szabályokra vonatkozó gyakorlati rendelkezéseket.
26. cikk
Átláthatóság
(1) Az ENISA tevékenységét nagyfokú átláthatóság mellett, a 28. cikkel összhangban végzi.
(2) Az ENISA biztosítja, hogy a nyilvánosság és minden érdekelt fél - különösen munkájának eredményeiről - megfelelő, tárgyilagos, megbízható és könnyen hozzáférhető információt kapjon. Az ENISA továbbá köteles a nyilvánosság elé tárni a 25. cikkel összhangban tett érdekeltségi nyilatkozatokat.
(3) Az igazgatótanács az ügyvezető igazgató javaslatára eljárva engedélyezheti, hogy érdekelt felek az ENISA egyes tevékenységeinek folyamatában megfigyelőként részt vegyenek.
(4) Az ENISA-nak belső működési szabályzatában meg kell állapítania az (1) és a (2) bekezdésben említett átláthatósági szabályok végrehajtására vonatkozó gyakorlati rendelkezéseket.
27. cikk
Titoktartás
(1) A 28. cikk sérelme nélkül, az ENISA nem adhatja tovább harmadik felek részére az általa kezelt vagy hozzá beérkezett olyan információkat, amelyek tekintetében indokolással ellátott kérelmet nyújtottak be a bizalmas kezelés iránt.
(2) Az igazgatótanács tagjai, az ügyvezető igazgató, az ENISA tanácsadó csoportjának tagjai, az eseti munkacsoportok munkájában részt vevő külső szakértők és az ENISA személyzetének tagjai - beleértve a tagállamok által ideiglenesen kirendelt tisztviselőket is - feladataik megszűnte után is az EUMSZ 339. cikke szerinti titoktartási kötelezettségek hatálya alá tartoznak.
(3) Az ENISA belső működési szabályzatában megállapítja az (1) és a (2) bekezdésben említett titoktartási szabályok végrehajtására vonatkozó gyakorlati rendelkezéseket.
(4) Amennyiben az ENISA feladatainak ellátásához szükséges, az igazgatótanácsnak lehetővé kell tennie az ENISA számára, hogy minősített adatokat kezeljen. Ebben az esetben az ENISA-nak a Bizottság szolgálataival egyetértésben biztonsági szabályokat kell elfogadnia az (EU, Euratom) 2015/443 ( 4 ) és az (EU, Euratom) 2015/444 bizottsági határozatban ( 5 ) megállapított biztonsági elvek alkalmazásáról. Ezeknek a biztonsági szabályoknak a minősített adatok cseréjére, kezelésére és tárolására vonatkozó rendelkezéseket is kell tartalmaznia.
28. cikk
Dokumentumokhoz való hozzáférés
(1) Az ENISA birtokában lévő dokumentumokra az 1049/2001/EK rendelet alkalmazandó.
(2) Az igazgatótanács 2019. december 28-ig elfogadja az 1049/2001/EK rendelet végrehajtására vonatkozó rendelkezéseket.
(3) Az ENISA által az 1049/2001/EK rendelet 8. cikke alapján elfogadott határozatokkal szemben az EUMSZ 228. cikke alapján az ombudsmannál panasz tehető, illetve az EUMSZ 263. cikke alapján az Európai Unió Bíróság előtt kereset indítható.
IV. FEJEZET
Az ENISA költségvetésének megállapítása és szerkezete
29. cikk
Az ENISA költségvetésének megállapítása
(1) Az ügyvezető igazgató minden évben elkészíti az ENISA következő pénzügyi évre vonatkozó, bevételeket és kiadásokat tartalmazó előzetes előirányzat-tervezetét, a létszámtervet is beleértve, és megküldi azt az igazgatótanácsnak. A bevételeknek és a kiadásoknak egyensúlyban kell lenniük.
(2) Az igazgatótanács az előzetes előirányzat-tervezet alapján minden évben elkészíti az ENISA következő pénzügyi évre szóló tervezett bevételi és kiadási előirányzat-tervezetét.
(3) Az igazgatótanács minden év január 31-ig megküldi az egységes programozási dokumentum részét képező előirányzat-tervezetet a Bizottságnak és azoknak a harmadik országoknak, amelyekkel az Unió a 42. cikk (2) bekezdésében említett megállapodást kötött.
(4) Az előirányzat-tervezet alapján a Bizottság a létszámtervhez általa szükségesnek tartott becsült összegeket, valamint az általános költségvetést terhelő hozzájárulás összegét bevezeti az Unió általános költségvetésének tervezetébe, amely előirányzat-tervezetet az EUMSZ 314. cikkének megfelelően a az Európai Parlament elé a Tanács elé terjeszt.
(5) Az ENISA részére az Uniótól nyújtandó hozzájárulásra vonatkozó előirányzatokat az Európai Parlament és a Tanács engedélyezi.
(6) Az ENISA létszámtervét az Európai Parlament és a Tanács fogadja el.
(7) Az ENISA költségvetését az igazgatótanács az egységes programozási dokumentummal együtt fogadja el. Az ENISA költségvetése az Unió általános költségvetésének végleges elfogadását követően válik véglegessé. Az igazgatótanács az ENISA költségvetését és egységes programozási dokumentumát szükség esetén az Unió általános költségvetéséhez igazítja.
30. cikk
Az ENISA költségvetésének szerkezete
(1) Az ENISA bevételei az egyéb források sérelme nélkül a következőkből származnak:
a) az Unió általános költségvetésből kapott hozzájárulás;
b) a meghatározott kiadási tételekhez rendelt bevételek az ENISA 32. cikkben említett pénzügyi szabályzatával összhangban;
c) uniós finanszírozás hozzájárulási megállapodások vagy eseti vissza nem térítendő támogatások formájában, a 32. cikkben említett pénzügyi szabályzattal, valamint az Unió szakpolitikáit támogató megfelelő intézkedések rendelkezéseivel összhangban;
d) hozzájárulások azon harmadik országoktól, amelyek a 42. cikkben említettek szerint részt vesznek az ENISA munkájában;
e) a tagállamok által pénzben vagy természetben nyújtott önkéntes hozzájárulások.
Az első albekezdés e) pontja alapján önkéntes hozzájárulást nyújtó tagállamok nem tarthatnak igényt semmilyen különös jogra vagy ellenszolgáltatásra e hozzájárulásért cserébe.
(2) Az ENISA kiadásait a személyzeti, az igazgatási, a műszaki támogatási, az infrastrukturális és a működési kiadások, valamint a harmadik felekkel kötött szerződésekből eredő kiadások alkotják.
31. cikk
Az ENISA költségvetésének végrehajtása
(1) Az ENISA költségvetésének végrehajtásáért az ügyvezető igazgató felel.
(2) A Bizottság belső ellenőre ugyanazokkal a hatáskörökkel rendelkezik az ENISA felett, mint a Bizottság szervezeti egységei felett.
(3) Az ENISA számvitelért felelős tisztviselője a pénzügyi évre (a továbbiakban: n. év) vonatkozó előzetes beszámolót a következő pénzügyi év (a továbbiakban: n+1. év) március 1-jéig megküldi a Bizottság számvitelért felelős tisztviselőjének és a Számvevőszéknek.
(4) A Számvevőszék által az ENISA n. évre vonatkozó előzetes beszámolójára vonatkozóan az (EU, Euratom) 2018/1046 rendelet ( 6 ) 246. cikke szerint tett észrevételek kézhezvételét követően az ENISA számvitelért felelős tisztviselője saját felelőssége mellett elkészíti az az ENISA adott évre vonatkozó végleges beszámolóját, amelyet az ügyvezető igazgató véleményezésre benyújt az igazgatótanácsnak.
(5) Az igazgatótanács véleményezi az ENISA végleges beszámolóját.
(6) Az ügyvezető igazgató az n+1. év március 31-ig továbbítja a költségvetési és pénzügyi gazdálkodásról szóló jelentést az Európai Parlamentnek, a Tanácsnak, a Bizottságnak és a Számvevőszéknek.
(7) Az ENISA számvitelért felelős tisztviselője az n+1. év július 1-jéig - az igazgatótanács véleményével együtt - megküldi az ENISA végleges beszámolóját az Európai Parlamentnek, a Tanácsnak, a Bizottság számvitelért felelős tisztviselőjének és a Számvevőszéknek.
(8) Az ENISA végleges beszámolójának továbbításával egyidejűleg az ENISA számvitelért felelős tisztviselője az e végleges beszámolóra vonatkozó teljességi nyilatkozatot is benyújt a Számvevőszéknek, egy másolati példányt pedig a Bizottság számvitelért felelős tisztviselőjének.
(9) Az ügyvezető igazgató az n+1. év november 15-ig közzéteszi az ENISA végleges beszámolóját az Európai Unió Hivatalos Lapjában.
(10) Az ügyvezető igazgató az n+1. év szeptember 30-áig választ küld a Számvevőszék észrevételeire, és e válaszról másolatot küld az igazgatótanácsnak és a Bizottságnak.
(11) Az ügyvezető igazgató az Európai Parlament kérésére az (EU, Euratom) 2018/1046 rendelet 261. cikke (3) bekezdésével összhangban benyújt az Európai Parlamentnek minden, a mentesítési eljárás adott pénzügyi évre történő szabályszerű alkalmazásához szükséges információt.
(12) Az Európai Parlament a Tanács ajánlása alapján az n+2. év május 15-e előtt mentesíti az ügyvezető igazgatót az n. évi költségvetés végrehajtására vonatkozó felelőssége alól.
32. cikk
Pénzügyi szabályok
Az ENISA-ra alkalmazandó pénzügyi szabályokat a Bizottsággal folytatott konzultációt követően az igazgatótanács fogadja el. Ezek a szabályok nem térhetnek el az 1271/2013/EU felhatalmazáson alapuló rendelettől, kivéve, ha az eltérés az ENISA működéséhez kifejezetten szükséges, és ahhoz a Bizottság előzetesen hozzájárult.
33. cikk
Csalás elleni küzdelem
(1) A csalás, korrupció és más jogellenes tevékenységek elleni, a 883/2013/EU, Euratom európai parlamenti és tanácsi rendelet ( 7 ) szerinti küzdelem elősegítése céljából az ENISA 2019. december 28-ig csatlakozik az Európai Parlament, az Európai Unió Tanácsa és az Európai Közösségek Bizottsága közötti, az Európai Csalás Elleni Hivatal (OLAF) belső vizsgálatairól szóló, 1999. május 25-i intézményközi megállapodáshoz ( 8 ). Az ENISA az említett megállapodás mellékletében szereplő mintát alkalmazva elfogadja az ENISA személyzetére alkalmazandó megfelelő rendelkezéseket.
(2) A Számvevőszék jogosult dokumentumok és helyszíni ellenőrzések alapján ellenőrzést végezni valamennyi, vissza nem térítendő támogatásban részesülő kedvezményezettnél, vállalkozónál és alvállalkozónál, akik az ENISA-tól uniós forrásból részesültek.
(3) Az OLAF - a 883/2013/EU, Euratom rendeletben, valamint a 2185/96/Euratom, EK tanácsi rendeletben ( 9 ) meghatározott rendelkezésekkel és eljárásokkal összhangban vizsgálatokat - többek között helyszíni ellenőrzéseket és vizsgálatokat - végezhet annak megállapítása céljából, hogy az ENISA által finanszírozott, vissza nem térítendő támogatással vagy valamely szerződéssel összefüggésben történt-e csalás, korrupció vagy bármilyen más jogellenes tevékenység, amely sérti az Unió pénzügyi érdekeit.
(4) Az (1), a (2) és a (3) bekezdés sérelme nélkül az ENISA harmadik országokkal és nemzetközi szervezetekkel kötött együttműködési megállapodásainak, továbbá az általa kötött szerződéseknek, támogatási megállapodásoknak és támogatási határozatoknak tartalmazniuk kell olyan rendelkezéseket, amelyek kifejezetten felhatalmazzák a Számvevőszéket és az OLAF-ot arra, hogy saját hatáskörüknek megfelelően lefolytassák az ilyen ellenőrzéseket és vizsgálatokat.
V. FEJEZET
Személyzet
34. cikk
Általános rendelkezések
Az ENISA személyzetére a személyzeti szabályzatot és az egyéb alkalmazottakra vonatkozó alkalmazási feltételeket, valamint a személyzeti szabályzat és az egyéb alkalmazottakra vonatkozó alkalmazási feltételek végrehajtása céljából az uniós intézmények közötti megállapodással elfogadott szabályokat kell alkalmazni.
35. cikk
Kiváltságok és mentességek
Az ENISA-re és személyzetére alkalmazni kell az EUSZ-hez és az EUMSZ-hez csatolt, az Európai Unió kiváltságairól és mentességeiről szóló 7. jegyzőkönyvet.
36. cikk
Az ügyvezető igazgató
(1) Az ENISA az ügyvezető igazgatót az egyéb alkalmazottakra vonatkozó alkalmazási feltételek 2. cikkének a) pontja értelmében ideiglenes alkalmazottként foglalkoztatja.
(2) Az ügyvezető igazgatót nyílt és átlátható kiválasztási eljárás keretében az igazgatótanács nevezi ki a Bizottság által javasolt jelöltek listájáról.
(3) Az ügyvezető igazgató szerződésének megkötése céljából az ENISA-t az igazgatótanács elnöke képviseli.
(4) A kinevezés előtt az igazgatótanács által kiválasztott jelölt meghívást kap arra, hogy nyilatkozatot tegyen az Európai Parlament illetékes bizottsága előtt, és válaszoljon a parlamenti képviselők kérdéseire.
(5) Az ügyvezető igazgató hivatali ideje öt év. Ezen időszak letelte előtt a Bizottság felmérést végez az ügyvezető igazgató teljesítményéről, valamint az ENISA jövőbeli feladatairól és kihívásairól.
(6) Az igazgatótanács az ügyvezető kinevezésével, hivatali idejének meghosszabbításával vagy felmentésével kapcsolatos határozatait a 18. cikk (2) bekezdésével összhangban hozza meg.
(7) Az igazgatótanács az (5) bekezdésben említett értékelést figyelembe véve, a Bizottság javaslata alapján eljárva az ügyvezető igazgató hivatali idejét egy alkalommal, legfeljebb öt évvel meghosszabbíthatja.
(8) Az igazgatótanács tájékoztatja az Európai Parlamentet arról, hogy meg kívánja hosszabbítani az ügyvezető igazgató hivatali idejét. Az ezen meghosszabbítás előtti három hónapon belül az ügyvezető igazgató - amennyiben meghívást kap - nyilatkozatot tesz az Európai Parlament illetékes bizottsága előtt, és válaszol a képviselők kérdéseire.
(9) Az az ügyvezető igazgató, akinek a hivatali ideje meghosszabbításra került, nem vehet részt az ugyanezen tisztség betöltésére irányuló újabb kiválasztási eljárásokban.
(10) Az ügyvezető igazgató kizárólag az igazgatótanácsnak a Bizottság javaslata alapján meghozott határozatával hívható vissza hivatalából.
37. cikk
Kirendelt nemzeti szakértők és egyéb személyzet
(1) Az ENISA igénybe vehet kirendelt nemzeti szakértőket és egyéb, nem az ENISA alkalmazásában álló személyzetet. Rájuk a személyzeti szabályzat és az egyéb alkalmazottakra vonatkozó alkalmazási feltételek nem alkalmazandók.
(2) Az igazgatótanács határozatot fogad el a nemzeti szakértők ENISA-hoz való kirendelésére vonatkozó szabályok megállapításáról.
VI. FEJEZET
Az ENISA-ra vonatkozó általános rendelkezések
38. cikk
Az ENISA jogállása
(1) Az ENISA az Unió szerve, és jogi személyiséggel rendelkezik.
(2) Az ENISA-t minden egyes tagállamban a nemzeti jog szerint a jogi személyeket megillető legteljesebb jogképességgel rendelkezik. Az ENISA különösen ingó és ingatlan vagyont szerezhet és azzal rendelkezhet, továbbá perképességgel rendelkezik.
(3) Az ENISA-t az ügyvezető igazgató képviseli.
39. cikk
Az ENISA felelőssége
(1) Az ENISA szerződéses felelősségét az adott szerződésre alkalmazandó jog szabályozza.
(2) Az Európai Unió Bírósága rendelkezik joghatósággal arra, hogy az ENISA által kötött szerződésekben foglalt választott bírósági kikötés alapján ítéletet hozzon.
(3) Szerződésen kívüli felelősség esetén az ENISA - a tagállamok jogrendszereinek közös általános elveivel összhangban - megtéríti az általa vagy alkalmazottai által feladataik teljesítése során okozott károkat.
(4) A (3) bekezdésben említett károk megtérítésével kapcsolatosan az Európai Unió Bírósága rendelkezik joghatósággal.
(5) Az ENISA alkalmazottainak az ENISA-val szemben fennálló személyes felelősségét az ENISA személyzetére e tekintetben alkalmazandó feltételek szabályozzák.
40. cikk
Nyelvhasználati szabályok
(1) Az ENISA-ra az 1. tanácsi rendelet ( 10 ) alkalmazandó. A tagállamok és a tagállamok által kijelölt egyéb szervek az Unió intézményeinek általuk választott bármely hivatalos nyelvén fordulhatnak az ENISA-hoz, és jogosultak ugyanezen a nyelven választ kapni.
(2) Az ENISA működéséhez szükséges fordítási szolgáltatásokat az Európai Unió Szerveinek Fordítóközpontja biztosítja.
41. cikk
A személyes adatok védelme
(1) A személyes adatok ENISA általi kezelésére az (EU) 2018/1725 rendeletet kell alkalmazni.
(2) Az igazgatótanács elfogadja az (EU) 2018/1725 rendelet 45. cikkének (3) bekezdésében említett végrehajtási szabályokat. Az igazgatótanács további, az (EU) 2018/1725 rendelet ENISA általi alkalmazásához szükséges intézkedéseket fogadhat el.
42. cikk
Együttműködés harmadik országokkal és nemzetközi szervezetekkel
(1) Az e rendeletben meghatározott célkitűzések eléréséhez szükséges mértékben az ENISA együttműködhet harmadik országok illetékes hatóságaival és nemzetközi szervezetekkel. Ebből a célból az ENISA a Bizottság előzetes jóváhagyásával munkamegállapodásokat köthet harmadik országok hatóságaival és a nemzetközi szervezetekkel. Ezek a megállapodások az Unióval és tagállamaival szemben nem keletkeztethetnek jogi kötelezettséget.
(2) Az ENISA nyitott azon harmadik országok részvételére, amelyek ebből a célból megállapodást kötöttek az Unióval. Ezen megállapodások vonatkozó rendelkezései alapján munkamegállapodásokat kell kötni, meghatározva különösen az érintett harmadik országoknak az ENISA munkájában való részvétele jellegét, terjedelmét és módját, valamint az ENISA kezdeményezéseiben való részvételre, a pénzügyi hozzájárulásra és a személyzetre vonatkozó rendelkezéseket. A személyzeti kérdéseket illetően ezeknek a szabályoknak minden esetben meg kell felelniük a személyzeti szabályzatnak és az egyéb alkalmazottakra vonatkozó alkalmazási feltételeknek.
(3) Az igazgatótanács az ENISA hatáskörébe tartozó kérdések vonatkozásában stratégiát fogad el a harmadik országokkal és nemzetközi szervezetekkel fenntartott kapcsolatokra vonatkozóan. A Bizottság az ügyvezető igazgatóval kötött megfelelő munkamegállapodások útján biztosítja, hogy az ENISA a megbízatásával összhangban és a meglévő intézményi kereteken belül működjön.
43. cikk
Biztonsági szabályok a nem minősített érzékeny adatok és a minősített adatok védelmére
A Bizottsággal folytatott konzultációt követően az ENISA a Bizottságnak az (EU, Euratom) 2015/443 és az (EU, Euratom) 2015/444 határozatban meghatározott, a nem minősített érzékeny adatok és az EU-minősített adatok védelmére vonatkozó biztonsági elveit alkalmazó biztonsági szabályokat fogad el. Az ENISA biztonsági szabályai az ilyen adatok cseréjére, kezelésére és tárolására vonatkozó rendelkezéseket foglalnak magukban.
44. cikk
Székhely-megállapodás és működési feltételek
(1) Az ENISA fogadó tagállamon belüli elhelyezéséhez szükséges rendelkezéseket, a fogadó tagállam által rendelkezésre bocsátandó létesítményekre vonatkozó rendelkezéseket, továbbá az ügyvezető igazgatóra, az igazgatótanács tagjaira, valamint az ENISA személyzetre és családtagjaikra a fogadó tagállamban alkalmazandó különös szabályokat az ENISA és a fogadó tagállam által - az igazgatótanács jóváhagyásának megszerzése után - megkötött székhely-megállapodásban kell rögzíteni.
(2) Az ENISA fogadó tagállama biztosítja a lehető legjobb feltételeket az ENISA megfelelő működéséhez, figyelembe véve a székhely megközelíthetőségét, a személyzet gyermekeinek biztosított megfelelő oktatási lehetőségeket, valamint a személyzet gyermekeinek és házastársainak esetében a munkaerőpiachoz, a társadalombiztosításhoz és az egészségügyi ellátáshoz való megfelelő hozzáférést is.
45. cikk
Igazgatási ellenőrzés
Az ENISA működésével kapcsolatban az európai ombudsman az EUMSZ 228. cikkével összhangban felügyeletet gyakorol.
III. CÍM
KIBERBIZTONSÁGI TANÚSÍTÁSI KERETRENDSZER
46. cikk
Az európai kiberbiztonsági tanúsítási keretrendszer
(1) Létrejön az európai kiberbiztonsági tanúsítási keretrendszer, annak érdekében, hogy az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások digitális egységes piacának létrehozása céljából a kiberbiztonság szintjének az Unión belüli javítása és az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó, uniós szinten összehangolt megközelítés lehetővé tétele útján javuljanak a belső piac működésének feltételei.
(2) Az európai kiberbiztonsági tanúsítási keretrendszer meghatároz egy mechanizmust az európai kiberbiztonsági tanúsítási rendszerek létrehozására, valamint annak tanúsítására, hogy az e rendszerekkel összhangban értékelt IKT-termékek, IKT-szolgáltatások és IKT-folyamatok megfelelnek az adott biztonsági követelményeknek, az e termékek, szolgáltatások és folyamatok által vagy az azokon keresztül tárolt vagy továbbított vagy kezelt adatok, vagy az általuk vagy az azokon keresztül ellátott funkciók vagy az általuk vagy az azokon keresztül kínált szolgáltatások rendelkezésre állásának, hitelességének, sértetlenségének vagy titkosságának azok teljes életciklusa alatti védelme céljából. Ezen túlmenően tanúsítja, hogy az említett rendszerekkel összhangban értékelt irányított biztonsági szolgáltatások megfelelnek az adott biztonsági követelményeknek az említett szolgáltatások nyújtásával összefüggésben hozzáférhető, kezelt, tárolt vagy továbbított adatok rendelkezésre állásának, hitelességének, sértetlenségének és titkosságának védelme céljából, és hogy az említett szolgáltatásokat folyamatosan a szükséges kompetenciával, szakértelemmel és tapasztalattal, kielégítő és megfelelő szintű releváns műszaki ismeretekkel és szakmai feddhetetlenséggel rendelkező személyzet nyújtja.
47. cikk
Az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogram
(1) A Bizottság közzéteszi az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogramot (a továbbiakban: az uniós gördülő munkaprogram), amelyben meghatározza a jövőbeli európai kiberbiztonsági tanúsítási rendszerek stratégiai prioritásait.
(2) Az uniós gördülő munkaprogramnak magában kell foglalnia különösen azon IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és irányított biztonsági szolgáltatások vagy ezek kategóriáinak jegyzékét, amelyek alkalmasak arra, hogy valamely európai kiberbiztonsági tanúsítási rendszer hatálya alá vonják őket.
(3) Bármely konkrét IKT-terméknek, IKT-szolgáltatásnak, IKT-folyamatnak vagy irányított biztonsági szolgáltatásnak vagy ezek kategóriáinak az uniós gördülő munkaprogramban való szerepeltetését igazolni kell a következő indokok közül egy vagy több alapján:
a) olyan nemzeti kiberbiztonsági tanúsítási rendszerek rendelkezésre állása és kidolgozása, amelyek hatálya IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások egy konkrét kategóriájára kiterjed, és különösen a széttagoltság veszélyére tekintettel;
b) vonatkozó uniós vagy tagállami jog vagy szakpolitikák;
c) piaci kereslet;
ca) a technológiai fejlődés, valamint a nemzetközi kiberbiztonsági tanúsítási rendszerek, a nemzetközi és az ipar által használt szabványok rendelkezésre állása és fejlesztése;
d) változások a kiberfenyegetettségi helyzetben;
e) az európai kiberbiztonsági tanúsítási csoport általi valamely konkrét rendszer javaslati szintű kidolgozására irányuló kérelem.
(4) A Bizottság kellően figyelembe veszi az európai kiberbiztonsági tanúsítási csoport és az érdekelt felek kiberbiztonsági tanúsítási csoportja által az uniós gördülő munkaprogram tervezetéről kiadott véleményeket.
(5) Az első uniós gördülő munkaprogramot 2020. június 28-ig kell közzétenni. Az uniós gördülő munkaprogramot háromévente legalább egyszer, illetve szükség esetén gyakrabban aktualizálni kell.
48. cikk
Európai kiberbiztonsági tanúsítási rendszer létrehozása iránti kérelem
(1) A Bizottság felkérheti az ENISA-t, hogy a munkaprogram alapján dolgozzon ki egy javasolt rendszert vagy az uniós gördülő munkaprogram alapján vizsgáljon felül egy létező európai kiberbiztonsági tanúsítási rendszert.
(2) Kellően indokolt esetben a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport kérheti az ENISA-t, hogy dolgozzon ki egy olyan javaslati rendszert, vagy vizsgáljon felül olyan létező európai kiberbiztonsági tanúsítási rendszert, amely nem szerepel az uniós gördülő munkaprogramban. Az uniós gördülő munkaprogramot ennek megfelelően aktualizálni kell.
49. cikk
Valamely európai kiberbiztonsági tanúsítási rendszer kidolgozása, elfogadása és felülvizsgálata
(1) Az ENISA-nak a Bizottság 48. cikk szerinti kérése alapján ki kell dolgoznia egy olyan javasolt tanúsítási rendszert, amely megfelel az 51., az 51a., az 52. és az 54. cikkben meghatározott alkalmazandó követelményeknek.
(2) Az ENISA az európai kiberbiztonsági tanúsítási csoport 48. cikk (2) bekezdése szerinti kérése alapján kidolgozhat egy olyan javasolt tanúsítási rendszert, amely megfelel az 51., az 51a., az 52. és az 54. cikkben meghatározott alkalmazandó követelményeknek. E kérés visszautasítása esetén az ENISA köteles azt megindokolni. E kérés elutasításáról az igazgatótanács dönthet.
(3) A javasolt tanúsítási rendszer kidolgozása során az ENISA-nak hivatalos, nyílt, átlátható és inkluzív konzultációs folyamat keretében kellő időben konzultálnia kell valamennyi érdekelt féllel. Amikor a (6) bekezdés szerint továbbítja a javasolt tanúsítási rendszert a Bizottságnak, az ENISA tájékoztatást nyújt arról, hogy miként felelt meg e bekezdésnek.
(4) Minden egyes javasolt tanúsítási rendszer tekintetében az ENISA a 20. cikk (4) bekezdésével összhangban eseti munkacsoportot hoz létre, az ENISA számára konkrét tanácsadás nyújtása és szakértelem biztosítása céljából. Ezen eseti munkacsoportokban - adott esetben és a 20. cikk (4) bekezdésében előírt eljárások és mérlegelési jogkör sérelme nélkül - a tagállamok közigazgatási szervei, az uniós intézmények, szervek, hivatalok és ügynökségek, valamint a magánszektor szakértői is részt vesznek.
(5) Az ENISA szorosan együttműködik az európai kiberbiztonsági tanúsítási csoporttal. Az európai kiberbiztonsági tanúsítási csoportnak segítséget és szakértői tanácsadást kell biztosítania az ENISA számára a javaslati rendszer kidolgozása kapcsán, és véleményt kell elfogadnia a javasolt rendszerről.
(6) Az ENISA-nak a (3), a (4) és az (5) bekezdéssel összhangban kidolgozott javaslati rendszer Bizottságnak történő továbbítása előtt a lehető legkörültekintőbben figyelembe kell vennie az európai kiberbiztonsági tanúsítási csoport véleményét. Az európai kiberbiztonsági tanúsítási csoport véleménye az ENISA-ra nézve nem kötelező érvényű, és ezen vélemény hiánya nem akadályozza az ENISA-t a javasolt rendszer Bizottságnak történő továbbításában.
(7) A Bizottság az ENISA által kidolgozott javasolt tanúsítási rendszer alapján végrehajtási jogi aktusokat fogadhat el, amelyekben az IKT-termékekre, az IKT-szolgáltatásokra, az IKT-folyamatokra és az irányított biztonsági szolgáltatásokra vonatkozó, az 51., az 51a., az 52. és az 54. cikkben meghatározott releváns követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerekről rendelkezik. E végrehajtási jogi aktusokat a 66. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(8) Az ENISA-nak legalább ötévente értékelnie kell minden egyes elfogadott európai kiberbiztonsági tanúsítási rendszert, az érdekelt felektől kapott visszajelzések figyelembevételével. Ha szükséges, a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport felkérheti az ENISA-t, hogy a 48. és e cikkel összhangban indítsa el a módosított javaslati rendszer kidolgozására irányuló folyamatot.
49a. cikk
Tájékoztatás és konzultáció az európai kiberbiztonsági tanúsítási rendszerekről
(1) A Bizottság nyilvánosan hozzáférhetővé teszi az ENISA-hoz intézett, a 48. cikkben említettek szerinti, javasolt tanúsítási rendszer kidolgozására vagy egy létező európai kiberbiztonsági tanúsítási rendszer felülvizsgálatára irányuló kérésére vonatkozó információkat.
(2) A javasolt tanúsítási rendszer ENISA általi, 49. cikk szerinti kidolgozása során az Európai Parlament, a Tanács vagy mindkettő felkérheti a Bizottságot - mint az európai kiberbiztonsági tanúsítási csoport elnökét - és az ENISA-t, hogy negyedévente nyújtson be releváns információkat a javasolt tanúsítási rendszer tervezetéről. Az Európai Parlament vagy a Tanács kérésére az ENISA - a Bizottsággal egyetértésben és a 27. cikk sérelme nélkül - az előírt titoktartási szintnek megfelelő és adott esetben korlátozott módon az Európai Parlament és a Tanács rendelkezésére bocsáthatja a javasolt tanúsítási rendszer tervezetének vonatkozó részeit.
(3) Az uniós intézmények közötti párbeszéd fokozása, valamint a hivatalos, nyílt, átlátható és inkluzív konzultációs folyamathoz való hozzájárulás érdekében az Európai Parlament, a Tanács vagy mindkettő felkérheti a Bizottságot és az ENISA-t, hogy vitassák meg az IKT-termékekre, az IKT-szolgáltatásokra, az IKT-folyamatokra vagy az irányított biztonsági szolgáltatásokra vonatkozó európai kiberbiztonsági tanúsítási rendszerek működésével kapcsolatos kérdéseket.
(4) A Bizottság e rendeletnek a 67. cikk szerinti értékelése során adott esetben figyelembe veszi az Európai Parlament és a Tanács által az e cikk (3) bekezdésében említett kérdésekkel kapcsolatban kifejtett véleményekből eredő elemeket.
50. cikk
Az európai kiberbiztonsági tanúsítási rendszerek honlapja
(1) Az európai kiberbiztonsági tanúsítási rendszerekről, az európai kiberbiztonsági tanúsítványokról és az uniós megfelelőségi nyilatkozatokról - ideértve a már nem érvényes európai kiberbiztonsági tanúsítási rendszerekre, a visszavont és lejárt európai kiberbiztonsági tanúsítványokra és az uniós megfelelőségi nyilatkozatokra, valamint az 55. cikkel összhangban rendelkezésre bocsátott kiberbiztonsági információkra mutató linkeket tartalmazó adattárakra vonatkozó információkat - tájékoztatás és az azokkal kapcsolatos publicitás biztosítása céljából az ENISA egy külön e célra szolgáló honlapot tart fenn.
(2) Az (1) bekezdésben említett honlapon adott esetben fel kell tüntetni azokat a nemzeti kiberbiztonsági tanúsítási rendszereket is, amelyeket egy európai kiberbiztonsági tanúsítási rendszer váltott fel.
51. cikk
Az IKT-termékekre, IKT-szolgáltatásokra és IKT-folyamatokra vonatkozó európai kiberbiztonsági tanúsítási rendszerek biztonsági célkitűzései
Az IKT-termékekre, IKT-szolgáltatásokra és IKT-folyamatokra vonatkozó európai kiberbiztonsági tanúsítási rendszereket úgy kell kialakítani, hogy - értelemszerűen - teljesítsék legalább az alábbi biztonsági célkitűzéseket:
a) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan tárolással, kezeléssel, hozzáféréssel és közléssel szemben, az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt;
b) a tárolt, továbbított vagy egyéb módon kezelt adatok védelme a véletlen vagy jogosulatlan megsemmisítéssel, elvesztéssel vagy megváltoztatással, vagy a hozzáférhetetlenséggel szemben az IKT-termék, az IKT-szolgáltatás és az IKT-folyamat teljes életciklusa alatt;
c) a feljogosított személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhetnek hozzá;
d) az ismert függőségek és sebezhetőségek azonosítása és dokumentálása;
e) annak rögzítése, hogy ki, mikor és mely adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy egyéb módon kezelt;
f) annak ellenőrizhetővé tétele, hogy ki, mikor és mely adatokat, szolgáltatásokat vagy funkciókat vette igénybe, használt vagy egyéb módon kezelt;
g) annak ellenőrzése, hogy az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok nem tartalmaznak ismert sebezhetőségeket;
h) fizikai vagy műszaki biztonsági esemény bekövetkeztekor az adatok, a szolgáltatások és a funkciók rendelkezésre állásának, valamint az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférésnek a mihamarabbi helyreállítása;
i) az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok alapértelmezetten és tervezetten biztonságosak;
j) az IKT-termékek, az IKT-szolgáltatások és az IKT-folyamatok szoftvere és hardvere naprakész, esetükben nem állnak fenn közismert sebezhetőségek, és rendelkezésre állnak a biztonságos frissítésükre szolgáló mechanizmusok.
51a. cikk
Az irányított biztonsági szolgáltatásokra vonatkozó európai kiberbiztonsági tanúsítási rendszerek biztonsági célkitűzései
Az irányított biztonsági szolgáltatásokra vonatkozó európai kiberbiztonsági tanúsítási rendszereket úgy kell kialakítani, hogy - értelemszerűen - teljesítsék legalább az alábbi biztonsági célkitűzéseket:
a) hogy az irányított biztonsági szolgáltatásokat a szükséges kompetenciával, szakértelemmel és tapasztalattal nyújtsák, beleértve azt is, hogy az e szolgáltatások nyújtásával megbízott személyzet az adott területen kielégítő és megfelelő műszaki ismeretekkel és kompetenciával, kielégítő és megfelelő tapasztalattal, valamint a legmagasabb szintű szakmai feddhetetlenséggel rendelkezzen;
b) hogy a szolgáltató megfelelő belső eljárásokkal rendelkezzen annak biztosítására, hogy az irányított biztonsági szolgáltatások mindenkor kielégítő és megfelelő színvonalúak legyenek;
c) hogy megvédjék az irányított biztonsági szolgáltatások nyújtásával összefüggésben hozzáférhető, tárolt, továbbított vagy más módon kezelt adatokat a véletlenszerű vagy jogosulatlan hozzáféréssel, tárolással, nyilvánosságra hozatallal, megsemmisítéssel, egyéb kezeléssel, vagy elvesztéssel vagy megváltoztatással vagy hozzáférhetetlenséggel szemben;
d) hogy fizikai vagy műszaki esemény bekövetkeztekor az adatok, a szolgáltatások és a funkciók rendelkezésre állása, valamint az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférés mihamarabb helyreálljon;
e) hogy a feljogosított személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhessenek hozzá;
f) hogy tartsák nyilván és értékelés céljából tegyék hozzáférhetővé, hogy ki, mikor és mely adatokat, szolgáltatásokat vagy funkciókat vett igénybe, használt vagy kezelt egyéb módon;
g) hogy az irányított biztonsági szolgáltatások nyújtása során alkalmazott IKT-termékek, IKT-szolgáltatások és IKT-folyamatok tervezetten és alapértelmezetten biztonságosak legyenek, és adott esetben tartalmazzák a legújabb biztonsági frissítéseket, és esetükben ne álljanak fenn közismert sebezhetőségek.
52. cikk
Az európai kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjei
(1) Az európai kiberbiztonsági tanúsítási rendszerek az IKT-termékekre, az IKT-szolgáltatásokra, az IKT-folyamatokra és az irányított biztonsági szolgáltatásokra a következő megbízhatósági szintek közül egy vagy több szintet határozhatnak meg: "alap", "jelentős" és "magas". A megbízhatósági szintnek az események valószínűsége és hatása szempontjából arányban kell állnia az IKT-termék, az IKT-szolgáltatás, az IKT-folyamat vagy az irányított biztonsági szolgáltatás rendeltetés szerinti használatához kapcsolódó kockázat szintjével.
(2) Az európai kiberbiztonsági tanúsítványoknak és az uniós megfelelőségi nyilatkozatoknak hivatkozniuk kell az azon európai kiberbiztonsági tanúsítási rendszerben meghatározott bármely megbízhatósági szintre, amely alapján az európai kiberbiztonsági tanúsítványt vagy az uniós megfelelőségi nyilatkozatot kibocsátották.
(3) A releváns európai kiberbiztonsági tanúsítási rendszernek meg kell határoznia a minden egyes megbízhatósági szintnek megfelelő biztonsági követelményeket, ideértve a megfelelő biztonsági funkciókat és az IKT-termékre, az IKT-szolgáltatásra, az IKT-folyamatra vagy az irányított biztonsági szolgáltatásra alkalmazandó értékelés megfelelő szigorúságát és mélységét.
(4) A tanúsítványnak vagy az uniós megfelelőségi nyilatkozatnak hivatkoznia kell a rájuk vonatkozó műszaki előírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre, melyek célja a kiberbiztonsági események kockázatának csökkentése, illetve azok megelőzése.
(5) Az "alap" megbízhatósági szintet feltüntető európai kiberbiztonsági tanúsítvány vagy uniós megfelelőségi nyilatkozat arra vonatkozóan szolgál biztosítékkal, hogy azok az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások, amelyekre vonatkozóan az említett tanúsítványt vagy az említett uniós megfelelőségi nyilatkozatot kibocsátották, teljesítik a vonatkozó biztonsági követelményeket - többek között a biztonsági funkciókat - és olyan szintű értékelésen estek át, amely az eseményekkel és a kiberbiztonsági támadásokkal kapcsolatos alapvető, ismert kockázatok minimalizálására törekszik. Az elvégzendő értékelési tevékenységeknek magukban kell foglalniuk legalább a műszaki dokumentáció áttekintését. Ha az ilyen áttekintés nem megfelelő, egyenlő hatású helyettesítő értékelési tevékenységeket kell végezni.
(6) A "jelentős" megbízhatósági szintet feltüntető európai kiberbiztonsági tanúsítvány arra vonatkozóan szolgál biztosítékkal, hogy azok az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások, amelyekre vonatkozóan az említett tanúsítványt kibocsátották, teljesítik a vonatkozó biztonsági követelményeket - többek között a biztonsági funkciókat - és olyan szintű értékelésen estek át, amely az ismert kiberbiztonsági kockázatok, valamint a korlátozott szakértelemmel és erőforrásokkal rendelkező elkövetők által végrehajtott események és kiberbiztonsági támadások minimalizálására törekszik. Az elvégzendő értékelési tevékenységeknek legalább az alábbiakat kell magukban foglalniuk: a közismert sebezhetőségek hiánya megállapításának felülvizsgálata és az annak megállapítására szolgáló tesztelés, hogy az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások megfelelően működtetik-e a szükséges biztonsági funkciókat. Ha ezen értékelési tevékenységek egyike sem megfelelő, egyenlő hatású helyettesítő értékelési tevékenységeket kell végezni.
(7) A "magas" megbízhatósági szintet feltüntető európai kiberbiztonsági tanúsítvány arra vonatkozóan szolgál biztosítékkal, hogy azon IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások, amelyekre vonatkozóan az említett tanúsítványt kibocsátották, teljesítik a vonatkozó biztonsági követelményeket - többek között a biztonsági funkciókat - és olyan szintű értékelésen estek át, amely a jelentős szakértelemmel és erőforrásokkal rendelkező elkövetők által, a tudomány legutolsó állása szerinti technológiával végrehajtott kibertámadások minimalizálására törekszik. Az elvégzendő értékelési tevékenységeknek legalább az alábbiakat kell magukban foglalniuk: a közismert sebezhetőségek hiánya megállapításának felülvizsgálata; az annak megállapítására szolgáló tesztelés, hogy az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások megfelelően, a legfejlettebb technika szerint működtetik-e a szükséges biztonsági funkciókat; valamint behatolásvizsgálatok révén annak értékelése, hogy azok mennyire ellenállóak a jól képzett elkövetők által végrehajtott támadásokkal szemben. Ha ezen értékelési tevékenységek egyike sem megfelelő, egyenlő hatású helyettesítő értékelési tevékenységeket kell végezni.
(8) Az alkalmazott értékelési módszer szigorúságától és mélységétől függően egy európai kiberbiztonsági tanúsítási rendszerben több értékelési szint is meghatározható. Az értékelési szintek mindegyikének meg kell felelnie a megbízhatósági szintek egyikének, és azokat a megbízhatósági komponensek megfelelő kombinációjának megadásával kell meghatározni.
53. cikk
Megfelelőségi önértékelés
(1) Egy európai kiberbiztonsági tanúsítási rendszer lehetővé teheti, hogy az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártójának vagy nyújtójának kizárólagos felelőssége mellett megfelelőségi önértékelésre kerüljön sor. Megfelelőségi önértékelés csak az "alap" megbízhatósági szintnek megfelelő, alacsony kockázatot jelentő IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások esetében engedhető meg.
(2) Az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártója vagy nyújtója uniós megfelelőségi nyilatkozatot állíthat ki arról, hogy megtörtént annak bizonyítása, hogy a tanúsítási rendszer követelményei teljesülnek. E nyilatkozat kiállításával az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártója vagy nyújtója felelősséget vállal azért, hogy az IKT-termék, az IKT-szolgáltatás, az IKT-folyamat vagy az irányított biztonsági szolgáltatás megfelel az adott tanúsítási rendszer által előírt követelményeknek.
(3) Az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártójának vagy nyújtójának az alkalmazandó európai kiberbiztonsági tanúsítási rendszerben meghatározott ideig az 58. cikk szerint kijelölt nemzeti kiberbiztonsági tanúsító hatóság rendelkezésére kell bocsátania az uniós megfelelőségi nyilatkozatot, a műszaki dokumentációt és az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások tanúsítási rendszernek való megfelelésével kapcsolatos összes egyéb releváns információt. Az uniós megfelelőségi nyilatkozat másolati példányát meg kell küldeni a nemzeti kiberbiztonsági tanúsító hatóságnak és az ENISA-nak.
(4) Egy uniós megfelelőségi nyilatkozat kiállítása az uniós vagy a tagállami jog eltérő rendelkezése hiányában önkéntes.
(5) Az uniós megfelelőségi nyilatkozatot minden tagállamban el kell ismerni.
54. cikk
Az európai kiberbiztonsági tanúsítási rendszerek elemei
(1) Az európai kiberbiztonsági tanúsítási rendszereknek legalább a következő elemeket kell tartalmazniuk:
a) a tanúsítási rendszer tárgya és hatálya, ideértve a hatálya alá tartozó IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások típusát vagy kategóriáit;
b) a tanúsítási rendszer céljának és annak az egyértelmű meghatározása, hogy a kiválasztott szabványok, értékelési módszerek és megbízhatósági szintek hogyan felelnek meg a rendszer célfelhasználói igényeinek;
c) hivatkozás az értékelésben alkalmazott nemzetközi, európai vagy nemzeti szabványokra, vagy ha nem állnak rendelkezésre ilyen szabványok, vagy azok nem megfelelőek, az 1025/2012/EU rendelet II. mellékletében meghatározott követelményeket teljesítő műszaki előírásokra, vagy ha ilyen előírások nem állnak rendelkezésre, az európai kiberbiztonsági tanúsítási rendszerben meghatározott műszaki előírásra vagy egyéb kiberbiztonsági követelményekre;
d) adott esetben egy vagy több megbízhatósági szint;
e) annak megjelölése, hogy a megfelelőségi önértékelés megengedett-e az adott rendszerben;
f) adott esetben a megfelelőségértékelő szervezetekre alkalmazandó konkrét vagy kiegészítő követelmények, a kiberbiztonsági követelmények értékelésére való szakmai felkészültség biztosítása érdekében;
g) az 51. és az 51a. cikkben említett alkalmazandó biztonsági célkitűzések elérésének igazolása érdekében az alkalmazandó konkrét értékelési kritériumok és módszerek, beleértve az értékelés típusait is;
h) adott esetben a kérelmező által a megfelelőségértékelő szervezetek részére benyújtandó vagy egyéb úton a rendelkezésükre bocsátandó, a tanúsításhoz szükséges információk;
i) amennyiben a rendszer jelölésekről vagy címkékről rendelkezik, e jelölések vagy címkék használati feltételei;
j) az IKT-termékeknek, az IKT-szolgáltatásoknak, az IKT-folyamatoknak vagy az irányított biztonsági szolgáltatásoknak az európai kiberbiztonsági tanúsítványok vagy az uniós megfelelőségi nyilatkozatok követelményeinek való megfelelése nyomon követésének szabályai, ideértve a meghatározott kiberbiztonsági követelményeknek való folyamatos megfelelés bizonyítására szolgáló mechanizmusokat is;
k) adott esetben az európai kiberbiztonsági tanúsítvány kibocsátására, fenntartására, meghosszabbítására és megújítására, valamint a hatályának bővítésére vagy szűkítésére vonatkozó feltételek;
l) az annak következményeire vonatkozó szabályok, ha a tanúsított vagy uniós megfelelőségi nyilatkozat hatálya alá tartozó IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások nem felelnek meg a tanúsítási rendszer követelményeinek;
m) az IKT- termékek, az IKT-szolgáltatások és az IKT-folyamatok terén korábban nem észlelt kiberbiztonsági sebezhetőségek bejelentésének és kezelésének módjára vonatkozó szabályok;
n) adott esetben a megfelelőségértékelő szervezetek nyilvántartásainak megőrzésére vonatkozó szabályok;
o) az azonos típusú vagy kategóriájú IKT-termékekre, IKT-szolgáltatásokra, IKT-folyamatokra vagy irányított biztonsági szolgáltatásokra kiterjedő nemzeti vagy nemzetközi kiberbiztonsági tanúsítási rendszerek, biztonsági követelmények, értékelési kritériumok és módszerek, valamint megbízhatósági szintek azonosítása;
p) a kiadandó európai kiberbiztonsági tanúsítvány és uniós megfelelőségi nyilatkozat tartalma és formátuma;
q) az uniós megfelelőségi nyilatkozatnak, a műszaki dokumentációnak, valamint minden egyéb releváns információnak az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártója vagy nyújtója általi rendelkezésre bocsátásának időtartama;
r) a rendszer alapján kibocsátott európai kiberbiztonsági tanúsítványok maximális érvényességi ideje;
s) a rendszer alapján kibocsátott, módosított vagy visszavont európai kiberbiztonsági tanúsítványokra vonatkozó közzétételi politika;
t) a tanúsítási rendszerek harmadik országokkal való kölcsönös elismerésének feltételei;
u) adott esetben az 56. cikk (6) bekezdése alapján a rendszer által a "magas" megbízhatósági szintű európai kiberbiztonsági tanúsítványokat kiállító hatóságokra és szervekre létrehozott szakértői értékelési mechanizmusra vonatkozó szabályok. Ez a mechanizmus nem érinti az 59. cikkben előírt kölcsönös felülvizsgálatot;
v) a kiegészítő kiberbiztonsági információ 55. cikkel összhangban történő megadása és frissítése során az IKT-termékek, IKT-szolgáltatások vagy IKT-eljárások gyártói vagy szolgáltatói által alkalmazandó formátumok és követendő eljárások.
(2) Az európai kiberbiztonsági tanúsítási rendszer meghatározott követelményeinek összhangban kell állniuk az alkalmazandó jogi követelményekkel, különösen az összehangolt uniós jogból eredő követelményekkel.
(3) Amennyiben egy adott uniós jogi aktus úgy rendelkezik, egy európai kiberbiztonsági tanúsítási rendszer keretében kiadott tanúsítás vagy uniós megfelelőségi nyilatkozat felhasználható az adott jogi aktus követelményeinek való megfelelés vélelmének igazolására.
(4) Összehangolt uniós jog hiányában, a tagállami jog úgy is rendelkezhet, hogy egy európai kiberbiztonsági tanúsítási rendszer a jogi követelményeknek való megfelelés vélelmezésére is használható.
55. cikk
Kiegészítő kiberbiztonsági információ a tanúsított IKT-termékekkel, IKT-szolgáltatásokkal és IKT-folyamatokkal kapcsolatban
(1) A tanúsított IKT-termékek, IKT-szolgáltatások, vagy IKT-folyamatok gyártói vagy nyújtói, vagy az olyan IKT-termékek, IKT-szolgáltatások, vagy IKT-folyamatok gyártói vagy nyújtói, amelyek tekintetében uniós megfelelőségi nyilatkozatot állítottak ki a következő kiegészítő információkat kötelesek nyilvánosan elérhetővé tenni:
a) a végfelhasználóknak az IKT-termékek vagy IKT-szolgáltatások biztonságos konfigurálásában, beszerelésében, telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatások és ajánlások;
b) a végfelhasználók számára nyújtott biztonsági támogatás időtartama, különös tekintettel a kiberbiztonsághoz kapcsolódó frissítések rendelkezésre állására;
c) a gyártó vagy a szolgáltatást nyújtó kapcsolattartási adatai, valamint a végfelhasználóktól vagy biztonsági kutatóktól érkező, sebezhetőséggel kapcsolatos információk fogadásának elfogadott módszerei;
d) az IKT-termékhez, IKT-szolgáltatáshoz vagy IKT-folyamathoz kapcsolódó, nyilvánosságra hozott sebezhetőségeket tartalmazó online adatbankokra és a releváns kiberbiztonsági tanácsadókra mutató hivatkozások.
(2) Az (1) bekezdésben említett információkat elektronikus formában kell rendelkezésre bocsátani, és legalább a vonatkozó európai kiberbiztonsági tanúsítvány vagy uniós megfelelőségi nyilatkozat lejáratáig biztosítani kell az elérhetőségüket, illetve szükség szerint naprakésszé kell tenni őket.
56. cikk
Kiberbiztonsági tanúsítás
(1) A 49. cikk alapján elfogadott európai kiberbiztonsági tanúsítási rendszerek keretében tanúsított IKT-termékekről, IKT-szolgáltatásokról, IKT-folyamatokról és irányított biztonsági szolgáltatásokról vélelmezni kell, hogy megfelelnek az e rendszerek által támasztott követelményeknek.
(2) Amennyiben az uniós jog vagy a tagállamok joga másként nem rendelkezik, a kiberbiztonsági tanúsítás önkéntes.
(3) A Bizottság az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és 2025. február 4-től az irányított biztonsági szolgáltatások Unión belüli megfelelő szintű kiberbiztonságának biztosítása és a belső piac működésének javítása érdekében rendszeresen értékeli az elfogadott európai kiberbiztonsági tanúsítási rendszerek hatékonyságát és alkalmazását, valamint azt, hogy valamely konkrét európai kiberbiztonsági rendszert a vonatkozó uniós jog útján kötelezővé kell-e tenni. Az első ilyen értékelést 2023. december 31-ig el kell végezni, az ezt követő értékeléseket pedig legalább kétévenként. A Bizottság az említett értékelések eredményeitől függően azonosítja a valamely létező tanúsítási rendszer hatálya alá tartozó azon IKT-termékeket, IKT-szolgáltatásokat, IKT-folyamatokat és irányított biztonsági szolgáltatásokat, amelyeket kötelező tanúsítási rendszer hatálya alá kell vonni.
A Bizottság elsősorban az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokra összpontosít, amelyek értékelését legkésőbb két évvel az első európai kiberbiztonsági tanúsítási rendszer elfogadását követően végzi el.
Az értékelés elkészítése során a Bizottság:
a) figyelembe veszi az intézkedéseknek az ilyen IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások gyártóira vagy nyújtóira és a felhasználókra gyakorolt hatásait ezen intézkedések költségei, valamint a megcélzott IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások várható magasabb biztonsági szintjéből eredő társadalmi vagy gazdasági előnyök tekintetében;
b) figyelembe veszi a vonatkozó tagállami és harmadik országbeli jog létezését és alkalmazását;
c) nyílt, átlátható és inkluzív konzultációt folytat valamennyi releváns érdekelt féllel és tagállammal;
d) figyelembe veszi a végrehajtási határidőket, az átmeneti intézkedéseket és időszakokat, tekintettel különösen az intézkedésnek az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások gyártóira vagy szolgáltatóira gyakorolt lehetséges hatására, ideértve a kkv-k - beleértve a mikrovállalkozásokat is - sajátos érdekeit és igényeit;
e) olyan javaslatot terjeszt elő, amely alapján az önkéntes tanúsítási rendszerről a kötelező tanúsítási rendszerre való átállás a lehető leggyorsabb és leghatékonyabb módon hajtható végre.
(4) Az e cikk szerinti, "alap" vagy "jelentős" megbízhatósági szintre hivatkozó európai kiberbiztonsági tanúsítványt a 60. cikkben említett megfelelőségértékelő szervezetek a 49. cikk alapján a Bizottság által elfogadott európai kiberbiztonsági tanúsítási rendszerben foglalt kritériumok alapján adják ki.
(5) A (4) bekezdéstől eltérve, kellően indokolt esetben egy európai kiberbiztonsági tanúsítási rendszer előírhatja, hogy e rendszer keretében csak közjogi szerv adhat ki európai kiberbiztonsági tanúsítványt, amennyiben az ilyen eltérést kellően megindokolják. E szervnek a következők valamelyikének kell lennie:
a) az 58. cikk (1) bekezdésében említett nemzeti kiberbiztonsági tanúsító hatóság;
b) a 60. cikk (1) bekezdése szerinti megfelelőségértékelő szervezetként akkreditált közjogi szerv.
(6) Ha a 49. cikk szerint elfogadott európai kiberbiztonsági tanúsítási rendszer "magas" megbízhatósági szintet ír elő, az adott rendszer keretében az európai kiberbiztonsági tanúsítványt csak nemzeti kiberbiztonsági tanúsító hatóság állíthatja ki, vagy megfelelőségértékelő szervezet abban az esetben, ha:
a) az egyes, megfelelőségértékelő szervezet által kiállított európai kiberbiztonsági tanúsítványokra vonatkozóan a nemzeti kiberbiztonsági tanúsító hatóság előzőleg a jóváhagyását adta; vagy
b) az említett európai kiberbiztonsági tanúsítványok kiállításának feladatát a nemzeti kiberbiztonsági tanúsító hatóság általános jelleggel átruházta az adott megfelelőségértékelő szervezetre.
(7) Az IKT-termékeiket, IKT-szolgáltatásaikat, IKT-folyamataikat vagy irányított biztonsági szolgáltatásaikat tanúsítási mechanizmusnak alávető természetes vagy jogi személyek kötelesek az 58. cikk szerint kijelölt nemzeti kiberbiztonsági tanúsító hatóság - amennyiben az európai kiberbiztonsági tanúsítványt e hatóság állította ki -, vagy a 60. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátani a tanúsítás lefolytatásához szükséges összes információt.
(8) Az európai kiberbiztonsági tanúsítvány jogosultjának tájékoztatnia kell a (7) bekezdésben említett hatóságot vagy szervezetet minden olyan, a tanúsított IKT-termék, IKT-szolgáltatás, IKT-folyamat vagy irányított biztonsági szolgáltatás biztonságát érintő, utólag észlelt sebezhetőségről vagy rendellenességről, amely hatással lehet az említett termék, szolgáltatás, folyamat vagy irányított biztonsági szolgáltatás tanúsítással összefüggő követelményeknek való megfelelésére. Ez a hatóság vagy szervezet az említett információt köteles indokolatlan késedelem nélkül továbbítani az érintett nemzeti kiberbiztonsági tanúsító hatóságnak.
(9) Az európai kiberbiztonsági tanúsítványokat az európai kiberbiztonsági tanúsítási rendszerben meghatározott időtartamra kell kiállítani, és megújíthatók, feltéve, hogy a vonatkozó követelmények továbbra is teljesülnek.
(10) Az e cikk alapján kiadott európai kiberbiztonsági tanúsítványokat valamennyi tagállamban el kell ismerni.
57. cikk
Nemzeti kiberbiztonsági tanúsítási rendszerek és tanúsítványok
(1) E cikk (3) bekezdésének sérelme nélkül a nemzeti kiberbiztonsági tanúsítási rendszerek és az IKT-termékekre, IKT-szolgáltatásokra, IKT-folyamatokra és irányított biztonsági szolgáltatásokra vonatkozó olyan kapcsolódó eljárások, amelyek egy európai kiberbiztonsági tanúsítási rendszer hatálya alá tartoznak, a 49. cikk (7) bekezdése alapján elfogadott végrehajtási jogi aktusban meghatározott időponttól nem bírnak joghatással. A nemzeti kiberbiztonsági tanúsítási rendszerek és az IKT-termékekre, IKT-szolgáltatásokra, IKT-folyamatokra és irányított biztonsági szolgáltatásokra vonatkozó olyan kapcsolódó eljárások, amelyek nem tartoznak egy európai kiberbiztonsági tanúsítási rendszer hatálya alá, továbbra is fennmaradnak.
(2) A tagállamok a már valamely hatályos európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre, IKT-szolgáltatásokra, IKT-folyamatokra és irányított biztonsági szolgáltatásokra nem vezethetnek be új nemzeti kiberbiztonsági tanúsítási rendszereket.
(3) A nemzeti kiberbiztonsági tanúsítási rendszerek alapján kiadott, és valamely európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó meglévő tanúsítványok lejáratuk időpontjáig érvényesek maradnak.
(4) A belső piac széttagoltságának elkerülése érdekében a tagállamok tájékoztatják a Bizottságot és az európai kiberbiztonsági tanúsítási csoportot az új nemzeti kiberbiztonsági tanúsítási rendszerek kidolgozására irányuló szándékukról.
58. cikk
Nemzeti kiberbiztonsági tanúsító hatóságok
(1) Minden tagállam a saját területén kijelöl egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot, vagy egy másik tagállammal történő megállapodás alapján, egy vagy több ezen másik tagállamban letelepedett nemzeti kiberbiztonsági tanúsító hatóságot a kijelölő tagállam felügyeleti feladatainak ellátásáért felelős hatóságként.
(2) Minden tagállam tájékoztatja a Bizottságot arról, hogy mely hatóságokat jelölt ki nemzeti kiberbiztonsági tanúsító hatóságként. Amennyiben egy tagállam több hatóságot jelöl ki, arról is tájékoztatja a Bizottságot, hogy az egyes hatóságokat milyen feladatokkal bízta meg.
(3) Az 56. cikk (5) bekezdése a) pontjának, valamint az 56. cikk (6) bekezdésének sérelme nélkül, az egyes nemzeti kiberbiztonsági tanúsító hatóságoknak - a szervezetét, a finanszírozási határozatokat, a jogi felépítését és a döntéshozatalát illetően - függetlennek kell lenniük az általa felügyelt szervezetektől.
(4) A tagállamok gondoskodnak arról, hogy a nemzeti kiberbiztonsági tanúsító hatóságok azon tevékenységei, amelyek az európai kiberbiztonsági tanúsítványoknak az 56. cikk (5) bekezdésének a) pontjában, valamint az 56. cikk (6) bekezdésében említett kiállításával kapcsolatosak, szigorúan el legyenek választva az e cikkben megállapított felügyeleti tevékenységeiktől, és e tevékenységek ellátása egymástól függetlenül történjen.
(5) A tagállamok biztosítják, hogy a nemzeti kiberbiztonsági tanúsító hatóságok rendelkezzenek a hatáskörük gyakorlásához, valamint a feladataik hatékony és eredményes elvégzéséhez szükséges megfelelő forrásokkal.
(6) E rendelet hatékony végrehajtása érdekében célszerű, hogy ezek a nemzeti kiberbiztonsági tanúsító hatóságok - aktív, hatékony, eredményes és biztonságos módon - részt vegyenek az európai kiberbiztonsági tanúsítási csoportban.
(7) A nemzeti kiberbiztonsági tanúsító hatóságok:
a) más illetékes piacfelügyeleti hatóságokkal együttműködve felügyelik és betartatják az IKT-termékeknek, az IKT-szolgáltatásoknak, az IKT-folyamatoknak és az irányított biztonsági szolgáltatásoknak az illetékességi területükön kiadott európai kiberbiztonsági tanúsítványok követelményeinek való megfelelése nyomon követésére vonatkozó, az 54. cikk (1) bekezdésének j) pontja alapján az európai kiberbiztonsági tanúsítási rendszerekbe foglalt szabályokat;
b) betartatják az IKT-termékeknek, az IKT-szolgáltatásoknak, az IKT-folyamatoknak vagy az irányított biztonsági szolgáltatásoknak az illetékességi területükön letelepedett és megfelelőségi önértékelést végző gyártóira vagy nyújtóira vonatkozó kötelezettségeket és nyomon követik az azoknak való megfelelést, így különösen betartatják az 53. cikk (2) és (3) bekezdésében, valamint az alkalmazandó európai kiberbiztonsági tanúsítási rendszerben megállapított, az említett gyártókra és szolgáltatókra vonatkozó kötelezettségeket és nyomon követik az azoknak való megfelelést;
c) a 60. cikk (3) bekezdésének sérelme nélkül, e rendelet alkalmazása céljából aktívan segítik és támogatják a nemzeti akkreditáló szerveket a megfelelőségértékelő szervezetek tevékenységeinek nyomon követésében és felügyeletében;
d) nyomon követik és felügyelik az 56. cikk (5) bekezdésében említett közjogi szervek tevékenységeit;
e) adott esetben a 60. cikk (3) bekezdésével összhangban engedélyezik a megfelelőségértékelő szervezeteket, valamint - amennyiben a megfelelőségértékelő szervezetek megszegik e rendelet követelményeit - korlátozzák, felfüggesztik vagy visszavonják az érvényes engedélyeket;
f) kezelik a természetes vagy jogi személyeknek a nemzeti kiberbiztonsági tanúsító hatóságok által kiadott európai kiberbiztonsági tanúsítványokkal vagy az 56. cikk (6) bekezdésével összhangban a megfelelőségértékelő szervezetek által kiadott európai kiberbiztonsági tanúsítványokkal, vagy az 53. cikk alapján kiadott uniós megfelelőségi nyilatkozatokkal kapcsolatban benyújtott panaszait, valamint megfelelő mértékben kivizsgálják az ilyen panasz tárgyát, továbbá észszerű időn belül tájékoztatják a panaszost a vizsgálat előrehaladásáról és eredményéről;
g) évente összefoglaló jelentésben beszámolnak az ENISA-nak és az európai kiberbiztonsági tanúsítási csoportnak az e bekezdés b), c) és d) pontja és a (8) bekezdés alapján végzett tevékenységekről;
h) együttműködnek a többi nemzeti kiberbiztonsági tanúsító hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, hogy bizonyos IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások valószínűleg nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek; valamint;
i) figyelemmel kísérik a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket.
(8) Minden nemzeti kiberbiztonsági tanúsító hatóság legalább a következő hatáskörökkel rendelkezik:
a) felszólíthatja a megfelelőségértékelő szervezeteket, az európai kiberbiztonsági tanúsítványok jogosultjait és az uniós megfelelőségi nyilatkozatok kibocsátóit, hogy bocsássák rendelkezésére a feladata ellátásához szükséges információkat;
b) az e címnek való megfelelésük ellenőrzése céljából ellenőrzések formájában vizsgálatokat végezhet a megfelelőségértékelő szervezeteknél, az európai kiberbiztonsági tanúsítványok jogosultjainál és az uniós megfelelőségi nyilatkozatok kibocsátóinál;
c) a nemzeti joggal összhangban meghozhatja a megfelelő intézkedéseket annak biztosítása érdekében, hogy a megfelelőségértékelő szervezetek, az európai kiberbiztonsági tanúsítványok jogosultjai és az uniós megfelelőségi nyilatkozatok kibocsátói megfeleljenek e rendeletnek, illetve az adott európai kiberbiztonsági tanúsítási rendszernek;
d) beléphetnek bármely megfelelőségértékelő szervezet vagy az európai kiberbiztonsági tanúsítványok bármely jogosultjának helyiségeibe az uniós vagy a tagállami eljárásjoggal összhangban folytatott vizsgálatok elvégzése céljából;
e) a nemzeti joggal összhangban visszavonhatja a nemzeti kiberbiztonsági tanúsító hatóságok által kiadott európai kiberbiztonsági tanúsítványokat vagy az 56. cikk (6) bekezdésével összhangban a megfelelőségértékelő szervezetek által kiadott európai kiberbiztonsági tanúsítványokat, amennyiben az említett tanúsítványok nem felelnek meg e rendeletnek vagy az adott európai kiberbiztonsági tanúsítási rendszernek;
f) a 65. cikknek megfelelően a nemzeti joggal összhangban szankciókat rendelhet el, valamint előírhatja az e rendeletben meghatározott kötelezettségek megszegésének azonnali megszüntetését.
(9) A nemzeti kiberbiztonsági tanúsító hatóságoknak együtt kell működniük egymással és a Bizottsággal, különösen az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások kiberbiztonságára vonatkozó kiberbiztonsági tanúsítással és műszaki kérdésekkel kapcsolatos információk, tapasztalatok és bevált gyakorlatok cseréje révén.
59. cikk
Kölcsönös felülvizsgálat
(1) Az európai kiberbiztonsági tanúsítványok és az uniós megfelelőségi nyilatkozatok tekintetében alkalmazott szabványok az Unióban való egyenértékűségének elérése céljából a nemzeti kiberbiztonsági tanúsító hatóságokat kölcsönös felülvizsgálatnak kell alávetni.
(2) A kölcsönös felülvizsgálatot hatékony és átlátható értékelési feltételek és eljárások alapján kell végezni, különösen a szervezeti és humán erőforrások, valamint az eljárási követelmények, a titoktartás és a panaszok tekintetében.
(3) A kölcsönös felülvizsgálat a következőket értékeli:
a) adott esetben, hogy a nemzeti kiberbiztonsági tanúsító hatóságok azon tevékenységei, amelyek az európai kiberbiztonsági tanúsítványoknak az 56. cikk (5) bekezdésének a) pontjában és az 56. cikk (6) bekezdésében említett kiadásával kapcsolatosak, szigorúan el vannak-e választva az 58. cikkben megállapított felügyeleti tevékenységeiktől, és hogy az említett tevékenységek ellátása egymástól függetlenül történik-e;
b) az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és az irányított biztonsági szolgáltatások európai kiberbiztonsági tanúsítványoknak való megfelelésének nyomon követésére szolgáló szabályoknak az 58. cikk (7) bekezdésének a) pontja alapján történő felügyeletére és betartatására szolgáló eljárásokat;
c) az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy az irányított biztonsági szolgáltatások gyártóira vagy nyújtóira vonatkozó kötelezettségeknek az 58. cikk (7) bekezdésének b) pontja alapján történő nyomon követésére és betartatására szolgáló eljárásokat;
d) a megfelelőségértékelő szervezetek tevékenységeinek nyomon követésére, engedélyezésére és felügyeletére szolgáló eljárásokat;
e) adott esetben azt, hogy az 56. cikk (6) bekezdése alapján "magas" megbízhatósági szintre szóló tanúsítványokat kiállító hatóságok vagy szervezetek személyzetének szakértelme megfelelő-e.
(4) A kölcsönös felülvizsgálatot más tagállamokból legalább két nemzeti kiberbiztonsági tanúsító hatóságnak és a Bizottságnak kell elvégeznie legalább ötévente egyszer. Az ENISA részt vehet a kölcsönös felülvizsgálatban.
(5) A Bizottság végrehajtási jogi aktusokat fogadhat el a kölcsönös felülvizsgálatok legalább ötéves időszakot lefedő tervének megállapítására, a kölcsönös felülvizsgálatot végző csoport összetételére, a kölcsönös felülvizsgálatnál alkalmazandó módszertanra, valamint a kölcsönös felülvizsgálatok menetrendjére, gyakoriságára és az azokhoz kapcsolódó egyéb feladatokra vonatkozó kritériumok meghatározására vonatkozóan. A Bizottság az említett végrehajtási jogi aktusok elfogadásakor megfelelően figyelembe veszi az európai kiberbiztonsági tanúsítási csoport észrevételeit. Ezeket a végrehajtási jogi aktusokat a 66. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
(6) Az európai kiberbiztonsági tanúsítási csoportnak meg kell vizsgálnia a kölcsönös felülvizsgálatok eredményét, amelyről olyan összefoglalót kell készítenie, amely nyilvánosan hozzáférhetővé tehető, továbbá szükség esetén iránymutatásokat vagy ajánlásokat kell kibocsátani az érintett szervezetek által megteendő fellépésekről vagy meghozandó intézkedésekről.
60. cikk
Megfelelőségértékelő szervezetek
(1) A megfelelőségértékelő szervezeteket a 765/2008/EK rendelet alapján kijelölt nemzeti akkreditáló testületek akkreditálják. Ez az akkreditáció csak akkor adható meg, ha megfelelőségértékelő szervezet megfelel az e rendelet mellékletében meghatározott követelményeknek.
(2) Ha egy európai kiberbiztonsági tanúsítványt egy nemzeti kiberbiztonsági tanúsító hatóság állít ki az 56. cikk (5) cikkének a) pontja, illetve az 56. cikkének (6) bekezdése alapján, a nemzeti kiberbiztonsági tanúsító hatóság tanúsító szervének e cikk (1) bekezdése szerint megfelelőségértékelő szervezetként akkreditált szervnek kell lennie.
(3) Amennyiben az európai kiberbiztonsági tanúsítási rendszerek az 54. cikk (1) bekezdésének f) pontja alapján konkrét vagy kiegészítő követelményeket állapítanak meg, a nemzeti kiberbiztonsági tanúsító hatóság kizárólag azoknak a megfelelőségértékelő szervezeteknek engedélyezi az ilyen rendszerek keretében végzendő feladatok ellátását, amelyek megfelelnek az említett követelményeknek.
(4) Az (1) bekezdésben említett akkreditáció a megfelelőségértékelő szervezetek számára legfeljebb öt évre adható meg, és azonos feltételek mellett megújítható, feltéve, hogy az adott megfelelőségértékelő szervezet még mindig teljesíti az e cikkben meghatározott követelményeket. A nemzeti akkreditáló testületeknek észszerű időkereten belül minden megfelelő intézkedést meg kell tenniük a megfelelőségértékelő szervezet (1) bekezdés alapján megadott akkreditációjának a korlátozása, felfüggesztése vagy visszavonása érdekében, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet megsérti ezt a rendeletet.
61. cikk
Bejelentés
(1) A nemzeti kiberbiztonsági tanúsító hatóságoknak minden egyes európai kiberbiztonsági tanúsítási rendszer vonatkozásában be kell jelenteniük a Bizottságnak azokat a megfelelőségértékelő szervezeteket amelyeket akkreditáltak, és - adott esetben - a 60. cikk (3) bekezdése alapján az 52. cikkben említett, meghatározott megbízhatósági szintű európai kiberbiztonsági tanúsítványok kiadására feljogosítottak. A nemzeti kiberbiztonsági tanúsító hatóságoknak az említettekben a későbbiekben bekövetkezett bármilyen változást indokolatlan késedelem nélkül be kell jelenteniük a Bizottságnak.
(2) Egy évvel az adott európai kiberbiztonsági tanúsítási rendszer hatálybalépését követően a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi az adott rendszer keretében bejelentett megfelelőségértékelő szervezetek jegyzékét.
(3) Amennyiben a (2) bekezdésben említett határidő lejárta után érkezik a Bizottsághoz bejelentés, a Bizottság a bejelentett megfelelőségértékelő szervezetek jegyzékének módosításait az említett bejelentés kézhezvételétől számított két hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában.
(4) Valamely nemzeti kiberbiztonsági tanúsító hatóság kérelmet nyújthat be a Bizottsághoz az adott hatóság által bejelentett megfelelőségértékelő szervezetnek a bejelentett megfelelőségértékelő szervezetek (2) bekezdésben említett jegyzékéből való törlése iránt. A Bizottság a nemzeti kiberbiztonsági tanúsító hatóság kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az említett jegyzék megfelelő módosításait az Európai Unió Hivatalos Lapjában.
(5) A Bizottság végrehajtási jogi aktusokat fogadhat el, hogy meghatározza az e cikk (1) bekezdésében említett bejelentésekre vonatkozó körülményeket, formátumokat és eljárásokat. E végrehajtási jogi aktusokat a 66. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.
62. cikk
Európai kiberbiztonsági tanúsítási csoport
(1) Létrejön az európai kiberbiztonsági tanúsítási csoport.
(2) Az európai kiberbiztonsági tanúsítási csoport a nemzeti kiberbiztonsági tanúsító hatóságok képviselőiből vagy más illetékes nemzeti hatóságok képviselőiből áll. Az európai kiberbiztonsági tanúsítási csoport valamely tagja legfeljebb két tagállamot képviselhet.
(3) Az érdekelt felek és az érintett harmadik felek meghívást kaphatnak az európai kiberbiztonsági tanúsítási csoport ülésein való részvételre, és részt vehetnek annak munkájában.
(4) Az európai kiberbiztonsági tanúsítási csoport feladatai a következők:
a) tanácsot ad és segítséget nyújt a Bizottságnak az e cím rendelkezéseinek következetes végrehajtására és alkalmazására irányuló munkájával kapcsolatban, különös tekintettel az uniós gördülő munkaprogramra, a kiberbiztonsági tanúsítási szakpolitikával kapcsolatos kérdésekre, a szakpolitikai megközelítések összehangolására, valamint az európai kiberbiztonsági tanúsítási rendszerek kidolgozására;
b) segítséget nyújt és tanácsot ad az ENISA-nak, valamint együttműködik az ENISA-val a javasolt tanúsítási rendszerek e rendelet 49. cikke szerinti kidolgozásával kapcsolatban;
c) a 49. cikk alapján véleményt fogad el az ENISA által kidolgozott javasolt tanúsítási rendszerekről;
d) felkéri az ENISA-t, hogy a 48. cikk (2) bekezdése alapján javasolt tanúsítási rendszert dolgozzon ki;
e) a Bizottságnak címzett véleményeket fogad el a létező európai kiberbiztonsági tanúsítási rendszerek fenntartásával és felülvizsgálatával kapcsolatban;
f) tanulmányozza a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket, és megosztja a kiberbiztonsági tanúsítási rendszerekkel kapcsolatos információkat és bevált gyakorlatokat;
g) kapacitásépítés és információcsere útján előmozdítja a nemzeti kiberbiztonsági tanúsító hatóságok közötti, e cím rendelkezései szerinti együttműködést, különösen a kiberbiztonsági tanúsítással kapcsolatos kérdésekre vonatkozó hatékony információcserére szolgáló módszerek kialakítása révén;
h) támogatást biztosít az 54. cikke (1) bekezdésének u) pontja szerinti, valamely európai kiberbiztonsági tanúsítási rendszer szabályaival összhangban álló szakértői értékelési mechanizmus végrehajtásához;
i) előmozdítja az európai kiberbiztonsági tanúsítási rendszerek összhangba hozását a nemzetközileg elismert szabványokkal, többek között a létező európai kiberbiztonsági tanúsítási rendszerek felülvizsgálata, és adott esetben az ENISA számára ajánlások megfogalmazása által, hogy az vegye fel a kapcsolatot a megfelelő nemzetközi szabványügyi szervezetekkel a rendelkezésre álló nemzetközileg elismert szabványok hiányosságainak kezelése céljából.
(5) Az európai kiberbiztonsági tanúsítási csoport elnöki tisztét az ENISA segítségével a Bizottság tölti be, és a 8. cikk (1) bekezdése e) pontjával összhangban az európai kiberbiztonsági tanúsítási csoport titkárságát a Bizottság biztosítja.
63. cikk
A panasztétel joga
(1) A természetes és a jogi személyeknek joguk van panaszt benyújtani az európai kiberbiztonsági tanúsítvány kibocsátójánál vagy ha a panasz valamely megfelelőségértékelő szervezet által az 56. cikk (6) bekezdésével összhangban eljárva kiadott európai kiberbiztonsági tanúsítványra vonatkozik a releváns nemzeti kiberbiztonsági tanúsító hatóságnál.
(2) Az a hatóság vagy szervezet, amelyhez a panaszt benyújtották, köteles tájékoztatni a panaszost az eljárás előrehaladásáról és a meghozott határozatról, valamint a 64. cikkben említett hatékony bírósági jogorvoslathoz való jogról.
64. cikk
A hatékony bírósági jogorvoslathoz való jog
(1) Bármely közigazgatási vagy egyéb nem bírósági jogorvoslat sérelme nélkül minden természetes és jogi személynek joga van a hatékony bírósági jogorvoslathoz az alábbiak tekintetében:
a) a 63. cikk (1) bekezdésében említett hatóságok vagy szervezetek által hozott határozatok, ideértve adott esetben a természetes és jogi személyeket feljogosító európai kiberbiztonsági tanúsítványok nem megfelelő kiadásával, kiadásának elmaradásával vagy elismerésével kapcsolatban hozott határozatokat;
b) a 63. cikk (1) bekezdésében említett hatóságokhoz vagy szervezetekhez benyújtott panasz ügyében történő eljárás elmulasztása.
(2) Az e cikk szerinti bírósági eljárást azon tagállam bírósága előtt kell megindítani, amelyben az a hatóság vagy szervezet, amely ellen a bírósági jogorvoslattal élni kívánnak található.
65. cikk
Szankciók
A tagállamok megállapítják az e cím és az európai kiberbiztonsági tanúsítási rendszerek megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A tagállamok haladéktalanul tájékoztatják a Bizottságot az említett szabályokról és tájékoztatják a Bizottságot az e szabályokat érintő minden későbbi módosításról.
IV. CÍM
ZÁRÓ RENDELKEZÉSEK
66. cikk
Bizottsági eljárás
(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikke (4) bekezdésének b) pontját kell alkalmazni.
67. cikk
Értékelés és felülvizsgálat
(1) A Bizottság 2024. június 28-ig, majd azt követően ötévente értékeli az ENISA és munkamódszerei hatását, eredményességét és hatékonyságát, hogy szükséges-e módosítani az ENISA megbízatását, hogy egy ilyen módosítás milyen pénzügyi vonzatokkal járna. Az értékelésben figyelembe kell venni minden olyan visszajelzést, amelyet az ENISA a tevékenységével kapcsolatban kapott. Amennyiben a Bizottság megítélése szerint az ENISA működése kitűzött céljai, megbízatása és feladatai tekintetében a továbbiakban nem indokolt, javasolhatja e rendeletnek az ENISA-ra vonatkozó rendelkezései tekintetében történő módosítását.
(2) Az értékelésben fel kell mérni továbbá az e rendelet III. címében foglalt rendelkezések hatását, eredményességét és hatékonyságát, beleértve az európai kiberbiztonsági tanúsítási rendszerek elfogadásához vezető eljárásokat és az azok alapját képző tényeket, tekintettel az IKT-termékek, az IKT-szolgáltatások, az IKT-folyamatok és az irányított biztonsági szolgáltatások Unión belüli megfelelő szintű kiberbiztonságának biztosítására és a belső piac működésének javítására irányuló célkitűzésekre.
(3) Az értékelésben fel kell mérni, hogy szükség van-e alapvető kiberbiztonsági követelményekre a belső piachoz való hozzáférés tekintetében olyan IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és irányított biztonsági szolgáltatások belső piacra való belépésének megelőzése érdekében, amelyek nem felelnek meg az alapszintű kiberbiztonsági követelményeknek.
(4) A Bizottság az értékelésről szóló jelentést 2024. június 28-ig, majd azt követően ötévente következtetéseivel együtt megküldi az Európai Parlamentnek, a Tanácsnak, és az igazgatótanácsnak. A jelentés megállapításait közzé kell tenni.
68. cikk
Hatályon kívül helyezés és jogutódlás
(1) Az 526/2013/EU rendelet 2019. június 27-ével hatályát veszti.
(2) Az 526/2013/EU rendeletre és az említett rendelettel létrehozott ENISA-ra való hivatkozásokat erre a rendeletre, illetve az e rendelettel létrehozott ENISA-ra való hivatkozásnak kell tekinteni.
(3) Az az e rendelettel létrehozott ENISA mindennemű tulajdonviszony, megállapodás, jogi kötelezettség, munkaszerződés, pénzügyi kötelezettségvállalás és felelősség vonatkozásában az 526/2013/EU rendelettel létrehozott ENISA jogutódja. Az igazgatóság és a végrehajtó testület által az 526/2013/EU rendelettel összhangban hozott valamennyi határozat érvényben marad, feltéve, hogy azok megfelelnek e rendeletnek.
(4) Az ENISA 2019. június 27-től határozatlan időtartamra jön létre.
(5) Az 526/2013/EU rendelet 24. cikkének (4) bekezdése alapján kinevezett ügyvezető igazgató hivatali idejének fennmaradó részében hivatalban marad és ellátja az e rendelet 20. cikkében említett ügyvezetői igazgatói feladatokat. Szerződésének egyéb feltételei nem változnak.
(6) Az igazgatóságnak az 526/2013/EU rendelet 6. cikke alapján kinevezett tagjai és azok helyettesei hivatali idejük fennmaradó részében hivatalban maradnak és ellátják az e rendelet 15. cikkében említett igazgatósági feladatokat.
69. cikk
Hatálybalépés
(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2) Az 58., a 60., a 61., a 63., a 64. és a 65. cikket 2021. június 28-tól kell alkalmazni.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
MELLÉKLET
A MEGFELELŐSÉGÉRTÉKELŐ SZERVEZETEK ÁLTAL TELJESÍTENDŐ KÖVETELMÉNYEK
Az akkreditációt igénylő megfelelőségértékelő szervezeteknek meg kell felelniük az alábbi követelményeknek:
1. A megfelelőségértékelő szervezetet a nemzeti jogszabályok szerint kell létrehozni, és annak jogi személyiséggel kell rendelkeznie.
2. A megfelelőségértékelő szervezet olyan harmadik fél, amely független az általa értékelt szervezettől vagy IKT-termékektől, IKT-szolgáltatásoktól, IKT-folyamatoktól vagy irányított biztonsági szolgáltatásoktól.
3. Megfelelőségértékelő szervezetnek tekinthető olyan szervezet is, amely az általa értékelt IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások tervezésében, gyártásában, nyújtásában, összeszerelésében, használatában vagy karbantartásában részt vevő vállalkozásokat képviselő vállalkozói szövetséghez vagy szakmai egyesüléshez tartozik, feltéve, hogy bizonyítottan független és esetében bizonyítottan nem áll fenn összeférhetetlenség.
4. A megfelelőségértékelő szervezetek, azok felső vezetése és a megfelelőségértékelési feladatok elvégzéséért felelős személyek nem lehetnek tervezői, gyártói, nyújtói, üzembe helyezői, vásárlói, tulajdonosai, felhasználói vagy karbantartói az értékelt IKT-terméknek, IKT-szolgáltatásnak, IKT-folyamatnak vagy irányított biztonsági szolgáltatásnak, valamint nem lehetnek az említett felek meghatalmazott képviselői sem. Ez a tilalom nem zárja ki a megfelelőségértékelő szervezet működéséhez szükséges, értékelt IKT-termékek használatát, sem az ilyen IKT-termékek személyes célra történő használatát.
5. A megfelelőségértékelő szervezetek, azok felső vezetése és a megfelelőségértékelési feladatok elvégzéséért felelős személyek nem vehetnek részt közvetlenül az értékelt IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások tervezésében, gyártásában és kivitelezésében, biztosításában, értékesítésében, üzembe helyezésében, használatában és karbantartásában, valamint nem képviselhetnek az ilyen tevékenységekben részt vevő feleket. A megfelelőségértékelő szervezetek, azok felső vezetése és a megfelelőségértékelési feladatok elvégzéséért felelős személyek nem vehetnek részt olyan tevékenységben sem, amely megfelelőségértékelési tevékenységük tekintetében veszélyeztetné döntéshozói függetlenségüket vagy feddhetetlenségüket. Ez a tilalom különösen érvényes a szaktanácsadási szolgáltatásokra.
6. Amennyiben egy megfelelőségértékelő szervezet állami szerv vagy intézmény tulajdonában van vagy ilyen működteti, biztosítani és dokumentálni kell a függetlenséget és az összeférhetetlenség hiányát a nemzeti kiberbiztonsági tanúsító hatóság és a megfelelőségértékelő szervezet között.
7. A megfelelőségértékelő szervezeteknek biztosítaniuk kell, hogy leányvállalataik és alvállalkozóik tevékenysége ne befolyásolja megfelelőségértékelési tevékenységeik bizalmasságát, objektivitását és pártatlanságát.
8. A megfelelőségértékelő szervezeteknek és személyzetüknek a legmagasabb szintű szakmai feddhetetlenséggel és az adott szakterületen elvárható műszaki felkészültséggel kell megfelelőségértékelési tevékenységüket végezniük, és függetlennek kell lenniük minden olyan - többek között pénzügyi jellegű - nyomásgyakorlástól és ösztönzéstől, amely befolyásolhatná ítélőképességüket vagy megfelelőségértékelési tevékenységük eredményeit, különösen az említett tevékenységek eredményeiben érdekelt személyek vagy azok csoportja tekintetében.
9. A megfelelőségértékelő szervezetnek képesnek kell lennie az e rendelet alapján ráruházott valamennyi megfelelőségértékelési feladat elvégzésére, függetlenül attól, hogy ezeket a feladatokat a megfelelőségértékelő szervezet maga, vagy az ő nevében és az ő felelőssége mellett valaki más végzi el. Alvállalkozók megbízását vagy külső személyzettel történő konzultációt megfelelően dokumentálni kell, ezekben közvetítő nem vonható be, valamint írásos megállapodást kell készíteni, amely többek között kiterjed a bizalmas ügykezelésre és az összeférhetetlenségre. Az elvégzett feladatokért teljes mértékben az adott megfelelőségértékelő szervezet felelős.
10. A megfelelőségértékelő szervezetnek minden megfelelőségértékelési eljárás és az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások minden típusa, kategóriája és alkategóriája tekintetében mindenkor rendelkeznie kell a szükséges:
a) olyan személyzettel, amely műszaki ismeretekkel, valamint elegendő és megfelelő tapasztalattal rendelkezik a megfelelőségértékelési feladatok elvégzéséhez;
b) azon eljárások leírásával, amelyekkel összhangban a megfelelőségértékelést végzik, hogy biztosítva legyen ezen eljárások átláthatósága és megismételhetőségük lehetősége. Rendelkeznie kell megfelelő politikákkal és eljárásokkal, amelyek különbséget tesznek a 61. cikk alapján bejelentett szervezetként végzett feladatai és az egyéb tevékenységei között;
c) olyan, tevékenységeinek elvégzésére szolgáló eljárásokkal, amelyek kellően figyelembe veszik az adott vállalkozás méretét, az ágazatot, amelyben a vállalkozás a tevékenységét folytatja, a vállalkozás szerkezetét, az érintett IKT-termék, IKT-szolgáltatás, IKT-folyamat vagy irányított biztonsági szolgáltatás műszaki összetettségének fokát, valamint azt, hogy tömeg- vagy sorozatgyártásról van-e szó.
11. A megfelelőségértékelő szervezetnek rendelkeznie kell a megfelelőségértékelési tevékenységekhez kapcsolódó műszaki és adminisztrációs feladatok megfelelő ellátásához szükséges eszközökkel, valamint hozzá kell férnie minden szükséges felszereléshez és létesítményhez.
12. A megfelelőségértékelési tevékenységek elvégzéséért felelős személyeknek rendelkezniük kell a következőkkel:
a) valamennyi megfelelőségértékelési tevékenységre kiterjedő, alapos műszaki és szakképzettség;
b) az általuk végzett megfelelőségértékelések követelményeinek kielégítő ismerete és megfelelő hatáskör az említett értékelések elvégzésére;
c) az alkalmazandó követelmények és vizsgálati előírások megfelelő ismerete és megértése;
d) a megfelelőségértékelések elvégzését igazoló tanúsítványok, nyilvántartások és jelentések elkészítésének képessége.
13. Biztosítani kell a megfelelőségértékelő szervezetek, azok felső vezetése és a megfelelőségértékelési tevékenységek elvégzéséért felelős személyek, valamint az alvállalkozók pártatlanságát.
14. A megfelelőségértékelő szervezet felső vezetése és megfelelőségértékelési tevékenységek elvégzéséért felelős személyzet javadalmazása nem függhet az elvégzett megfelelőségértékelések számától és ezen értékelések eredményétől.
15. A megfelelőségértékelő szervezeteknek felelősségbiztosítással kell rendelkezniük, kivéve, ha a felelősség nemzeti jogával összhangban a tagállamot terheli, vagy ha a tagállam közvetlenül felel a megfelelőségértékelésért.
16. A megfelelőségértékelő szervezet és személyzete, valamint bizottságai, leányvállalatai, alvállalkozói, továbbá egy megfelelőségértékelő szervezet bármely kapcsolódó szervezete vagy külső szervezeteinek személyzete minden olyan információ tekintetében, amely e rendelet vagy az e rendeletből fakadó joghatások érvényesülését biztosító nemzeti jog rendelkezései alapján ellátott megfelelőségértékelési feladatainak végrehajtása során jutott birtokába, köteles megőrizni a bizalmasságot, és betartani a szakmai titoktartás követelményeit, kivéve, ha a közzétételt az említett személyekre alkalmazandó uniós vagy tagállami jog írja elő, és kivéve azon tagállamok illetékes hatóságainak viszonylatában, ahol a tevékenységét gyakorolja. A szellemitulajdon-jogok védelmét biztosítani kell. A pont követelményei tekintetében.
17. A 16. pont kivételével, e melléklet követelményei nem zárják ki a műszaki információk és a szabályozási iránymutatás megosztását a megfelelőségértékelő szervezet és a tanúsítást kérelmező vagy kérelmezni tervező személy között.
18. A megfelelőségértékelő szervezeteknek következetes, tisztességes és észszerű feltételek szerint kell működniük, a díjak tekintetében figyelembe véve a kkv-k érdekeit.
19. A megfelelőségértékelő szervezeteknek meg kell felelniük az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok vagy irányított biztonsági szolgáltatások tanúsítását végző megfelelőségértékelő szervezetek akkreditálása tekintetében a vonatkozó, a 765/2008/EK rendelet 2. cikkének 9. pontjában meghatározottak szerinti harmonizált szabvány követelményeinek.
20. A megfelelőségértékelő szervezeteknek biztosítaniuk kell, hogy a megfelelőségértékelések céljára használt vizsgálati laboratóriumok megfeleljenek a vizsgálatokat végző laboratóriumok akkreditálása tekintetében a vonatkozó, a 765/2008/EK rendelet 2. cikkének 9. pontjában meghatározottak szerinti harmonizált szabvány követelményeinek.
( 1 ) Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73. o.).
( 2 ) HL L 56., 1968.3.4., 1. o.
( 3 ) A Bizottság 1271/2013/EU felhatalmazáson alapuló rendelete (2013. szeptember 30.) a 966/2012/EU, Euratom európai parlamenti és tanácsi rendelet 208. cikkében említett szervekre vonatkozó pénzügyi keretszabályzatról (HL L 328., 2013.12.7., 42. o.).
( 4 ) A Bizottság (EU, Euratom) 2015/443 határozata (2015. március 13.) a Bizottságon belüli biztonságról (HL L 72., 2015.3.17., 41. o.).
( 5 ) A Bizottság (EU, Euratom) 2015/444 határozata (2015. március 13.) az EU-minősített adatok védelmét szolgáló biztonsági szabályokról (HL L 72., 2015.3.17., 53. o.).
( 6 ) Az Európai Parlament és a Tanács (EU, Euratom) 2018/1046 rendelete (2018. július 18.) az Unió általános költségvetésére alkalmazandó pénzügyi szabályokról, az 1296/2013/EU, az 1301/2013/EU, az 1303/2013/EU, az 1304/2013/EU, az 1309/2013/EU, az 1316/2013/EU, a 223/2014/EU és a 283/2014/EU rendelet és az 541/2014/EU határozat módosításáról, valamint a 966/2012/EU, Euratom rendelet hatályon kívül helyezéséről (HL L 193., 2018.7.30., 1. o.).
( 7 ) Az Európai Parlament és a Tanács 883/2013/EU, Euratom rendelete (2013. szeptember 11.) az Európai Csalás Elleni Hivatal (OLAF) által lefolytatott vizsgálatokról, valamint az 1073/1999/EK európai parlamenti és tanácsi rendelet és az 1074/1999/Euratom tanácsi rendelet hatályon kívül helyezéséről (HL L 248., 2013.9.18., 1. o.).
( 8 ) HL L 136., 1999.5.31., 15. o.
( 9 ) A Tanács 2185/96/Euratom, EK rendelete (1996. november 11.) az Európai Közösségek pénzügyi érdekeinek csalással és egyéb szabálytalanságokkal szembeni védelmében a Bizottság által végzett helyszíni ellenőrzésekről és vizsgálatokról (HL L 292., 1996.11.15., 2. o.).
( 10 ) A Tanács 1. rendelete az Európai Gazdasági Közösség által használt nyelvek meghatározásáról (HL L 17., 1958.10.6., 385/58. o.).
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32019R0881 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32019R0881&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02019R0881-20250204 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02019R0881-20250204&locale=hu