Europos S jungos oficialusis leidinys L 151/15

Transkriptas

1 Europos S jungos oficialusis leidinys L 151/15 EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2019/ m. balandžio 17 d. d l ENISA (Europos S jungos kibernetinio saugumo agent ros) ir informacini ir ryši technologij kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (Tekstas svarbus EEE) EUROPOS PARLAMENTAS IR EUROPOS S JUNGOS TARYBA, atsižvelgdami Sutart d l Europos S jungos veikimo, ypa jos 114 straipsn, atsižvelgdami Europos Komisijos pasi lym, teis k ros proced ra priimamo akto projekt perdavus nacionaliniams parlamentams, atsižvelgdami Europos ekonomikos ir socialini reikal komiteto nuomon ( 1 ), atsižvelgdami Region komiteto nuomon ( 2 ), laikydamiesi prastos teis k ros proced ros ( 3 ), kadangi: (1) tinkl ir informacin s sistemos bei elektronini ryši tinklai ir paslaugos atlieka visuomenei gyvybiškai svarb vaidmen ir tapo ekonomikos augimo pamatu. Informacin mis ir ryši technologijomis (IRT) grindžiamos sud tingos sistemos, kurias taikant remiama kasdien visuomen s veikla, užtikrinamas m s ekonomikos pagrindini sektori, kaip antai sveikatos, energetikos, finans ir transporto, funkcionavimas ir vis pirma remiamas vidaus rinkos veikimas; (2) pilie iai, organizacijos ir verslo mon s visoje S jungoje dabar labai pla iai naudoja tinkl ir informacines sistemas. Vis daugiau produkt ir paslaug yra grindžiami skaitmeninimu ir susietumu, ir numatoma, kad, sitvirtinus daikt internetui, per ateinant dešimtmet S jungoje bus diegtas ypatingai didelis skai ius susiet j skaitmenini rengi ni. Nors prie interneto prijungiama vis daugiau rengini, j projektavimo etape nepakankamai atsižvelgiama saugum ir atsparum, d l to j kibernetinis saugumas yra nepakankamas. Tomis aplinkyb mis d l riboto serti fikavimo naudojimo pavieniai naudotojai, organizacijos ir verslo mon s negauna pakankamai informacijos apie IRT produkt, paslaug ir proces kibernetinio saugumo savybes, o tai mažina pasitik jim skaitmeniniais spren dimais. Tinkl ir informacin s sistemos gali mums talkinti visose m s gyvenimo srityse ir skatinti S jungos ekonomikos augim. Jos yra skaitmenin s bendrosios rinkos k rimo pagrindas; (3) d l išaugusio skaitmeninimo ir susietumo padid jo kibernetiniam saugumui kylanti rizika, tod l visa visuomen gali labiau nukent ti nuo kibernetini gr smi ir did ja gyventojams, skaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šiuos pavojus, b tina imtis vis reikiam veiksm S jungoje padidinti kiber netin saugum, kad nuo kibernetini gr smi b t geriau apsaugotos tinkl ir informacin s sistemos, ryši tinklai, skaitmeniniai produktai, paslaugos ir renginiai, kuriais naudojasi pilie iai, organizacijos ir verslo mon s nuo maž j ir vidutini moni (MV ), kaip apibr žta Komisijos rekomendacijoje Nr. 2003/361/EB ( 4 ), iki ypatingos svarbos infrastrukt ros objekt operatori ; ( 1 ) OL C 227, , p. 86. ( 2 ) OL C 176, , p. 29. ( 3 ) 2019 m. kovo 12 d. Europos Parlamento pozicija (dar nepaskelbta Oficialiajame leidinyje) ir 2019 m. balandžio 9 d. Tarybos sprendimas. ( 4 ) 2003 m. geguž s 6 d. Komisijos rekomendacija d l labai maž, maž ir vidutini moni (MV ) apibr žties (OL L 124, , p. 36).

2 L 151/16 Europos S jungos oficialusis leidinys (4) sudarydama visuomenei s lygas susipažinti su atitinkama informacija, Europos S jungos tinkl ir informacijos apsaugos agent ra (ENISA), steigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 526/2013 ( 5 ), prisideda prie kibernetinio saugumo pramon s S jungoje vystymo, vis pirma prie MV ir startuoli pl tros. ENISA tur t siekti glaudžiau bendradarbiauti su universitetais ir mokslini tyrim centrais, kad b t prisidedama prie priklau somyb s nuo kibernetinio saugumo produkt ir paslaug, kurie n ra iš S jungos, sumažinimo ir tiekimo grandini S jungos viduje stiprinimo; (5) kibernetini išpuoli daug ja, tod l susietajai ekonomikai ir visuomenei, kuri gali labiau nukent ti nuo kibernetini gr smi ir išpuoli, reikalinga didesn apsauga. Vis d lto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pob džio, kibernetinio saugumo institucij atsakomosios politikos priemon s ir teis saugos institucij kompeten cijos daugiausia yra nacionalin s. Didelio masto incidentai gali sutrikdyti esmini paslaug visoje S jungoje teikim. Tod l b tinas veiksmingas ir koordinuotas S jungos lygmens atsakas ir krizi valdymas, paremtas tiksline politika ir bendresnio pob džio Europos solidarumo ir savitarpio pagalbos priemon mis. Be to, politikos formuotojams, verslo sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai b t vykdomas patikimais S jungos duome nimis grindžiamas kibernetinio saugumo ir atsparumo b kl s S jungoje vertinimas ir sistemingai prognozuojami S jungos ir pasaulinio masto ateities poky iai, išš kiai ir gr sm s; (6) atsižvelgiant padid jusius kibernetinio saugumo išš kius, su kuriais susiduria S junga, b tina parengti išsam ankstesniais S jungos veiksmais grindžiam priemoni, kuriomis remiami vienas kit papildantys tikslai, rinkin. Tie tikslai apima tolesn valstybi nari ir moni paj gum bei parengties gerinim, taip pat valstybi nari ir S jungos institucij, staig, organ ir agent r bendradarbiavimo, dalijimosi informacija ir veiksm koordinavimo gerinim. Be to, d l tarpvalstybinio kibernetini gr smi pob džio b tina didinti S jungos lygmens paj gumus, kurie gal t papildyti valstybi nari veiksmus, vis pirma dideli tarpvalstybini incident ir krizi atveju, kartu atsižvelgiant nacionalini reagavimo bet kokio masto kibernetines gr smes paj gum palaikymo ir tolesnio pl tojimo svarb ; (7) taip pat reikia d ti daugiau pastang siekiant didinti pilie i, organizacij ir verslo moni informuotum apie kibernetinio saugumo klausimus. Be to, atsižvelgiant tai, kad incidentai mažina pasitik jim skaitmenini paslaug teik jais ir pa ia skaitmenine bendr ja rinka, ypa tarp vartotoj, reik t toliau stiprinti pasitik jim skaidriai teikiant informacij apie IRT produkt, paslaug ir proces saugumo lyg, pabr žiant, kad net ir aukštas kiberne tinio saugumo sertifikavimo lygis negali garantuoti IRT produkto, paslaugos ar proceso visiško saugumo. Padidinti pasitik jim gal t pagerinti S jungos masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalin se rinkose ir sektoriuose; (8) kibernetinis saugumas n ra vien su technologijomis susij s klausimas, vienodai svarbus yra žmoni elgesys. Tod l reik t aktyviai propaguoti kibernetin higien nesud tingas prastines priemones, kurias gyvendin ir regu liariai taikydami pilie iai, organizacijos ir mon s kiek manoma labiau sumažina kibernetini gr smi jiems keliam rizik ; (9) siekiant stiprinti S jungos kibernetinio saugumo strukt ras, svarbu palaikyti ir pl toti valstybi nari paj gumus visapusiškai reaguoti kibernetines gr smes, skaitant tarpvalstybinius incidentus; (10) mon s ir individual s vartotojai tur t tur ti tiksli informacij apie tai, koks yra sertifikavimu patvirtintas j IRT produkt, paslaug ir proces saugumo užtikrinimo lygis. Tuo pa iu metu joks IRT produktas ar paslauga n ra visiškai saugus kibernetiniu poži riu, ir reikia propaguoti elementarias kibernetin s higienos taisykles ir teikti joms pirmenyb. Atsižvelgiant tai, kad daug ja daikt interneto rengini, esama daug vairi savanorišk priemoni, kuri gali imtis privatusis sektorius, kad sustiprint pasitik jim IRT produkt, paslaug ir proces saugumu; (11) šiuolaikiniai IRT produktai sistemos ir dažnai turi integruotas vien ar kelias tre i j šali technologijas ir kompo nentus ir jais remiasi, pavyzdžiui, programin s rangos modulius, bibliotekas ar taikom j program s sajas. D l šio r mimosi, vadinamo priklausomybe, gal t kilti papildoma rizika kibernetiniam saugumui, nes tre i j šali komponentuose aptiktos pažeidžiamumo spragos taip pat gal t pakenkti IRT produkt, paslaug ir proces saugumui. Daugeliu atveju tokios priklausomyb s identifikavimas ir dokumentavimas sudaro galimyb galutiniams IRT produkt, paslaug ir proces naudotojams pagerinti savo rizikos kibernetiniam saugumui valdymo veikl patobulinant, pavyzdžiui, naudotoj kibernetinio saugumo pažeidžiamumo sprag valdymo ir ištaisymo proced ras; ( 5 ) 2013 m. geguž s 21 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 526/2013 d l Europos S jungos tinkl ir informacijos apsaugos agent ros (ENISA), kuriuo panaikinamas Reglamentas (EB) Nr. 460/2004 (OL L 165, , p. 41).

3 Europos S jungos oficialusis leidinys L 151/17 (12) IRT produkt, paslaug arba proces projektavime ir pl tojime dalyvaujan ios organizacijos, gamintojai ar tiek jai tur t b ti skatinami ankstyviausiuose projektavimo ir pl tojimo etapuose diegti tokias priemones, kad tie produk tai, paslaugos ir procesai b t kiek manoma geriau apsaugomi, kad b t daroma prielaida, jog kibernetini išpuoli pasitaikys, ir b t numatomas bei iki minimumo sumažinamas ši išpuoli poveikis (integruotasis saugu mas). Saugumas tur t b ti užtikrinamas per vis IRT produkto, paslaugos ar proceso gyvavimo laikotarp, o projektavimo ir pl tojimo procesai tur t b ti nuolat tobulinami siekiant sumažinti piktybini veiksm žal ; (13) mon s, organizacijos ir viešasis sektorius tur t taip konfig ruoti j kuriamus IRT produktus, paslaugas ar procesus, kad b t užtikrintas aukštesnis saugumo lygis, tokiu b du pirmajam naudotojui sudarant galimybes gauti pa i saugiausi manom nustatym integruot j konfig racij ( integruotasis saugumas ), ir taip b t sumažinta naudotojams tenkanti IRT produkto, paslaugos ar proceso tinkamo konfig ravimo našta. Jeigu integ ruotasis saugumas yra diegtas, jis tur t tiesiog lengvai ir patikimai veikti jo veikimui užtikrinti netur t reik ti atlikti išsami nustatym, arba kad naudotojas tur t speciali technini žini ar atlikt kitokius, nei savaime suprantami, veiksmus. Jei konkre iu atveju remiantis rizikos ir tinkamumo naudoti analize galima daryti išvad, kad toks numatytasis nustatymas ne manomas, naudotojai tur t b ti paraginti pasirinkti saugiausi nustatym ; (14) Europos Parlamento ir Tarybos reglamentu (EB) Nr. 460/2004 ( 6 ) steigta ENISA, siekiant prisid ti prie ši tiksl gyvendinimo: užtikrinti aukšt S jungos tinkl ir informacijos saugumo lyg ir pilie i, vartotoj, moni ir viešojo administravimo institucij labui formuoti tinkl ir informacijos saugumo kult r. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1007/2008 ( 7 ) ENISA galiojimai prat sti iki 2012 m. kovo m n. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 580/2011 ( 8 ) ENISA galiojimai buvo dar prat sti iki 2013 m. rugs jo 13 d. Regla mentu (ES) Nr. 526/2013 ENISA galiojimai buvo prat sti iki 2020 m. birželio 19 d.; (15) S junga jau m si svarbi veiksm siekdama užtikrinti kibernetin saugum ir padidinti pasitik jim skaitmeni n mis technologijomis m. buvo priimta Europos S jungos kibernetinio saugumo strategija siekiant nubr žti S jungos politikos atsako kibernetines gr smes ir rizik gaires. Kad pilie iai b t geriau apsaugoti internete, 2016 m. priimtas pirmasis S jungos kibernetinio saugumo srities teis s proced ra priimamas aktas Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 ( 9 ). Direktyva (ES) 2016/1148 buvo nustatyti reikalavimai, susij su kiber netinio saugumo srities nacionaliniais paj gumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strategin ir operatyvin valstybi nari bendradarbiavim, ir nustatytos pareigos, susijusios su saugumo priemon mis ir pranešimais apie incidentus sektoriuose, kurie yra itin svarb s ekonomikai ir visuomenei, pvz., energetikos, trans porto, geriamo vandens tiekimo ir paskirstymo, bankininkyst s, finans rink infrastrukt ros, sveikatos prieži ros, skaitmenin s infrastrukt ros, taip pat pagrindini skaitmenini paslaug teik j (paieškos sistem, debesijos kompiuterijos paslaug ir elektronini prekyvie i ). Vienas iš pagrindini vaidmen remiant tos direktyvos gyvendinim buvo priskirtas ENISA. Be to, veiksminga kova su kibernetiniais nusikaltimais yra svarbus Europos saugumo darbotvark s prioritetas, prisidedantis prie bendro tikslo užtikrinti aukšt kibernetinio saugumo lyg. Prie aukšto kibernetinio saugumo lygio bendrojoje skaitmenin je rinkoje prisideda ir kiti teis s aktai, pavyzdžiui, Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 ( 10 ), Europos Parlamento ir Tarybos direktyvos 2002/58/EB ( 11 ) ir (ES) 2018/1972 ( 12 ). ( 6 ) 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 460/2004, steigiantis Europos tinkl ir informacijos apsaugos agent r (OL L 77, , p. 1). ( 7 ) 2008 m. rugs jo 24 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1007/2008, iš dalies kei iantis Reglament (EB) Nr. 460/2004, steigiant Europos tinkl ir informacijos apsaugos agent r, jos veiklos trukm s atžvilgiu (OL L 293, , p. 1). ( 8 ) 2011 m. birželio 8 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 580/2011, kuriuo iš dalies kei iamas Reglamentas (EB) Nr. 460/2004, steigiantis Europos tinkl ir informacijos apsaugos agent r, jos veiklos trukm s atžvilgiu (OL L 165, , p. 3). ( 9 ) 2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 d l priemoni aukštam bendram tinkl ir informa cini sistem saugumo lygiui visoje S jungoje užtikrinti (OL L 194, , p. 1). ( 10 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 d l fizini asmen apsaugos tvarkant asmens duomenis ir d l laisvo toki duomen jud jimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomen apsaugos regla mentas) (OL L 119, , p. 1). ( 11 ) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB d l asmens duomen tvarkymo ir privatumo apsaugos elektronini ryši sektoriuje (Direktyva d l privatumo ir elektronini ryši ) (OL L 201, , p. 37). ( 12 ) 2018 m. gruodžio 11 d. Europos Parlamento ir Tarybos direktyva (ES) 2018/1972, kuria nustatomas Europos elektronini ryši kodeksas (nauja redakcija) (OL L 321, , p. 36).

4 L 151/18 Europos S jungos oficialusis leidinys (16) nuo tada, kai 2013 m. buvo priimta Europos S jungos kibernetinio saugumo strategija ir buvo atlikta paskiausia ENISA galiojim perži ra, vyko dideli bendr politini aplinkybi poky i, susijusi su mažiau nusp jama ir mažiau saugia pasauline aplinka. Šiomis aplinkyb mis ir atsižvelgiant pozityvi ENISA vaidmens kaip informa cinio centro, kuris teikia rekomendacijas ir ekspertines žinias, taip pat padeda bendradarbiauti ir stiprinti paj gu mus, raid, taip pat remiantis nauja S jungos kibernetinio saugumo politika, b tina perži r ti ENISA galiojimus, kad b t apibr žtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisid t prie S jungos veiksm reaguojant kibernetinio saugumo išš kius, kylan ius d l radikaliai pasikeitusios kibernetini gr smi pad ties, o šiam tikslui pasiekti, kaip pripažinta ENISA vertinime, esam galiojim nepa kanka; (17) šiuo reglamentu steigta ENISA tur t pakeisti Reglamentu (ES) Nr. 526/2013 steigt ENISA. ENISA tur t vykdyti šiuo reglamentu ir kitais kibernetinio saugumo srities S jungos teis s aktais jai pavestas užduotis, be kita ko, teikdama ekspertines žinias ir teikdama rekomendacijas bei atlikdama S jungos informacijos ir žini centro funkcijas. Ji tur t skatinti keistis geriausios praktikos pavyzdžiais tarp valstybi nari ir priva i suinteresuot j subjekt, teikdama politikos pasi lymus Komisijai ir valstyb ms nar ms, veikdama kaip informacinis centras vykdant S jungos sektori politikos iniciatyvas kibernetinio saugumo klausimais ir skatindama operatyvin vals tybi nari tarpusavio ir valstybi nari bei S jungos institucij, staig, organ ir agent r bendradarbiavim ; (18) Sprendimu 2004/97/EB, Euratomas, kur bendru susitarimu pri m valstybi nari atstovai, pos džiav valstyb s arba Vyriausyb s vadov lygiu ( 13 ), valstybi nari atstovai nusprend, kad ENISA b stin bus viename iš Graikijos miest, d l kurio nuspr s Graikijos Vyriausyb. ENISA priiman ioji valstyb nar tur t užtikrinti kuo geresnes jos sklandžios ir veiksmingos veiklos s lygas. Kad ENISA tinkamai ir veiksmingai vykdyt savo užduotis, samdyt ir išsaugot darbuotojus bei veiksmingiau vykdyt tinklaveik, yra b tina ENISA kurdinti tinkamoje vietov je, be kita ko, užtikrinant tinkamas transporto jungtis ir infrastrukt r su ENISA darbuotojais atvykstantiems sutuoktiniams ir vaikams. ENISA ir priiman iosios valstyb s nar s susitarime, sudarytame gavus ENISA Valdan iosios tarybos pritarim, tur t b ti nustatytos reikiamos nuostatos; (19) atsižvelgiant did jan i kibernetiniam saugumui kylan i rizik ir išš kius, su kuriais susiduria S junga, reik t padidinti ENISA skiriamus finansinius ir žmogiškuosius išteklius, kad b t atsižvelgta išaugus jos vaidmen ir uždavinius, taip pat labai svarb jos vaidmen S jungos skaitmenin ekosistem ginan i organizacij ekosistemoje, kad ENISA gal t veiksmingai atlikti jai pagal š Reglament pavestas užduotis; (20) ENISA tur t kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitik ti bendr ja rinka visa tai ji gal t pasiekti b dama nepriklausoma, teikdama kokybiškas rekomendacijas ir skleisdama kokybišk informacij, užtikrindama savo proced r ir veiklos b d skaidrum bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ENISA tur t aktyviai remti nacionalinius veiksmus ir iniciatyviai prisid ti prie S jungos veiksm, visapusiškai bendradarbiaudama su S jungos institucijomis, staigomis, organais ir agent romis bei valstyb mis nar mis, vengdama darbo dubliavimo ir propaguodama sinergij. Be to, ENISA tur t remtis priva iojo sektoriaus ir kit atitinkam suinteresuot j subjekt ind liu ir bendradarbiavimu su jais. Užduo i s raše tur t b ti nurodyta, kaip ENISA turi siekti savo tiksl, ta iau jos veiklos s lygos tur t b ti lanks ios; (21) kad gal t valstyb ms nar ms teikti tinkam param operatyvinio bendradarbiavimo srityje, ENISA tur t toliau stiprinti savo techninius ir žmogiškuosius paj gumus ir g džius. ENISA tur t pl sti savo praktin patirt ir paj gumus. ENISA ir valstyb s nar s savanorišku pagrindu gal t pl toti nacionalini ekspert komandiravimo ENISA programas, telkiant ekspertus ir vykdant darbuotoj mainus; (22) ENISA tur t pad ti Komisijai teikdama rekomendacijas, nuomones ir analiz visais S jungos klausimais, susijusiais su politikos ir teis s k rimu, atnaujinimais ir perži romis kibernetinio saugumo srityje, ir j specifiniais sektori aspektais, siekiant padidinti kibernetinio saugumo aspekt apiman ios S jungos politikos ir teis s aktualum ir sudaryti galimyb t politik ir teis nuosekliai gyvendinti nacionaliniu lygmeniu. Rengiant S jungos sektorin politik ir teis s akt iniciatyvas kibernetinio saugumo klausimais ENISA tur t veikti kaip informacinis centras, teikdama rekomendacijas ir ekspertines žinias. ENISA tur t reguliariai teikti informacij Europos Parlamentui apie savo veikl ; ( 13 ) 2003 m. gruodžio 13 d. Sprendimas 2004/97/EB, Euratomas, kur bendru susitarimu pri m valstybi nari atstovai, pos džiav valstyb s arba vyriausyb s vadov lygiu d l tam tikr Europos S jungos staig ir agent r b stini vietos (OL L 29, , p. 15).

5 Europos S jungos oficialusis leidinys L 151/19 (23) atvirojo interneto viešasis pagrindas, kitaip tariant interneto pagrindiniai protokolai ir infrastrukt ra, kurie yra pasaulin s viešosios g ryb s, užtikrina esmines viso interneto funkcines galimybes ir nuo j priklauso jo prastas veikimas. ENISA tur t remti atvirojo interneto viešojo pagrindo funkcionavimo saugum ir stabilum, skaitant pagrindinius protokolus (vis pirma DNS, BGP ir IPv6), domeno vard sistemos veikim (kaip antai vis aukš iausio lygio domen vard veikim ) ir šaknin s zonos veikim, bet ne tik tai; (24) pagrindin ENISA užduotis yra skatinti nuosekliai gyvendinti atitinkamus teis s aktus, vis pirma veiksmingai gyvendinti Direktyv (ES) 2016/1148 ir kitus susijusius teisinius dokumentus, kuriuos trauktos kibernetinio saugumo srities nuostatos, nes tai itin svarbu siekiant padidinti kibernetin atsparum. Turint omenyje spar iai kintan i kibernetini gr smi pad t, akivaizdu, kad valstyb ms nar ms b tina pad ti pasi lant platesn, vairias politikos sritis apimant poži r kibernetinio atsparumo didinim ; (25) ENISA tur t pad ti valstyb ms nar ms ir S jungos institucijoms, staigoms, organams ir agent roms joms dedant pastangas pl toti ir stiprinti paj gum ir parengt užkirsti keli tinkl ir informacini sistem saugumui kylan ioms kibernetin ms gr sm ms ir incidentams, juos nustatyti ir juos reaguoti. Vis pirma ENISA tur t pad ti pl toti ir stiprinti nacionalines ir S jungos reagavimo kompiuteri saugumo incidentus tarnybas (toliau CSIRT), nurodytas Direktyvoje (ES) 2016/1148, kad S jungoje b t užtikrintas vienodas aukštas j kompetencijos lygis. ENISA vykdoma veikla, susijusi su valstybi nari operaciniais paj gumais, tur t aktyviai remti veiksmus, kuri imasi pa ios valstyb s nar s siekdamos vykdyti savo pareigas pagal Direktyv (ES) 2016/1148, ir tod l netur t j pakeisti; (26) ENISA taipat tur t pad ti rengti ir atnaujinti tinkl ir informacini sistem saugumo, vis pirma kibernetinio saugumo, strategijas S jungos lygmeniu ir, gavusi prašym, valstybi nari lygmeniu, skatinti toki strategij sklaid ir steb ti j gyvendinimo pažang. Taip pat ENISA tur t prisid ti patenkinant mokym rengimo ir mokomosios medžiagos teikimo poreikius, skaitant vieš j staig poreikius, ir, kai tinkama, pla iu mastu rengti instruktorius, remiantis Pilie iams skirta Europos skaitmenin s kompetencijos programa siekiant pad ti valstyb ms nar ms ir S jungos institucijoms, staigoms, organams ir agent roms pl toti savo mokymo paj gumus; (27) ENISA tur t remti valstybi nari veikl informuotumo didinimo ir švietimo kibernetinio saugumo klausimais srityje, palengvindama j glaudesn bendradarbiavim ir keitim si geriausios praktikos pavyzdžiais. Toki param gal t sudaryti nacionalini švietimo informacini centr tinklo ir mokymo kibernetinio saugumo srityje plat formos suk rimas. Nacionalini švietimo informacini centr tinklas gal t b ti nacionalini ryši palaikymo pareig n tinklo dalis ir sudaryti pradines s lygas b simam koordinavimui valstyb se nar se; (28) ENISA tur t pad ti pagal Direktyv (ES) 2016/1148 sukurtai Bendradarbiavimo grupei vykdyti jos užduotis, vis pirma susijusias su valstybi nari esmini paslaug teik j nustatymu, be kita ko, klausimais, susijusiais su tarpvalstybine priklausomybe, rizika ir incidentais, teikdama ekspertines žinias bei rekomendacijas ir sudaryti palankesnes s lygas keistis geriausia praktika; (29) siekiant skatinti viešojo priva ir iojo sektori bendradarbiavim ir bendradarbiavim priva iajame sektoriuje, vis pirma stiprinti param ypatingos svarbos infrastrukt ros apsaugai, ENISA tur t remti dalijim si informacija sektoriuose ir tarp sektori, vis pirma Direktyvos (ES) 2016/1148 II priede išvardytuose sektoriuose, dalydamasi geriausios praktikos pavyzdžiais ir teikdama rekomendacijas d l esam priemoni ir proced r, taip pat rekomen dacijas, kaip spr sti su dalijimusi informacija susijusius reguliavimo klausimus, pavyzdžiui, pad dama steigti sektori keitimosi informacija ir jos analiz s centrus; (30) kadangi potencialus IRT produkt, paslaug ir proces pažeidžiamumo sprag neigiamas poveikis nuolat did ja, aptikti ir pašalinti tokias pažeidžiamumo spragas labai svarbu mažinant bendr kibernetiniam saugumui kylan i rizik. Patirtis rodo, kad organizacij, pažeidžiam IRT produkt, paslaug ir proces gamintoj ar teik j ir kibernetinio saugumo tyrim bendruomen s nari bei Vyriausybi, kurios aptinka pažeidžiamumo spragas, bendra darbiavimas žymiai padidina IRT produkt, paslaug ir proces pažeidžiamumo sprag aptikimo ir pašalinimo lyg. Suderintas pažeidžiamumo sprag atskleidimas yra strukt rinis bendradarbiavimo procesas, per kur informacin s sistemos savininkui pranešama apie pažeidžiamumo spragas, suteikiant tai organizacijai galimyb problem diag nozuoti ir išspr sti prieš atskleidžiant išsami informacij apie pažeidžiamumo sprag tre iosioms šalims arba visuomenei. Taip pat procese numatytas problem aptikusio subjekto ir organizacijos veiksm koordinavimas, susij s su t pažeidžiamumo sprag viešu paskelbimu. Suderinto pažeidžiamumo sprag atskleidimo politika gali atlikti svarb vaidmen valstybi nari pastang stiprinti kibernetin saugum kontekste;

6 L 151/20 Europos S jungos oficialusis leidinys (31) Agent ra tur t apibendrinti ir analizuoti savanoriškai pasidalintas nacionalines CSIRT ir Europos institucij, staig, organ ir agent r Kompiuterini incident tyrimo tarnybos, steigtos Europos Parlamento, Europos Vadov Tarybos, Europos S jungos Tarybos, Europos Komisijos, Europos S jungos Teisingumo Teismo, Europos Centrinio Banko, Europos Audito R m, Europos išor s veiksm tarnybos, Europos ekonomikos ir socialini reikal komiteto, Europos region komiteto ir Europos investicij banko susitarimu d l S jungos institucij, staig, organ ir agent r Kompiuterini incident tyrimo tarnybos (CERT-EU) darbo organizavimo ir veiklos ( 14 ), atas kaitas, siekdama prisid ti prie bendr keitimosi informacija proced r, kalbos ir terminijos k rimo. Remdamasi Direktyva (ES) 2016/1148, kuria pad tas pamatas savanoriškiems technin s informacijos mainams ta direktyva kurtos reagavimo kompiuteri saugumo incidentus tarnybos tinkle (toliau CSIRT tinklas) operatyviniu lygme niu, ENISA taip pat tur t traukti privat j sektori ; (32) ENISA tur t pad ti S jungos lygmeniu reaguoti didelio masto tarpvalstybinius su kibernetiniu saugumu susijusius incidentus ir krizes. Ta veikla tur t b ti vykdoma laikantis ENISA galiojim pagal š reglament ir poži rio, d l kurio turi susitarti valstyb s nar s pagal Komisijos rekomendacij (ES) 2017/1584 ( 15 ) ir 2018 m. birželio 26 d. Tarybos išvadas d l ES koordinuoto atsako didelio masto kibernetinio saugumo incidentus ir krizes. Vykdydama ši veikl ENISA gal t rinkti svarbi informacij ir prisiimti tarpinink s tarp CSIRT tinklo, technin s bendruo men s ir už krizi valdym atsaking sprendimus priiman i asmen vaidmen. Be to, ENISA tur t remti operatyvin valstybi nari bendradarbiavim, jei to paprašo viena arba daugiau valstybi nari, pad ti valdyti incidentus techniniu poži riu, sudarydama palankesnes s lygas valstyb ms nar ms keistis tinkamais techniniais sprendimais ir prisid dama prie vieš j ryši. ENISA tur t remti š proces, per reguliarias kibernetinio saugumo pratybas išbandydama tokio bendradarbiavimo b dus; (33) remdama operatyvin bendradarbiavim, ENISA tur t naudotis esamomis CERT-EU technin mis ir operatyvin mis ekspertin mis žiniomis pasinaudodama strukt riniu bendradarbiavimu. Toks strukt rinis bendradarbiavimas gal t sustiprinti ENISA ekspertines žinias. Kai tikslinga, tur t b ti sudaryti special s ši dviej organizacij susitarimai, siekiant nustatyti, kaip toks bendradarbiavimas bus gyvendinamas praktiškai ir išvengti veiklos dubliavimo; (34) vykdydama savo užduotis, kuriomis remiamas operatyvinis bendradarbiavimas CSIRT tinkle, ENISA tur t gal ti valstyb ms nar ms paprašius teikti joms param, pavyzdžiui, teikdama rekomendacijas, kaip pagerinti j paj gumus užkirsti keli incidentams, juos aptikti ir juos reaguoti, palengvindama didel arba esmin poveik turin i incident technin valdym arba užtikrindama kibernetini gr smi ir incident analiz. ENISA tur t palengvinti didel arba esmin poveik turin i incident technin valdym, vis pirma teikdama param savanoriškam valstybi nari dalijimuisi techniniais sprendimais arba rengdama bendr technin informacij, kuri gal t apimti, pavyz džiui, valstybi nari savanoriškai pasidalytus techninius sprendimus. Rekomendacijoje (ES) 2017/1584 rekomen duojama, kad valstyb s nar s geranoriškai bendradarbiaut ir nedelsdamos dalyt si tarpusavyje bei su ENISA informacija apie didelio masto su kibernetiniu saugumu susijusius incidentus ir krizes. Tokia informacija dar labiau pad t ENISA vykdyti savo operatyvinio bendradarbiavimo r mimo užduotis; (35) reguliaraus techninio bendradarbiavimo, padedan io b ti geriau informuotiems apie pad t S jungoje, dalis tur t b ti ENISA reguliariai, glaudžiai bendradarbiaujant su valstyb mis nar mis, rengiamos išsamios ES kibernetinio saugumo technin s pad ties ataskaitos, kuriose apžvelgiami incidentai ir kibernetin s gr sm s ir kurios grindžiamos viešai prieinama informacija, pa ios Agent ros atliekama analize ir ataskaitomis, kurias Agent rai pateik valstybi nari CSIRT arba Direktyvoje (ES) 2016/1148 nurodyti nacionaliniai bendrieji tinkl ir informacini sistem saugumo informaciniai centrai (toliau bendrasis informacinis centras) (tiek vieni, tiek kiti savanoriškai), Euro polo Europos kovos su elektroniniu nusikalstamumu centras (EC3), CERT-EU ir, kai tikslinga, Europos išor s veiksm tarnybai priklausantis Europos S jungos žvalgybos analiz s centras (EU INTCEN). Ta ataskaita tur t b ti pateikta Tarybai, Komisijai, S jungos vyriausiajam galiotiniui užsienio reikalams ir saugumo politikai ir CSIRT tinklui; (36) ENISA susijusi valstybi nari prašymu remiant didel arba esmin poveik turin i incident ex post techninius tyrimus, daugiausia d mesio tur t b ti skiriama incident prevencijai ateityje. Susijusios valstyb s nar s tur t teikti b tin informacij ir pagalb, kad ENISA gal t veiksmingai prisid ti prie ex-post techninio tyrimo; ( 14 ) OL C 12, , p. 1. ( 15 ) 2017 m. rugs jo 13 d. Komisijos rekomendacija (ES) 2017/1584 d l koordinuoto atsako didelio masto kibernetinio saugumo incidentus ir krizes (OL L 239, , p. 36).

7 Europos S jungos oficialusis leidinys L 151/21 (37) valstyb s nar s gali paraginti nuo incidento nukent jusias mones bendradarbiauti, suteikiant b tin informacij ir pagalb ENISA, nepažeidžiant j teis s apsaugoti neskelbtin komercin informacij ir su visuomen s saugumu susijusi informacij ; (38) siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstyb ms nar ms ir S jungos institucijoms, staigoms, organams ir agent roms, ENISA turi analizuoti esam ir naujausi kibernetinio saugumo rizik. Šiuo tikslu ENISA, bendradarbiaudama su valstyb mis nar mis ir prireikus su statistikos staigomis ir kitomis staigomis, tur t rinkti reikiam informacij, kuri yra viešai prieinama arba savanoriškai pateikiama, ir vykdyti naujausi technologij analiz bei teikti teminius vertinimus, susijusius su numatomu technologini inovacij poveikiu tinkl ir informacijos saugumui, vis pirma kibernetiniam saugumui, pasireiškian iu visuomeniniu, teisiniu, ekonominiu ir reguliavimo aspektais. Be to, ENISA, vykdydama gr smi, pažeidžiamumo sprag ir incident analiz, tur t pad ti valstyb ms nar ms ir S jungos institucijoms, staigoms. organams ir agent roms nustatyti naujausius kibernetin s rizikos veiksnius ir užkirsti keli kibernetinio saugumo incidentams; (39) kad padidint S jungos atsparum, ENISA tur t pl toti mokslin kompetencij infrastrukt ros objekt, kurie užtikrina vis pirma Direktyvos (ES) 2016/1148 II priede išvardyt sektori veikl ir kuriuos naudoja tos direk tyvos III priede išvardyti skaitmenini paslaug teik jai, kibernetinio saugumo srityje, teikdama rekomendacijas, gaires ir dalydamasi geriausia praktika. Siekdama užtikrinti lengvesn prieig prie geriau susistemintos informacijos apie kibernetiniam saugumui kylan i rizik ir galimas jos mažinimo priemones, ENISA tur t sukurti ir palaikyti S jungos informacijos centr vieno langelio principu veikiant portal, kuriame visuomenei b t prieinama S jungos ir nacionalini institucij, staig, organ ir agent r teikiama informacija apie kibernetin saugum. Paprastesn prieiga prie geriau susistemintos informacijos apie kibernetiniam saugumui kylan i rizik ir galimas jos mažinimo priemones taip pat gal t pad ti valstyb ms nar ms sustiprinti savo paj gumus ir suderinti savo praktik, taip padidinant bendr j atsparum kibernetiniams išpuoliams; (40) ENISA tur t pad ti didinti visuomen s informuotum, be kita ko, pasitelkiant visos ES masto informuotumo didinimo kampanij, propaguojant švietim apie su kibernetiniu saugumu susijusi rizik, ir pilie iams, organiza cijoms bei mon ms pateikti atskiriems naudotojams skirtas konsultacijas gerosios praktikos klausimais. ENISA taip pat tur t pad ti skatinti pilie ius, organizacijas ir mones taikyti geriausi praktik ir sprendimus, skaitant kibernetin higien ir kibernetin raštingum, šiuo tikslu rinkdama ir analizuodama viešai prieinam informacij apie didelius incidentus, taip pat rengdama ir viešai skelbdama ataskaitas ir konsultacijas pilie iams, organizacijoms ir mon ms, kad b t pagerintas bendras j parengties ir atsparumo lygis. ENISA taip pat tur t siekti suteikti vartotojams svarbi informacij apie taikomas sertifikavimo schemas, pvz. parengdama gaires ir rekomendacijas. ENISA, laikydamasi 2018 m. sausio 17 d. Komisijos komunikate nustatyto Skaitmeninio švietimo veiksm plano ir bendradarbiaudama su valstyb mis nar mis ir S jungos institucijomis, staigomis, organais ir agent romis, taip pat tur t organizuoti reguliarias galutiniams naudotojams skirtas informavimo ir visuomen s švietimo kampanijas, kuriomis b t siekiama propaguoti saugesn asmens elges internetin je aplinkoje ir skaitmenin raštingum ir didinti informuotum apie galimas kibernetines gr smes kibernetin je erdv je, skaitant nusikalstam veikl inter nete, pavyzdžiui, išpuolius siekiant vykdyti duomen vagystes, botnetus, finansin ir bankin suk iavim, su duomenimis susijusio suk iavimo atvejus, propaguoti bazin daugiaveiksn tapatumo nustatym, bei teikti reko mendacijas patais, šifravimo, anoniminimo ir duomen apsaugos srityse; (41) ENISA tur t atlikti pagrindin vaidmen spartindama galutini naudotoj informuotum apie rengini saugum ir saug paslaug naudojim, ir propaguoti S jungos lygmeniu integruot j saugum ir integruot j privatumo apsaug. Siekdama to tikslo ENISA tur t kuo optimaliau panaudoti geriausi praktik ir patirt, vis pirma geriausi praktik ir patirt, gaut iš akademini staig ir IT saugumo tyr j ; (42) siekdama pad ti kibernetinio saugumo sektoriuje veikian ioms mon ms bei kibernetinio saugumo sprendim naudotojams ENISA tur t sukurti rinkos steb jimo centr ir palaikyti jo veikl reguliariai analizuodama svarbiau sias kibernetinio saugumo rinkos paklausos ir pasi los tendencijas ir skleisdama apie jas informacij ; (43) ENISA tur t prisid ti prie S jungos pastang kibernetinio saugumo srityje bendradarbiauti su tarptautin mis organizacijomis ir pagal atitinkamas tarptautinio bendradarbiavimo sistemas. Vis pirma ENISA, kai tinkama, tur t prisid ti prie bendradarbiavimo su tokiomis organizacijomis, kaip EBPO, ESBO ir NATO. Toks bendradar biavimas gal t apimti bendras pratybas kibernetinio saugumo srityje ir bendro atsako kibernetinius incidentus koordinavim. Vykdant t veikl turi b ti visapusiškai laikomasi traukumo, abipusiškumo ir S jungos sprendim pri mimo autonomijos princip, nedarant poveikio valstybi nari saugumo ir gynybos politikos specifikai;

8 L 151/22 Europos S jungos oficialusis leidinys (44) siekiant užtikrinti, kad ENISA pasiekt visus savo tikslus, ji tur t bendradarbiauti su atitinkamomis S jungos prieži ros institucijomis ir kitomis kompetentingomis institucijomis S jungoje, S jungos institucijomis, staigomis, organais ir agent romis, be kita ko, CERT-EU, EC3, Europos gynybos agent ra (EGA), Europos pasaulin s paly dovin s navigacijos sistemos agent ra (Europos GNSS agent ra), Europos elektronini ryši reguliuotoj institucija (BEREC), Europos S jungos didel s apimties IT sistem laisv s, saugumo ir teisingumo erdv je operacij valdymo agent ra (eu-lisa), Europos Centriniu Banku (ECB), Europos bankininkyst s institucija (EBI), Europos duomen apsaugos valdyba, Energetikos reguliavimo institucij bendradarbiavimo agent ra (ACER), Europos S jungos avia cijos saugos agent ra (EASA) ir kitomis su kibernetiniu saugumu susijusiomis S jungos agent romis. ENISA taip pat tur t bendradarbiauti su duomen apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausios praktikos pavyzdžiais ir teikti rekomendacijas d l poveik j darbui galin i daryti kibernetinio saugumo aspekt. Nacionalini ir S jungos teis saugos ir duomen apsaugos institucij atstovams tur t b ti suteikta teis dalyvauti ENISA patariamosios grup s veikloje. Bendradarbiaudama su teis saugos staigomis d l tinkl ir informacijos saugumo aspekt, galin i tur ti takos j darbui, ENISA tur t naudotis esamais informacijos kanalais ir sukurtais tinklais; (45) gal t b ti kuriamos partneryst s su akademin mis staigomis, kurios yra parengusios mokslini tyrim iniciatyv atitinkamose srityse, o vartotoj organizacij ir kit organizacij informacija tur t b ti perduodama tinkamais kanalais ir j reik t atsižvelgti; (46) ENISA, vykdydama CSIRT tinklo sekretoriato funkcij, tur t remti valstybi nari CSIRT ir CERT-EU operatyvin bendradarbiavim, taip pat pad ti vykdant visas atitinkamas CSIRT tinklo užduotis, kaip apibr žta Direktyvoje (ES) 2016/1148. Be to, ENISA tur t skatinti ir remti atitinkam CSIRT bendradarbiavim incident, išpuoli arba tinklo ar infrastrukt ros, kuri valdo ar saugo CSIRT ir kurioje dalyvauja ar gali dalyvauti bent dvi CSIRT, sutrikim atvejais, deramai atsižvelgdama CSIRT tinklo standartines veiklos proced ras; (47) kad S junga b t geriau pasirengusi reaguoti kibernetinio saugumo incidentus, ENISA tur t organizuoti regu liarias S jungos lygmens kibernetinio saugumo pratybas ir valstybi nari, S jungos institucij, staig, organ ir agent r prašymu pad ti joms organizuoti pratybas. Vien kart per dvejus metus tur t b ti surengtos didelio masto visapusiškos pratybos, apiman ios techninius, operatyvinius ir strateginius elementus. Be to, ENISA tur t gal ti reguliariai rengti ne tokias visapusiškas pratybas, siekdama to paties tikslo didinti S jungos parengt reaguoti incidentus; (48) kad gal t prisid ti prie S jungos kibernetinio saugumo sertifikavimo politikos, ENISA tur t toliau pl toti ir išlaikyti savo kompetencij šiais klausimais. ENISA tur t pasinaudoti esama geriausia praktika ir skatinti kiber netinio saugumo sertifikavimo diegim S jungoje, be kita ko, prisid dama prie S jungos lygmens kibernetinio saugumo sertifikavimo sistemos (Europos kibernetinio saugumo sertifikavimo sistema) suk rimo ir taikymo, kad b t didinamas IRT produkt, paslaug ir proces kibernetinio saugumo užtikrinimo skaidrumas ir taip stipri namas pasitik jimas skaitmenine vidaus rinka ir jos konkurencingumas; (49) veiksminga kibernetinio saugumo politika viešajame ir priva iajame sektoriuose tur t b ti grindžiama gerai parengtais rizikos vertinimo metodais. Rizikos vertinimo metodai taikomi vairiais lygmenimis, n ra bendros praktikos, kaip juos veiksmingai taikyti. Geriausi rizikos vertinimo ir s veiki j rizikos valdymo sprendim populiarinimas ir pl tojimas viešojo sektoriaus ir priva iojo sektoriaus organizacijose padidins kibernetinio saugumo lyg S jungoje. Tod l ENISA tur t remti suinteresuot j subjekt bendradarbiavim S jungos lygmeniu ir palengvinti j pastangas nustatyti Europos ir tarptautinius standartus rizikos valdymo, taip pat elektronini produkt, sistem, tinkl ir paslaug, kurios kartu su programine ranga sudaro tinkl ir informacijos sistemas, išmatuojamojo saugumo srityje ir j laikytis; (50) ENISA tur t skatinti valstybes nares, produkt gamintojus ir paslaug teik jus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai gal t imtis reikiam veiksm savo asmeniniam kibernetiniam saugumui užtikrinti ir b t skatinami tai daryti. Vis pirma, paslaug teik jai ir produkt gamintojai tur t teikti b tinus naujinius ir atšaukti, atsiimti arba perdirbti kibernetinio saugumo standart neatitinkan ius IRT produktus, paslaugas arba IRT procesus, o importuotojai ir platintojai tur t užtikrinti, kad IRT produktai, IRT paslaugos ir IRT procesai, kuriuos jie teikia S jungos rinkai, atitikt taikomus reikalavimus ir nekelt rizikos S jungos varto tojams;

9 Europos S jungos oficialusis leidinys L 151/23 (51) bendradarbiaudama su kompetentingomis institucijomis ENISA tur t gal ti skleisti informacij apie vidaus rinkoje si lom IRT produkt, IRT paslaug ir IRT proces kibernetinio saugumo lyg ir sp ti paslaug teik jus bei gamintojus ir reikalauti, kad jie pagerint savo IRT produkt, IRT paslaug ir IRT proces saugum ; (52) ENISA tur t visiškai atsižvelgti šiuo metu vykdom mokslini tyrim, pl tros ir technologij vertinimo veikl, vis pirma atliekam pagal vairias S jungos mokslini tyrim iniciatyvas, siekdama teikti rekomendacijas S jungos institucijoms, staigoms, organams ir agent roms, ir, kai aktualu ir joms paprašius valstyb ms nar ms d l mokslini tyrim poreiki kibernetinio saugumo srityje. Kad nustatyt mokslini tyrim poreikius ir prioritetus, ENISA taip pat tur t konsultuotis su atitinkamomis naudotoj grup mis. Konkre iau, b t galima užmegzti bendradarbiavim su Europos mokslini tyrim taryba, Europos inovacijos ir technologijos institutu ir Europos S jungos saugumo studij institutu; (53) ENISA tur t reguliariai konsultuotis su standartizacijos organizacijomis, vis pirma Europos standartizacijos organizacijomis, kai rengiamos Europos kibernetinio saugumo sertifikavimo schemos; (54) kibernetin s gr sm s yra pasaulin s. B tinas glaudesnis tarptautinis bendradarbiavimas, kad b t patobulinti kibernetinio saugumo standartai, skaitant bendr elgesio norm apibr žim ir elgesio kodeksus, tarptautini standart taikym bei dalijim si informacija, skatinant spartesn tarptautin bendradarbiavim reaguojant tinkl ir informacijos saugumo problemas ir vadovaujantis visuotiniu poži riu jas. Tuo tikslu ENISA tur t remti tolesn S jungos ryši mezgim ir bendradarbiavim su tre iosiomis šalimis ir tarptautin mis organizacijomis, kai tinkama, teikdama atitinkamoms S jungos institucijoms, staigoms, organams ir agent roms reikalingas ekspertines žinias ir analiz ; (55) ENISA tur t b ti paj gi reaguoti valstybi nari ir S jungos institucij, staig, organ ir agent r ad hoc prašymus teikti rekomendacijas ir pagalb, susijusius su ENISA galiojim tikslais; (56) tikslinga rekomenduotina ir gyvendinti tam tikrus ENISA valdymo principus, nustatytus bendrame pareiškime ir bendrame poži ryje, d l kuri 2012 m. liepos m n. susitar Tarpinstitucin darbo grup ES decentralizuot agent r klausimais; šiuo pareiškimu ir poži riu siekiama racionalizuoti decentralizuot agent r veikl ir pagerinti j darb. Atitinkamai šiame reglamente taip pat tur t b ti atsižvelgta rekomendacijas, pateiktas bendrame pareiškime ir bendrame poži ryje, skirtas ENISA darbo programoms, ENISA vertinimams ir ENISA ataskait teikimui bei administracinei veiklai; (57) valstybi iš nari ir Komisijos atstov sudaryta Valdan ioji taryba tur t nustatyti bendr j ENISA veiklos krypt ir užtikrinti, kad savo užduotis ji vykdyt pagal š reglament. Valdan iajai tarybai tur t b ti suteikti galiojimai, b tini sudaryti biudžet, tikrinti, kaip biudžetas vykdomas, priimti reikiamas finansines taisykles, sukurti skaidrias ENISA sprendim pri mimo proced ras, priimti ENISA bendr j programavimo dokument, nustatyti savo darbo tvarkos taisykles, paskirti vykdom j direktori ir nuspr sti d l vykdomojo direktoriaus kadencijos prat simo bei jos nutraukimo; (58) siekiant, kad ENISA funkcionuot tinkamai ir veiksmingai, Komisija ir valstyb s nar s tur t užtikrinti, kad Valdan i j taryb b t skiriami tinkam profesini žini ir atitinkamos patirties turintys asmenys. Komisija ir valstyb s nar s taip pat tur t stengtis riboti savo atstov Valdan iojoje taryboje kait, kad b t užtikrintas jos veiklos t stinumas; (59) kad ENISA veikt sklandžiai, jos vykdomasis direktorius turi b ti skiriamas atsižvelgiant nuopelnus ir doku mentais pagr stus administracinio ir vadovaujamojo darbo g džius, kibernetiniam saugumui svarbi patirt ir kompetencij, o vykdomojo direktoriaus pareigos tur t b ti atliekamos visiškai nepriklausomai. Pasitar s su Komisija vykdomasis direktorius tur t parengti ENISA metin s darbo programos pasi lym ir imtis vis b tin veiksm, kad užtikrint tinkam tos programos gyvendinim. Vykdomasis direktorius tur t parengti Valdan iajai tarybai teikiam metin ataskait, be kita ko, apiman i Agent ros metin s darbo programos gyvendinim, ENISA pajam ir išlaid s matos projekt, ir vykdyti biudžet. Be to, vykdomajam direktoriui tur t b ti leista steigti ad hoc darbo grupes konkretiems, vis pirma moksliniams, techniniams, teisiniams ar socialiniams ir ekonominiams klausimams spr sti. Vis pirma, laikoma, kad ad hoc darbo grup b tina steigti konkre iai potencialiai Europos

10 L 151/24 Europos S jungos oficialusis leidinys kibernetinio saugumo sertifikavimo schemai (toliau potenciali schema) parengti. Vykdomasis direktorius tur t užtikrinti, kad ad hoc darbo grup s nariai b t išrinkti pagal aukš iausius dalyko ekspertini žini standartus ir, atsižvelgiant konkre ius nagrin jamus klausimus, atitinkamai subalansuotai ir užtikrinant ly i pusiausvyr b t atstovaujama valstybi nari viešojo administravimo institucijoms, S jungos institucijoms, staigoms, organams ir agent roms bei priva iajam sektoriui, skaitant pramon s sektori, naudotojus ir tinkl bei informacijos saugumo akademinius ekspertus; (60) Vykdomoji valdyba tur t prisid ti prie veiksmingo Valdan iosios tarybos veikimo. Atlikdama parengiam j darb, susijus su Valdan iosios tarybos sprendimais, Vykdomoji valdyba tur t išsamiai išnagrin ti atitinkam informacij ir apsvarstyti turimas galimybes bei teikti rekomendacijas ir sprendimus siekiant parengti Valdan iosios tarybos sprendimus; (61) siekiant užtikrinti nuolatin dialog su priva iuoju sektoriumi, vartotoj organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais, ENISA tur t b ti steigta ENISA patariamoji grup, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasi lymu Valdan iosios tarybos steigta ENISA patariamoji grup daugiausia d mesio tur t skirti klausimams, kurie svarb s suinteresuotiesiems subjektams, ir tuos klausimus atkreipti ENISA d mes. Tur t b ti konsultuojamasi su ENISA patariam ja grupe vis pirma d l ENISA metin s darbo programos projekto. ENISA patariamosios grup s sud tis ir šiai grupei priskirtos užduotys, tur t užtikrinti pakankam suinteresuot j subjekt atstovavim ENISA veikloje; (62) siekiant pad ti ENISA ir Komisijai sudaryti palankesnes s lygas konsultacijoms su atitinkamais suinteresuotaisiais subjektais, tur t b ti steigta Suinteresuot j subjekt kibernetinio saugumo sertifikavimo grup. Suinteresuot j subjekt kibernetinio saugumo sertifikavimo grup tur t sudaryti nariai, proporcingai atstovaujantys: pramon s sektoriui, tiek IRT produkt ir paslaug paklausos, tiek pasi los segmentuose, skaitant vis pirma MV, skaitme nini paslaug teik jams, Europos ir tarptautin ms standartizacijos staigoms, nacionalin ms akreditacijos stai goms, duomen apsaugos prieži ros institucijoms ir atitikties vertinimo staigoms pagal Europos Parlamento ir Tarybos reglament (EB) Nr. 765/2008 ( 16 ), akademinei bendruomenei ir vartotoj organizacijoms; (63) ENISA tur t priimti interes konflikt prevencijos ir valdymo taisykles. ENISA taip pat tur t taikyti atitinkamas S jungos nuostatas d l galimyb s visuomenei susipažinti su dokumentais, kaip nustatyta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1049/2001 ( 17 ). ENISA asmens duomenis tur t tvarkyti laikydamasi Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 ( 18 ). ENISA tur t laikytis S jungos institucijoms, staigoms, organams ir agent roms taikytin nuostat ir nacionalin s teis s akt d l informacijos, vis pirma neskelbtinos ne slaptintos ir Europos S jungos slaptintos informacijos (ES I) tvarkymo; (64) siekiant užtikrinti visišk ENISA autonomij ir nepriklausomum ir suteikti jai galimyb vykdyti papildomas ir naujas užduotis, skaitant nenumatytas užduotis kritiniais atvejais, ENISA tur t b ti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esm s sudaryt S jungos našas ir ENISA veikloje dalyvaujan i tre i j šali našai. Tinkamas biudžetas yra itin svarbus siekiant užtikrinti, kad ENISA tur t pakankamai paj gum, kad gal t atlikti visas savo did jan ias užduotis ir pasiekti tikslus. Dauguma ENISA darbuotoj tur t tiesiogiai dalyvauti praktiškai vykdant ENISA galiojimus. Priiman iajai valstybei narei ir bet kuriai kitai valstybei narei tur t b ti leidžiama savanoriškais našais prisid ti prie ENISA biudžeto. Mokant subsidijas iš S jungos bendrojo biudžeto, tur t b ti toliau taikoma S jungos biudžeto proced ra. Be to, Audito R mai tur t atlikti ENISA apskaitos audit, kad b t užtikrintas skaidrumas ir atskaitomyb ; (65) kibernetinio saugumo sertifikavimas yra labai svarbus didinant pasitik jim IRT produktais, paslaugomis ir proce sais bei j saugum. Bendroji skaitmenin rinka, ypa duomen ekonomika ir daikt internetas, gali klest ti tik tuo atveju, jeigu pla ioji visuomen pasitik s, jog tokie produktai, paslaugos ir procesai pasižymi tam tikro lygio kibernetiniu saugumu. Susiet j ir automatizuot automobili, elektronini medicinos priemoni, pramonini automatizuot valdymo sistem ar pažangi j elektros energijos tinkl sektoriai yra tik keli sektori, kuriuose sertifikavimas jau yra pla iai naudojamas arba, tik tina, bus naudojamas artimiausioje ateityje, pavyzdžiai. Kiber netinio saugumo sertifikavimas taip pat yra itin svarbus Direktyva (ES) 2016/1148 reglamentuojamiems sekto riams; ( 16 ) 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 765/2008 nustatantis su gamini prekyba susijusius akreditavimo ir rinkos prieži ros reikalavimus ir panaikinantis Reglament (EEB) Nr. 339/93 (OL L 218, , p. 30). ( 17 ) 2001 m. geguž s 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 d l galimyb s visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, , p. 43). ( 18 ) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 d l fizini asmen apsaugos S jungos instituci joms, organams, tarnyboms ir agent roms tvarkant asmens duomenis ir d l laisvo toki duomen jud jimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, , p. 39).

11 Europos S jungos oficialusis leidinys L 151/25 (66) 2016 m. komunikate Europos kibernetinio atsparumo sistemos stiprinimas ir kibernetinio saugumo pramon s konkurencingumo ir novatoriškumo skatinimas Komisija nurod kokybišk, perkam ir s veiki kibernetinio saugumo produkt ir sprendim poreik. IRT produkt, paslaug ir proces teikimas bendrojoje rinkoje geografiniu poži riu teb ra labai susiskaid s. Taip yra d l to, kad kibernetinio saugumo sektorius Europoje daugiausia vyst si priklausomai nuo nacionalin s valdžios sudaromos paklausos. Be to, kiti bendr j kibernetinio saugumo rink neigiamai veikiantys tr kumai yra s veiki sprendim (technini standart ), metod ir S jungos masto sertifika vimo mechanizm stoka. Tai apsunkina Europos moni galimybes konkuruoti nacionaliniu, S jungos ir pasauliniu lygmenimis. Tai taip pat mažina perspektyvi ir tinkam naudoti kibernetinio saugumo technologij, kurios prieinamos fiziniams asmenims bei mon ms, pasirinkimo galimybes. Be to, 2017 m. komunikate Bendrosios skaitmenin s rinkos strategijos gyvendinimo laikotarpio vidurio perži ros. Sujungta bendroji skaitmenin rinka visiems Komisija pabr ž saugi susiet j produkt ir sistem poreik ir nurod, kad suk rus Europos IRT saugumo sistem, kurioje b t nustatytos taisykl s, kaip S jungoje organizuoti IRT saugumo sertifikavim, b t galima išsaugoti pasitik jim internetu ir spr sti dabartinio kibernetinio saugumo rinkos susiskaidymo problem ; (67) šiuo metu IRT produkt, paslaug ir proces kibernetinio saugumo sertifikavimas yra taikomas ribotai. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybi nari lygmeniu arba pagal pramon s sektoriaus inicijuojamas schemas. Vadinasi. vienos nacionalin s kibernetinio saugumo sertifikavimo institucijos išduotas serti fikatas iš esm s kitose valstyb se nar se nepripaž stamas. Tod l bendrov ms gali reik ti savo IRT produktus, paslaugas ir procesus sertifikuoti keliose valstyb se nar se, kuriose jos vykdo veikl, pavyzdžiui, siekiant dalyvauti nacionalin se vieš j pirkim proced rose, o d l to did ja j išlaidos. Be to, nors atsiranda nauj schem, atrodo, n ra nuoseklaus ir visapusiško poži rio horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daikt inter neto srityje. Esamose schemose yra dideli tr kum ir skirtum, susijusi su produkt apr ptimi, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu, kurie trukdo abipusio pripažinimo mechanizmams S jungoje; (68) jau anks iau buvo imtasi tam tikr veiksm siekiant užtikrinti sertifikat tarpusavio pripažinim Europoje. Ta iau jie tik iš dalies buvo s kmingi. Svarbiausias pavyzdys šiuo poži riu vyresni j pareig n grup s informacini sistem saugumo klausimais (SOG-IS) tarpusavio pripažinimo susitarimas. Nors saugumo sertifikavimo srityje tai yra svarbiausias bendradarbiavimo ir tarpusavio pripažinimo modelis, SOG-IS apima tik dal S jungos valstybi nari. Tai riboja SOG-IS tarpusavio pripažinimo susitarimo veiksmingum vidaus rinkoje; (69) tod l, b tina priimti bendr poži r ir sukurti Europos kibernetinio saugumo sertifikavimo sistem, kurioje b t nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria b t sudarytos s lygos IRT produkt, paslaug arba proces Europos kibernetinio saugumo sertifikatus bei ES atitikties pareiškimus pripažinti ir taikyti visose valstyb se nar se. Atliekant š darb labai svarbu remtis esamomis nacionalin mis ir tarptautin mis schemomis, taip pat tarpusavio pripažinimo sistemomis, ypa SOG-IS, ir sudaryti s lygas sklandžiam per jimui nuo esam schem pagal tokias sistemas prie schem pagal nauj j Europos kibernetinio sertifikavimo sistem. Europos sistema tur t b ti siekiama dvejopo tikslo: viena vertus, ji tur t pad ti didinti pasitik jim IRT produktais, paslaugomis ir procesais, kurie buvo sertifikuoti pagal Europos kibernetinio sertifikavimo schemas. Kita vertus, ji tur t pad ti išvengti, kad nebedid t viena kitai prieštaraujan i arba besidubliuojan i nacionalini kibernetinio saugumo sertifikavimo schem skai ius, ir taip sumažinti bendrojoje skaitmenin je rinkoje veikian i moni išlaidas. Europos kibernetinio sertifikavimo schemos tur t b ti nediskriminacin s ir pagr stos Europos arba tarptautiniais standartais, išskyrus tuos standartus, kurie yra neveiksmingi arba netinkami siekiant gyvendinti teis tus šios srities S jungos tikslus; (70) siekiant išvengti palankesn s ES sertifikat išdavimo s lyg ieškojimo praktikos, kuri taikoma d l skirtingo reika lavim griežtumo lygio valstyb se nar se, ši Europos kibernetinio saugumo sertifikavimo sistema tur t b ti diegiama vienodai visose valstyb se nar se; (71) Europos kibernetinio sertifikavimo schemos tur t b ti grindžiamos tuo, kas jau veikia tarptautiniu ir nacionaliniu lygmeniu ir, jei b tina, forum ir konsorcium teikiamomis technin mis specifikacijomis, mokantis iš dabartini privalum ir vertinant bei ištaisant tr kumus; (72) lankst s kibernetinio saugumo sprendimai reikalingi tam, kad pramon s sektorius b t žingsniu priekyje kiberne tini gr smi, tod l bet kokia sertifikavimo schema tur t b ti kuriama taip, kad b t išvengta rizikos, kad ji greitai pasens;