(1)

atsižvelgiant į 2016 m. vasario 12 d. Tarybos išvadas dėl kovos su terorizmo finansavimu, į 2016 m. vasario 2 d. Komisijos komunikatą Europos Parlamentui ir Tarybai dėl Kovos su teroristų finansavimu stiprinimo veiksmų plano ir Europos Parlamento ir Tarybos direktyvą (ES) 2017/541 (2), turėtų būti priimtos bendros prekybos su trečiosiomis šalimis taisyklės, kad būtų užtikrinta veiksminga apsauga nuo neteisėtos prekybos kultūros vertybėmis ir jų praradimo ar sunaikinimo, būtų išsaugotas žmonijos kultūros paveldas ir užkirstas kelias teroristų finansavimui bei pinigų plovimui išplėštas kultūros vertybes parduodant Sąjungoje esantiems pirkėjams;

(2)

tautų ir teritorijų išnaudojimas gali vesti prie neteisėtos prekybos kultūros vertybėmis, pirmiausia kai tokia neteisėta prekyba kyla ginkluoto konflikto kontekste. Dėl to šiame reglamente turėtų būti atsižvelgiama į tautų ir teritorijų regioninius ir vietos ypatumus, o ne į kultūros vertybių rinkos vertę;

(3)

kultūros vertybės yra kultūros paveldo dalis ir neretai būna didelės kultūrinės, meninės, istorinės ir mokslinės svarbos. Kultūros paveldas yra vienas pagrindinių civilizacijos elementų, inter alia, turinčių simbolinę vertę ir įkūnijančių žmonijos kultūrinę atmintį. Jis praturtina visų tautų kultūrinį gyvenimą ir jas vienija bendros atminties žinių bei civilizacijos raidos pagrindu. Todėl jis turėtų būti apsaugotas nuo neteisėto pasisavinimo ir plėšimo. Archeologinių vietovių plėšimas vyko visais laikais, tačiau dabar šis reiškinys yra pasiekęs pramoninį mastą ir kartu su prekyba neteisėtai iškastomis kultūros vertybėmis yra sunkus nusikaltimas, dėl kurio stipriai nukenčia tiesiogiai ar netiesiogiai susijusieji. Neteisėta prekyba kultūros vertybėmis daugeliu atvejų prisideda prie priverstinės kultūros homogenizacijos arba kultūrinio identiteto praradimo, o kultūros vertybių plėšimas lemia, inter alia, kultūrų dezintegraciją. Kol yra galimybė pelningai prekiauti neteisėtai iškastomis kultūros vertybėmis ir iš jų pelnytis nepatiriant jokios didesnės rizikos, tokie kasinėjimai ir plėšimas tęsis. Tarptautinėje rinkoje kultūros vertybės labai paklausios dėl savo ekonominės ir meninės vertės. Griežtų tarptautinių teisinių priemonių nebuvimas ir neveiksmingas esamų priemonių vykdymo užtikrinimas lemia tai, kad tokios vertybės atsiduria šešėlinėje ekonomikoje. Sąjunga turėtų atitinkamai uždrausti į Sąjungos muitų teritoriją įvežti neteisėtai iš trečiųjų šalių eksportuojamas kultūros vertybes, ypatingą dėmesį skiriant kultūros vertybėms iš trečiųjų šalių, nukentėjusių nuo ginkluotojo konflikto, ypač kai tokiomis kultūros vertybėmis neteisėtai prekiauja teroristinės ar kitos nusikalstamos organizacijos. Nors tuo bendru draudimu neturėtų būti numatoma sistemingų tikrinimų, valstybėms narėms turėtų būti leidžiama įsikišti, kai jos gauna žvalgybos informacijos apie įtartinas siuntas, ir imtis visų tinkamų priemonių neteisėtai eksportuojamoms kultūros vertybėms perimti;

(4)

atsižvelgiant į tai, jog valstybėse narėse taikomos skirtingos kultūros vertybių importo į Sąjungos muitų teritoriją taisyklės, turėtų būti imtasi priemonių siekiant visų pirma užtikrinti, kad, į Sąjungos muitų teritoriją įvežant tam tikras importuojamas kultūros vertybes, tikrinimai būtų atliekami vienodai, pagal esamus procesus, procedūras ir administracines priemones, kad būtų vienodai įgyvendinamas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 952/2013 (3);

(5)

kultūros vertybių, kurios laikomos valstybių narių nacionalinėmis vertybėmis, apsauga jau reglamentuojama Tarybos reglamentu (EB) Nr. 116/2009 (4) ir Europos Parlamento ir Tarybos direktyva 2014/60/ES (5). Todėl šis reglamentas turėtų būti netaikomas kultūros vertybėms, kurios buvo sukurtos arba rastos Sąjungos muitų teritorijoje. Šiuo reglamentu nustatytos bendros taisyklės turėtų apimti į Sąjungos muitų teritoriją įvežamų ne Sąjungos kilmės kultūros vertybių muitinės procedūras. Šio reglamento tikslais atitinkama muitų teritorija turėtų būti Sąjungos muitų teritorija importo metu;

(6)

tikrinimo priemonių, kurios bus nustatytos laisvosioms zonoms ir vadinamiems „laisviesiems uostams“, taikymo sritis turėtų būti kuo platesnė atitinkamų muitinės procedūrų atžvilgiu, kad būtų užkirstas kelias šio reglamento apėjimui naudojantis tomis laisvosiomis zonomis, kuriomis gali būti pasinaudota toliau plėtojant neteisėtą prekybą. Todėl tos tikrinimo priemonės turėtų būti susijusios ne tik su kultūros vertybėmis, išleistomis į laisvą apyvartą, bet ir su kultūros vertybėmis, kurioms įforminta specialioji muitinės procedūra. Tačiau taikymo sritis turėtų nenustelbti tikslo užkardyti neteisėtai eksportuojamų kultūros vertybių įvežimą į Sąjungos muitų teritoriją. Todėl, sistemingos tikrinimo priemonės turėtų apimti prekių išleidimą į laisvą apyvartą ir atskiras specialiąsias muitinės procedūras, kurios gali būti įforminamos į Sąjungos muitų teritoriją įvežamoms prekėms, bet turėtų būti netaikomos tranzitui;

(7)

daugelis trečiųjų šalių ir beveik visos valstybės narės yra susipažinusios su terminų apibrėžtimis, vartojamomis 1970 m. lapkričio 14 d. Paryžiuje pasirašytoje UNESCO nelegalaus kultūros vertybių įvežimo, išvežimo ir nuosavybės teisės perdavimo uždraudimo priemonių konvencijoje (toliau – 1970 m. UNESCO konvencija), kurios šalimis yra daugelis valstybių narių, ir 1995 m. birželio 24 d. Romoje pasirašytoje UNIDROIT konvencijoje dėl pavogtų ar neteisėtai išvežtų kultūros objektų vartojamomis apibrėžtimis. Dėl to šiame reglamente vartojamos terminų apibrėžtys yra grindžiamos tomis apibrėžtimis;

(8)

kultūros vertybių eksporto teisėtumo klausimas turėtų būti pirmiausia nagrinėjamas remiantis šalies, kurioje tos kultūros vertybės buvo sukurtos ar rastos, įstatymais ir kitais teisės aktais. Tačiau, siekiant nepagrįstai nevaržyti teisėtos prekybos, asmeniui, siekiančiam importuoti kultūros vertybes į Sąjungos muitų teritoriją, vietoj to turėtų būti išimties tvarka tam tikrais atvejais leidžiama įrodyti teisėtą eksportą iš kitos trečiosios šalies, kurioje šios kultūros vertybės buvo iki jų išsiuntimo į Sąjungą. Ta išimtis turėtų būti taikoma tais atvejais, kai negalima patikimai nustatyti šalies, kurioje tos kultūros vertybės buvo sukurtos ar rastos, arba kai atitinkamos kultūros vertybės buvo eksportuotos prieš 1970 m. UNESCO konvencijos įsigaliojimą, t. y. 1972 m. balandžio 24 d. Siekiant užkirsti kelią šio reglamento apėjimui paprasčiausiai neteisėtai eksportuotas kultūros vertybes siunčiant į kitą trečiąją šalį prieš jų importą į Sąjungą, išimtys turėtų būti taikomos tų šalių atveju, jei kultūros vertybės trečiojoje šalyje išbuvo ilgiau nei penkerių metų laikotarpį kitais nei laikino naudojimo, tranzito, reeksportavimo ar perkrovimo tikslais. Jei tos sąlygos yra įvykdytos daugiau nei vienos šalies atžvilgiu, atitinkama šalis turėtų būti paskutinė iš tų šalių prieš kultūros vertybių įvežimą į Sąjungos muitų teritoriją;

(9)

1970 m. UNESCO konvencijos 5 straipsniu raginama valstybes konvencijos dalyves įsteigti vieną ar daugiau valstybinių tarnybų kultūros vertybių apsaugai nuo neteisėto importo, eksporto ir nuosavybės teisės perdavimo užtikrinti. Tokiose valstybinėse tarnybose turėtų dirbti kvalifikuotas personalas ir jo skaičius turėtų būti pakankamas pagal tą konvenciją reikalaujamai apsaugai užtikrinti ir taip pat turėtų būti sudaromos sąlygos būtinam aktyviam valstybių narių, kurios yra konvencijos dalyvės, kompetentingų institucijų bendradarbiavimui saugumo ir kovos su neteisėtu kultūros vertybių importo – ypač ginkluotojo konflikto apimtuose regionuose – srityse;

(10)

kad nebūtų neproporcingai varžoma prekyba kultūros vertybėmis už Sąjungos išorės sienos, šis reglamentas turėtų būti taikomas tik toms kultūros vertybėms, kurios atitinka tam tikrą šiuo reglamentu nustatytą amžiaus ribą. Taip pat atrodo tikslinga nustatyti finansinę ribą, kad kultūros vertybių importo į Sąjungos muitų teritoriją sąlygos ir procedūros nebūtų taikomos mažesnės vertės kultūros vertybėms. Tos ribos užtikrins, kad šiame reglamente numatytomis priemonėmis daugiausia dėmesio būtų skiriama toms kultūros vertybėms, į kurias grobstytojai konflikto zonose gali būti nusitaikę labiausiai, neišskiriant kitų vertybių, kurių tikrinimas yra būtinas siekiant užtrinti kultūros paveldo apsaugą;

(11)

atlikus supranacionalinį pinigų plovimo ir teroristų finansavimo keliamos rizikos vidaus rinkai vertinimą nustatyta, kad neteisėta prekyba išplėštomis kultūros vertybėmis yra vienas iš galimų teroristų finansavimo ir pinigų plovimo šaltinių;

(12)

kadangi kai kurių kategorijų kultūros vertybėms – o būtent archeologijos objektams ir monumentų dalims – kyla ypač didelė plėšimo ir sunaikinimo grėsmė, atrodo svarbu numatyti griežtesnio tikrinimo prieš leidžiant kultūros vertybes įvežti į Sąjungos muitų teritoriją sistemą. Taikant tokią sistemą turėtų būti reikalaujama iki tų prekių išleidimo į laisvą apyvartą Sąjungoje arba specialiosios muitinės procedūros, išskyrus tranzitą, įforminimo toms kultūros vertybėms pateikti valstybės narės kompetentingos viešosios institucijos išduotą importo licenciją. Asmenys, siekiantys gauti tokią licenciją, turėtų sugebėti atitinkamais patvirtinamaisiais dokumentais ir įrodymais, pavyzdžiui, eksporto liudijimais, nuosavybės teisės liudijimais, sąskaitomis faktūromis, pirkimo–pardavimo sutartimis, draudimo dokumentais, vežimo dokumentais ir ekspertų vertinimo dokumentais, įrodyti eksporto iš šalies, kurioje tos kultūros vertybės buvo sukurtos ar rastos teisėtumą. Remdamosi išsamiais ir tiksliais prašymais, valstybių narių kompetentingos viešosios institucijos turėtų be reikalo nedelsdamos nuspręsti, ar išduoti licenciją. Visos importo licencijos turėtų būti saugomos elektroninėje sistemoje;

(13)

ikona yra bet koks religinės figūros ar religinio įvykio atvaizdas. Ji gali būti atvaizduota įvairiose laikmenose ir įvairaus dydžio ir gali būti monumentalaus ar kilnojamojo pobūdžio. Tais atvejais, kai ikona anksčiau buvo bažnyčios, vienuolyno, koplyčios interjero vidaus dalis, arba atskirai stovinti, arba architektūrinių baldų, pavyzdžiui, ikonostaso arba ikonos stovo, dalis, ji yra itin svarbi ir neatskiriama dievybės garbinimo ir liturginio gyvenimo dalis ir turėtų būti laikoma religinio monumento, kuris buvo išardytas, neatsiejama dalimi. NET ir tais atvejais, kai konkretus monumentas, kuriam ikona priklausė, nežinomas, tačiau kai yra įrodymų, kad ji anksčiau buvo neatsiejama monumento dalis, visų pirma tais atvejais, kai yra požymių ar elementų, kurie rodo, kad ji anksčiau buvo ikonostaso arba ikonos stovo dalis, ikona vis tiek turėtų būti priskiriama priede nurodytai kategorijai „išardytų meno ar istorinių monumentų arba archeologinių vietovių elementai“;

(14)

atsižvelgiant į ypatingą kultūros vertybių pobūdį, nepaprastai svarbų vaidmenį atlieka muitinė, ir ji turėtų turėti galimybę prireikus paprašyti, kad deklarantas pateiktų papildomos informacijos, ir išanalizuoti kultūros vertybes fiziškai jas apžiūrint;

(15)

asmenys, siekiantys importuoti importo licencijų nereikalaujančių kategorijų kultūros vertybes į Sąjungos muitų teritoriją, turėtų pateikti patvirtinimą, kuriame paliudijama ir prisiimama atsakomybė už teisėtą tokių vertybių eksportą iš trečiosios šalies, ir pateikti pakankamai informacijos, kad muitinė galėtų šias kultūros vertybes identifikuoti. Siekiant supaprastinti procedūrą ir teisinio tikrumo sumetimais informacija apie kultūros vertybes turėtų būti pateikta naudojant standartinį dokumentą. Kultūros vertybėms aprašyti galėtų būti naudojamas UNESCO rekomenduojamas objekto identifikacijos standartas. Prekių turėtojas turėtų užregistruoti tuos duomenis elektroninėje sistemoje, kad muitinei būtų sudarytos palankesnės sąlygos atlikti identifikavimą, kad ji galėtų atlikti rizikos analizę bei tikslinius tikrinimus, ir kad būtų užtikrintas atsekamumas po kultūros vertybių įvežimo į vidaus rinką;

(16)

ES vieno langelio aplinkos, skirtos muitinėms, kontekste Komisija turėtų būti atsakinga už tai, kad būtų sukurta centralizuota elektroninė sistema importo licencijų prašymams ir importuotojo patvirtinimams pateikti, taip pat valstybių narių viešosioms institucijoms saugoti informaciją, visų pirma, apie importuotojo patvirtinimus ir importo licencijas, ir ja keistis;

(17)

turėtų būti įmanoma tvarkant duomenis pagal šį reglamentą apimti ir asmens duomenis ir toks tvarkymas turėtų būti atliekamas pagal Sąjungos teisę. Valstybės narės ir Komisija asmens duomenis turėtų tvarkyti tik šio reglamento tikslais, arba tinkamai pagrįstais atvejais – nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos tikslais. Bet kokiam asmens duomenų rinkimui, atskleidimui, siuntimui, perdavimui ir kitam tvarkymui šio reglamento taikymo srityje turėtų būti taikomi Europos Parlamento ir Tarybos reglamentų (ES) 2016/679 (6) ir (ES) 2018/1725 (7) reikalavimai. Tvarkant asmens duomenis šio reglamento tikslais taip pat turėtų būti užtikrinama teisė į privataus ir šeimos gyvenimo gerbimą, kaip pripažinta Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 straipsnyje, taip pat teisė į privatų ir šeimos gyvenimą bei teisė į asmens duomenų apsaugą, pripažintos Europos Sąjungos pagrindinių teisių chartijos atitinkamai 7 ir 8 straipsniuose;

(18)

kultūros vertybių, kurios nebuvo sukurtos ar rastos Sąjungos muitų teritorijoje, tačiau kurios buvo eksportuotos kaip Sąjungos prekės, atveju turėtų būti nereikalaujama pateikti importo licenciją arba importuotojo patvirtinimą, kai jos grąžinamos į tą teritoriją kaip grąžintos prekės, kaip apibrėžta Reglamente (ES) Nr. 952/2013;

(19)

laikinajam kultūros vertybių įvežimui švietimo, mokslo, išsaugojimo, restauravimo, eksponavimo, skaitmeninimo, scenos menų tikslais, akademinių įstaigų atliekamų mokslinių tyrimų ar muziejų arba panašių įstaigų bendradarbiavimo tikslu reikalavimas pateikti importo licenciją ar importuotojo patvirtinimą taip pat turėtų būti netaikomas;

(20)

siekiant užtikrinti kultūros vertybių iš nuo ginkluotojo konflikto arba stichinės nelaimės nukentėjusių šalių saugumą ir išsaugojimą, šias vertybes taip pat turėtų būti leidžiama saugoti išimtiniu tikslu – siekiant, kad viešoji institucija jas saugiai laikytų arba tai būtų daroma jai prižiūrint, nereikalaujant pateikti importo licencijos ar importuotojo patvirtinimo;

(21)

siekiant sudaryti palankesnes sąlygas kultūros vertybėms pateikti komercinėse menų mugėse, importo licencija turėtų nebūti būtina tais atvejais, kai kultūros vertybės laikinai įvežamos, kaip apibrėžta Reglamento (ES) Nr. 952/2013 250 straipsnyje, ir kai vietoj importo licencijos pateiktas importuotojo patvirtinimas. Tačiau importo licencijos pateikimo turėtų būti reikalaujama tais atvejais, kai tokios kultūros vertybės po menų mugės liks Sąjungoje;

(22)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti išsamią tvarką dėl kultūros vertybių, kurios yra grąžintos prekės, ar kultūros vertybių laikinojo įvežimo į Sąjungos muitų teritoriją ir jų saugojimo, prašymo išduoti importo licenciją bei importo licencijos formų šablonų, importuotojo patvirtinimo bei prie jo pridedamų dokumentų šablonų, ir išsamesnių jų pateikimo ir nagrinėjimo procedūrinių taisyklių. Komisijai taip pat turėtų būti suteikti įgyvendinimo įgaliojimai nustatyti elektroninės sistemos, skirtos importo licencijų prašymams ir importuotojo patvirtinimams pateikti, taip pat informacijai saugoti ir ja keistis tarp valstybių narių, kūrimo tvarką. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (8);

(23)

siekiant užtikrinti veiksmingą koordinavimą ir išvengti pastangų dubliavimo organizuojant mokymą, gebėjimų stiprinimo veiklą ir informuotumo didinimo kampanijas, taip pat siekiant užsakyti atitinkamus mokslinius tyrimus ir standartų plėtojimą, prireikus Komisija ir valstybės narės turėtų bendradarbiauti su tarptautinėmis organizacijomis ir įstaigomis, pavyzdžiui, UNESCO, Interpolu, Europolu, Pasaulio muitinių organizacija, Tarptautiniu kultūros vertybių išsaugojimo ir restauravimo studijų centru ir Tarptautine muziejų taryba (ICOM);

(24)

siekiant sudaryti sąlygas veiksmingai įgyvendinti šį reglamentą ir sukurti būsimo jo vertinimo pagrindą, valstybės narės ir Komisija turėtų elektroniniu būdu rinkti atitinkamą informaciją apie prekybos kultūros vertybėmis srautus ir ja dalytis. Siekiant užtikrinti skaidrumą ir viešą kontrolę, turėtų būti viešinama kuo daugiau informacijos. Prekybos kultūros vertybėmis srautų stebėsena negali būti veiksminga, jei ji apsiriboja tik tų vertybių verte ar svoriu. Ypač svarbu elektroniniu būdu rinkti informaciją apie deklaruotų objektų skaičių. Kadangi Kombinuotojoje nomenklatūroje nenurodyta papildomo kultūros vertybių matavimo vieneto, būtina reikalauti deklaruoti objektų skaičių;

(25)

ES muitinės rizikos valdymo strategijos ir veiksmų plano tikslas yra, inter alia, stiprinti muitinės pajėgumą geriau reaguoti į riziką kultūros vertybių srityje. Turėtų būti naudojamasi Reglamente (ES) Nr. 952/2013 nustatyta bendra rizikos valdymo schema, o muitinės turėtų keistis svarbia su rizika susijusia informacija;

(26)

siekiant pasinaudoti tarptautinių organizacijų ir įstaigų, kurios veikia kultūros srityje, ekspertinėmis žiniomis ir jų patirtimi neteisėtos prekybos kultūros vertybėmis srityje, turėtų būti atsižvelgiama į tų organizacijų ir įstaigų pateiktas rekomendacijas ir gaires bendro rizikos valdymo kontekste nustatant riziką, susijusią su kultūros vertybėmis. Visų pirma, ICOM rengiami raudonieji sąrašai turėtų būti gairės siekiant nustatyti tas trečiąsias šalis, kurių paveldui kyla didžiausia rizika, ir iš ten eksportuojamus objektus, kurie dažniau būtų neteisėtos prekybos objektai;

(27)

būtina rengti informavimo kampanijas, skirtas kultūros vertybių pirkėjams, neteisėtos prekybos rizikos klausimu, bei padėti rinkos dalyviams suprasti ir taikyti šį reglamentą. Skleidžiant tą informaciją valstybės narės turėtų įtraukti atitinkamus nacionalinius kontaktinius punktus ir kitas informacijos teikimo tarnybas;

(28)

siekiant veiksmingo šio reglamento įgyvendinimo, Komisija turėtų užtikrinti, kad labai mažos, mažos ir vidutinės įmonės (MVĮ) naudotųsi derama technine pagalba, ir padėti joms teikti informaciją. Todėl Sąjungoje įsisteigusios MVĮ, kurios importuoja kultūros vertybes, turėtų pasinaudoti dabartinėmis ir būsimomis Sąjungos programomis, kuriomis remiamas mažųjų ir vidutinių įmonių konkurencingumas;

(29)

siekiant skatinti reikalavimų laikymąsi ir atgrasyti nuo jų apėjimo, valstybės narės turėtų nustatyti veiksmingas, proporcingas ir atgrasomas sankcijas už šio reglamento nuostatų nesilaikymą ir apie tas sankcijas pranešti Komisijai. Valstybių narių nustatytos sankcijos šio reglamento pažeidimų atžvilgiu turėtų turėti vienodą atgrasomąjį poveikį visoje Sąjungoje;

(30)

valstybės narės turėtų užtikrinti, kad muitinė ir kompetentingos viešosios institucijos susitartų dėl priemonių pagal Reglamento (ES) Nr. 952/2013 198 straipsnį. Išsamesniems tų priemonių aspektams turėtų būti taikoma nacionalinė teisė;

(31)

Komisija nedelsdama turėtų priimti šio reglamento įgyvendinimo taisykles, visų pirma susijusias su atitinkamomis standartinėmis elektroninėmis formomis, kurios naudojamos teikiant importo licencijos prašymą ar rengiant importuotojo patvirtinimą, ir po to per kuo trumpesnį laiką sukurti elektroninę sistemą. Nuostatų dėl importo licencijų ir importuotojo patvirtinimų taikymas turėtų būti atitinkamai atidėtas;

(32)

pagal proporcingumo principą, siekiant pagrindinių šio reglamento tikslų, būtina ir tinkama nustatyti taisykles, susijusias su kultūros vertybių įvežimu ir jų importo į Sąjungos muitų teritoriją sąlygomis ir procedūromis. Šiuo reglamentu, remiantis Europos Sąjungos sutarties 5 straipsnio 4 dalimi, neviršijama to, kas būtina nurodytiems tikslams pasiekti,

(1)

tinklų ir informacinės sistemos bei elektroninių ryšių tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir tapo ekonomikos augimo pamatu. Informacinėmis ir ryšių technologijomis (IRT) grindžiamos sudėtingos sistemos, kurias taikant remiama kasdienė visuomenės veikla, užtikrinamas mūsų ekonomikos pagrindinių sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

(2)

piliečiai, organizacijos ir verslo įmonės visoje Sąjungoje dabar labai plačiai naudoja tinklų ir informacines sistemas. Vis daugiau produktų ir paslaugų yra grindžiami skaitmeninimu ir susietumu, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį Sąjungoje bus įdiegtas ypatingai didelis skaičius susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, jų projektavimo etape nepakankamai atsižvelgiama į saugumą ir atsparumą, dėl to jų kibernetinis saugumas yra nepakankamas. Tomis aplinkybėmis dėl riboto sertifikavimo naudojimo pavieniai naudotojai, organizacijos ir verslo įmonės negauna pakankamai informacijos apie IRT produktų, paslaugų ir procesų kibernetinio saugumo savybes, o tai mažina pasitikėjimą skaitmeniniais sprendimais. Tinklų ir informacinės sistemos gali mums talkinti visose mūsų gyvenimo srityse ir skatinti Sąjungos ekonomikos augimą. Jos yra skaitmeninės bendrosios rinkos kūrimo pagrindas;

(3)

dėl išaugusio skaitmeninimo ir susietumo padidėjo kibernetiniam saugumui kylanti rizika, todėl visa visuomenė gali labiau nukentėti nuo kibernetinių grėsmių ir didėja gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šiuos pavojus, būtina imtis visų reikiamų veiksmų Sąjungoje padidinti kibernetinį saugumą, kad nuo kibernetinių grėsmių būtų geriau apsaugotos tinklų ir informacinės sistemos, ryšių tinklai, skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, organizacijos ir verslo įmonės – nuo mažųjų ir vidutinių įmonių (MVĮ), kaip apibrėžta Komisijos rekomendacijoje Nr. 2003/361/EB (4), iki ypatingos svarbos infrastruktūros objektų operatorių;

(4)

sudarydama visuomenei sąlygas susipažinti su atitinkama informacija, Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA), įsteigta Europos Parlamento ir Tarybos reglamentu (ES) Nr. 526/2013 (5), prisideda prie kibernetinio saugumo pramonės Sąjungoje vystymo, visų pirma prie MVĮ ir startuolių plėtros. ENISA turėtų siekti glaudžiau bendradarbiauti su universitetais ir mokslinių tyrimų centrais, kad būtų prisidedama prie priklausomybės nuo kibernetinio saugumo produktų ir paslaugų, kurie nėra iš Sąjungos, sumažinimo ir tiekimo grandinių Sąjungos viduje stiprinimo;

(5)

kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, kuri gali labiau nukentėti nuo kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto incidentai gali sutrikdyti esminių paslaugų visoje Sąjungoje teikimą. Todėl būtinas veiksmingas ir koordinuotas Sąjungos lygmens atsakas ir krizių valdymas, paremtas tiksline politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, verslo sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, iššūkiai ir grėsmės;

(6)

atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tie tikslai apima tolesnį valstybių narių ir įmonių pajėgumų bei parengties gerinimą, taip pat valstybių narių ir Sąjungos institucijų, įstaigų, organų ir agentūrų bendradarbiavimo, dalijimosi informacija ir veiksmų koordinavimo gerinimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių incidentų ir krizių atveju, kartu atsižvelgiant į nacionalinių reagavimo į bet kokio masto kibernetines grėsmes pajėgumų palaikymo ir tolesnio plėtojimo svarbą;

(7)

taip pat reikia dėti daugiau pastangų siekiant didinti piliečių, organizacijų ir verslo įmonių informuotumą apie kibernetinio saugumo klausimus. Be to, atsižvelgiant į tai, kad incidentai mažina pasitikėjimą skaitmeninių paslaugų teikėjais ir pačia skaitmenine bendrąja rinka, ypač tarp vartotojų, reikėtų toliau stiprinti pasitikėjimą skaidriai teikiant informaciją apie IRT produktų, paslaugų ir procesų saugumo lygį, pabrėžiant, kad net ir aukštas kibernetinio saugumo sertifikavimo lygis negali garantuoti IRT produkto, paslaugos ar proceso visiško saugumo. Padidinti pasitikėjimą galėtų pagerinti Sąjungos masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose;

(8)

kibernetinis saugumas nėra vien su technologijomis susijęs klausimas, vienodai svarbus yra žmonių elgesys. Todėl reikėtų aktyviai propaguoti „kibernetinę higieną“ – nesudėtingas įprastines priemones, kurias įgyvendinę ir reguliariai taikydami piliečiai, organizacijos ir įmonės kiek įmanoma labiau sumažina kibernetinių grėsmių jiems keliamą riziką;

(9)

siekiant stiprinti Sąjungos kibernetinio saugumo struktūras, svarbu palaikyti ir plėtoti valstybių narių pajėgumus visapusiškai reaguoti į kibernetines grėsmes, įskaitant tarpvalstybinius incidentus;

(10)

įmonės ir individualūs vartotojai turėtų turėti tikslią informaciją apie tai, koks yra sertifikavimu patvirtintas jų IRT produktų, paslaugų ir procesų saugumo užtikrinimo lygis. Tuo pačiu metu joks IRT produktas ar paslauga nėra visiškai saugus kibernetiniu požiūriu, ir reikia propaguoti elementarias kibernetinės higienos taisykles ir teikti joms pirmenybę. Atsižvelgiant į tai, kad daugėja daiktų interneto įrenginių, esama daug įvairių savanoriškų priemonių, kurių gali imtis privatusis sektorius, kad sustiprintų pasitikėjimą IRT produktų, paslaugų ir procesų saugumu;

(11)

šiuolaikiniai IRT produktai ir sistemos dažnai turi integruotas vieną ar kelias trečiųjų šalių technologijas ir komponentus ir jais remiasi, pavyzdžiui, programinės įrangos modulius, bibliotekas ar taikomųjų programų sąsajas. Dėl šio rėmimosi, vadinamo „priklausomybe“, galėtų kilti papildoma rizika kibernetiniam saugumui, nes trečiųjų šalių komponentuose aptiktos pažeidžiamumo spragos taip pat galėtų pakenkti IRT produktų, paslaugų ir procesų saugumui. Daugeliu atveju tokios priklausomybės identifikavimas ir dokumentavimas sudaro galimybę galutiniams IRT produktų, paslaugų ir procesų naudotojams pagerinti savo rizikos kibernetiniam saugumui valdymo veiklą patobulinant, pavyzdžiui, naudotojų kibernetinio saugumo pažeidžiamumo spragų valdymo ir ištaisymo procedūras;

(12)

IRT produktų, paslaugų arba procesų projektavime ir plėtojime dalyvaujančios organizacijos, gamintojai ar tiekėjai turėtų būti skatinami ankstyviausiuose projektavimo ir plėtojimo etapuose diegti tokias priemones, kad tie produktai, paslaugos ir procesai būtų kiek įmanoma geriau apsaugomi, kad būtų daroma prielaida, jog kibernetinių išpuolių pasitaikys, ir būtų numatomas bei iki minimumo sumažinamas šių išpuolių poveikis (integruotasis saugumas). Saugumas turėtų būti užtikrinamas per visą IRT produkto, paslaugos ar proceso gyvavimo laikotarpį, o projektavimo ir plėtojimo procesai turėtų būti nuolat tobulinami siekiant sumažinti piktybinių veiksmų žalą;

(13)

įmonės, organizacijos ir viešasis sektorius turėtų taip konfigūruoti jų kuriamus IRT produktus, paslaugas ar procesus, kad būtų užtikrintas aukštesnis saugumo lygis, tokiu būdu pirmajam naudotojui sudarant galimybes gauti pačių saugiausių įmanomų nustatymų integruotąją konfigūraciją („integruotasis saugumas“), ir taip būtų sumažinta naudotojams tenkanti IRT produkto, paslaugos ar proceso tinkamo konfigūravimo našta. Jeigu integruotasis saugumas yra įdiegtas, jis turėtų tiesiog lengvai ir patikimai veikti – jo veikimui užtikrinti neturėtų reikėti atlikti išsamių nustatymų, arba kad naudotojas turėtų specialių techninių žinių ar atliktų kitokius, nei savaime suprantami, veiksmus. Jei konkrečiu atveju remiantis rizikos ir tinkamumo naudoti analize galima daryti išvadą, kad toks numatytasis nustatymas neįmanomas, naudotojai turėtų būti paraginti pasirinkti saugiausią nustatymą;

(14)

Europos Parlamento ir Tarybos reglamentu (EB) Nr. 460/2004 (6) įsteigta ENISA, siekiant prisidėti prie šių tikslų įgyvendinimo: užtikrinti aukštą Sąjungos tinklų ir informacijos saugumo lygį ir piliečių, vartotojų, įmonių ir viešojo administravimo institucijų labui formuoti tinklų ir informacijos saugumo kultūrą. Europos Parlamento ir Tarybos reglamentu (EB) Nr. 1007/2008 (7) ENISA įgaliojimai pratęsti iki 2012 m. kovo mėn. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 580/2011 (8) ENISA įgaliojimai buvo dar pratęsti iki 2013 m. rugsėjo 13 d. Reglamentu (ES) Nr. 526/2013 ENISA įgaliojimai buvo pratęsti iki 2020 m. birželio 19 d.;

(15)

Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta Europos Sąjungos kibernetinio saugumo strategija siekiant nubrėžti Sąjungos politikos atsako į kibernetines grėsmes ir riziką gaires. Kad piliečiai būtų geriau apsaugoti internete, 2016 m. priimtas pirmasis Sąjungos kibernetinio saugumo srities teisės procedūra priimamas aktas – Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 (9). Direktyva (ES) 2016/1148 buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos pareigos, susijusios su saugumo priemonėmis ir pranešimais apie incidentus sektoriuose, kurie yra itin svarbūs ekonomikai ir visuomenei, pvz., energetikos, transporto, geriamo vandens tiekimo ir paskirstymo, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių).

Vienas iš pagrindinių vaidmenų remiant tos direktyvos įgyvendinimą buvo priskirtas ENISA. Be to, veiksminga kova su kibernetiniais nusikaltimais yra svarbus Europos saugumo darbotvarkės prioritetas, prisidedantis prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį. Prie aukšto kibernetinio saugumo lygio bendrojoje skaitmeninėje rinkoje prisideda ir kiti teisės aktai, pavyzdžiui, Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 (10), Europos Parlamento ir Tarybos direktyvos 2002/58/EB (11) ir (ES) 2018/1972 (12).

(16)

nuo tada, kai 2013 m. buvo priimta Europos Sąjungos kibernetinio saugumo strategija ir buvo atlikta paskiausia ENISA įgaliojimų peržiūra, įvyko didelių bendrų politinių aplinkybių pokyčių, susijusių su mažiau nuspėjama ir mažiau saugia pasauline aplinka. Šiomis aplinkybėmis ir atsižvelgiant į pozityvią ENISA vaidmens kaip informacinio centro, kuris teikia rekomendacijas ir ekspertines žinias, taip pat padeda bendradarbiauti ir stiprinti pajėgumus, raidą, taip pat remiantis nauja Sąjungos kibernetinio saugumo politika, būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisidėtų prie Sąjungos veiksmų reaguojant į kibernetinio saugumo iššūkius, kylančius dėl radikaliai pasikeitusios kibernetinių grėsmių padėties, o šiam tikslui pasiekti, kaip pripažinta ENISA vertinime, esamų įgaliojimų nepakanka;

(17)

šiuo reglamentu įsteigta ENISA turėtų pakeisti Reglamentu (ES) Nr. 526/2013 įsteigtą ENISA. ENISA turėtų vykdyti šiuo reglamentu ir kitais kibernetinio saugumo srities Sąjungos teisės aktais jai pavestas užduotis, be kita ko, teikdama ekspertines žinias ir teikdama rekomendacijas bei atlikdama Sąjungos informacijos ir žinių centro funkcijas. Ji turėtų skatinti keistis geriausios praktikos pavyzdžiais tarp valstybių narių ir privačių suinteresuotųjų subjektų, teikdama politikos pasiūlymus Komisijai ir valstybėms narėms, veikdama kaip informacinis centras vykdant Sąjungos sektorių politikos iniciatyvas kibernetinio saugumo klausimais ir skatindama operatyvinį valstybių narių tarpusavio ir valstybių narių bei Sąjungos institucijų, įstaigų, organų ir agentūrų bendradarbiavimą;

(18)

Sprendimu 2004/97/EB, Euratomas, kurį bendru susitarimu priėmė valstybių narių atstovai, posėdžiavę valstybės arba Vyriausybės vadovų lygiu (13), valstybių narių atstovai nusprendė, kad ENISA būstinė bus viename iš Graikijos miestų, dėl kurio nuspręs Graikijos Vyriausybė. ENISA priimančioji valstybė narė turėtų užtikrinti kuo geresnes jos sklandžios ir veiksmingos veiklos sąlygas. Kad ENISA tinkamai ir veiksmingai vykdytų savo užduotis, samdytų ir išsaugotų darbuotojus bei veiksmingiau vykdytų tinklaveiką, yra būtina ENISA įkurdinti tinkamoje vietovėje, be kita ko, užtikrinant tinkamas transporto jungtis ir infrastruktūrą su ENISA darbuotojais atvykstantiems sutuoktiniams ir vaikams. ENISA ir priimančiosios valstybės narės susitarime, sudarytame gavus ENISA Valdančiosios tarybos pritarimą, turėtų būti nustatytos reikiamos nuostatos;

(19)

atsižvelgiant į didėjančią kibernetiniam saugumui kylančią riziką ir iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti ENISA skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į išaugusį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Sąjungos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje, kad ENISA galėtų veiksmingai atlikti jai pagal šį Reglamentą pavestas užduotis;

(20)

ENISA turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas rekomendacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ENISA turėtų aktyviai remti nacionalinius veiksmus ir iniciatyviai prisidėti prie Sąjungos veiksmų, visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, organais ir agentūromis bei valstybėmis narėmis, vengdama darbo dubliavimo ir propaguodama sinergiją. Be to, ENISA turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip ENISA turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

(21)

kad galėtų valstybėms narėms teikti tinkamą paramą operatyvinio bendradarbiavimo srityje, ENISA turėtų toliau stiprinti savo techninius ir žmogiškuosius pajėgumus ir įgūdžius. ENISA turėtų plėsti savo praktinę patirtį ir pajėgumus. ENISA ir valstybės narės savanorišku pagrindu galėtų plėtoti nacionalinių ekspertų komandiravimo į ENISA programas, telkiant ekspertus ir vykdant darbuotojų mainus;

(22)

ENISA turėtų padėti Komisijai teikdama rekomendacijas, nuomones ir analizę visais Sąjungos klausimais, susijusiais su politikos ir teisės kūrimu, atnaujinimais ir peržiūromis kibernetinio saugumo srityje, ir jų specifiniais sektorių aspektais, siekiant padidinti kibernetinio saugumo aspektą apimančios Sąjungos politikos ir teisės aktualumą ir sudaryti galimybę tą politiką ir teisę nuosekliai įgyvendinti nacionaliniu lygmeniu. Rengiant Sąjungos sektorinę politiką ir teisės aktų iniciatyvas kibernetinio saugumo klausimais ENISA turėtų veikti kaip informacinis centras, teikdama rekomendacijas ir ekspertines žinias. ENISA turėtų reguliariai teikti informaciją Europos Parlamentui apie savo veiklą;

(23)

atvirojo interneto viešasis pagrindas, kitaip tariant – interneto pagrindiniai protokolai ir infrastruktūra, kurie yra pasaulinės viešosios gėrybės, užtikrina esmines viso interneto funkcines galimybes ir nuo jų priklauso jo įprastas veikimas. ENISA turėtų remti atvirojo interneto viešojo pagrindo funkcionavimo saugumą ir stabilumą, įskaitant pagrindinius protokolus (visų pirma DNS, BGP ir IPv6), domeno vardų sistemos veikimą (kaip antai visų aukščiausio lygio domenų vardų veikimą) ir šakninės zonos veikimą, bet ne tik tai;

(24)

pagrindinė ENISA užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti Direktyvą (ES) 2016/1148 ir kitus susijusius teisinius dokumentus, į kuriuos įtrauktos kibernetinio saugumo srities nuostatos, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omenyje sparčiai kintančią kibernetinių grėsmių padėtį, akivaizdu, kad valstybėms narėms būtina padėti pasiūlant platesnį, įvairias politikos sritis apimantį požiūrį į kibernetinio atsparumo didinimą;

(25)

ENISA turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms joms dedant pastangas plėtoti ir stiprinti pajėgumą ir parengtį užkirsti kelią tinklų ir informacinių sistemų saugumui kylančioms kibernetinėms grėsmėms ir incidentams, juos nustatyti ir į juos reaguoti. Visų pirma ENISA turėtų padėti plėtoti ir stiprinti nacionalines ir Sąjungos reagavimo į kompiuterių saugumo incidentus tarnybas (toliau – CSIRT), nurodytas Direktyvoje (ES) 2016/1148, kad Sąjungoje būtų užtikrintas vienodas aukštas jų kompetencijos lygis. ENISA vykdoma veikla, susijusi su valstybių narių operaciniais pajėgumais, turėtų aktyviai remti veiksmus, kurių imasi pačios valstybės narės siekdamos vykdyti savo pareigas pagal Direktyvą (ES) 2016/1148, ir todėl neturėtų jų pakeisti;

(26)

ENISA taip pat turėtų padėti rengti ir atnaujinti tinklų ir informacinių sistemų saugumo, visų pirma kibernetinio saugumo, strategijas Sąjungos lygmeniu ir, gavusi prašymą, valstybių narių lygmeniu, skatinti tokių strategijų sklaidą ir stebėti jų įgyvendinimo pažangą. Taip pat ENISA turėtų prisidėti patenkinant mokymų rengimo ir mokomosios medžiagos teikimo poreikius, įskaitant viešųjų įstaigų poreikius, ir, kai tinkama, plačiu mastu rengti instruktorius, remiantis Piliečiams skirta Europos skaitmeninės kompetencijos programa siekiant padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms plėtoti savo mokymo pajėgumus;

(27)

ENISA turėtų remti valstybių narių veiklą informuotumo didinimo ir švietimo kibernetinio saugumo klausimais srityje, palengvindama jų glaudesnį bendradarbiavimą ir keitimąsi geriausios praktikos pavyzdžiais. Tokią paramą galėtų sudaryti nacionalinių švietimo informacinių centrų tinklo ir mokymo kibernetinio saugumo srityje platformos sukūrimas. Nacionalinių švietimo informacinių centrų tinklas galėtų būti nacionalinių ryšių palaikymo pareigūnų tinklo dalis ir sudaryti pradines sąlygas būsimam koordinavimui valstybėse narėse;

(28)

ENISA turėtų padėti pagal Direktyvą (ES) 2016/1148 sukurtai Bendradarbiavimo grupei vykdyti jos užduotis, visų pirma susijusias su valstybių narių esminių paslaugų teikėjų nustatymu, be kita ko, klausimais, susijusiais su tarpvalstybine priklausomybe, rizika ir incidentais, teikdama ekspertines žinias bei rekomendacijas ir sudaryti palankesnes sąlygas keistis geriausia praktika;

(29)

siekiant skatinti viešojo ir privačiojo sektorių bendradarbiavimą ir bendradarbiavimą privačiajame sektoriuje, visų pirma stiprinti paramą ypatingos svarbos infrastruktūros apsaugai, ENISA turėtų remti dalijimąsi informacija sektoriuose ir tarp sektorių, visų pirma Direktyvos (ES) 2016/1148 II priede išvardytuose sektoriuose, dalydamasi geriausios praktikos pavyzdžiais ir teikdama rekomendacijas dėl esamų priemonių ir procedūrų, taip pat rekomendacijas, kaip spręsti su dalijimusi informacija susijusius reguliavimo klausimus, pavyzdžiui, padėdama steigti sektorių keitimosi informacija ir jos analizės centrus;

(30)

kadangi potencialus IRT produktų, paslaugų ir procesų pažeidžiamumo spragų neigiamas poveikis nuolat didėja, aptikti ir pašalinti tokias pažeidžiamumo spragas labai svarbu mažinant bendrą kibernetiniam saugumui kylančią riziką. Patirtis rodo, kad organizacijų, pažeidžiamų IRT produktų, paslaugų ir procesų gamintojų ar teikėjų ir kibernetinio saugumo tyrimų bendruomenės narių bei Vyriausybių, kurios aptinka pažeidžiamumo spragas, bendradarbiavimas žymiai padidina IRT produktų, paslaugų ir procesų pažeidžiamumo spragų aptikimo ir pašalinimo lygį. Suderintas pažeidžiamumo spragų atskleidimas yra struktūrinis bendradarbiavimo procesas, per kurį informacinės sistemos savininkui pranešama apie pažeidžiamumo spragas, suteikiant tai organizacijai galimybę problemą diagnozuoti ir išspręsti prieš atskleidžiant išsamią informaciją apie pažeidžiamumo spragą trečiosioms šalims arba visuomenei. Taip pat procese numatytas problemą aptikusio subjekto ir organizacijos veiksmų koordinavimas, susijęs su tų pažeidžiamumo spragų viešu paskelbimu. Suderinto pažeidžiamumo spragų atskleidimo politika gali atlikti svarbų vaidmenį valstybių narių pastangų stiprinti kibernetinį saugumą kontekste;

(31)

Agentūra turėtų apibendrinti ir analizuoti savanoriškai pasidalintas nacionalines CSIRT ir Europos institucijų, įstaigų, organų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos, įsteigtos Europos Parlamento, Europos Vadovų Tarybos, Europos Sąjungos Tarybos, Europos Komisijos, Europos Sąjungos Teisingumo Teismo, Europos Centrinio Banko, Europos Audito Rūmų, Europos išorės veiksmų tarnybos, Europos ekonomikos ir socialinių reikalų komiteto, Europos regionų komiteto ir Europos investicijų banko susitarimu dėl Sąjungos institucijų, įstaigų, organų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) darbo organizavimo ir veiklos (14), ataskaitas, siekdama prisidėti prie bendrų keitimosi informacija procedūrų, kalbos ir terminijos kūrimo. Remdamasi Direktyva (ES) 2016/1148, kuria padėtas pamatas savanoriškiems techninės informacijos mainams ta direktyva įkurtos reagavimo į kompiuterių saugumo incidentus tarnybos tinkle (toliau – CSIRT tinklas) operatyviniu lygmeniu, ENISA taip pat turėtų įtraukti privatųjį sektorių;

(32)

ENISA turėtų padėti Sąjungos lygmeniu reaguoti į didelio masto tarpvalstybinius su kibernetiniu saugumu susijusius incidentus ir krizes. Ta veikla turėtų būti vykdoma laikantis ENISA įgaliojimų pagal šį reglamentą ir požiūrio, dėl kurio turi susitarti valstybės narės pagal Komisijos rekomendaciją (ES) 2017/1584 (15) ir 2018 m. birželio 26 d. Tarybos išvadas dėl ES koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes. Vykdydama šią veiklą ENISA galėtų rinkti svarbią informaciją ir prisiimti tarpininkės tarp CSIRT tinklo, techninės bendruomenės ir už krizių valdymą atsakingų sprendimus priimančių asmenų vaidmenį. Be to, ENISA turėtų remti operatyvinį valstybių narių bendradarbiavimą, jei to paprašo viena arba daugiau valstybių narių, padėti valdyti incidentus techniniu požiūriu, sudarydama palankesnes sąlygas valstybėms narėms keistis tinkamais techniniais sprendimais ir prisidėdama prie viešųjų ryšių. ENISA turėtų remti šį procesą, per reguliarias kibernetinio saugumo pratybas išbandydama tokio bendradarbiavimo būdus;

(33)

remdama operatyvinį bendradarbiavimą, ENISA turėtų naudotis esamomis CERT-EU techninėmis ir operatyvinėmis ekspertinėmis žiniomis pasinaudodama struktūriniu bendradarbiavimu. Toks struktūrinis bendradarbiavimas galėtų sustiprinti ENISA ekspertines žinias. Kai tikslinga, turėtų būti sudaryti specialūs šių dviejų organizacijų susitarimai, siekiant nustatyti, kaip toks bendradarbiavimas bus įgyvendinamas praktiškai ir išvengti veiklos dubliavimo;

(34)

vykdydama savo užduotis, kuriomis remiamas operatyvinis bendradarbiavimas CSIRT tinkle, ENISA turėtų galėti valstybėms narėms paprašius teikti joms paramą, pavyzdžiui, teikdama rekomendacijas, kaip pagerinti jų pajėgumus užkirsti kelią incidentams, juos aptikti ir į juos reaguoti, palengvindama didelį arba esminį poveikį turinčių incidentų techninį valdymą arba užtikrindama kibernetinių grėsmių ir incidentų analizę. ENISA turėtų palengvinti didelį arba esminį poveikį turinčių incidentų techninį valdymą, visų pirma teikdama paramą savanoriškam valstybių narių dalijimuisi techniniais sprendimais arba rengdama bendrą techninę informaciją, kuri galėtų apimti, pavyzdžiui, valstybių narių savanoriškai pasidalytus techninius sprendimus. Rekomendacijoje (ES) 2017/1584 rekomenduojama, kad valstybės narės geranoriškai bendradarbiautų ir nedelsdamos dalytųsi tarpusavyje bei su ENISA informacija apie didelio masto su kibernetiniu saugumu susijusius incidentus ir krizes. Tokia informacija dar labiau padėtų ENISA vykdyti savo operatyvinio bendradarbiavimo rėmimo užduotis;

(35)

reguliaraus techninio bendradarbiavimo, padedančio būti geriau informuotiems apie padėtį Sąjungoje, dalis turėtų būti ENISA reguliariai, glaudžiai bendradarbiaujant su valstybėmis narėmis, rengiamos išsamios ES kibernetinio saugumo techninės padėties ataskaitos, kuriose apžvelgiami incidentai ir kibernetinės grėsmės ir kurios grindžiamos viešai prieinama informacija, pačios Agentūros atliekama analize ir ataskaitomis, kurias Agentūrai pateikė valstybių narių CSIRT arba Direktyvoje (ES) 2016/1148 nurodyti nacionaliniai bendrieji tinklų ir informacinių sistemų saugumo informaciniai centrai (toliau – bendrasis informacinis centras) (tiek vieni, tiek kiti – savanoriškai), Europolo Europos kovos su elektroniniu nusikalstamumu centras (EC3), CERT-EU ir, kai tikslinga, Europos išorės veiksmų tarnybai priklausantis Europos Sąjungos žvalgybos analizės centras (EU INTCEN). Ta ataskaita turėtų būti pateikta Tarybai, Komisijai, Sąjungos vyriausiajam įgaliotiniui užsienio reikalams ir saugumo politikai ir CSIRT tinklui;

(36)

ENISA susijusių valstybių narių prašymu remiant didelį arba esminį poveikį turinčių incidentų ex post techninius tyrimus, daugiausia dėmesio turėtų būti skiriama incidentų prevencijai ateityje. Susijusios valstybės narės turėtų teikti būtiną informaciją ir pagalbą, kad ENISA galėtų veiksmingai prisidėti prie ex-post techninio tyrimo;

(37)

valstybės narės gali paraginti nuo incidento nukentėjusias įmones bendradarbiauti, suteikiant būtiną informaciją ir pagalbą ENISA, nepažeidžiant jų teisės apsaugoti neskelbtiną komercinę informaciją ir su visuomenės saugumu susijusią informaciją;

(38)

siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms, įstaigoms, organams ir agentūroms, ENISA turi analizuoti esamą ir naujausią kibernetinio saugumo riziką. Šiuo tikslu ENISA, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitomis įstaigomis, turėtų rinkti reikiamą informaciją, kuri yra viešai prieinama arba savanoriškai pateikiama, ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu technologinių inovacijų poveikiu tinklų ir informacijos saugumui, visų pirma kibernetiniam saugumui, pasireiškiančiu visuomeniniu, teisiniu, ekonominiu ir reguliavimo aspektais. Be to, ENISA, vykdydama grėsmių, pažeidžiamumo spragų ir incidentų analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms. organams ir agentūroms nustatyti naujausius kibernetinės rizikos veiksnius ir užkirsti kelią kibernetinio saugumo incidentams;

(39)

kad padidintų Sąjungos atsparumą, ENISA turėtų plėtoti mokslinę kompetenciją infrastruktūros objektų, kurie užtikrina visų pirma Direktyvos (ES) 2016/1148 II priede išvardytų sektorių veiklą ir kuriuos naudoja tos direktyvos III priede išvardyti skaitmeninių paslaugų teikėjai, kibernetinio saugumo srityje, teikdama rekomendacijas, gaires ir dalydamasi geriausia praktika. Siekdama užtikrinti lengvesnę prieigą prie geriau susistemintos informacijos apie kibernetiniam saugumui kylančią riziką ir galimas jos mažinimo priemones, ENISA turėtų sukurti ir palaikyti Sąjungos informacijos centrą – vieno langelio principu veikiantį portalą, kuriame visuomenei būtų prieinama Sąjungos ir nacionalinių institucijų, įstaigų, organų ir agentūrų teikiama informacija apie kibernetinį saugumą. Paprastesnė prieiga prie geriau susistemintos informacijos apie kibernetiniam saugumui kylančią riziką ir galimas jos mažinimo priemones taip pat galėtų padėti valstybėms narėms sustiprinti savo pajėgumus ir suderinti savo praktiką, taip padidinant bendrą jų atsparumą kibernetiniams išpuoliams;

(40)

ENISA turėtų padėti didinti visuomenės informuotumą, be kita ko, pasitelkiant visos ES masto informuotumo didinimo kampaniją, propaguojant švietimą apie su kibernetiniu saugumu susijusią riziką, ir piliečiams, organizacijoms bei įmonėms pateikti atskiriems naudotojams skirtas konsultacijas gerosios praktikos klausimais. ENISA taip pat turėtų padėti skatinti piliečius, organizacijas ir įmones taikyti geriausią praktiką ir sprendimus, įskaitant kibernetinę higieną ir kibernetinį raštingumą, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengdama ir viešai skelbdama ataskaitas ir konsultacijas piliečiams, organizacijoms ir įmonėms, kad būtų pagerintas bendras jų parengties ir atsparumo lygis. ENISA taip pat turėtų siekti suteikti vartotojams svarbią informaciją apie taikomas sertifikavimo schemas, pvz. parengdama gaires ir rekomendacijas. ENISA, laikydamasi 2018 m. sausio 17 d. Komisijos komunikate nustatyto Skaitmeninio švietimo veiksmų plano ir bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, organais ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams naudotojams skirtas informavimo ir visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skaitmeninį raštingumą ir didinti informuotumą apie galimas kibernetines grėsmes kibernetinėje erdvėje, įskaitant nusikalstamą veiklą internete, pavyzdžiui, išpuolius siekiant vykdyti duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, su duomenimis susijusio sukčiavimo atvejus, propaguoti bazinį daugiaveiksnį tapatumo nustatymą, bei teikti rekomendacijas pataisų, šifravimo, anoniminimo ir duomenų apsaugos srityse;

(41)

ENISA turėtų atlikti pagrindinį vaidmenį spartindama galutinių naudotojų informuotumą apie įrenginių saugumą ir saugų paslaugų naudojimą, ir propaguoti Sąjungos lygmeniu integruotąjį saugumą ir integruotąją privatumo apsaugą. Siekdama to tikslo ENISA turėtų kuo optimaliau panaudoti geriausią praktiką ir patirtį, visų pirma geriausią praktiką ir patirtį, gautą iš akademinių įstaigų ir IT saugumo tyrėjų;

(42)

siekdama padėti kibernetinio saugumo sektoriuje veikiančioms įmonėms bei kibernetinio saugumo sprendimų naudotojams ENISA turėtų sukurti rinkos stebėjimo centrą ir palaikyti jo veiklą reguliariai analizuodama svarbiausias kibernetinio saugumo rinkos paklausos ir pasiūlos tendencijas ir skleisdama apie jas informaciją;

(43)

ENISA turėtų prisidėti prie Sąjungos pastangų kibernetinio saugumo srityje bendradarbiauti su tarptautinėmis organizacijomis ir pagal atitinkamas tarptautinio bendradarbiavimo sistemas. Visų pirma ENISA, kai tinkama, turėtų prisidėti prie bendradarbiavimo su tokiomis organizacijomis, kaip EBPO, ESBO ir NATO. Toks bendradarbiavimas galėtų apimti bendras pratybas kibernetinio saugumo srityje ir bendro atsako į kibernetinius incidentus koordinavimą. Vykdant tą veiklą turi būti visapusiškai laikomasi įtraukumo, abipusiškumo ir Sąjungos sprendimų priėmimo autonomijos principų, nedarant poveikio valstybių narių saugumo ir gynybos politikos specifikai;

(44)

siekiant užtikrinti, kad ENISA pasiektų visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis Sąjungos priežiūros institucijomis ir kitomis kompetentingomis institucijomis Sąjungoje, Sąjungos institucijomis, įstaigomis, organais ir agentūromis, be kita ko, CERT-EU, EC3, Europos gynybos agentūra (EGA), Europos pasaulinės palydovinės navigacijos sistemos agentūra (Europos GNSS agentūra), Europos elektroninių ryšių reguliuotojų institucija (BEREC), Europos Sąjungos didelės apimties IT sistemų laisvės, saugumo ir teisingumo erdvėje operacijų valdymo agentūra (eu-LISA), Europos Centriniu Banku (ECB), Europos bankininkystės institucija (EBI), Europos duomenų apsaugos valdyba, Energetikos reguliavimo institucijų bendradarbiavimo agentūra (ACER), Europos Sąjungos aviacijos saugos agentūra (EASA) ir kitomis su kibernetiniu saugumu susijusiomis Sąjungos agentūromis. ENISA taip pat turėtų bendradarbiauti su duomenų apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausios praktikos pavyzdžiais ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti kibernetinio saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti ENISA patariamosios grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis dėl tinklų ir informacijos saugumo aspektų, galinčių turėti įtakos jų darbui, ENISA turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais;

(45)

galėtų būti kuriamos partnerystės su akademinėmis įstaigomis, kurios yra parengusios mokslinių tyrimų iniciatyvų atitinkamose srityse, o vartotojų organizacijų ir kitų organizacijų informacija turėtų būti perduodama tinkamais kanalais ir į ją reikėtų atsižvelgti;

(46)

ENISA, vykdydama CSIRT tinklo sekretoriato funkciją, turėtų remti valstybių narių CSIRT ir CERT-EU operatyvinį bendradarbiavimą, taip pat padėti vykdant visas atitinkamas CSIRT tinklo užduotis, kaip apibrėžta Direktyvoje (ES) 2016/1148. Be to, ENISA turėtų skatinti ir remti atitinkamų CSIRT bendradarbiavimą incidentų, išpuolių arba tinklo ar infrastruktūros, kurią valdo ar saugo CSIRT ir kurioje dalyvauja ar gali dalyvauti bent dvi CSIRT, sutrikimų atvejais, deramai atsižvelgdama į CSIRT tinklo standartines veiklos procedūras;

(47)

kad Sąjunga būtų geriau pasirengusi reaguoti į kibernetinio saugumo incidentus, ENISA turėtų organizuoti reguliarias Sąjungos lygmens kibernetinio saugumo pratybas ir valstybių narių, Sąjungos institucijų, įstaigų, organų ir agentūrų prašymu padėti joms organizuoti pratybas. Vieną kartą per dvejus metus turėtų būti surengtos didelio masto visapusiškos pratybos, apimančios techninius, operatyvinius ir strateginius elementus. Be to, ENISA turėtų galėti reguliariai rengti ne tokias visapusiškas pratybas, siekdama to paties tikslo – didinti Sąjungos parengtį reaguoti į incidentus;

(48)

kad galėtų prisidėti prie Sąjungos kibernetinio saugumo sertifikavimo politikos, ENISA turėtų toliau plėtoti ir išlaikyti savo kompetenciją šiais klausimais. ENISA turėtų pasinaudoti esama geriausia praktika ir skatinti kibernetinio saugumo sertifikavimo diegimą Sąjungoje, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos (Europos kibernetinio saugumo sertifikavimo sistema) sukūrimo ir taikymo, kad būtų didinamas IRT produktų, paslaugų ir procesų kibernetinio saugumo užtikrinimo skaidrumas ir taip stiprinamas pasitikėjimas skaitmenine vidaus rinka ir jos konkurencingumas;

(49)

veiksminga kibernetinio saugumo politika viešajame ir privačiajame sektoriuose turėtų būti grindžiama gerai parengtais rizikos vertinimo metodais. Rizikos vertinimo metodai taikomi įvairiais lygmenimis, nėra bendros praktikos, kaip juos veiksmingai taikyti. Geriausių rizikos vertinimo ir sąveikiųjų rizikos valdymo sprendimų populiarinimas ir plėtojimas viešojo sektoriaus ir privačiojo sektoriaus organizacijose padidins kibernetinio saugumo lygį Sąjungoje. Todėl ENISA turėtų remti suinteresuotųjų subjektų bendradarbiavimą Sąjungos lygmeniu ir palengvinti jų pastangas nustatyti Europos ir tarptautinius standartus rizikos valdymo, taip pat elektroninių produktų, sistemų, tinklų ir paslaugų, kurios kartu su programine įranga sudaro tinklų ir informacijos sistemas, išmatuojamojo saugumo srityje ir jų laikytis;

(50)

ENISA turėtų skatinti valstybes nares, produktų gamintojus ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti ir būtų skatinami tai daryti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų teikti būtinus naujinius ir atšaukti, atsiimti arba perdirbti kibernetinio saugumo standartų neatitinkančius IRT produktus, paslaugas arba IRT procesus, o importuotojai ir platintojai turėtų užtikrinti, kad IRT produktai, IRT paslaugos ir IRT procesai, kuriuos jie teikia Sąjungos rinkai, atitiktų taikomus reikalavimus ir nekeltų rizikos Sąjungos vartotojams;

(51)

bendradarbiaudama su kompetentingomis institucijomis ENISA turėtų galėti skleisti informaciją apie vidaus rinkoje siūlomų IRT produktų, IRT paslaugų ir IRT procesų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo IRT produktų, IRT paslaugų ir IRT procesų saugumą;

(52)

ENISA turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti rekomendacijas Sąjungos institucijoms, įstaigoms, organams ir agentūroms, ir, kai aktualu ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių kibernetinio saugumo srityje. Kad nustatytų mokslinių tyrimų poreikius ir prioritetus, ENISA taip pat turėtų konsultuotis su atitinkamomis naudotojų grupėmis. Konkrečiau, būtų galima užmegzti bendradarbiavimą su Europos mokslinių tyrimų taryba, Europos inovacijos ir technologijos institutu ir Europos Sąjungos saugumo studijų institutu;

(53)

ENISA turėtų reguliariai konsultuotis su standartizacijos organizacijomis, visų pirma Europos standartizacijos organizacijomis, kai rengiamos Europos kibernetinio saugumo sertifikavimo schemos;

(54)

kibernetinės grėsmės yra pasaulinės. Būtinas glaudesnis tarptautinis bendradarbiavimas, kad būtų patobulinti kibernetinio saugumo standartai, įskaitant bendrų elgesio normų apibrėžimą ir elgesio kodeksus, tarptautinių standartų taikymą bei dalijimąsi informacija, skatinant spartesnį tarptautinį bendradarbiavimą reaguojant į tinklų ir informacijos saugumo problemas ir vadovaujantis visuotiniu požiūriu į jas. Tuo tikslu ENISA turėtų remti tolesnį Sąjungos ryšių mezgimą ir bendradarbiavimą su trečiosiomis šalimis ir tarptautinėmis organizacijomis, kai tinkama, teikdama atitinkamoms Sąjungos institucijoms, įstaigoms, organams ir agentūroms reikalingas ekspertines žinias ir analizę;

(55)

ENISA turėtų būti pajėgi reaguoti į valstybių narių ir Sąjungos institucijų, įstaigų, organų ir agentūrų ad hoc prašymus teikti rekomendacijas ir pagalbą, susijusius su ENISA įgaliojimų tikslais;

(56)

tikslinga ir rekomenduotina įgyvendinti tam tikrus ENISA valdymo principus, nustatytus bendrame pareiškime ir bendrame požiūryje, dėl kurių 2012 m. liepos mėn. susitarė Tarpinstitucinė darbo grupė ES decentralizuotų agentūrų klausimais; šiuo pareiškimu ir požiūriu siekiama racionalizuoti decentralizuotų agentūrų veiklą ir pagerinti jų darbą. Atitinkamai šiame reglamente taip pat turėtų būti atsižvelgta į rekomendacijas, pateiktas bendrame pareiškime ir bendrame požiūryje, skirtas ENISA darbo programoms, ENISA vertinimams ir ENISA ataskaitų teikimui bei administracinei veiklai;

(57)

iš valstybių narių ir Komisijos atstovų sudaryta Valdančioji taryba turėtų nustatyti bendrąją ENISA veiklos kryptį ir užtikrinti, kad savo užduotis ji vykdytų pagal šį reglamentą. Valdančiajai tarybai turėtų būti suteikti įgaliojimai, būtini sudaryti biudžetą, tikrinti, kaip biudžetas vykdomas, priimti reikiamas finansines taisykles, sukurti skaidrias ENISA sprendimų priėmimo procedūras, priimti ENISA bendrąjį programavimo dokumentą, nustatyti savo darbo tvarkos taisykles, paskirti vykdomąjį direktorių ir nuspręsti dėl vykdomojo direktoriaus kadencijos pratęsimo bei jos nutraukimo;

(58)

siekiant, kad ENISA funkcionuotų tinkamai ir veiksmingai, Komisija ir valstybės narės turėtų užtikrinti, kad į Valdančiąją tarybą būtų skiriami tinkamų profesinių žinių ir atitinkamos patirties turintys asmenys. Komisija ir valstybės narės taip pat turėtų stengtis riboti savo atstovų Valdančiojoje taryboje kaitą, kad būtų užtikrintas jos veiklos tęstinumas;

(59)

kad ENISA veiktų sklandžiai, jos vykdomasis direktorius turi būti skiriamas atsižvelgiant į nuopelnus ir į dokumentais pagrįstus administracinio ir vadovaujamojo darbo įgūdžius, kibernetiniam saugumui svarbią patirtį ir kompetenciją, o vykdomojo direktoriaus pareigos turėtų būti atliekamos visiškai nepriklausomai. Pasitaręs su Komisija vykdomasis direktorius turėtų parengti ENISA metinės darbo programos pasiūlymą ir imtis visų būtinų veiksmų, kad užtikrintų tinkamą tos programos įgyvendinimą. Vykdomasis direktorius turėtų parengti Valdančiajai tarybai teikiamą metinę ataskaitą, be kita ko, apimančią Agentūros metinės darbo programos įgyvendinimą, ENISA pajamų ir išlaidų sąmatos projektą, ir vykdyti biudžetą. Be to, vykdomajam direktoriui turėtų būti leista steigti ad hoc darbo grupes konkretiems, visų pirma moksliniams, techniniams, teisiniams ar socialiniams ir ekonominiams klausimams spręsti. Visų pirma, laikoma, kad ad hoc darbo grupę būtina steigti konkrečiai potencialiai Europos kibernetinio saugumo sertifikavimo schemai (toliau – potenciali schema) parengti. Vykdomasis direktorius turėtų užtikrinti, kad ad hoc darbo grupės nariai būtų išrinkti pagal aukščiausius dalyko ekspertinių žinių standartus ir, atsižvelgiant į konkrečius nagrinėjamus klausimus, atitinkamai subalansuotai ir užtikrinant lyčių pusiausvyrą būtų atstovaujama valstybių narių viešojo administravimo institucijoms, Sąjungos institucijoms, įstaigoms, organams ir agentūroms bei privačiajam sektoriui, įskaitant pramonės sektorių, naudotojus ir tinklų bei informacijos saugumo akademinius ekspertus;

(60)

Vykdomoji valdyba turėtų prisidėti prie veiksmingo Valdančiosios tarybos veikimo. Atlikdama parengiamąjį darbą, susijusį su Valdančiosios tarybos sprendimais, Vykdomoji valdyba turėtų išsamiai išnagrinėti atitinkamą informaciją ir apsvarstyti turimas galimybes bei teikti rekomendacijas ir sprendimus siekiant parengti Valdančiosios tarybos sprendimus;

(61)

siekiant užtikrinti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais, ENISA turėtų būti įsteigta ENISA patariamoji grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta ENISA patariamoji grupė daugiausia dėmesio turėtų skirti klausimams, kurie svarbūs suinteresuotiesiems subjektams, ir į tuos klausimus atkreipti ENISA dėmesį. Turėtų būti konsultuojamasi su ENISA patariamąja grupe visų pirma dėl ENISA metinės darbo programos projekto. ENISA patariamosios grupės sudėtis ir šiai grupei priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą ENISA veikloje;

(62)

siekiant padėti ENISA ir Komisijai sudaryti palankesnes sąlygas konsultacijoms su atitinkamais suinteresuotaisiais subjektais, turėtų būti įsteigta Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė. Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupę turėtų sudaryti nariai, proporcingai atstovaujantys: pramonės sektoriui, tiek IRT produktų ir paslaugų paklausos, tiek pasiūlos segmentuose, įskaitant visų pirma MVĮ, skaitmeninių paslaugų teikėjams, Europos ir tarptautinėms standartizacijos įstaigoms, nacionalinėms akreditacijos įstaigoms, duomenų apsaugos priežiūros institucijoms ir atitikties vertinimo įstaigoms pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 765/2008 (16), akademinei bendruomenei ir vartotojų organizacijoms;

(63)

ENISA turėtų priimti interesų konfliktų prevencijos ir valdymo taisykles. ENISA taip pat turėtų taikyti atitinkamas Sąjungos nuostatas dėl galimybės visuomenei susipažinti su dokumentais, kaip nustatyta Europos Parlamento ir Tarybos reglamente (EB) Nr. 1049/2001 (17). ENISA asmens duomenis turėtų tvarkyti laikydamasi Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (18). ENISA turėtų laikytis Sąjungos institucijoms, įstaigoms, organams ir agentūroms taikytinų nuostatų ir nacionalinės teisės aktų dėl informacijos, visų pirma neskelbtinos neįslaptintos ir Europos Sąjungos įslaptintos informacijos (ESĮI) tvarkymo;

(64)

siekiant užtikrinti visišką ENISA autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, ENISA turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir ENISA veikloje dalyvaujančių trečiųjų šalių įnašai. Tinkamas biudžetas yra itin svarbus siekiant užtikrinti, kad ENISA turėtų pakankamai pajėgumų, kad galėtų atlikti visas savo didėjančias užduotis ir pasiekti tikslus. Dauguma ENISA darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant ENISA įgaliojimus. Priimančiajai valstybei narei ir bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie ENISA biudžeto. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti toliau taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti ENISA apskaitos auditą, kad būtų užtikrintas skaidrumas ir atskaitomybė;

(65)

kibernetinio saugumo sertifikavimas yra labai svarbus didinant pasitikėjimą IRT produktais, paslaugomis ir procesais bei jų saugumą. Bendroji skaitmeninė rinka, ypač duomenų ekonomika ir daiktų internetas, gali klestėti tik tuo atveju, jeigu plačioji visuomenė pasitikės, jog tokie produktai, paslaugos ir procesai pasižymi tam tikro lygio kibernetiniu saugumu. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizuotų valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba, tikėtina, bus naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus Direktyva (ES) 2016/1148 reglamentuojamiems sektoriams;

(66)

2016 m. komunikate „Europos kibernetinio atsparumo sistemos stiprinimas ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimas“ Komisija nurodė kokybiškų, įperkamų ir sąveikių kibernetinio saugumo produktų ir sprendimų poreikį. IRT produktų, paslaugų ir procesų teikimas bendrojoje rinkoje geografiniu požiūriu tebėra labai susiskaidęs. Taip yra dėl to, kad kibernetinio saugumo sektorius Europoje daugiausia vystėsi priklausomai nuo nacionalinės valdžios sudaromos paklausos. Be to, kiti bendrąją kibernetinio saugumo rinką neigiamai veikiantys trūkumai yra sąveikių sprendimų (techninių standartų), metodų ir Sąjungos masto sertifikavimo mechanizmų stoka. Tai apsunkina Europos įmonių galimybes konkuruoti nacionaliniu, Sąjungos ir pasauliniu lygmenimis. Tai taip pat mažina perspektyvių ir tinkamų naudoti kibernetinio saugumo technologijų, kurios prieinamos fiziniams asmenims bei įmonėms, pasirinkimo galimybes. Be to, 2017 m. komunikate „Bendrosios skaitmeninės rinkos strategijos įgyvendinimo laikotarpio vidurio peržiūros. Sujungta bendroji skaitmeninė rinka visiems“ Komisija pabrėžė saugių susietųjų produktų ir sistemų poreikį ir nurodė, kad sukūrus Europos IRT saugumo sistemą, kurioje būtų nustatytos taisyklės, kaip Sąjungoje organizuoti IRT saugumo sertifikavimą, būtų galima išsaugoti pasitikėjimą internetu ir spręsti dabartinio kibernetinio saugumo rinkos susiskaidymo problemą;

(67)

šiuo metu IRT produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimas yra taikomas ribotai. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės sektoriaus inicijuojamas schemas. Vadinasi. vienos nacionalinės kibernetinio saugumo sertifikavimo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo IRT produktus, paslaugas ir procesus sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose, o dėl to didėja jų išlaidos. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su produktų aprėptimi, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu, kurie trukdo abipusio pripažinimo mechanizmams Sąjungoje;

(68)

jau anksčiau buvo imtasi tam tikrų veiksmų siekiant užtikrinti sertifikatų tarpusavio pripažinimą Europoje. Tačiau jie tik iš dalies buvo sėkmingi. Svarbiausias pavyzdys šiuo požiūriu – vyresniųjų pareigūnų grupės informacinių sistemų saugumo klausimais (SOG-IS) tarpusavio pripažinimo susitarimas. Nors saugumo sertifikavimo srityje tai yra svarbiausias bendradarbiavimo ir tarpusavio pripažinimo modelis, SOG-IS apima tik dalį Sąjungos valstybių narių. Tai riboja SOG-IS tarpusavio pripažinimo susitarimo veiksmingumą vidaus rinkoje;

(69)

todėl, būtina priimti bendrą požiūrį ir sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų, paslaugų arba procesų Europos kibernetinio saugumo sertifikatus bei ES atitikties pareiškimus pripažinti ir taikyti visose valstybėse narėse. Atliekant šį darbą labai svarbu remtis esamomis nacionalinėmis ir tarptautinėmis schemomis, taip pat tarpusavio pripažinimo sistemomis, ypač SOG-IS, ir sudaryti sąlygas sklandžiam perėjimui nuo esamų schemų pagal tokias sistemas prie schemų pagal naująją Europos kibernetinio sertifikavimo sistemą. Europos sistema turėtų būti siekiama dvejopo tikslo: viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais, paslaugomis ir procesais, kurie buvo sertifikuoti pagal Europos kibernetinio sertifikavimo schemas. Kita vertus, ji turėtų padėti išvengti, kad nebedidėtų viena kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų skaičius, ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Europos kibernetinio sertifikavimo schemos turėtų būti nediskriminacinės ir pagrįstos Europos arba tarptautiniais standartais, išskyrus tuos standartus, kurie yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities Sąjungos tikslus;

(70)

siekiant išvengti palankesnės ES sertifikatų išdavimo sąlygų ieškojimo praktikos, kuri taikoma dėl skirtingo reikalavimų griežtumo lygio valstybėse narėse, ši Europos kibernetinio saugumo sertifikavimo sistema turėtų būti diegiama vienodai visose valstybėse narėse;

(71)

Europos kibernetinio sertifikavimo schemos turėtų būti grindžiamos tuo, kas jau veikia tarptautiniu ir nacionaliniu lygmeniu ir, jei būtina, forumų ir konsorciumų teikiamomis techninėmis specifikacijomis, mokantis iš dabartinių privalumų ir vertinant bei ištaisant trūkumus;

(72)

lankstūs kibernetinio saugumo sprendimai reikalingi tam, kad pramonės sektorius būtų žingsniu priekyje kibernetinių grėsmių, todėl bet kokia sertifikavimo schema turėtų būti kuriama taip, kad būtų išvengta rizikos, kad ji greitai pasens;

(73)

Komisija turėtų būti įgaliota tvirtinti konkrečioms IRT produktų, paslaugų ir procesų grupėms taikomas Europos kibernetinio saugumo sertifikavimo schemas. Tas schemas įgyvendinti ir prižiūrėti turėtų nacionalinės kibernetinio saugumo sertifikavimo institucijos, o pagal tas schemas išduoti sertifikatai turėtų galioti ir būti pripažįstami visoje Sąjungoje. Šis reglamentas neturėtų būti taikomas pramonės sektoriaus ar kitų privačių organizacijų naudojamoms sertifikavimo schemoms. Tačiau tokias schemas naudojantys subjektai turėtų galėti siūlyti Komisijai jų pagrindu patvirtinti Europos kibernetinio sertifikavimo schemą;

(74)

šio reglamento nuostatomis neturėtų būti daromas poveikis Sąjungos teisės aktams, kuriais nustatomos specialios IRT produktų, paslaugų ir procesų sertifikavimo taisyklės. Visų pirma Reglamente (ES) 2016/679 išdėstytos nuostatos dėl sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų nustatymo, siekiant įrodyti duomenų valdytojų ir tvarkytojų vykdomų tvarkymo operacijų atitiktį tam reglamentui. Tokie sertifikavimo mechanizmai ir duomenų apsaugos ženklai ir žymenys turėtų sudaryti sąlygas duomenų subjektams greitai įvertinti atitinkamų IRT produktų, paslaugų ir procesų duomenų apsaugos lygį. Šiuo reglamentu nedaromas poveikis duomenų tvarkymo operacijų sertifikavimui pagal Reglamentą (ES) 2016/679, taip pat tais atvejais, kai tokios operacijos pagal Bendrąjį duomenų apsaugos reglamentą integruotos į IRT produktus, paslaugas ir procesus;

(75)

Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti užtikrinti, kad pagal tokias schemas sertifikuoti IRT produktai, paslaugos ir procesai atitiktų nustatytus reikalavimus, siekiant apsaugoti saugomų, perduodamų ar tvarkomų duomenų prieinamumą, autentiškumą, vientisumą ir konfidencialumą arba tais produktais, paslaugomis ir procesais suteikiamas arba per juos prieinamas susijusias funkcijas ar paslaugas viso jų gyvavimo ciklo metu. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams, paslaugoms ir procesams keliamų kibernetinio saugumo reikalavimų. IRT produktai, paslaugos ir procesai bei kibernetinio saugumo poreikiai, susiję su tais produktais, paslaugomis ir procesais, yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai turi būti pasiekti sertifikuojant konkrečius IRT produktus, paslaugas ir procesus, turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas, kai tinkamų standartų nėra;

(76)

Europos kibernetinio saugumo sertifikavimo schemose naudotinos techninės specifikacijos turėtų būti nustatytos laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 1025/2012 (19) II priede išdėstytų reikalavimų. Vis dėlto tinkamai pagrįstais atvejais būtų galima laikyti, kad kai kurie nukrypimai nuo šių principų yra reikalingi, kai tos techninės specifikacijos turi būti naudojamos Europos kibernetinio saugumo sertifikavimo schemoje, patvirtinančioje aukštą saugumo užtikrinimo lygį. Tokių nukrypimų priežastys turėtų būti pateikiamos viešai;

(77)

atitikties vertinimas – procedūra, kurios metu vertinama, ar buvo įvykdyti nustatyti reikalavimai, susiję su IRT produktu, paslauga arba procesu. Šią procedūrą vykdo nepriklausoma trečioji šalis, kuri nėra vertinamo IRT produkto gamintoja, IRT paslaugos teikėja ar IRT proceso vykdytoja. Po sėkmingo IRT produkto, paslaugos ar proceso įvertinimo turėtų būti išduodamas Europos kibernetinio saugumo sertifikatas. Europos kibernetinio saugumo sertifikatas turėtų būti laikomas patvirtinimu, kad įvertinimas buvo tinkamai atliktas. Priklausomai nuo saugumo užtikrinimo lygio, Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti nurodyta, ar Europos kibernetinio saugumo sertifikatą išduoda privati, ar viešoji įstaiga. Pats atitikties vertinimas ir sertifikavimas negali užtikrinti, kad IRT produktai, paslaugos ir procesai kibernetiniu požiūriu yra saugūs. Tai greičiau procedūros ir techninės metodikos, kuriomis patvirtinama, kad IRT produktai, paslaugos ir procesai buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus;

(78)

Europos kibernetinio saugumo sertifikatų naudotojai, rinkdamiesi tinkamą sertifikavimą ir susijusius saugumo reikalavimus, turėtų remtis IRT produktų, paslaugų ar procesų naudojimo rizikos analize. Todėl saugumo užtikrinimo lygis turėtų atitikti rizikos, susijusios su IRT produktų, paslaugų ar procesų paskirtimi, lygį;

(79)

Europos kibernetinio saugumo sertifikavimo schemoje gali būti numatyta, kad atitikties vertinimas vykdomas tik IRT produktų, paslaugų ar procesų gamintojo ar teikėjo atsakomybe (toliau – savarankiškas atitikties vertinimas). Tokiais atvejais turėtų pakakti, kad gamintojas arba teikėjas pats atliktų visus patikrinimus siekdamas užtikrinti IRT produktų, paslaugų ar procesų atitiktį Europos kibernetinio saugumo sertifikavimo schemai. Savarankiškas atitikties vertinimas turėtų būti laikomas tinkamu nesudėtingiems IRT produktams, paslaugoms ir procesais (pvz., paprastam projektavimo ir gamybos mechanizmui), dėl kurių nekyla didelė rizika viešajam interesui. Be to, savarankiškas atitikties vertinimas gali būti taikomas tik IRT produktams ir paslaugoms, atitinkantiems bazinį saugumo užtikrinimo lygį;

(80)

Europos kibernetinio saugumo sertifikavimo schemose galėtų būti numatytas tiek IRT produktų, paslaugų ir procesų savarankiškas atitikties vertinimas, tiek jų sertifikavimas. Tokiu atveju schemoje turėtų būti numatytos aiškios ir suprantamos priemonės, kad vartotojai ar kiti naudotojai galėtų atskirti, kurie IRT produktai, paslaugos ir procesai yra vertinami gamintojo arba teikėjo atsakomybe, o kuriuos IRT produktus, paslaugas ir procesus sertifikuoja trečioji šalis;

(81)

IRT produktų gamintojas arba paslaugų teikėjas, kuris atlieka savarankišką atitikties vertinimą, vykdydamas atitikties vertinimo procedūrą turėtų parengti ir pasirašyti ES atitikties pareiškimą. ES atitikties pareiškimas – dokumentas, kuriame pareiškiama, jog tam tikras IRT produktas, paslauga arba procesas atitinka Europos kibernetinio saugumo sertifikavimo schemos reikalavimus. Parengęs ir pasirašęs ES atitikties pareiškimą, gamintojas arba teikėjas prisiima atsakomybę už IRT produkto, paslaugos arba proceso atitiktį teisiniams Europos kibernetinio saugumo sertifikavimo schemos reikalavimams. ES atitikties pareiškimo kopija turėtų būti pateikta nacionalinei kibernetinio saugumo sertifikavimo institucijai ir ENISA;

(82)

ES atitikties pareiškimą ir visos kitos svarbios informacijos, susijusios su IRT produktų, paslaugų ar procesų atitiktimi Europos kibernetinio saugumo sertifikavimo schemai, techninę dokumentaciją IRT produktų gamintojas arba paslaugų teikėjas turėtų saugoti konkrečioje Europos kibernetinio saugumo sertifikavimo schemoje nurodytą laikotarpį, kad galėtų juos pateikti kompetentingai nacionalinei kibernetinio saugumo sertifikavimo institucijai. Techninėje dokumentacijoje turėtų būti nurodyti taikytini reikalavimai ir, jeigu tai svarbu vertinimui atlikti, aprašomas IRT produkto, paslaugos arba proceso projektas, gamyba ir naudojimas. Techniniai dokumentai turėtų būti parengti taip, kad būtų galima įvertinti IRT produkto ar paslaugos atitiktį pagal schemą taikomiems reikalavimams;

(83)

Europos kibernetinio saugumo sertifikavimo sistemos valdymo mechanizme atsižvelgiama į valstybių narių dalyvavimą ir į atitinkamą suinteresuotųjų subjektų dalyvavimą ir nustatomas Komisijos vaidmuo planuojant ir teikiant pasiūlymus, prašymus, rengiant, priimant ir peržiūrint Europos kibernetinio saugumo sertifikavimo schemą;

(84)

Komisija turėtų, padedant Europos kibernetinio saugumo sertifikavimo grupei (toliau – EKSSG) ir Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupei ir surengusi atviras bei ir plataus masto konsultacijas, parengti tęstinę Sąjungos darbo programą, skirtą Europos kibernetinio saugumo sertifikavimo schemoms, ir ją paskelbti kaip teisiškai neprivalomą dokumentą. Tęstinė Sąjungos darbo programa turėtų būti strateginis dokumentas, sudarantis galimybę tam tikram pramonės sektoriui, nacionalinėms institucijoms ir standartizacijos įstaigoms iš anksto pasirengti visų pirma būsimoms Europos kibernetinio saugumo sertifikavimo schemoms. Tęstinėje Sąjungos darbo programoje turėtų būti pateikta daugiametė prašymų parengti potencialias schemas, kuriuos Komisija dėl konkrečių priežasčių ketina pateikti ENISA, apžvalga. Komisija turėtų atsižvelgti į šią tęstinę Sąjungos darbo programą rengdama tęstinį IRT standartizacijos planą ir Europos standartizacijos organizacijoms skirtus standartizacijos prašymus. Atsižvelgdama spartų naujų technologijų diegimą ir taikymą, į atsiradusias anksčiau nežinomas rizikos kibernetiniam saugumui rūšis arba teisės aktų bei rinkos pokyčius, Komisija arba EKSSG turėtų turėti galimybę prašyti ENISA parengti potencialias schemas, kurios nebuvo įtrauktos į tęstinę Sąjungos darbo programą. Tokiais atvejais Komisija ir EKSSG turėtų įvertinti tokio prašymo būtinumą, atsižvelgiant į bendrus šio reglamento uždavinius ir tikslus ir užtikrinant ENISA išteklių planavimo ir naudojimo tęstinumą.

Gavusi tokį prašymą, ENISA turėtų nedelsdama parengti konkretiems IRT, produktams, paslaugoms ar IRT procesams skirtas potencialias schemas. Komisija turėtų įvertinti teigiamą ir neigiamą jos prašymo poveikį konkrečiai rinkai, ypač poveikį MVĮ, inovacijoms, kliūtims patekti į tą rinką ir galutiniams naudotojams tenkančioms išlaidoms. Tada Komisija remiantis agentūros ENISA pasiūlyta potencialia schema turėtų būti įgaliota priimti įgyvendinimo aktus, kuriais būtų patvirtinta Europos kibernetinio saugumo sertifikavimo schema. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, Komisijos patvirtintose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Tie elementai, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat IRT produktų, paslaugų ir procesų, kuriems taikomas sertifikavimas, kategorijas, išsamias kibernetinio saugumo reikalavimų specifikacijas, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus, taip pat numatomą saugumo užtikrinimo lygį, kuris gali būti bazinis, pakankamai aukštas ir (arba) aukštas, taip pat, kai taikytina, vertinimo lygius. ENISA turėtų galėti tinkamai pagrįstais atvejais atmesti Europos kibernetinio saugumo sertifikavimo grupės (EKSSG) prašymą. Tokius sprendimus turėtų priimti Valdančioji taryba ir jie turėtų būti tinkamai pagrįsti;

(85)

ENISA turėtų administruoti interneto svetainę, kurioje būtų teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas ir jų reklama, ir kurioje, be kita ko, turėtų būti pateikti prašymai parengti potencialią schemą, taip pat per parengiamąjį etapą ENISA vykdyto konsultacijų proceso metu gauta grįžtamoji informacija. Interneto svetainėje taip pat turėtų būti teikiama informacija apie pagal šį reglamentą išduotus Europos kibernetinio saugumo sertifikatus ir ES atitikties pareiškimus, taip pat informacija apie tokių Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų panaikinimą ir galiojimo pabaigą. Interneto svetainėje taip pat turėtų būti nurodytos nacionalinės kibernetinio saugumo sertifikavimo schemos, kurias pakeitė Europos kibernetinio saugumo sertifikavimo schema;

(86)

Europos sertifikavimo schemos saugumo užtikrinimo lygis – pagrindas, kuriuo remiantis patvirtinama, kad IRT produktas, procesas ar paslauga atitinka tam tikros Europos kibernetinio saugumo sertifikavimo schemos saugumo reikalavimus. Siekiant užtikrinti Europos kibernetinio saugumo sertifikavimo sistemos nuoseklumą, Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti galima apibrėžti pagal tą schemą išduodamų Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų saugumo užtikrinimo lygius. Kiekvienas Europos kibernetinio saugumo sertifikatas galėtų patvirtinti vieną iš saugumo užtikrinimo lygių: bazinį, pakankamai aukštą arba aukštą, o ES atitikties pareiškimas galėtų patvirtinti tik bazinį saugumo užtikrinimo lygį. Nuo saugumo užtikrinimo lygio priklausytų atitinkamas IRT produkto, paslaugos ar proceso vertinimo griežtumas ir išsamumas ir jis būtų apibūdinamas pagal tas specifikacijas, standartus ir procedūras, įskaitant technines kontrolės priemones, kurių tikslas – sušvelninti incidentus arba užkirsti jiems kelią. Kiekvienas saugumo užtikrinimo lygis turėtų būti nuoseklus įvairiose sektorių srityse, kuriose taikomas sertifikavimas;

(87)

Europos kibernetinio saugumo sertifikavimo schemoje galėtų būti nustatyti keli vertinimo lygiai, priklausomai nuo taikomos vertinimo metodikos griežtumo ir išsamumo. Vertinimo lygiai turėtų atitikti vieną iš saugumo užtikrinimo lygių ir turėtų būti susieta su tinkamu saugumo užtikrinimo komponentų deriniu. Visų saugumo užtikrinimo lygių atveju IRT produktas, paslauga ar procesas turėtų turėti tam tikrų saugių funkcijų, kaip nurodyta schemoje, kurios, be kita ko, gali būti šios: saugi standartinė konfigūracija, pasirašytasis kodas, saugus naujinimas ir galimybių pasinaudoti saugumo spragomis sumažinimas ir visapusiškos dėklo arba masyvo atminties apsaugos priemonės. Šios funkcijos turėtų būti sukurtos ir palaikomos naudojant į saugumą orientuotus kūrimo metodus ir susijusias priemones, kad būtų užtikrintas patikimas veiksmingų programinės ir aparatinės įrangos mechanizmų integravimas;

(88)

bazinio saugumo užtikrinimo lygio atveju atliekant vertinimą turėtų būti remiamasi bent šiais saugumo užtikrinimo komponentais: vertinimas turėtų apimti bent atitikties vertinimo įstaigos atliekamą IRT produkto, paslaugos ar proceso techninių dokumentų peržiūrą. Jei sertifikuojami IRT procesai, techninė peržiūra taip pat turėtų būti taikoma produktų ar paslaugų projektavimo, kūrimo ir palaikymo procesui. Tais atvejais, kai Europos kibernetinio saugumo sertifikavimo schemoje numatoma galimybė atlikti savarankišką atitikties vertinimą, turėtų pakakti, kad gamintojas arba paslaugų teikėjas būtų atlikęs savarankišką IRT produktų, paslaugų ar procesų atitikties sertifikavimo schemai vertinimą;

(89)

vertinimas dėl pakankamai aukšto saugumo užtikrinimo lygio, be bazinio saugumo užtikrinimo lygio komponentų, turėtų būti paremtas bent patikrinimu, ar IRT produkto, paslaugos ar proceso saugumo funkcinės galimybės atitinka jų techninius dokumentus;

(90)

vertinimas dėl aukšto saugumo užtikrinimo lygio, be pakankamai aukšto saugumo užtikrinimo lygio komponentų, turėtų būti paremtas bent efektyvumo bandymu, kuriuo įvertinamas IRT produkto, paslaugos ar proceso saugumo funkcinių galimybių atsparumas sudėtingų kibernetinių išpuolių, kuriuos vykdo aukšto lygio įgūdžių ir didelių išteklių turintys subjektai, rizikai;

(91)

Europos kibernetinio saugumo sertifikavimas arba ES atitikties pareiškimas turėtų likti neprivalomi, išskyrus atvejus, kai Sąjungos teisę ar pagal Sąjungos teisę priimtoje valstybių narių teisėje numatyta kitaip. Jeigu nėra suderintos Sąjungos teisės, valstybės narės gali pagal Europos Parlamento ir Tarybos direktyvą (ES) 2015/1535 (20) priimti nacionalines technines taisykles, kuriose būtų numatytas privalomas sertifikavimas pagal Europos kibernetinio saugumo sertifikavimo schemą. Valstybės narės taip pat gali pasinaudoti Europos kibernetinio saugumo sertifikavimu viešųjų pirkimų ir Europos Parlamento ir Tarybos direktyvos 2014/24/ES (21) kontekste;

(92)

kai kuriose srityse ateityje gali prireikti nustatyti, kad konkretūs kibernetinio saugumo reikalavimai ir sertifikavimas pagal juos būtų privalomi tam tikriems IRT produktams, paslaugoms ar procesams, siekiant padidinti kibernetinio saugumo lygį Sąjungoje. Komisija turėtų nuolat stebėti patvirtintų Europos kibernetinio saugumo sertifikavimo schemų poveikį saugių IRT produktų, paslaugų ir procesų prieinamumui vidaus rinkoje ir įvertinti, kaip plačiai sertifikavimo schemomis naudojasi gamintojai ir paslaugų teikėjai Sąjungoje. Dėl Europos kibernetinio saugumo sertifikavimo schemų efektyvumo ir poreikio konkrečias schemas padaryti privalomomis turėtų būti sprendžiama atsižvelgiant į Sąjungos teisės aktus, susijusius su kibernetiniu saugumu, visų pirma į Direktyvą (ES) 2016/1148, siekiant užtikrinti esminių paslaugų operatorių naudojamų tinklų ir informacinių sistemų saugumą;

(93)

Europos kibernetinio saugumo sertifikatai ir ES atitikties pareiškimai turėtų padėti galutiniams naudotojams priimti pagrįstus sprendimus. Todėl kartu su IRT produktais, paslaugomis ir procesais, kurie buvo sertifikuoti ar kuriems buvo išduotas ES atitikties pareiškimas, turėtų būti pateikiama susisteminta informacija, pritaikyta tikėtinam techniniam numatomo naudotojo lygiui. Visa tokia informacija turėtų būti pateikiama internetu, o tam tikra informacija galėtų būti pateikiama nevirtualia, fizine forma. Galutinis naudotojas turėtų galėti gauti informaciją apie sertifikavimo schemos registracijos numerį, saugumo užtikrinimo lygį, kibernetinio saugumo rizikos, susijusios su IRT produktu, paslauga ar procesu, aprašymą, ir sertifikatą išdavusią instituciją ar įstaigą arba turėtų turėti galimybę gauti Europos kibernetinio saugumo sertifikato kopiją. Be to, galutinis naudotojas turėtų būti informuotas apie IRT produktų, paslaugų ar procesų gamintojo ar teikėjo taikomą paramos politiką kibernetinio saugumo srityje, t. y. per kiek laiko galutinis naudotojas gali tikėtis gauti kibernetinio saugumo atnaujinimus ar pataisas. Jeigu taikytina, turėtų būti teikiami patarimai dėl veiksmų ar nustatymų, kuriuos galutinis naudotojas gali atlikti siekdamas palaikyti ar padidinti IRT produkto, paslaugos ar proceso kibernetinį saugumą, ir bendrojo informacinio centro, kuriam būtų galima (papildomai prie automatinio pranešimo) pranešti apie kibernetinį išpuolį ar jo atveju gauti pagalbą, kontaktinė informacija. Ta informacija turėtų būti nuolat atnaujinama ir pateikiama informaciją apie Europos kibernetinio saugumo sertifikavimo schemas teikiančioje interneto svetainėje;

(94)

tačiau, siekiant įgyvendinti šio reglamento tikslus ir išvengti vidaus rinkos susiskaidymo, nacionalinės kibernetinio saugumo sertifikavimo schemos arba procedūros, skirtos IRT produktams, paslaugoms ir procesams, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, turėtų nustoti galioti nuo Komisijos priimtu įgyvendinimo aktu nustatytos dienos. Be to, valstybės narės neturėtų nustatyti naujų nacionalinių kibernetinio saugumo sertifikavimo schemų, skirtų IRT produktams, paslaugoms ir procesams, kuriems jau taikoma galiojanti Europos kibernetinio saugumo sertifikavimo schema. Vis dėlto valstybėms narėms neturėtų būti trukdoma priimti arba toliau taikyti nacionalines kibernetinio saugumo sertifikavimo schemas nacionalinio saugumo tikslais. Valstybės narės turėtų informuoti Komisiją ir EKSSG apie ketinimą parengti naujas nacionalines kibernetinio saugumo sertifikavimo schemas. Komisija ir EKSSG turėtų įvertinti naujų nacionalinių kibernetinio sertifikavimo schemų poveikį tinkamam vidaus rinkos veikimui ir atsižvelgiant į strateginį interesą vietoj jų pageidauti Europos kibernetinio sertifikavimo schemos;

(95)

Europos kibernetinio saugumo sertifikavimo schemos yra skirtos padėti suderinti kibernetinio saugumo praktiką Sąjungoje. Jomis turi būti prisidėta prie kibernetinio saugumo lygio Sąjungoje padidinimo. Projektuojant Europos kibernetinio saugumo sertifikavimo schemas turėtų būti atsižvelgiama į inovacijas kibernetinio saugumo srityje ir sudarytos sąlygos jas kurti;

(96)

Europos kibernetinio sertifikavimo schemose turėtų būti atsižvelgiama į esamus programinės ir aparatinės įrangos kūrimo metodus ir visų pirma į dažnų programinės ar programinės aparatinės įrangos atnaujinimų poveikį individualiems Europos kibernetinio saugumo sertifikatams. Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nurodyta, kokiomis sąlygomis dėl atnaujinimo gali būti reikalaujama, kad IRT produktas, paslauga ar procesas būtų pakartotinai sertifikuojami arba kad tam tikro Europos kibernetinio saugumo sertifikato taikymo sritis būtų sumažinta atsižvelgiant, kad atnaujinimas gali daryti neigiamą poveikį atitikčiai to sertifikato saugumo reikalavimams;

(97)

patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT paslaugų ar procesų teikėjai turėtų turėti galimybę teikti prašymą jų pasirinktai atitikties vertinimo įstaigai, įsisteigusiai bet kur Sąjungoje, sertifikuoti jų IRT produktus, paslaugas ar procesus. Atitikties vertinimo įstaigas, jeigu jos atitinka tam tikrus šiame reglamente nustatytus reikalavimus, turėtų akredituoti nacionalinė akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir turėtų būti pratęsiama tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau atitinka reikalavimus. Nacionalinės akreditacijos įstaigos turėtų apriboti, laikinai sustabdyti arba panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu atitikties vertinimo įstaiga pažeidžia šį reglamentą;

(98)

nacionalinės teisės aktuose pateikiamos nuorodos į nacionalinius standartus, kurie nustojo galioti dėl to, kad įsigaliojo Europos kibernetinio saugumo sertifikavimo schema, gali kelti painiavą. Todėl valstybės narės turėtų Europos kibernetinio saugumo sertifikavimo schemos patvirtinimą atspindėti savo nacionalinės teisės aktuose;

(99)

siekiant visoje Sąjungoje turėti lygiaverčius standartus, palengvinti Europos kibernetinio saugumo sertifikatų ir ES atitikties pareiškimų tarpusavio pripažinimą ir skatinti bendrą pasitikėjimą jais, būtina įdiegti nacionalinių kibernetinio saugumo sertifikavimo institucijų tarpusavio peržiūros sistemą. Tarpusavio peržiūra turėtų apimti procedūras, skirtas prižiūrėti IRT produktų, paslaugų ir procesų atitiktį Europos kibernetinio saugumo sertifikatams, stebėti, kaip savarankišką atitikties vertinimą atliekantys gamintojai ar teikėjai vykdo pareigas, vykdyti atitikties vertinimo įstaigų stebėseną, taip pat vertinti, ar įstaigų, išduodančių sertifikatus dėl aukšto saugumo užtikrinimo lygio, darbuotojai turi tinkamų ekspertinių žinių. Komisija turėtų priimti įgyvendinimo aktus, kuriuose nustatytų bent penkerių metų tarpusavio peržiūrų planą, taip pat išdėstytų tarpusavio peržiūros sistemos veikimo kriterijus ir metodiką;

(100)

nedarant poveikio bendrajai tarpusavio peržiūros sistemai, kuri Europos kibernetinio saugumo sertifikavimo sistemos kontekste būtų įdiegta visose nacionalinėse kibernetinio saugumo sertifikavimo institucijose, tam tikrose Europos kibernetinio saugumo sertifikavimo schemose gali būti numatytas tarpusavio vertinimo mechanizmas, skirtas įstaigoms, išduodančioms IRT produktų, paslaugų ir procesų Europos kibernetinio saugumo sertifikatus dėl aukšto saugumo užtikrinimo lygio pagal tokias schemas. EKSSG turėtų remti tokių tarpusavio vertinimo mechanizmų įgyvendinimą. Atliekant tarpusavio vertinimus visų pirma turėtų būti vertinama, ar atitinkamos įstaigos suderintai vykdo savo užduotis, taip pat juose gali būti numatyti apskundimo mechanizmai. Tarpusavio vertinimų rezultatai turėtų būti skelbiami viešai. Atitinkamos įstaigos gali atitinkamai patvirtinti atitinkamas savo praktikos ir ekspertinių žinių pritaikymo priemones;

(101)

valstybės narės turėtų paskirti vieną ar kelias nacionalines kibernetinio saugumo sertifikavimo institucijas, kurios prižiūrėtų, kaip vykdomos iš šio reglamento kylančios pareigos. Jeigu valstybė narė mano tai esant tikslinga, užduotys gali būti pavedamos jau veikiančioms institucijoms. Be to, valstybė narė turėtų galėti abipusiu susitarimu su kita valstybe nare nuspręsti paskirti vieną ar kelias nacionalines kibernetinio saugumo sertifikavimo institucijas tos kitos valstybės narės teritorijoje;

(102)

nacionalinės kibernetinio saugumo sertifikavimo institucijos visų pirma turėtų stebėti, kaip jų atitinkamoje teritorijoje įsisteigę IRT produktų gamintojai arba IRT paslaugų ar procesų teikėjai vykdo su ES atitikties pareiškimu susijusias pareigas, ir užtikrinti jų vykdymą, padėti nacionalinėms akreditacijos įstaigoms vykdyti atitikties vertinimo įstaigų atliekamą stebėsenos ir priežiūros veiklą teikdama joms ekspertines žinias ir atitinkamą informaciją, įgalioti atitikties vertinimo įstaigas atlikti jų užduotis, kai tos įstaigos tenkina papildomus Europos kibernetinio saugumo sertifikavimo schemoje nustatytus reikalavimus, ir stebėti svarbius pokyčius kibernetinio saugumo sertifikavimo srityje. Nacionalinės kibernetinio saugumo sertifikavimo institucijos taip pat turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su tų institucijų išduotais Europos kibernetinio saugumo sertifikatais arba atitikties vertinimo įstaigų išduotais Europos kibernetinio saugumo sertifikatais, patvirtinančiais aukštą saugumo užtikrinimo lygį, tinkamu mastu tirti skundo objektą ir per pagrįstą laikotarpį informuoti skundo pateikėją apie tyrimo eigą ir rezultatus. Be to, nacionalinės kibernetinio saugumo sertifikavimo institucijos turėtų bendradarbiauti su kitomis nacionalinėmis kibernetinio saugumo sertifikavimo institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų, paslaugų ir procesų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams. Komisija turėtų sudaryti palankias sąlygas tokiam dalijimuisi informacija suteikdama galimybę naudotis bendrąja elektroninės informacijos teikimo sistema, pavyzdžiui, rinkos priežiūros informacine ryšių sistema (ICSMS) ir skubių pranešimų apie pavojingus ne maisto produktus sistema (RAPEX), kuriomis pagal Reglamentą (EB) Nr. 765/2008 jau naudojasi rinkos priežiūros institucijos;

(103)

siekiant užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos taikymą reikėtų įsteigti iš nacionalinių kibernetinio saugumo sertifikavimo institucijų arba kitų atitinkamų nacionalinių institucijų atstovų sudarytą EKSSG. Pagrindinės EKSSG užduotys turėtų būti konsultuoti Komisiją ir padėti jai užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos įgyvendinimą ir taikymą, padėti ENISA ir glaudžiai su ja bendradarbiauti rengiant potencialias kibernetinio saugumo sertifikavimo schemas, tinkamai pagrįstais atvejais prašyti ENISA parengti potencialią schemą, priimti ENISA skirtas nuomones dėl potencialių schemų ir Komisijai skirtas nuomones, susijusias su esamų Europos kibernetinio saugumo sertifikavimo schemų palaikymu ir peržiūra. EKSSG turėtų sudaryti palankesnes sąlygas įvairioms nacionalinėms kibernetinio saugumo sertifikavimo institucijoms, atsakingoms už atitikties vertinimo įstaigų įgaliojimą ir Europos kibernetinio saugumo sertifikatų išdavimą, keistis gerąja praktika ir ekspertinėmis žiniomis;

(104)

siekdama padidinti informuotumą ir būsimų Sąjungos kibernetinio saugumo sertifikavimo schemų priimtinumą, Komisija gali parengti bendras arba konkrečiam sektoriui skirtas kibernetinio saugumo rekomendacijas, pavyzdžiui, dėl gerosios kibernetinio saugumo praktikos, arba atsakingo saugaus elgesio kibernetinėje erdvėje, ir pabrėžti teigiamą sertifikuotų IRT produktų, paslaugų ir procesų naudojimo poveikį;

(105)

siekiant dar labiau palengvinti prekybą ir pripažįstant, kad IRT tiekimo grandinės yra pasaulinio masto, pagal Sutarties dėl Europos Sąjungos veikimo (SESV) 218 straipsnį Sąjunga gali sudaryti susitarimus dėl Europos kibernetinio saugumo sertifikatų tarpusavio pripažinimo. Komisija, atsižvelgdama į ENISA ir Europos kibernetinio saugumo sertifikavimo grupės nuomonę, gali rekomenduoti pradėti atitinkamas derybas. Kiekvienoje Europos kibernetinio saugumo sertifikavimo schemoje turėtų būti nustatytos konkrečios tarpusavio pripažinimo susitarimų su trečiosiomis valstybėmis sąlygos;

(106)

siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (22);

(107)

turėtų būti naudojama nagrinėjimo procedūra siekiant priimti įgyvendinimo aktus dėl IRT produktų, paslaugų ir procesų Europos kibernetinio saugumo sertifikavimo schemų, dėl ENISA atliekamų tyrimų tvarkos, dėl nacionalinių kibernetinio saugumo sertifikavimo institucijų tarpusavio peržiūros plano, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių kibernetinio saugumo sertifikavimo institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas;

(108)

ENISA veikla turėtų būti vertinama reguliariai ir nepriklausomai. Turėtų būti vertinama, ar ENISA vykdo savo tikslus, jos darbo metodai ir jos užduočių aktualumas, ypač jos užduotys, susijusios su operatyviniu bendradarbiavimu Sąjungos lygmeniu. Atliekant tą vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas. Kalbant apie peržiūrą, Komisija turėtų įvertinti, kaip galima sustiprinti ENISA, kaip informacinio centro, vaidmenį teikiant rekomendacijas ir ekspertines žinias, ir įvertinti ENISA vaidmenį padedant vertinti į Sąjungos rinką patenkančius trečiųjų valstybių IRT produktus, paslaugas ir procesus, kurie neatitinka Sąjungos taisyklių reikalavimų;

(109)

kadangi šio reglamento tikslų valstybės narės negali deramai pasiekti, o dėl jo masto ir poveikio tų tikslų būtų geriau siekti Sąjungos lygmeniu, laikydamasi Europos Sąjungos sutarties (toliau – ES sutartis) 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina tiems tikslams pasiekti;

(110)

Reglamentas (ES) Nr. 526/2013 turėtų būti panaikintas,

(1)

šios direktyvos tikslas yra prisidėti prie tinkamo vidaus rinkos veikimo suderinant valstybių narių įstatymus ir kitus teisės aktus, susijusius su tam tikrų gaminių ir paslaugų prieinamumo reikalavimais, visų pirma panaikinant dėl skirtingų prieinamumo reikalavimų valstybėse narėse kylančias kliūtis laisvam tam tikrų prieinamų gaminių ir paslaugų judėjimui ir užkertant joms kelią. Tai padidintų prieinamų gaminių ir paslaugų kiekį vidaus rinkoje ir pagerintų atitinkamos informacijos prieinamumą;

(2)

prieinamų gaminių ir paslaugų paklausa yra didelė; be to, prognozuojama, kad neįgaliųjų skaičius ženkliai išaugs. Aplinka, kurioje gaminiai ir paslaugos yra prieinamesni, padeda kurti įtraukesnę visuomenę ir sudaro palankesnes sąlygas neįgaliųjų savarankiškam gyvenimui. Šiame kontekste turėtų būti atsižvelgta į tai, kad neįgalių moterų procentinė dalis Sąjungoje yra didesnė nei neįgalių vyrų;

(3)

šioje direktyvoje neįgalieji apibrėžiami pagal 2006 m. gruodžio 13 d. priimtą Jungtinių Tautų neįgaliųjų teisių konvenciją (toliau – JT NTK); Sąjunga yra JT NTK šalis nuo 2011 m. sausio 21 d. ir visos valstybės narės yra JT NTK ratifikavusios. JT NTK teigiama, kad neįgalieji – tai asmenys, turintys ilgalaikių fizinių, psichikos, intelekto ar jutimo sutrikimų, kurie drauge su kitomis įvairiomis kliūtimis gali trukdyti šiems asmenims visapusiškai ir veiksmingai dalyvauti visuomenėje lygiomis sąlygomis su kitais asmenimis. Šia direktyva skatinamas visapusiškas ir veiksmingas lygiomis galimybėmis grindžiamas dalyvavimas gerinant prieigą prie pagrindinių gaminių ir paslaugų, kurių pirminiu projektu ar vėlesniu pritaikymu atsižvelgiama į specialiuosius neįgaliųjų poreikius;

(4)

ši direktyva būtų naudinga ir kitiems funkcinių sutrikimų turintiems asmenims, pavyzdžiui, vyresnio amžiaus žmonėms, nėščiosioms ar su bagažu keliaujantiems asmenims. Šioje direktyvoje nurodyta samprata „funkcinių sutrikimų turintys asmenys“ apima asmenis, turinčius kokių nors fizinių, psichikos, intelekto ar jutimo sutrikimų, su amžiumi susijusių sutrikimų, arba asmenis, kuriems dėl kitokių nuolatinių arba laikinų su kūno funkcionavimu susijusių priežasčių kyla įvairių kliūčių, dėl kurių jų galimybės naudotis gaminiais ir paslaugomis sumažėja, todėl atsiranda poreikis tuos gaminius ir paslaugas pritaikyti šių asmenų specialiesiems poreikiams;

(5)

valstybių narių įstatymų ir kitų teisės aktų dėl gaminių ir paslaugų prieinamumo neįgaliesiems skirtumai sudaro kliūtis gaminių ir paslaugų laisvam judėjimui ir iškraipo veiksmingą konkurenciją vidaus rinkoje. Kalbant apie kai kuriuos gaminius ir paslaugas, tikėtina, kad po JT NTK įsigaliojimo tų skirtumų Sąjungoje dar padaugės. Su tomis kliūtimis pirmiausia susiduria ekonominės veiklos vykdytojai, visų pirma mažosios ir vidutinės įmonės (toliau – MVĮ);

(6)

dėl skirtingų nacionalinių prieinamumo reikalavimų verslu už savo šalies rinkos ribų atgrasomi užsiimti visų pirma pavieniai specialistai, MVĮ ir labai mažos įmonės. Šiuo metu skiriasi tiek valstybių narių nustatytų nacionalinių ar net regioninių arba vietos lygmens prieinamumo reikalavimų taikymo sritis, tiek išsamumas. Tie skirtumai daro neigiamą poveikį konkurencingumui ir ekonomikos augimui, nes kuriant ir parduodant prieinamus gaminius ir paslaugas, pritaikytus kiekvienai nacionalinei rinkai, patiriama papildomų išlaidų;

(7)

dėl ribotos tiekėjų ir (arba) teikėjų konkurencijos prieinamų gaminių ir paslaugų bei pagalbinių technologijų vartotojai susiduria su didelėmis kainomis. Nacionalinių taisyklių susiskaidymas mažina potencialią naudą, kurią būtų galima gauti nacionaliniams ir tarptautiniams kolegoms dalijantis patirtimi, susijusia su reagavimu į visuomeninius ir technologinius pokyčius;

(8)

todėl būtina suderinti nacionalines priemones Sąjungos lygmeniu siekiant užtikrinti tinkamą vidaus rinkos veikimą, kad būtų pašalintas susiskaidymas prieinamų gaminių ir paslaugų rinkoje, sukurta masto ekonomija, sudarytos palankesnės sąlygos tarpvalstybinei prekybai ir judumui, taip pat ekonominės veiklos vykdytojams padedama telkti išteklius inovacijoms, užuot naudojus tuos išteklius išlaidoms, atsirandančioms dėl nesuderintų teisės aktų Sąjungoje, padengti;

(9)

prieinamumo reikalavimų suderinimo nauda vidaus rinkai buvo įrodyta taikant Europos Parlamento ir Tarybos direktyvą 2014/33/ES (3) liftų srityje ir Europos Parlamento ir Tarybos reglamentą (EB) Nr. 661/2009 (4) transporto srityje;

(10)

Deklaracijoje Nr. 22 dėl neįgaliųjų, pridėtoje prie Amsterdamo sutarties, valstybių narių Vyriausybių atstovų konferencija sutarė, kad rengdamos priemones pagal Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 114 straipsnį Sąjungos institucijos turi atsižvelgti į neįgaliųjų poreikius;

(11)

2015 m. gegužės 6 d. Komisijos komunikato „Europos bendrosios skaitmeninės rinkos strategija“ bendras tikslas – užtikrinti, kad sujungta bendroji skaitmeninė rinka teiktų tvarią ekonominę ir socialinę naudą, taip sudarant palankesnes sąlygas prekybai ir skatinant užimtumą Sąjungoje. Kainų ir pasirinkimo atžvilgiu Sąjungos vartotojai vis dar negauna visos naudos, kurią galėtų suteikti bendroji rinka, nes tarpvalstybinių elektroninių sandorių vis dar nedaug. Susiskaidymas taip pat riboja tarpvalstybinių e. prekybos sandorių paklausą. Taip pat reikia imtis suderintų veiksmų siekiant užtikrinti, kad elektroninis turinys, elektroninių ryšių paslaugos ir prieiga prie audiovizualinės žiniasklaidos paslaugų būtų visapusiškai prieinami neįgaliesiems. Todėl būtina suderinti prieinamumo reikalavimus visoje bendrojoje skaitmeninėje rinkoje ir užtikrinti, kad visi Sąjungos piliečiai, kad ir kokie būtų jų gebėjimai, galėtų naudotis jos teikiama nauda;

(12)

Sąjungai tapus JT NTK šalimi, jos nuostatos tapo neatskiriama Sąjungos teisinės sistemos dalimi bei yra privalomos Sąjungos institucijoms ir jos valstybėms narėms;

(13)

JT NTK reikalaujama, kad jos šalys imtųsi tinkamų priemonių, kad neįgaliesiems lygiomis sąlygomis su kitais asmenimis užtikrintų fizinės aplinkos, transporto, informacijos ir ryšių, įskaitant informacines ir ryšių technologijas bei sistemas, taip pat kitų visuomenei prieinamų objektų ar teikiamų paslaugų prieinamumą tiek miesto, tiek kaimo vietovėse. Jungtinių Tautų neįgaliųjų teisių komitetas nustatė, kad reikia sukurti teisėkūros sistemą, pagal kurią būtų numatyti konkretūs, vykdytini ir per nustatytą laiką įvykdytini kriterijai, kuriais remiantis būtų stebimas laipsniškas prieinamumo užtikrinimas;

(14)

JT NTK jos šalys raginamos imtis arba skatinti imtis su naujosiomis technologijomis susijusių mokslinių tyrimų ir technologinės plėtros ir skatinti naujųjų technologijų, įskaitant informacines ir ryšių technologijas, judumą palengvinančias priemones, prietaisus ir pagalbines technologijas, tinkamus neįgaliesiems, turėjimą ir jų naudojimą. JT NTK taip pat raginama teikti pirmenybę įperkamoms technologijoms;

(15)

JT NTK įsigaliojimas valstybių narių teisinėse sistemose reiškia, kad reikia priimti papildomas nacionalines nuostatas dėl gaminių ir paslaugų prieinamumo. Sąjungai nesiėmus veiksmų, dėl tų nuostatų valstybių narių įstatymų ir kitų teisės aktų skirtumai dar labiau padidėtų;

(16)

todėl būtina sudaryti palankesnes sąlygas JT NTK įgyvendinimui Sąjungoje nustatant bendras Sąjungos taisykles. Be to, šia direktyva remiamos valstybių narių pastangos suderintai įgyvendinti jų nacionalinius įsipareigojimus, taip pat jų pareigas pagal JT NTK dėl prieinamumo užtikrinimo;

(17)

2010 m. lapkričio 15 d. Komisijos komunikatu „2010–2020 m. Europos strategija dėl negalios. Tolesnis siekis kurti Europą be kliūčių“ neprieštaraujant JT NTK, prieinamumas išskirtas kaip viena iš aštuonių veiksmų sričių, nurodyta, kad tai yra pirminė dalyvavimo socialiniame gyvenime sąlyga, ir siekiama užtikrinti gaminių ir paslaugų prieinamumą;

(18)

sprendimas dėl to, kokie gaminiai ir paslaugos patenka į šios direktyvos taikymo sritį, grindžiamas atlikta peržiūra, kuri buvo atlikta rengiant poveikio vertinimą, kuriuo nustatyta, kurie gaminiai ir paslaugos yra svarbūs neįgaliesiems ir kurių atžvilgiu valstybės narės yra priėmusios arba, tikėtina, priims skirtingus nacionalinius prieinamumo reikalavimus, trukdančius vidaus rinkos veikimui;

(19)

siekiant užtikrinti paslaugų, kurios patenka į šios direktyvos taikymo sritį, prieinamumą, turėtų būti reikalaujama, kad taikytinus šios direktyvos prieinamumo reikalavimus atitiktų ir teikiant tas paslaugas naudojami gaminiai, su kuriais vartotojai turi sąveiką;

(20)

net jei paslauga arba paslaugos dalis pagal subrangos sutartį perduodama teikti trečiajam asmeniui, tos paslaugos prieinamumui neturėtų būti pakenkta, o paslaugų teikėjai turėtų vykdyti šioje direktyvoje nustatytas pareigas. Paslaugų teikėjai taip pat turėtų užtikrinti tinkamą ir nuolatinį savo darbuotojų mokymą siekiant užtikrinti, kad jie žinotų, kaip naudoti prieinamus gaminius ir paslaugas. Tas mokymas turėtų apimti tokius klausimus, kaip informacijos teikimas, konsultacijos ir reklama;

(21)

prieinamumo reikalavimai turėtų būti nustatyti tokiu būdu, kad ekonominės veiklos vykdytojams ir valstybėms narėms tenkanti našta būtų kuo mažesnė;

(22)

būtina sukonkretinti su į šios direktyvos taikymo sritį patenkančių gaminių ir paslaugų pateikimu rinkai susijusius prieinamumo reikalavimus, kad būtų užtikrintas jų laisvas judėjimas vidaus rinkoje;

(23)

pagal šią direktyvą turėtų būti privaloma taikyti funkcinius prieinamumo reikalavimus ir jie turėtų būti suformuluoti kaip bendrieji tikslai. Tie reikalavimai turėtų būti pakankamai tikslūs, kad būtų sukurtos teisiškai privalomos pareigos, ir pakankamai išsamūs, kad būtų galima vertinti atitiktį siekiant užtikrinti gerą gaminių ir paslaugų, kuriems taikoma ši direktyva, vidaus rinkos veikimą; taip pat turėtų būti palikta šiek tiek lankstumo, kad būtų sudarytos sąlygos inovacijoms;

(24)

šioje direktyvoje pateikiama keletas funkcinio veiksmingumo kriterijų, susijusių su gaminių ir paslaugų naudojimo režimais. Tie kriterijai nėra numatyti kaip bendra alternatyva šios direktyvos prieinamumo reikalavimams ir turėtų būti taikomi tik labai konkrečiomis aplinkybėms. Tie kriterijai turėtų būti taikomi konkrečioms gaminių ar paslaugų funkcijoms ar savybėms siekiant užtikrinti jų prieinamumą, kai šios direktyvos prieinamumo reikalavimai neapima vienos ar daugiau konkrečių funkcijų ar savybių. Be to, tuo atveju, jei kuriuo nors prieinamumo reikalavimu būtų numatyti konkretūs techniniai reikalavimai, o gaminys arba paslauga apimtų alternatyvų techninį sprendimą, skirtą tiems techniniams reikalavimams, šis alternatyvus techninis sprendimas vis tiek turėtų atitikti susijusius prieinamumo reikalavimus, ir taikant atitinkamus funkcinio veiksmingumo kriterijus turėtų užtikrinti lygiavertį arba didesnį prieinamumą;

(25)

ši direktyva turėtų būti taikoma bendrosios paskirties vartotojų kompiuterių aparatinės įrangos sistemoms. Tam, kad tos sistemos veiktų prieinamu būdu, jų operacinės sistemos taip pat turėtų būti prieinamos. Tokios kompiuterių aparatinės įrangos sistemos pasižymi tuo, kad jos yra įvairios paskirties, ir tuo, kad kartu su atitinkama programine įranga jos gali atlikti pačias bendriausias vartotojams reikalingas kompiuterines užduotis ir yra skirtos vartotojams naudoti. Tokių kompiuterių aparatinės įrangos sistemų pavyzdžiai – asmeniniai kompiuteriai, įskaitant stalinius kompiuterius, knyginius kompiuterius, išmaniuosius telefonus ir planšetinius kompiuterius. Specializuoti kompiuteriai, įmontuoti į vartotojams skirtus elektroninius gaminius, nėra bendros paskirties vartotojų kompiuterių aparatinės įrangos sistemos. Ši direktyva neturėtų būti taikoma pavieniams konkrečias funkcijas atliekantiems komponentams, pavyzdžiui, pagrindinei plokštei ar atminties kortelei, kurie naudojami arba kurie galėtų būti naudojami tokioje sistemoje;

(26)

ši direktyva taip pat turėtų būti taikoma mokėjimo terminalams, įskaitant jų aparatinę ir programinę įrangą, ir tam tikriems interaktyviems savitarnos terminalams, įskaitant jų aparatinę ir programinę įrangą, skirtiems naudoti paslaugų, kurioms taikoma ši direktyva, teikimui, pavyzdžiui: bankomatams; bilietų pardavimo automatams, išduodantiems fizinius bilietus, kuriais suteikiama prieiga prie paslaugų, pavyzdžiui, kelionės bilietų automatams; bankų priėmimo salėse eilės numerį išduodantiems automatams; registracijos automatams ir interaktyviems savitarnos terminalams, teikiantiems informaciją, įskaitant interaktyvius informacinius ekranus;

(27)

tačiau tam tikriems interaktyviems informacijos teikimo savitarnos terminalams, kurie yra transporto priemonių, orlaivių, laivų arba riedmenų įmontuotos sudedamosios dalys, ši direktyva neturėtų būti taikoma, nes jie yra tų transporto priemonių, orlaivių, laivų ar riedmenų, kuriems ši direktyva netaikoma, dalis;

(28)

ši direktyva taip pat turėtų būti taikoma elektroninių ryšių paslaugoms, apimančioms skubios pagalbos ryšį, kaip apibrėžta Europos Parlamento ir Tarybos direktyvoje (ES) 2018/1972 (5). Šiuo metu priemonės, kurių valstybės narės ėmėsi norėdamos užtikrinti prieigą neįgaliesiems, skiriasi ir visoje vidaus rinkoje nėra suderintos. Užtikrinus, kad visoje Sąjungoje būtų taikomi tie patys prieinamumo reikalavimai, bus sukurta masto ekonomija ekonominės veiklos vykdytojams, vykdantiems veiklą daugiau nei vienoje valstybėje narėje, ir sudarytos palankesnės sąlygos veiksmingai prieigai neįgaliesiems tiek jų pačių valstybėje narėje, tiek keliaujant iš vienos valstybės narės į kitą. Tam, kad elektroninių ryšių paslaugos, apimančios skubios pagalbos ryšį, būtų prieinamos, teikėjai turėtų perduoti ne tik balso ryšį, bet ir realiuoju laiku perduodamą tekstą ir, kai jie perduoda vaizdo įrašą – įvairiapusio ryšio realiuoju laiku paslaugas, užtikrindami visų tų ryšių priemonių sinchronizavimą. Be šios direktyvos reikalavimų, pagal Direktyvą (ES) 2018/1972 valstybės narės turėtų galėti nustatyti perdavimo paslaugos teikėją, kuriuo galėtų naudotis neįgalieji;

(29)

šia direktyva suderinami elektroninių ryšių paslaugų ir susijusių gaminių prieinamumo reikalavimai bei papildoma Direktyva (ES) 2018/1972, kurioje nustatyti reikalavimai dėl lygiavertės prieigos ir neįgalių galutinių naudotojų pasirinkimo galimybių. Direktyvoje (ES) 2018/1972 taip pat nustatyti su universaliųjų paslaugų įsipareigojimais susiję reikalavimai dėl interneto prieigos ir kalbinio ryšio paslaugų įperkamumo ir dėl susijusių galinių įrenginių, specifinės įrangos ir paslaugų, skirtų neįgaliems vartotojams, įperkamumo ir buvimo;

(30)

ši direktyva taip pat turėtų būti taikoma vartotojų galiniams įrenginiams su interaktyviais kompiuteriniais pajėgumais, kurie numatomi pirmiausia būti naudojami prieigai prie elektroninių ryšių paslaugų. Šios direktyvos tikslais turėtų būti laikoma, kad tiems įrenginiams yra priskiriami įrenginiai, naudojami kaip prieigos prie elektroninių ryšių paslaugų suteikimo sistemos dalis, pavyzdžiui, maršruto parinktuvai arba modemai;

(31)

šios direktyvos tikslais prieiga prie audiovizualinės žiniasklaidos paslaugų turėtų reikšti, kad prieiga prie audiovizualinio turinio, kaip ir prie mechanizmų, užtikrinančių neįgaliems naudotojams galimybę naudotis jų pagalbinėmis technologijomis, yra prieinama. Paslaugos, kuriomis suteikiama prieiga prie audiovizualinės žiniasklaidos paslaugų, galėtų apimti interneto svetaines, internetines taikomąsias programas, priedėliu grindžiamas taikomąsias programas, taikomąsias programas, kurias galima atsisiųsti, nešiojamaisiais prietaisais teikiamas paslaugas, įskaitant mobiliąsias programas, ir susijusias medijos leistuves, taip pat išmaniosios televizijos paslaugas. Audiovizualinės žiniasklaidos paslaugų prieinamumas reglamentuojamas Europos Parlamento ir Tarybos direktyva 2010/13/ES (6), išskyrus elektroninių programų vadovų (EPV) prieinamumą, kuris yra įtrauktas į paslaugų, kuriomis suteikiama prieiga prie audiovizualinės žiniasklaidos paslaugų ir kurioms taikoma ši direktyva, apibrėžtį;

(32)

keleivinio oro, autobusų, geležinkelių ir vandens transporto paslaugų kontekste ši direktyva turėtų būti taikoma, inter alia, informacijos apie transporto paslaugas, įskaitant kelionių informaciją realiuoju laiku, teikimui naudojant interneto svetaines, nešiojamaisiais prietaisais teikiamas paslaugas, interaktyvius informacinius ekranus ir interaktyvius savitarnos terminalus, kurios reikia neįgaliems keleiviams, kad jie galėtų keliauti. Tai galėtų apimti informaciją apie paslaugų teikėjo keleivinio transporto gaminius ir paslaugas, prieš kelionę ir kelionės metu teikiamą informaciją bei informaciją, teikiamą tuo atveju, jei paslauga yra atšaukiama arba atidedamas išvykimas. Kiti informacijos elementai taip pat galėtų apimti informaciją apie kainas ir nuolaidas;

(33)

ši direktyva taip pat turėtų būti taikoma interneto svetainėms, nešiojamaisiais prietaisais teikiamoms paslaugoms, įskaitant mobiliąsias programas, kurias sukūrė arba kurias teikia keleivinio transporto paslaugų, kurioms taikoma ši direktyva, operatoriai arba kurios yra sukurtos ar teikiamos tokių operatorių vardu, elektroninių bilietų pardavimo paslaugoms, elektroniniams bilietams ir interaktyviems savitarnos terminalams;

(34)

šios direktyvos taikymo sritis, susijusi su keleivinio oro, autobusų, geležinkelių ir vandens transporto paslaugomis, turėtų būti nustatyta remiantis galiojančiais sektoriniais teisės aktais, susijusiais su keleivių teisėmis. Kai ši direktyva tam tikrų rūšių transporto paslaugoms netaikoma, valstybės narės turėtų paraginti paslaugų teikėjus taikyti atitinkamus šios direktyvos prieinamumo reikalavimus;

(35)

Europos Parlamento ir Tarybos direktyva (ES) 2016/2102 (7) transporto paslaugas, įskaitant mieste ir priemiesčiuose teikiamas transporto paslaugas ir regionines transporto paslaugas, teikiančioms viešojo sektoriaus institucijoms jau nustatytos pareigos užtikrinti savo interneto svetainių prieinamumą. Šioje direktyvoje nustatytos išimtys paslaugas, įskaitant mieste ir priemiesčiuose teikiamas transporto paslaugas ir regionines transporto paslaugas, teikiančioms labai mažoms įmonėms. Be to, šioje direktyvoje nustatytos pareigos užtikrinti, kad e. prekybos svetainės būtų prieinamos. Kadangi šia direktyva didžioji dauguma privačių transporto paslaugų teikėjų įpareigojami užtikrinti savo interneto svetainių prieinamumą, kai bilietai parduodami internetu, šioje direktyvoje nėra būtina nustatyti papildomų reikalavimų mieste ir priemiesčiuose teikiamų transporto paslaugų bei regioninių transporto paslaugų teikėjų interneto svetainėms;

(36)

tam tikriems prieinamumo reikalavimų elementams, visų pirma susijusiems su informacijos teikimu, kaip išdėstyta šioje direktyvoje, jau taikoma galiojanti Sąjungos teisė keleivinio transporto srityje. Tai apima Europos Parlamento ir Tarybos reglamento (EB) Nr. 261/2004 (8), Europos Parlamento ir Tarybos reglamento (EB) Nr. 1107/2006 (9), Europos Parlamento ir Tarybos reglamento (EB) Nr. 1371/2007 (10), Europos Parlamento ir Tarybos reglamento (ES) Nr. 1177/2010 (11) bei Europos Parlamento ir Tarybos reglamento (ES) Nr. 181/2011 (12) elementus. Tai taip pat apima atitinkamus aktus, priimtus remiantis Europos Parlamento ir Tarybos direktyva 2008/57/EB (13). Siekiant užtikrinti reglamentavimo nuoseklumą, tuose reglamentuose ir tuose aktuose išdėstyti prieinamumo reikalavimai turėtų būti taikomi ir toliau. Vis dėlto papildomi šios direktyvos reikalavimai papildytų galiojančius reikalavimus, pagerinant vidaus rinkos veikimą transporto srityje ir užtikrinant naudą neįgaliesiems;

(37)

ši direktyva neturėtų būti taikoma tam tikriems transporto paslaugų elementams, kai paslaugos teikiamos už valstybių narių teritorijos ribų, net jei paslaugos buvo skirtos Sąjungos rinkai. Kalbant apie tuos elementus, keleivinio transporto paslaugų operatorius turėtų būti įpareigotas tik užtikrinti, kad šios direktyvos reikalavimų būtų laikomasi tos paslaugų dalies, kuri siūloma Sąjungos teritorijoje, atžvilgiu. Vis dėlto oro transporto atveju Sąjungos oro vežėjai turėtų užtikrinti, kad taikytinų šios direktyvos reikalavimų taip pat būtų laikomasi skrydžiuose iš trečiojoje valstybėje esančio oro uosto į valstybės narės teritorijoje esantį oro uostą. Be to, visi oro vežėjai, įskaitant tuos, kurie neturi Sąjungoje išduotos licencijos, turėtų užtikrinti, kad taikytinų šios direktyvos reikalavimų, būtų laikomasi tais atvejais, kai skrydžiai vykdomi iš Sąjungos teritorijos į trečiosios valstybės teritoriją;

(38)

miestų institucijos turėtų būti skatinamos į savo tvaraus judumo mieste planus (TJMP) įtraukti nuostatas dėl miestų transporto paslaugų prieinamumo be kliūčių, taip pat reguliariai skelbti geriausios praktikos sąrašus miestų viešojo transporto prieinamumo be kliūčių ir judumo srityse;

(39)

Sąjungos bankų ir finansinių paslaugų teise siekiama apsaugoti tų paslaugų vartotojus ir teikti jiems informaciją visoje Sąjungoje, tačiau ji neapima prieinamumo reikalavimų. Siekiant sudaryti sąlygas neįgaliesiems naudotis tomis paslaugomis visoje Sąjungoje, be kita ko, kai jos teikiamos interneto svetainėmis ir nešiojamaisiais prietaisais teikiamomis paslaugomis, įskaitant mobiliąsias programas, priimti tinkama informacija pagrįstus sprendimus ir būti tikriems, kad jie yra tinkamai apsaugoti lygiomis sąlygomis su kitais vartotojais, taip pat užtikrinti vienodas sąlygas paslaugų teikėjams, šia direktyva turėtų būti nustatyti bendrieji prieinamumo reikalavimai, taikomi tam tikroms banko ir finansinėms paslaugoms, teikiamoms vartotojams;

(40)

tinkami prieinamumo reikalavimai taip pat turėtų būti taikomi tapatybės nustatymo metodams, elektroninio parašo ir mokėjimo paslaugoms, nes jos yra būtinos vartotojų banko operacijoms atlikti;

(41)

e. knygų rinkmenos grindžiamos elektroniniu kompiuteriniu kodavimu, kuris sudaro galimybę platinti daugiausia tekstinius bei grafinius intelektinius kūrinius ir sudaro galimybę su jais susipažinti. Nuo šio kodavimo tikslumo laipsnio priklauso e. knygų rinkmenų prieinamumas, visų pirma, kiek tai susiję su įvairių kūrinio sudedamųjų dalių apibūdinimu ir standartiniu jo struktūros aprašymu. Kalbant apie prieinamumą, sąveikumas turėtų užtikrinti optimalų tų rinkmenų suderinamumą su naudotojo programomis bei su dabartinėmis ir ateities pagalbinėmis technologijomis. Visų taikytinų prieinamumo reikalavimų atveju turėtų būti atsižvelgiama į konkrečias specialių knygų, pavyzdžiui, komiksų, knygų vaikams ir meno knygų, savybes. Dėl skirtingų prieinamumo reikalavimų valstybėse narėse leidėjams ir kitiems ekonominės veiklos vykdytojams būtų sunku pasinaudoti vidaus rinkos teikiamais privalumais, galėtų atsirasti sąveikumo su e. skaityklėmis problemų ir būtų ribojama neįgalių vartotojų prieiga. E. knygų kontekste samprata „paslaugų teikėjas“ galėtų apimti leidėjus ir kitus ekonominės veiklos vykdytojus, dalyvaujančius jų platinimo procese.

Pripažįstama, kad neįgalieji toliau susiduria su prieigos prie turinio, kuris saugomas autorių teisių ir gretutinių teisių, kliūtimis ir kad siekiant išspręsti šią problemą jau buvo imtasi tam tikrų priemonių, pavyzdžiui, priimant Europos Parlamento ir Tarybos direktyvą (ES) 2017/1564 (14) ir Europos Parlamento ir Tarybos reglamentą (ES) 2017/1563 (15), o ateityje šioje srityje būtų galima imtis tolesnių Sąjungos priemonių;

(42)

šioje direktyvoje e. prekybos paslaugos apibrėžiamos kaip paslaugos, teikiamos nuotoliniu būdu, naudojant interneto svetaines ir nešiojamaisiais prietaisais teikiamas paslaugas, elektroninėmis priemonėmis ir individualiu vartotojo prašymu siekiant sudaryti vartojimo sutartį. Tos apibrėžties tikslais „nuotoliniu būdu“ reiškia, kad paslauga teikiama šalims tuo pačiu metu fiziškai nedalyvaujant; „elektroninėmis priemonėmis“ reiškia, kad iš pradžių paslauga išsiunčiama ir gaunama jos paskirties vietoje elektronine įranga, skirta duomenims apdoroti (įskaitant skaitmeninį suspaudimą) bei saugoti, ir ji visa perduodama, suteikiama ir gaunama laidais, radijo pagalba, optinėmis arba kitomis elektromagnetinėmis priemonėmis; „individualiu vartotojo prašymu“ reiškia, kad paslauga teikiama remiantis individualiu prašymu. Atsižvelgiant į padidėjusią e. prekybos paslaugų svarbą ir jų itin technologinį pobūdį, svarbu, kad reikalavimai dėl jų prieinamumo būtų suderinti;

(43)

šioje direktyvoje nustatytos e. prekybos paslaugos prieinamumo pareigos turėtų būti taikomos gaminių ar paslaugų pardavimui internetu, todėl taip pat turėtų būti taikomos gaminių ar paslaugų, kuriems savo ruožtu taikoma ši direktyva, pardavimui;

(44)

su atsakymo į skubios pagalbos pranešimus prieinamumu susijusios priemonės turėtų būti priimtos nedarant poveikio skubios pagalbos tarnybų organizavimui ir neturėtų turėti tam jokios įtakos, nes šis klausimas ir toliau priklauso valstybių narių išimtinei kompetencijai;

(45)

pagal Direktyvą (ES) 2018/1972 valstybės narės turi užtikrinti, kad neįgalūs galutiniai naudotojai su skubios pagalbos tarnybomis galėtų susisiekti skubios pagalbos ryšiu, lygiaverčiu tam, kuriuo gali naudotis kiti galutiniai naudotojai pagal Sąjungos teisę, kuria suderinami gaminių ir paslaugų prieinamumo reikalavimai. Komisija ir nacionalinės reguliavimo arba kitos kompetentingos institucijos turi imtis tinkamų priemonių užtikrinti, kad neįgalūs galutiniai naudotojai, keliaudami kitoje valstybėje narėje, kai įmanoma, be jokios išankstinės registracijos galėtų susisiekti su skubios pagalbos tarnybomis lygiavertėmis sąlygomis kaip ir kiti galutiniai naudotojai. Tomis priemonėmis turi būti stengiamasi užtikrinti sąveikumą visose valstybėse narėse, jos turi būti kuo labiau grindžiamos pagal Direktyvos (ES) 2018/1972 39 straipsnį nustatytais Europos standartais ar specifikacijomis. Tokios priemonės neturi užkirsti kelio valstybėms narėms priimti papildomų reikalavimų, kad būtų pasiekti toje direktyvoje nustatyti tikslai. Kaip alternatyvą šios direktyvos prieinamumo reikalavimų, susijusių su atsakymu į neįgalių naudotojų skubios pagalbos pranešimus, vykdymui valstybės narės turėtų galėti nustatyti trečiąjį asmenį – perdavimo paslaugų teikėją, kuriuo neįgalieji galėtų naudotis norėdami susisiekti su bendruoju pagalbos centru, kol tie bendrieji pagalbos centrai bus pajėgūs naudotis elektroninių ryšių paslaugomis taikant interneto protokolų technologiją, kad būtų užtikrinta galimybė atsakyti į skubios pagalbos pranešimus. Bet kuriuo atveju, šioje direktyvoje nustatytos pareigos neturėtų būti suprantamos kaip ribojančios ar švelninančios pareigas neįgalių galutinių vartotojų naudai, įskaitant lygiavertę prieigą prie elektroninių ryšių paslaugų ir pagalbos tarnybų, taip pat prieinamumo pareigų, nustatytų Direktyvoje (ES) 2018/1972;

(46)

Direktyvoje (ES) 2016/2102 apibrėžti viešojo sektoriaus institucijų interneto svetainių ir mobiliųjų programų prieinamumo reikalavimai ir kiti susiję aspektai, visų pirma reikalavimai, susiję su atitinkamų interneto svetainių ir mobiliųjų programų atitiktimi reikalavimams. Tačiau toje direktyvoje pateikiamas ir konkretus išimčių sąrašas. Panašios išimtys aktualios ir šios direktyvos atveju. Kai kurios veiklos, kurios vykdomos naudojantis viešojo sektoriaus institucijų interneto svetainėmis ir mobiliosiomis programomis, pavyzdžiui, keleivinio transporto paslaugų arba e. prekybos paslaugų, kurioms taikoma ši direktyva, atveju, turėtų atitikti ir taikytinus šios direktyvos prieinamumo reikalavimus, siekiant užtikrinti, kad gaminių ir paslaugų pardavimo internetu paslauga būtų prieinama ir neįgaliesiems, neatsižvelgiant į tai, ar pardavėjas yra viešasis ar privatusis ekonominės veiklos vykdytojas. Šios direktyvos prieinamumo reikalavimai turėtų būti suderinti su Direktyvos (ES) 2016/2102 reikalavimais, nepaisant, pavyzdžiui, stebėsenos, ataskaitų teikimo ir vykdymo užtikrinimo skirtumų;

(47)

keturi interneto svetainių ir mobiliųjų programų prieinamumo principai, kurie naudojami Direktyvoje (ES) 2016/2102, yra šie: suvokiamumas – tai reiškia, kad informacija ir naudotojo sąsajos komponentai turi būti pateikiami naudotojams jiems suvokiamais būdais; naudojamumas – tai reiškia, kad naudotojo sąsajos komponentus ir naršymo priemones turi būti įmanoma naudoti; suprantamumas – tai reiškia, kad informacija ir naudotojo sąsajos naudojimas turi būti suprantami, bei tvarumas – tai reiškia, kad turinys turi būti pakankamai tvarus, kad jį būtų galima patikimai aiškinti naudojant įvairias naudotojo programas, įskaitant pagalbines technologijas. Tie principai taip pat aktualūs šiai direktyvai;

(48)

valstybės narės turėtų imtis visų tinkamų priemonių užtikrinti, kad tais atvejais, kai gaminiai ir paslaugos, kuriems taikoma ši direktyva, atitinka taikytinus prieinamumo reikalavimus, jų laisvas judėjimas Sąjungoje nebūtų varžomas dėl priežasčių, susijusių su prieinamumo reikalavimais;

(49)

kai kuriais atvejais bendrais apstatytos aplinkos prieinamumo reikalavimais būtų sudarytos palankesnės sąlygos susijusių paslaugų ir neįgaliųjų laisvam judėjimui. Todėl šia direktyva valstybėms narėms turėtų būti suteikiama galimybė į šios direktyvos taikymo sritį įtraukti apstatytą aplinką, naudojamą teikiant paslaugas, užtikrinant atitiktį III priede nustatytiems prieinamumo reikalavimams;

(50)

prieinamumas turėtų būti užtikrinamas sistemingai šalinant kliūtis ir užkertant joms kelią, pageidautina, taikant universalų dizainą, t. y. principą „tinkamumas visiems“, kuriuo padedama užtikrinti prieigą neįgaliesiems lygiomis sąlygomis kaip ir kitiems asmenims. Remiantis JT NTK, tas principas turi būti suprantamas kaip „gaminių, aplinkos, programų ir paslaugų, skirtų naudoti visiems žmonėms kuo platesniu mastu, forma, kai nėra pritaikymo ar specialios konstrukcijos būtinybės“. Neprieštaraujant JT NTK „universalumas“ apima pagalbinius įrenginius, skirtus konkrečioms neįgaliųjų grupėms, kai tai yra reikalinga“. Be to, prieinamumas turėtų apimti ir tinkamų apgyvendinimo sąlygų sudarymą, kai to reikalaujama pagal Sąjungos teisę arba nacionalinę teisę. Prieinamumo ir universalumo sąvokos turėtų būti aiškinamos neprieštaraujant Neįgaliųjų teisių komiteto bendrosios pastabos Nr. 2 (2014 m.) – 9 straipsniui „Prieinamumas“;

(51)

nereiškia, kad gaminiai ir paslaugos, patenkantys į šios direktyvos taikymo sritį, automatiškai patenka į Tarybos direktyvos 93/42/EEB (16) taikymo sritį. Tačiau tam tikros pagalbinės technologijos, kurios yra medicinos prietaisai, galėtų patekti į tos direktyvos taikymo sritį;

(52)

daugumą darbo vietų Sąjungoje sukuria MVĮ ir labai mažos įmonės. Jos yra labai svarbios būsimam ekonomikos augimui, tačiau jos dažnai susiduria su sunkumais ir kliūtimis plėtodamos savo gaminius ar paslaugas, visų pirma tarpvalstybiniame kontekste. Todėl būtina sudaryti palankesnes sąlygas MVĮ ir labai mažų įmonių darbui suderinant nacionalines nuostatas dėl prieinamumo, kartu išlaikant būtinas apsaugos priemones;

(53)

kad labai mažos įmonės ir MVĮ pasinaudotų šios direktyvos teikiama nauda, jos turi iš tikrųjų atitikti Komisijos rekomendacijos 2003/361/EB (17) reikalavimus ir atitinkamą teismų praktiką, kuriais siekiama užkirsti kelią jos taisyklių apėjimui;

(54)

siekiant užtikrinti Sąjungos teisės nuoseklumą, ši direktyva turėtų būti grindžiama Europos Parlamento ir Tarybos sprendimu Nr. 768/2008/EB (18), nes ji susijusi su gaminiais, kuriems jau taikomi kiti Sąjungos aktai, kartu pripažįstant šios direktyvos prieinamumo reikalavimų konkrečius ypatumus;

(55)

visi tiekimo ir platinimo grandinėje veikiantys ir į šios direktyvos taikymo sritį patenkantys ekonominės veiklos vykdytojai turėtų užtikrinti, kad jie rinkai teiktų tik tuos gaminius, kurie atitinka šią direktyvą. Tas pats turėtų būti taikoma paslaugas teikiantiems ekonominės veiklos vykdytojams. Būtina numatyti aiškų ir proporcingą pareigų paskirstymą, kuris atitiktų kiekvieno ekonominės veiklos vykdytojo funkciją tiekimo ir platinimo procese;

(56)

ekonominės veiklos vykdytojai turėtų būti atsakingi už gaminių ir paslaugų atitiktį reikalavimams, susijusiems su atitinkamu jų vaidmeniu tiekimo grandinėje, kad būtų užtikrintas aukštas prieinamumo apsaugos lygis ir garantuota sąžininga konkurencija Sąjungos rinkoje;

(57)

šioje direktyvoje nustatytos pareigos turėtų būti vienodai taikomos ekonominės veiklos vykdytojams viešajame ir privačiajame sektoriuose;

(58)

kadangi gamintojas yra išsamiai susipažinęs su projektavimo ir gamybos procesu, jis gali geriausiai atlikti visapusišką atitikties vertinimą. Nors atsakomybė už gaminių atitiktį tenka gamintojui, rinkos priežiūros institucijos turėtų atlikti itin svarbų vaidmenį patikrindamos, ar Sąjungoje pateikti gaminiai yra pagaminti laikantis Sąjungos teisės;

(59)

importuotojai ir platintojai turėtų būti įtraukti į nacionalinių institucijų vykdomas rinkos priežiūros užduotis ir turėtų aktyviai dalyvauti teikdami kompetentingoms institucijoms visą būtiną informaciją apie atitinkamus gaminius;

(60)

importuotojai turėtų užtikrinti, kad iš trečiųjų valstybių į Sąjungos rinką patenkantys gaminiai atitiktų šią direktyvą, visų pirma, kad gamintojai būtų atlikę tinkamas tų gaminių atitikties vertinimo procedūras;

(61)

importuotojai, pateikdami gaminį rinkai, turėtų ant jo nurodyti savo pavadinimą (vardą, pavardę), registruotą prekės pavadinimą arba registruotą prekių ženklą ir adresą, kuriuo galima į juos kreiptis;

(62)

platintojai turėtų užtikrinti, kad jiems tvarkant gaminius nebūtų daromas neigiamas poveikis gaminio atitikčiai šios direktyvos prieinamumo reikalavimams;

(63)

bet koks ekonominės veiklos vykdytojas, kuris pateikia gaminius rinkai savo vardu ar naudodamas savo prekių ženklą arba pakeičia rinkai jau pateiktą gaminį taip, kad galėtų pasikeisti gaminio atitiktis taikomiems reikalavimams, turėtų būti laikomas gamintoju ir turėtų prisiimti gamintojo pareigas;

(64)

siekiant proporcingumo, prieinamumo reikalavimai turėtų būti taikomi tik tiek, kiek dėl jų nekiltų neproporcinga našta atitinkamam ekonominės veiklos vykdytojui ir tik tiek, kiek dėl jų nebūtų reikalaujama ženkliai pakeisti gaminius ir paslaugas taip, kad jie iš esmės pasikeistų, vertinant tai pagal šią direktyvą. Vis dėlto turėtų būti įdiegti kontrolės mechanizmai siekiant patikrinti, ar yra teisė į prieinamumo reikalavimų taikymo išimtį;

(65)

ši direktyva turėtų būti grindžiama principu „visų pirma galvokime apie mažuosius“ ir ja turėtų būti atsižvelgiama į MVĮ tenkančią administracinę naštą. Direktyvoje turėtų būti nustatytos paprastos taisyklės, susijusios su atitikties vertinimu, ir turėtų būti nustatytos apsaugos nuostatos ekonominės veiklos vykdytojams, o ne toms įmonėms numatomos bendro pobūdžio išimtys ir leidžiančios nukrypti nuostatos. Todėl nustatant tinkamiausių atitikties vertinimo procedūrų atrankos ir įgyvendinimo taisykles reikėtų atsižvelgti į MVĮ padėtį, o atitikties prieinamumo reikalavimams vertinimo pareigos turėtų būti taikomos tik tokiu mastu, kad nesukeltų neproporcingos naštos MVĮ. Be to, rinkos priežiūros institucijos turėtų veikti proporcingai, atsižvelgdamos į įmonių dydį ir į tai, ar vertinama nedidelės apimties serijinė ar neserijinė gamyba, nesukurdamos nebūtinų kliūčių MVĮ ir pavojaus visuomenės intereso apsaugai;

(66)

išimtiniais atvejais, kai dėl atitikties šios direktyvos prieinamumo reikalavimams kiltų neproporcinga našta ekonominės veiklos vykdytojams, ekonominės veiklos vykdytojų turėtų būti reikalaujama tik tiek, kad jie laikytųsi reikalavimų tiek, kiek tais reikalavimais nebūtų sukeliama neproporcinga našta. Tokiais tinkamai pagrįstais atvejais ekonominės veiklos vykdytojui pagrįstai nebūtų įmanoma visapusiškai taikyti vieno ar daugiau šios direktyvos prieinamumo reikalavimų. Vis dėlto ekonominės veiklos vykdytojas turėtų užtikrinti, kad paslauga ar gaminys, kuriems taikoma ši direktyva, būtų kuo prieinamesni, taikydamas tuos reikalavimus tiek, kiek jais nebūtų sukeliama neproporcinga našta. Tie prieinamumo reikalavimai, kurie, ekonominės veiklos vykdytojo manymu, nesukelia neproporcingos naštos, turėtų būti visapusiškai taikomi. Vieno ar daugiau prieinamumo reikalavimų laikymosi išimtys, taikomos dėl jais sukeliamos neproporcingos naštos, neturėtų viršyti to, kas tikrai būtina siekiant kiekvienu atskiru atveju apriboti tą naštą konkretaus gaminio ar atitinkamos paslaugos atžvilgiu. Priemonės, dėl kurių kiltų neproporcinga našta, turėtų būti suprantamos kaip priemonės, dėl kurių ekonominės veiklos vykdytojui kiltų papildoma perteklinė organizacinio ar finansinio pobūdžio našta, kartu atsižvelgiant į tikėtiną naudą neįgaliesiems pagal šioje direktyvoje nustatytus kriterijus. Šiais aspektais grindžiami kriterijai turėtų būti apibrėžti, kad tiek ekonominės veiklos vykdytojai, tiek atitinkamos institucijos galėtų palyginti įvairias situacijas ir sistemingai vertinti, ar esama neproporcingos naštos. Vertinant, kokiu mastu prieinamumo reikalavimai negali būti įvykdyti, nes jais būtų sukeliama neproporcinga našta, turėtų būti atsižvelgta tik į teisėtas priežastis. Prioritetų, laiko ar žinių trūkumas neturėtų būti laikomas teisėta priežastimi;

(67)

bendras neproporcingos naštos vertinimas turėtų būti atliekamas remiantis VI priede nustatytais kriterijais. Neproporcingos naštos vertinimą ekonominės veiklos vykdytojas turėtų dokumentuoti atsižvelgdamas į atitinkamus kriterijus. Paslaugų teikėjai bent kas penkerius metus turėtų atnaujinti savo neproporcingos naštos vertinimą;

(68)

ekonominės veiklos vykdytojas turėtų informuoti atitinkamas institucijas apie tai, kad jis rėmėsi šios direktyvos nuostatomis, susijusiomis su esminiu keitimu ir (arba) neproporcinga našta. Tik gavęs atitinkamų institucijų prašymą ekonominės veiklos vykdytojas turėtų pateikti vertinimo kopiją, kurioje būtų paaiškinta, kodėl jo gaminys ar paslauga nėra visiškai prieinami, ir pateikti neproporcingos naštos ir (arba) esminio keitimo įrodymai;

(69)

jeigu, remdamasis reikalaujamu vertinimu, paslaugos teikėjas padaro išvadą, kad, reikalaujant, kad visi savitarnos terminalai, naudojami paslaugoms, kurioms taikoma ši direktyva, teikti, atitiktų šios direktyvos prieinamumo reikalavimus, būtų sukurta neproporcinga našta, paslaugos teikėjas vis tiek turėtų taikyti tuos reikalavimus tiek, kiek tais reikalavimais paslaugos teikėjams nesukeliama tokia neproporcinga našta. Taigi, paslaugos teikėjai turėtų vertinti, kokiu mastu visų savitarnos terminalų ribotas prieinamumo lygis arba ribotas skaičius visiškai prieinamų savitarnos terminalų jiems sudarytų galimybę išvengti neproporcingos naštos, kuri kitu atveju jiems kiltų, ir turėtų būti reikalaujama, kad jie šios direktyvos prieinamumo reikalavimų laikytųsi tik tuo mastu;

(70)

labai mažos įmonės skiriasi nuo visų kitų įmonių savo ribotais žmogiškaisiais ištekliais, metine apyvarta arba metiniu balansu. Todėl labai mažoms įmonėms tenkanti našta, susijusi su prieinamumo reikalavimų laikymusi, apskritai reikalauja didesnės jų finansinių ir žmogiškųjų išteklių dalies nei kitų įmonių atveju ir labiau tikėtina, kad sudaro neproporcingą išlaidų dalį. Ženkli labai mažų įmonių išlaidų dalis susidaro dėl dokumentų pildymo ar tvarkymo ir įrašų, kuriais siekiama įrodyti atitiktį įvairiems Sąjungos teisėje nustatytiems reikalavimams. Kadangi visi ekonominės veiklos vykdytojai, kuriems taikoma ši direktyva, turėtų galėti vertinti atitikties šios direktyvos prieinamumo reikalavimams proporcingumą ir turėtų jų laikytis tik tokiu mastu, kiek jie nėra neproporcingi, reikalauti, kad paslaugas teikiančios labai mažos įmonės atliktų tokį vertinimą, savaime jau būtų neproporcinga našta. Todėl šios direktyvos reikalavimai ir pareigos neturėtų būti taikomi labai mažoms įmonėms, teikiančioms paslaugas, kurioms taikoma ši direktyva;

(71)

siekiant sumažinti administracinę naštą, šios direktyvos reikalavimai ir pareigos labai mažoms įmonėms, užsiimančioms gaminiais, kuriems taikoma ši direktyva, turėtų būti ne tokie griežti;

(72)

nors kai kurioms labai mažoms įmonėms šioje direktyvoje nustatytos pareigos netaikomos, visos labai mažos įmonės turėtų būti skatinamos gaminti, importuoti arba platinti gaminius ir teikti paslaugas, kurios atitinka šios direktyvos prieinamumo reikalavimus, siekiant padidinti jų konkurencingumą, taip pat jų augimo potencialą vidaus rinkoje. Todėl valstybės narės labai mažoms įmonėms turėtų pateikti gaires ir suteikti įrankių, kad būtų sudarytos palankesnės sąlygos taikyti nacionalines priemones, kuriomis ši direktyva perkeliama į nacionalinę teisę;

(73)

visi ekonominės veiklos vykdytojai, pateikdami gaminius į rinką ar juos tiekdami rinkai arba teikdami paslaugas rinkoje, turėtų elgtis atsakingai ir laikytis visų taikytinų teisinių reikalavimų;

(74)

siekiant sudaryti palankesnes sąlygas atitikties taikytiniems prieinamumo reikalavimams vertinimui, būtina numatyti gaminių ir paslaugų, atitinkančių savanoriškai taikomus darniuosius standartus, priimtus pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 1025/2012 (19), atitikties prielaidą tų reikalavimų išsamių techninių specifikacijų parengimo tikslu. Komisija Europos standartizacijos organizacijoms jau yra pateikusi standartizavimo prašymų dėl prieinamumo, pavyzdžiui, standartizacijos įgaliojimus Nr. M/376, M/473 ir M/420, kurie būtų aktualūs rengiant darniuosius standartus;

(75)

Reglamente (ES) Nr. 1025/2012 numatyta oficialių prieštaravimo dėl darniųjų standartų, kurie laikomi neatitinkančiais šios direktyvos reikalavimų, procedūra;

(76)

Europos standartai turėtų būti orientuoti į rinką, jais turėtų būti atsižvelgiama į viešąjį interesą, taip pat į politikos tikslus, aiškiai nurodytus Komisijos prašyme vienai ar daugiau Europos standartizacijos organizacijų parengti darniuosius standartus, ir būti pagrįsti bendru sutarimu. Jei darniųjų standartų nėra ir jeigu to reikia vidaus rinkos derinimo tikslais, Komisija turėtų turėti galimybę tam tikrais atvejais priimti įgyvendinimo aktus, kuriais būtų nustatytos šios direktyvos prieinamumo reikalavimų techninės specifikacijos. Galimybė nustatyti technines specifikacijas turėtų apsiriboti tik tokiais atvejais. Komisija turėtų turėti galimybę priimti technines specifikacijas, pavyzdžiui, tuomet, kai standartizacijos procesas sustabdytas dėl to, kad suinteresuotieji subjektai neranda bendro sutarimo arba nepagrįstai delsiama nustatyti darnųjį standartą, pavyzdžiui, dėl to, kad neužtikrinta reikalaujama kokybė. Komisija turėtų skirti pakankamai laiko nuo prašymo vienai ar daugiau Europos standartizacijos organizacijų parengti darniuosius standartus priėmimo iki su tuo pačiu prieinamumo reikalavimu susijusios techninės specifikacijos priėmimo. Komisijai neturėtų būti suteikta galimybė priimti technines specifikacijas, jeigu pirmiau ji nesiėmė veiksmų, kad prieinamumo reikalavimai būtų nustatyti per Europos standartizacijos sistemą, išskyrus atvejus, kai Komisija gali parodyti, kad techninės specifikacijos atitinka Reglamento (ES) Nr. 1025/2012 II priede nustatytus reikalavimus;

(77)

siekdama kuo veiksmingiau nustatyti darniuosius standartus ir technines specifikacijas, kurie atitinka šios direktyvos gaminių ir paslaugų prieinamumo reikalavimus, Komisija turėtų, kai tai įmanoma, į šį procesą įtraukti skėtines Europos neįgaliųjų organizacijas ir visus kitus susijusius suinteresuotuosius subjektus;

(78)

siekiant užtikrinti veiksmingą prieigą prie informacijos rinkos priežiūros tikslais, informacija, kurios reikia siekiant deklaruoti atitiktį visiems taikytiniems Sąjungos aktams, turėtų būti pateikiama bendroje ES atitikties deklaracijoje. Siekiant sumažinti ekonominės veiklos vykdytojams tenkančią administracinę naštą, jie į bendrą ES atitikties deklaraciją turėtų galėti įtraukti visas atitinkamas atskiras atitikties deklaracijas;

(79)

kalbant apie gaminių atitikties vertinimą, šioje direktyvoje turėtų būti taikoma Sprendimo Nr. 768/2008/EB II priede nustatyta gamybos vidaus kontrolė (A modulis), nes taip ekonominės veiklos vykdytojai galėtų parodyti, o kompetentingos institucijos galėtų užtikrinti, kad rinkai tiekiami gaminiai atitinka prieinamumo reikalavimus nesukeliant nepagrįstos naštos;

(80)

vykdydamos gaminių rinkos priežiūrą ir tikrindamos paslaugų atitiktį institucijos taip pat turėtų patikrinti atitikties vertinimus, įskaitant tai, ar susijęs esminio keitimo arba neproporcingos naštos vertinimas buvo tinkamai atliktas. Vykdydamos savo pareigas institucijos taip pat turėtų bendradarbiauti su neįgaliaisiais ir organizacijomis, kurios atstovauja jiems bei jų interesams;

(81)

kalbant apie paslaugas, informacija, būtina siekiant vertinti atitiktį šios direktyvos prieinamumo reikalavimams, turėtų būti pateikta bendrosiose sąlygose arba lygiaverčiame dokumente, nedarant poveikio Europos Parlamento ir Tarybos direktyvai 2011/83/ES (20);

(82)

CE ženklas, rodantis gaminio atitiktį šios direktyvos prieinamumo reikalavimams, yra apčiuopiamas viso proceso, apimančio atitikties vertinimą plačiąja prasme, rezultatas. Šioje direktyvoje turėtų būti laikomasi Europos Parlamento ir Tarybos reglamente (EB) Nr. 765/2008 (21), nustatančiame su gaminių prekyba susijusius akreditavimo ir rinkos priežiūros reikalavimus, išdėstytų bendrųjų principų, reglamentuojančių ženklinimą CE ženklu. Be ES atitikties deklaracijos parengimo gamintojas vartotojams ekonomiškai efektyviu būdu turėtų pateikti informaciją apie savo gaminių prieinamumą;

(83)

pagal Reglamentą (EB) Nr. 765/2008 pažymėdamas gaminį CE ženklu gamintojas deklaruoja, kad gaminys atitinka visus taikytinus prieinamumo reikalavimus ir kad gamintojas už jį prisiima visą atsakomybę;

(84)

pagal Sprendimą Nr. 768/2008/EB valstybės narės yra atsakingos už griežtos ir veiksmingos gaminių rinkos priežiūros užtikrinimą savo teritorijoje ir turėtų suteikti savo rinkos priežiūros institucijoms pakankamus įgaliojimus ir išteklius;

(85)

valstybės narės turėtų patikrinti, ar paslaugos atitinka šioje direktyvoje nustatytas pareigas, ir imtis tolesnių veiksmų dėl skundų ar pranešimų, susijusių su jų neatitiktimi, kad būtų užtikrintas taisomųjų veiksmų taikymas;

(86)

kai tikslinga, Komisija konsultuodamasi su suinteresuotaisiais subjektais galėtų priimti neprivalomas gaires, kad padėtų koordinuoti rinkos priežiūros institucijų ir už paslaugų atitikties tikrinimą atsakingų institucijų veiksmus. Komisija ir valstybės narės turėtų galėti imtis iniciatyvų dėl dalijimosi institucijų ištekliais ir ekspertinėmis žiniomis;

(87)

valstybės narės turėtų užtikrinti, kad rinkos priežiūros institucijos ir už paslaugų atitikties tikrinimą atsakingos institucijos tikrintų, ar ekonominės veiklos vykdytojai tenkina VI priede nustatytus kriterijus pagal VIII ir IX skyrius. Valstybės narės turėtų galėti paskirti specializuotą įstaigą, kuri vykdytų rinkos priežiūros institucijų arba už paslaugų atitikties tikrinimą atsakingų institucijų pareigas pagal šią direktyvą. Valstybės narės turėtų galėti nuspręsti, kad tokios specializuotos įstaigos kompetencijai turėtų priklausyti tik į šios direktyvos taikymo sritį patenkantys aspektai arba tam tikros jos dalys, nedarant poveikio valstybių narių pareigoms pagal Reglamentą (EB) Nr. 765/2008;

(88)

turėtų būti nustatyta apsaugos procedūra, kuri būtų taikoma tuo atveju, jei valstybės narės nesutaria dėl priemonių, kurių ėmėsi valstybė narė, pagal kurią suinteresuotosios šalys būtų informuojamos apie priemones, kurių ketinama imtis šios direktyvos prieinamumo reikalavimų neatitinkančių gaminių atžvilgiu. Apsaugos procedūra turėtų užtikrinti galimybę rinkos priežiūroms institucijoms, bendradarbiaujant su atitinkamais ekonominės veiklos vykdytojais, imtis veiksmų tokių gaminių atžvilgiu ankstesniame etape;

(89)

jeigu valstybės narės ir Komisija sutaria, kad priemonė, kurios ėmėsi valstybė narė, yra pagrįsta, Komisijai nebereikėtų imtis papildomų veiksmų, išskyrus atvejus, kai gali būti teigiama, kad reikalavimų nesilaikoma dėl darniųjų standartų arba techninių specifikacijų trūkumų;

(90)

Europos Parlamento ir Tarybos direktyvose 2014/24/ES (22) ir 2014/25/ES (23) dėl viešųjų pirkimų, kuriose nustatytos viešųjų pirkimų ir projekto konkursų tam tikrų išteklių (gaminių), paslaugų ir darbų įsigijimo tikslu procedūros, nustatyta, kad visų pirkimų, skirtų fizinių asmenų naudojimui, ar tai būtų plačioji visuomenė, ar perkančiosios organizacijos ar subjekto darbuotojai, atveju techninės specifikacijos, išskyrus tinkamai pagrįstus atvejus, turi būti parengtos taip, kad būtų atsižvelgta į prieinamumo neįgaliesiems arba tinkamumo visiems naudotojams kriterijus. Be to, tomis direktyvomis reikalaujama, kad atvejais, kai Sąjungos teisės aktu yra patvirtinti privalomieji prieinamumo reikalavimai, kiek tai yra susiję su prieinamumu neįgaliesiems arba tinkamumu visiems naudotojams, kriterijai techninėse specifikacijose nustatomi pateikiant nuorodą į tuos aktus. Šioje direktyvoje turėtų būti nustatyti privalomieji prieinamumo reikalavimai gaminių ir paslaugų, kuriems ji taikoma, atžvilgiu. Kalbant apie kitus gaminius ir paslaugas, kurie nepatenka į šios direktyvos taikymo sritį, šios direktyvos prieinamumo reikalavimai nėra privalomi. Vis dėlto tų prieinamumo reikalavimų taikymas siekiant įvykdyti kituose nei ši direktyva Sąjungos aktuose nustatytas atitinkamas pareigas sudarytų palankesnes sąlygas prieinamumo užtikrinimui ir padidintų teisinį tikrumą bei prisidėtų prie prieinamumo reikalavimų visoje Sąjungoje suderinimo. Institucijoms neturėtų būti trukdoma nustatyti prieinamumo reikalavimus, kurie viršytų šios direktyvos I priede išdėstytus prieinamumo reikalavimus;

(91)

šia direktyva neturėtų būti keičiamas kituose Sąjungos aktuose numatytas privalomas arba savanoriškas su prieinamumu susijusių nuostatų pobūdis;

(92)

ši direktyva turėtų būti taikoma tik toms viešųjų pirkimų procedūroms, kurių atveju kvietimas dalyvauti konkurse buvo išsiųstas po šios direktyvos taikymo pradžios datos, arba, jei kvietimas dalyvauti konkurse nenumatytas – jei perkančioji organizacija arba perkantysis subjektas viešųjų pirkimų procedūrą pradėjo po šios direktyvos taikymo pradžios datos;

(93)

siekiant užtikrinti tinkamą šios direktyvos taikymą, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl: prieinamumo reikalavimų, kurie, atsižvelgiant į jų patį pobūdį, užtikrins jais numatytą poveikį tik tuo atveju, jeigu jie bus toliau patikslinti privalomuose Sąjungos teisės aktuose, tolesnio patikslinimo; laikotarpio, per kurį ekonominės veiklos vykdytojai gali identifikuoti bet kurį kitą ekonominės veiklos vykdytoją, kuris jiems patiekė gaminį arba kuriam buvo patiektas gaminys, pakeitimo; ir atitinkamų kriterijų, į kuriuos turi atsižvelgti ekonominės veiklos vykdytojas vertindamas, ar dėl atitikties prieinamumo reikalavimams užtikrinimo nebūtų sukelta neproporcinga našta, tolesnio patikslinimo. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais, ir kad tos konsultacijos būtų vykdomos vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros (24) nustatytais principais. Visų pirma siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus gauna tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

(94)

siekiant užtikrinti vienodas šios direktyvos įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai techninių specifikacijų atžvilgiu. Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (25);

(95)

valstybės narės turėtų užtikrinti, kad egzistuotų tinkamos ir veiksmingos priemonės atitikčiai šiai direktyvai užtikrinti, ir todėl turėtų nustatyti tinkamus kontrolės mechanizmus, pavyzdžiui, rinkos priežiūros institucijų a posteriori atliekamą kontrolę, kad būtų patikrinta, ar suteikta galimybė netaikyti prieinamumo reikalavimų yra pagrįsta. Nagrinėdamos su prieinamumu susijusius skundus valstybės narės turėtų laikytis bendrojo gero administravimo principo, visų pirma pareigūnų pareigos užtikrinti, kad dėl kiekvieno skundo sprendimas būtų priimamas per pagrįstą laiką;

(96)

siekdama sudaryti palankesnes sąlygas vienodam šios direktyvos įgyvendinimui, Komisija turėtų įsteigti darbo grupę, kurią sudarytų atitinkamos institucijos ir suinteresuotieji subjektai, kad būtų sudarytos palankesnės sąlygos keitimuisi informacija ir geriausia praktika bei teikiamos konsultacijos. Turėtų būti skatinamas institucijų ir atitinkamų suinteresuotųjų subjektų, įskaitant neįgaliuosius ir organizacijas, kurios atstovauja jiems, bendradarbiavimas, inter alia, siekiant padidinti šios direktyvos nuostatų, susijusių su prieinamumo reikalavimais, taikymo darnumą bei jos nuostatų dėl esminio keitimo ir neproporcingos naštos įgyvendinimo stebėseną;

(97)

atsižvelgiant į galiojančią teisinę sistemą teisių gynimo priemonių srityse, kurioms taikomos direktyvos 2014/24/ES ir 2014/25/ES, šios direktyvos nuostatos, susijusios su vykdymo užtikrinimu ir sankcijomis neturėtų būti taikomos viešųjų pirkimų procedūroms, kurioms taikomos šia direktyva nustatytos pareigos. Tokia išimtis nedaro poveikio Sutartimis nustatytoms valstybių narių pareigoms imtis visų būtinų priemonių, kad būtų užtikrintas Sąjungos teisės taikymas ir veiksmingumas;

(98)

sankcijos turėtų atitikti pažeidimų pobūdį ir aplinkybes, kad netaptų alternatyva ekonominės veiklos vykdytojų pareigos užtikrinti jų gaminių ar paslaugų prieinamumą vykdymui;

(99)

valstybės narės turėtų užtikrinti, kad pagal galiojančią Sąjungos teisę būtų įdiegti alternatyvūs ginčų sprendimo mechanizmai, kuriais būtų užtikrinta galimybė visus įtariamos neatitikties šiai direktyvai atvejus išspręsti dar prieš kreipiantis į teismą ar kompetentingas administracines įstaigas;

(100)

pagal 2011 m. rugsėjo 28 d. bendrą valstybių narių ir Komisijos politinį pareiškimą dėl aiškinamųjų dokumentų (26) valstybės narės įsipareigojo pagrįstais atvejais prie pranešimų apie perkėlimo priemones pridėti vieną ar daugiau dokumentų, kuriuose paaiškinamos direktyvos sudedamųjų dalių ir nacionalinių perkėlimo priemonių atitinkamų dalių sąsajos. Šios direktyvos atžvilgiu teisės aktų leidėjas laikosi nuomonės, kad tokių dokumentų perdavimas yra pagrįstas;

(101)

kad paslaugų teikėjams būtų suteikta pakankamai laiko prisitaikyti prie šios direktyvos reikalavimų, būtina numatyti pereinamąjį penkerių metų laikotarpį nuo šios direktyvos taikymo dienos; šiuo pereinamuoju laikotarpiu paslaugos teikimui naudojami gaminiai, pateikti rinkai iki nurodytos dienos, neprivalėtų atitikti šios direktyvos prieinamumo reikalavimų, nebent pereinamuoju laikotarpiu paslaugų teikėjai juos pakeistų. Atsižvelgiant į savitarnos terminalų savikainą ir ilgą naudojimo ciklą, tikslinga nustatyti, kad tais atvejais, kai tokie terminalai naudojami paslaugų teikimo tikslu, juos būtų galima toliau naudoti iki jų naudojimo trukmės pabaigos, jei tuo laikotarpiu jie nėra pakeičiami, tačiau ne ilgiau kaip 20 metų;

(102)

šios direktyvos prieinamumo reikalavimai turėtų būti taikomi gaminiams, kurie buvo pateikti rinkai, ir paslaugoms, kurios buvo suteiktos jau pradėjus taikyti nacionalines priemones, kuriomis ši direktyva perkeliama į nacionalinę teisę; jie taip pat turėtų būti taikomi iš trečiųjų valstybių importuotiems panaudotiems ir naudotiems gaminiams, kurie rinkai buvo pateikti jau pradėjus taikyti minėtas nacionalines priemones;

(103)

šia direktyva gerbiamos pagrindinės teisės ir laikomasi principų, ypač pripažintų Europos Sąjungos pagrindinių teisių chartijoje (toliau – Chartija). Visų pirma šia direktyva siekiama užtikrinti, kad būtų visapusiškai gerbiamos neįgaliųjų teisės naudotis priemonėmis, skirtomis jų nepriklausomumui, socialinei ir profesinei integracijai bei dalyvavimui bendruomenės gyvenime užtikrinti, ir skatinti taikyti Chartijos 21, 25 ir 26 straipsnius;

(104)

kadangi šios direktyvos tikslo, t. y. panaikinti kliūtis tam tikrų prieinamų gaminių ir paslaugų laisvam judėjimui, siekiant prisidėti prie tinkamo vidaus rinkos veikimo, valstybės narės negali deramai pasiekti, nes tam reikia suderinti šiuo metu atitinkamose jų teisės sistemose galiojančias skirtingas taisykles, o to tikslo būtų geriau siekti Sąjungos lygmeniu, apibrėžiant bendruosius prieinamumo reikalavimus ir vidaus rinkos veikimo taisykles, laikydamasi Europos Sąjungos sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šia direktyva neviršijama to, kas būtina nurodytam tikslui pasiekti,