Präambel VO (EU) 2021/887

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 173 Absatz 3 und Artikel 188 Absatz 1,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses⁽¹⁾,

gemäß dem ordentlichen Gesetzgebungsverfahren⁽²⁾,

in Erwägung nachstehender Gründe:

(1)

Die Mehrheit der Bevölkerung der Union verfügt über einen Internetanschluss. Das tägliche Leben der Menschen und die Wirtschaft werden in zunehmendem Maße von digitalen Technologien bestimmt. Bürger und Unternehmen werden zunehmend der Gefahr schwerwiegender Cybersicherheitsvorfälle ausgesetzt und viele europäische Unternehmen verzeichnen jährlich mindestens einen Cybersicherheitsvorfall. Dies verdeutlicht, dass Abwehrfähigkeit geboten ist, die technischen und industriellen Fähigkeiten verbessert und hohe Cybersicherheitsstandards angewendet und ganzheitliche Lösungen für die Cybersicherheit, die sowohl Menschen als auch Erzeugnisse, Prozesse und Technologie in der Union einbinden, eingesetzt werden müssen sowie die Notwendigkeit, dass die Union auf dem Gebiet der Cybersicherheit und der digitalen Autonomie eine Führungsrolle übernimmt. Die Cybersicherheit kann auch verbessert werden, indem das Bewusstsein für Bedrohungen im Bereich der Cybersicherheit geschärft wird und Kompetenzen, Kapazitäten und Fähigkeiten in der gesamten Union entwickelt werden, wobei die gesellschaftlichen und ethischen Begleiterscheinungen und Bedenken konsequent zu berücksichtigen sind.

(2)

Die Union hat ihre Maßnahmen zur Bewältigung der wachsenden Herausforderungen im Bereich der Cybersicherheit nach Vorlage der Cybersicherheitsstrategie durch die Kommission und die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik (im Folgenden „Hohe Vertreterin” ) in ihrer Gemeinsamen Mitteilung an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 7. Februar 2013 mit dem Titel „Cybersicherheitsstrategie der Europäischen Union — ein offener, sicherer und geschützter Cyberraum” (im Folgenden „Cybersicherheitsstrategie von 2013” ) kontinuierlich ausgebaut. Mit der Cybersicherheitsstrategie von 2013 sollte ein zuverlässiges, sicheres und offenes Cyberökosystem gefördert werden. Im Jahr 2016 erließ die Union mit der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates⁽³⁾ über die Sicherheit von Netz- und Informationssystemen die ersten Maßnahmen im Bereich der Cybersicherheit.

(3)

Im September 2017 legten die Kommission und die Hohe Vertreterin dem Europäischen Parlament und dem Rat eine Gemeinsame Mitteilung mit dem Titel „Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen” vor, um die Abwehrfähigkeit, Abschreckung und Abwehr der Union im Bereich der Cyberangriffe weiter zu stärken.

(4)

Auf dem Digitalgipfel im September 2017 in Tallinn forderten die Staats- und Regierungschefs, dass die Union bis zum Jahr 2025 weltweit zum Vorreiter in Sachen Cybersicherheit werden müsse, um das Vertrauen, die Zuversicht und den Schutz der Bürger, Verbraucher und Unternehmen online zu sichern und ein freies, von mehr Sicherheit getragenes und durch Gesetze gesichertes Internet zu ermöglichen, und erklärten ihre Absicht, dass zur (Neu-)Entwicklung von Systemen und Lösungen im Bereich Informations- und Kommunikationstechnologie (IKT) verstärkt Open-Source-Lösungen und offene Standards, auch durch Interoperabilitäts- und Standardisierungsprogramme der Union (wie ISA²) entwickelte bzw. geförderte Lösungen und Standards, herangezogen würden, insbesondere, um eine Herstellerabhängigkeit (Lock-in-Effekt) zu vermeiden.

(5)

Mit dem durch diese Verordnung eingerichteten Europäischen Kompetenzzentrum für Industrie, Technologie und Forschung im Bereich der Cybersicherheit (im Folgenden „Kompetenzzentrum” ) sollte dazu beigetragen werden, die Sicherheit von Netz- und Informationssystemen, darunter das Internet und andere für das Funktionieren der Gesellschaft wichtige Infrastrukturen wie Verkehrs-, Gesundheits-, Energie- und Digitalinfrastruktur, Wasserversorgung, die Finanzmärkte und die Bankensysteme, zu erhöhen.

(6)

Schwere Störungen von Netz- und Informationssystemen können einzelne Mitgliedstaaten und die Union als Ganzes beeinträchtigen. Daher ist für die Gesellschaft ebenso wie für die Wirtschaft ein hohes Maß an Sicherheit bei Netz- und Informationssystemen in der gesamten Union unerlässlich. Derzeit ist die Union von nichteuropäischen Cybersicherheitsanbietern abhängig. Es liegt jedoch im strategischen Interesse der Union, dass sie sicherstellt, dass wesentliche Forschungs- und Technologiekapazitäten im Bereich der Cybersicherheit gewahrt und weiterentwickelt werden, um die Netz- und Informationssysteme von Bürgern und Unternehmen und insbesondere kritische Netz- und Informationssysteme zu sichern, und dass sie zentrale Cybersicherheitsdienste bereitstellt.

(7)

In der Union gibt es eine Fülle von Fachwissen und Erfahrungen bezüglich Forschung, Technologie und industrieller Entwicklung im Bereich der Cybersicherheit‚ jedoch sind die Anstrengungen in Forschung und Industrie fragmentiert — es mangelt an Einheitlichkeit und einer gemeinsamen Zugrichtung —, worunter die Wettbewerbsfähigkeit und der wirksame Schutz von Netzen und Systemen in diesem Bereich leidet. Solche Anstrengungen und solches Fachwissen müssen in effizienter Weise gebündelt, vernetzt und genutzt werden, um die vorhandenen Forschungs-, Technologie- und Industriekapazitäten sowie die vorhandenen Qualifikationen auf Unionsebene und nationaler Ebene zu stärken und zu ergänzen. Wenngleich die IKT-Branche vor großen Herausforderungen steht, etwa der Befriedigung der Nachfrage nach qualifizierten Arbeitskräften, kann sie doch Nutzen daraus ziehen, wenn sie die Vielfalt der Gesellschaft insgesamt vertritt, eine ausgewogene Vertretung der Geschlechter und der ethnischen Vielfalt und die Gleichbehandlung von Menschen mit Behinderungen erreicht und künftigen Sachverständigen im Bereich Cybersicherheit den Zugang zu Wissen und Fortbildung erleichtert, auch im Rahmen der nicht-formalen Bildung solcher Sachverständiger, wie etwa bei Free- und Open-Source-Software-Projekten, Civic-Technology-Projekten, Start-up-Unternehmen und Kleinstunternehmen.

(8)

Kleine und mittlere Unternehmen (KMU) sind wichtige Interessenträger in der Cybersicherheitsbranche der Union und können dank ihrer schnellen Reaktionsfähigkeit Spitzenlösungen bereitstellen. Nicht auf Cybersicherheit spezialisierte KMU sind jedoch tendenziell auch stärker durch Cybersicherheitsvorfälle gefährdet, da wirksame Cybersicherheitslösungen hohe Investitionen und umfangreiche Sachkenntnis erfordern. Das Kompetenzzentrum und das Netzwerk nationaler Koordinierungszentren (im Folgenden „Netzwerk” ) müssen KMU daher durch einen leichteren Zugang der KMU zu Wissen und einen maßgeschneiderten Zugang zu den Ergebnissen von Forschung und Entwicklung unterstützen, damit die KMU sich hinreichend schützen können und damit im Bereich der Cybersicherheit tätige KMU ihre Wettbewerbsfähigkeit aufrechterhalten und ihren Beitrag zur Führungsrolle der Union auf dem Gebiet der Cybersicherheit leisten können.

(9)

Sachverstand ist nicht nur in der Branche selbst und in Forschungskontexten zu finden. Bei den als „Civic-Tech-Projekte” bezeichneten nichtkommerziellen und vorkommerziellen Projekten werden im Interesse der Gesellschaft und des Gemeinwohls offene Standards, offene Daten und freie und quelloffene Software genutzt.

(10)

Der Bereich Cybersicherheit ist vielfältig. Die einschlägigen Interessenträger umfassen Interessenträger von öffentlichen Einrichtungen, der Mitgliedstaaten und der Union, sowie der Industrie, der Zivilgesellschaft, z. B. von Gewerkschaften, von Verbraucherverbänden oder aus der Free- und Open-Source-Software-Gemeinschaft, aus Wissenschaft und Forschung, und anderen Organisationen.

(11)

In den im November 2017 angenommenen Schlussfolgerungen des Rates wurde die Kommission aufgefordert, rasch eine Folgenabschätzung der möglichen Optionen für die Einrichtung eines Netzwerks von Cybersicherheitskompetenzzentren und eines Europäischen Forschungs- und Kompetenzzentrums für Cybersicherheit vorzunehmen und bis Mitte 2018 ein einschlägiges Rechtsinstrument für die Einrichtung eines solchen Netzwerks und eines solchen Zentrums vorzuschlagen.

(12)

Die Union verfügt nach wie vor nicht über ausreichende technologische und industrielle Kapazitäten und Fähigkeiten, um ihre Wirtschaft und ihre kritischen Infrastrukturen autonom zu sichern und zu einem weltweit führenden Akteur im Bereich der Cybersicherheit zu werden. Das Niveau der strategischen und nachhaltigen Abstimmung und Zusammenarbeit zwischen Branchen, Forschungsgemeinschaften im Bereich der Cybersicherheit und Regierungen ist unzureichend. Die Union leidet unter unzulänglichen Investitionen in und einem eingeschränkten Zugang zu Know-how, Kompetenzen und Einrichtungen im Bereich der Cybersicherheit, und nur wenige Ergebnisse von Forschung und Innovation im Bereich Cybersicherheit der Union werden in marktfähige Lösungen umgesetzt oder in der Wirtschaft großflächig eingesetzt.

(13)

Die Errichtung des Kompetenzzentrums sowie des Netzwerks, das über das Mandat verfügt, zur Unterstützung industrieller Technologien und im Bereich Forschung und Innovation Maßnahmen zu ergreifen, ist der beste Weg, die Ziele der vorliegenden Verordnung zu verwirklichen und gleichzeitig die größtmögliche wirtschaftliche, soziale und ökologische Wirkung zu erzielen und die Interessen der Union zu wahren.

(14)

Das Kompetenzzentrum sollte das wichtigste Instrument der Union sein, um Investitionen in Forschung, Technologie und industrielle Entwicklung im Bereich der Cybersicherheit zu bündeln sowie einschlägige Projekte und Initiativen zusammen mit dem Netzwerk durchzuführen. Das Kompetenzzentrum sollte aus dem mit der Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates⁽⁴⁾ festgelegten Rahmenprogramm für Forschung und Innovation (im Folgenden „Horizont Europa” ) und dem mit der Verordnung (EU) 2021/694 des Europäischen Parlaments und des Rates⁽⁵⁾ aufgestellten Programm „Digitales Europa” finanzielle Unterstützung für den Bereich der Cybersicherheit verwalten und gegebenenfalls auch für andere Programme offenstehen. Dieser Ansatz sollte dazu beitragen, Synergien zu schaffen und die finanzielle Unterstützung im Zusammenhang mit Initiativen der Union auf dem Gebiet der Forschung und Entwicklung, Innovation, Technologie und industriellen Entwicklung im Bereich der Cybersicherheit zu koordinieren und sollte unnötige Doppelarbeit vermeiden.

(15)

Es ist wichtig, dass bei Forschungsprojekten im Bereich der Cybersicherheit, die durch das Kompetenzzentrum unterstützt werden, die Achtung der Grundrechte und ethisches Verhalten gewährleistet werden.

(16)

Das Kompetenzzentrum sollte keine operativen Cybersicherheitsaufgaben wie Aufgaben im Zusammenhang mit Reaktionsteams für Computersicherheitsverletzungen (CSIRT), einschließlich der Überwachung und Bewältigung von Cybersicherheitsvorfällen, wahrnehmen. Das Kompetenzzentrum sollte jedoch in der Lage sein, im Einklang mit dem Auftrag und den Zielen dieser Verordnung die Entwicklung von IKT-Infrastrukturen im Dienste der Wirtschaftszweige, insbesondere von KMU, der Forschungsgemeinschaften, der Zivilgesellschaft und des öffentlichen Sektors zu erleichtern. Wenn die CSIRT und andere Interessenträger versuchen, die Meldung und Offenlegung von Schwachstellen zu fördern, sollten das Kompetenzzentrum und die Mitglieder der Kompetenzgemeinschaft für Cybersicherheit (im Folgenden „Gemeinschaft” ) in der Lage sein, diese Interessenträger auf deren Ersuchen im Rahmen ihrer jeweiligen Aufgaben zu unterstützen, und dabei Überschneidungen mit der durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates⁽⁶⁾ eingerichteten Agentur der Europäischen Union für Cybersicherheit (ENISA) vermeiden.

(17)

Das Kompetenzzentrum, die Gemeinschaft und das Netzwerk sollen — was das Management der Gemeinschaft und die Vertretung der Gemeinschaft im Zentrum betrifft — von der Erfahrung und der breiten Vertretung der einschlägigen Interessenträger, die während der Laufzeit von Horizont 2020 — des mit der Verordnung (EU) Nr. 1291/2013 des Europäischen Parlaments und des Rates⁽⁷⁾ eingerichteten Rahmenprogramms für Forschung und Innovation (2014-2020) — in der vertraglichen öffentlich-privaten Partnerschaft für Cybersicherheit zwischen der Kommission und der Europäischen Cybersicherheitsorganisation (ECSO) aufgebaut wurde, von den Erfahrungen, die im Zuge der Anfang 2019 im Rahmen von Horizont 2020 eingeleiteten vier Pilotprojekte — nämlich CONCORDIA, ECHO, SPARTA und CyberSec4Europe — sowie vom Pilotprojekt und von den vorbereitenden Maßnahmen im Rahmen der Prüfung freier und quelloffener Software (EU-FOSSA) gesammelt wurden, profitieren.

(18)

Angesichts des Umfangs der mit der Cybersicherheit verbundenen Herausforderungen und der in anderen Teilen der Welt getätigten Investitionen in Cybersicherheitskapazitäten und -fähigkeiten sollten die Union und die Mitgliedstaaten ermutigt werden, ihre finanzielle Unterstützung für Forschung, Entwicklung und Realisierung in diesem Bereich aufzustocken. Um Skaleneffekte zu erzielen und in der gesamten Union ein vergleichbares Schutzniveau zu erreichen, sollten die Bemühungen der Mitgliedstaaten in einen Unionsrahmen fließen, indem sie aktiv zur Arbeit des Kompetenzzentrums und des Netzwerks beitragen.

(19)

Soweit das für den Auftrag, die Ziele und die Aufgaben des Kompetenzzentrums von Bedeutung ist, sollten das Kompetenzzentrum und die Gemeinschaft zur Förderung der Wettbewerbsfähigkeit der Union und hoher Cybersicherheitsnormen auf internationaler Ebene einen Austausch mit der internationalen Gemeinschaft über Entwicklungen im Bereich Cybersicherheit, einschließlich Produkte und Verfahren, und im Bereich Normen und technische Normen, anstreben. Zu den einschlägigen technischen Normen könnte für die Zwecke dieser Verordnung auch die Erstellung von Referenzimplementierungen gehören, einschließlich Implementierungen, die im Rahmen von auf offenen Standards beruhenden Lizenzen veröffentlicht wurden.

(20)

Das Kompetenzzentrum hat seinen Sitz in Bukarest.

(21)

Das Kompetenzzentrum sollte bei der Ausarbeitung seines jährlichen Arbeitsprogramms (im Folgenden „jährliches Arbeitsprogramm” ) die Kommission über seinen Kofinanzierungsbedarf, den es auf der Grundlage der von Mitgliedstaaten geplanten Kofinanzierungsbeiträge für gemeinsame Maßnahmen ermittelt, informieren, damit die Kommission bei der Aufstellung des Entwurfs des Gesamthaushaltsplans der Union für das folgende Jahr einen entsprechenden Unionsbeitrag einstellen kann.

(22)

Die Kommission sollte bei der Ausarbeitung des Arbeitsprogramms für „Horizont Europa” bei die Cybersicherheit betreffenden Fragen, auch im Kontext des Verfahrens zur Konsultation der Interessenträger und insbesondere vor der Verabschiedung dieses Arbeitsprogramms, die Beiträge des Kompetenzzentrums berücksichtigen und diese Beiträge auch dem Programmausschuss von „Horizont Europa” zur Verfügung stellen.

(23)

Das Kompetenzzentrum sollte als eine mit Rechtspersönlichkeit ausgestattete Einrichtung der Union errichtet werden, auf die die Delegierte Verordnung (EU) 2019/715 der Kommission⁽⁸⁾ Anwendung findet, um es ihm zu ermöglichen, seine Rolle im Bereich der Cybersicherheit auszuüben, die Einbeziehung des Netzwerks zu unterstützen und die Leitungsrolle der Mitgliedstaaten zu stärken. Das Kompetenzzentrum sollte eine doppelte Funktion wahrnehmen und sowohl spezifische Aufgaben in Bezug auf Industrie, Technologie und Forschung im Bereich der Cybersicherheit gemäß der vorliegenden Verordnung ausführen als auch cybersicherheitsbezogene Finanzierungsmittel aus mehreren Programmen, insbesondere aus „Horizont Europa” und dem Programm „Digitales Europa” sowie gegebenenfalls auch aus weiteren Unionsprogrammen, verwalten. Diese Verwaltung müsste im Einklang mit den für diese Programme geltenden Vorschriften erfolgen. Da die Finanzierungsmittel für den Betrieb des Kompetenzzentrums überwiegend aus „Horizont Europa” und aus dem Programm „Digitales Europa” stammen würden, muss das Kompetenzzentrum dennoch für die Zwecke des Haushaltsvollzugs, einschließlich in der Programmplanungsphase, als Partnerschaft betrachtet werden.

(24)

Infolge des Beitrags der Union muss der Zugang zu den Ergebnissen der Tätigkeiten des Kompetenzzentrums und den Projekten so offen wie möglich und so beschränkt wie nötig gestaltet werden und eine Wiederverwendung hat möglich zu sein, soweit das angemessen ist.

(25)

Das Kompetenzzentrum sollte die Arbeit des Netzwerks erleichtern und koordinieren. Das Netzwerk sollte aus einem nationalen Koordinierungszentren je Mitgliedstaat bestehen. Die nationalen Koordinierungszentren, die von der Kommission als Einrichtungen anerkannt wurden, die über die notwendigen Kapazitäten zur Mittelverwaltung verfügen, um den Auftrag und die Ziele nach dieser Verordnung zu erfüllen, sollten eine direkte finanzielle Unterstützung durch die Union erhalten, einschließlich Finanzhilfen, die ohne Aufforderung zur Einreichung von Vorschlägen vergeben werden, um ihre Tätigkeiten im Zusammenhang mit dieser Verordnung durchzuführen.

(26)

Bei den nationalen Koordinierungszentren sollte es sich um öffentliche Einrichtungen oder Einrichtungen mit mehrheitlich staatlicher Beteiligung handeln, die nach nationalem Recht, einschließlich durch Befugnisübertragung, Aufgaben der öffentlichen Verwaltung wahrnehmen, und sie sollten von den Mitgliedstaaten ausgewählt werden. Die Funktionen eines nationalen Koordinierungszentrums in einem Mitgliedstaat sollten von einer Einrichtung wahrgenommen werden können, die andere nach Unionsrecht vorgesehene Funktionen wahrnimmt, beispielsweise die einer zuständigen nationalen Behörde, einer zentralen Anlaufstelle im Sinne der Richtlinie (EU) 2016/1148 oder anderer Verordnungen der Union oder die eines Digitalen Innovationszentrums im Sinne der Verordnung (EU) 2021/694. Andere Einrichtungen des öffentlichen Sektors oder Einrichtungen, die in einem Mitgliedstaat Aufgaben der öffentlichen Verwaltung wahrnehmen, sollten das nationale Koordinierungszentrum in diesem Mitgliedstaat bei der Wahrnehmung seiner Funktionen unterstützen können.

(27)

Die nationalen Koordinierungszentren sollten die erforderlichen Verwaltungskapazitäten haben, über Fachwissen in Bezug auf Industrie, Technologie und Forschung im Bereich der Cybersicherheit verfügen oder Zugang dazu haben sowie in der Lage sein, sich wirksam mit den Fachkreisen der Industrie, des öffentlichen Sektors und der Forschung auszutauschen und abzustimmen.

(28)

Die Bedeutung eines angemessenen Bewusstseins für Cybersicherheit und entsprechender Kompetenzen sollte sich in den Bildungssystemen der Mitgliedstaaten niederschlagen. Zu diesem Zweck und unter Berücksichtigung der Rolle der ENISA sowie unbeschadet der Zuständigkeiten der Mitgliedstaaten für Bildung sollten neben den einschlägigen Behörden und Interessenträgern auch die nationalen Koordinierungszentren zur Förderung und Verbreitung von Bildungsprogrammen im Bereich der Cybersicherheit beitragen.

(29)

Die nationalen Koordinierungszentren sollten vom Kompetenzzentrum Finanzhilfen erhalten können, um Dritten in Form von Finanzhilfen finanzielle Unterstützung zu leisten. Die direkten Kosten, die den nationalen Koordinierungszentren für die Bereitstellung und Verwaltung von finanzieller Unterstützung für Dritte entstehen, sollten unter den entsprechenden Programmen förderfähig sein.

(30)

Das Kompetenzzentrum, das Netzwerk und die Gemeinschaft sollten helfen, die neuesten Cybersicherheitsprodukte, -dienste und -verfahren voranzubringen und zu verbreiten. Gleichzeitig sollten das Kompetenzzentrum und das Netzwerk die Cybersicherheitsfähigkeiten der nachfrageseitigen Industrie fördern, indem sie insbesondere Entwicklern und Betreibern in Bereichen wie Verkehr, Energie, Gesundheit, Finanzen, Regierung, Telekommunikation, Fertigung und Raumfahrt Unterstützung leisten, um solchen Entwicklern und Betreibern bei der Bewältigung ihrer Herausforderungen im Bereich der Cybersicherheit, beispielsweise durch die Umsetzung konzeptionsintegrierter Sicherheit ( „security by design” ), zu helfen. Das Kompetenzzentrum und das Netzwerk sollten außerdem die Normung und Realisierung von Cybersicherheitsprodukten, -diensten und -verfahren unterstützen und gleichzeitig, soweit möglich, die Umsetzung des in der Verordnung (EU) 2019/881 festgelegten europäischen Rahmens für die Cybersicherheitszertifizierung fördern.

(31)

Da Cyberbedrohungen und Cybersicherheit von schnellen Veränderungen gekennzeichnet sind, muss die Union in der Lage sein, sich schnell und kontinuierlich an neue Entwicklungen in diesem Bereich anzupassen. Daher sollten das Kompetenzzentrum, das Netzwerk und die Gemeinschaft hinreichend flexibel sein, damit die erforderliche Fähigkeit, auf solche Entwicklungen zu reagieren, vorhanden ist. Sie sollten Projekte unterstützen, mit denen Einrichtungen ermöglicht wird, ihre Fähigkeiten stetig auszubauen und damit sowohl die eigene Abwehrfähigkeit als auch die der Union zu stärken.

(32)

Das Kompetenzzentrum sollte die Gemeinschaft unterstützen. Das Kompetenzzentrum sollte die für Cybersicherheit relevanten Teile von „Horizont Europa” und des Programms „Digitales Europa” in Übereinstimmung mit dem mehrjährigen Arbeitsprogramm des Kompetenzzentrums (im Folgenden „mehrjähriges Arbeitsprogramm” ), dem jährlichen Arbeitsprogramm sowie dem Strategieplanungsprozess im Rahmen von „Horizont Europa” umsetzen, indem Finanzhilfen und andere Formen von Finanzierungen vergeben werden, vor allem nach einer wettbewerbsorientierten Aufforderung zur Einreichung von Vorschlägen. Das Kompetenzzentrum sollte auch die Weitergabe von Fachwissen im Netzwerk und in der Gemeinschaft erleichtern und sollte gemeinsame Investitionen der Union, der Mitgliedstaaten oder der Industrie unterstützen. Besonderes Augenmerk sollte auf die Unterstützung von KMU im Bereich der Cybersicherheit und Maßnahmen zur Schließung von Qualifikationslücken gerichtet werden.

(33)

Die für die Projektvorbereitung geleistete technische Hilfe sollte in uneingeschränkt objektiver und transparenter Weise erfolgen, mit der sichergestellt wird, dass alle potenziellen Begünstigten die gleichen Informationen erhalten und mit der Interessenkonflikte vermieden werden.

(34)

Das Kompetenzzentrum sollte die langfristige strategische Zusammenarbeit und Koordinierung der Tätigkeiten der Gemeinschaft anregen und unterstützen, was eine große, offene, interdisziplinäre und vielfältige Gruppe von im Bereich Cybersicherheitstechnologie tätigen europäischen Interessenträger einbeziehen würde. Die Gemeinschaft sollte Forschungseinrichtungen, Branchen sowie den öffentlichen Sektor umfassen. Die Gemeinschaft sollte — insbesondere über die strategische Beratungsgruppe — einen Beitrag zu den Tätigkeiten des Kompetenzzentrums, dem mehrjährigen Arbeitsprogramm und dem jährlichen Arbeitsprogramm leisten. Die Gemeinschaft sollte auch von den Tätigkeiten des Kompetenzzentrums und des Netzwerks zum Aufbau von Gemeinschaften profitieren; darüber hinaus sollte sie aber im Hinblick auf Aufforderungen zur Einreichung von Vorschlägen oder Ausschreibungen nicht bevorzugt werden. Die Gemeinschaft sollte sich aus kollektiven Einrichtungen und Organisationen zusammensetzen. Damit das gesamte Fachwissen auf dem Gebiet der Cybersicherheit in der Union genutzt werden kann, sollten das Kompetenzzentrum und seine Gremien in der Lage sein, gleichzeitig auch auf das Fachwissen natürlicher Personen als Ad-hoc-Sachverständige zurückzugreifen.

(35)

Das Kompetenzzentrum sollte mit der ENISA zusammenarbeiten und Synergien mit dieser Agentur sicherstellen und dem Kompetenzzentrum sachdienliche Hinweise von der ENISA geben, wenn es um die Festlegung der Finanzierungsprioritäten geht.

(36)

Um den Erfordernissen sowohl der Anbieter- als auch der Nachfrageseite im Bereich Cybersicherheit gerecht zu werden, sollte sich die Aufgabe des Kompetenzzentrums, Branchen Fachwissen und technische Hilfe im Bereich der Cybersicherheit bereitzustellen, auf IKT-Produkte, -Prozesse und -Dienste sowie auf alle anderen technischen Produkte und Prozesse beziehen, in die Cybersicherheit einzubinden ist. Auf Antrag sollte auch der öffentliche Sektor vom Kompetenzzentrum unterstützt werden können.

(37)

Um ein tragfähiges Cybersicherheitsumfeld zu etablieren, muss bei der Entwicklung, der Wartung, dem Betrieb und der Aktualisierung von Infrastrukturen, Produkten und Diensten grundsätzlich die konzeptionsintegrierte Sicherheit greifen, indem insbesondere modernste sichere Entwicklungsmethoden, angemessene Sicherheitstests und Sicherheitsprüfungen unterstützt, unverzüglich Aktualisierungen zur Behebung bekannter Schwachstellen oder Gefahren bereitgestellt und, soweit möglich, Dritte dazu befähigt werden, über das jeweilige Wartungsende des Produkts hinaus Aktualisierungen zu erstellen und bereitzustellen. Die konzeptionsintegrierte Sicherheit des IKT-Produkts, -Dienstes oder -Prozesses sollte während seiner gesamten Lebensdauer über dessen Konzeption und durch Entwicklungsprozesse sichergestellt werden, die ständig weiterentwickelt werden, um das Risiko von Schäden durch eine böswillige Nutzung zu verringern.

(38)

Während das Kompetenzzentrum und das Netzwerk sich um stärkere Synergien und Abstimmung zwischen dem zivilen und dem Verteidigungssektor im Bereich der Cybersicherheit bemühen sollten, sollten die unter diese Verordnung fallenden, im Rahmen von „Horizont Europa” finanzierten Projekte im Einklang mit der Verordnung (EU) 2021/695 durchgeführt werden, in der festgelegt ist, dass der Schwerpunkt bei Forschungs- und Innovationstätigkeiten im Rahmen von „Horizont Europa” ausschließlich auf zivilen Anwendungen liegen muss.

(39)

Diese Verordnung findet in erster Linie auf zivile Angelegenheiten Anwendung, jedoch können die Tätigkeiten der Mitgliedstaaten im Rahmen dieser Verordnung den Besonderheiten der Mitgliedstaaten Rechnung tragen, wenn die Cybersicherheitspolitik durch Behörden verfolgt wird, die sowohl zivile als auch militärische Aufgaben wahrnehmen und sollten darauf ausgerichtet sein, Komplementarität zu erreichen und Überschneidungen mit verteidigungsbezogenen Finanzierungsinstrumenten zu vermeiden.

(40)

Diese Verordnung sollte die Haftung und die Transparenz des Kompetenzzentrums und jener Unternehmen, die Finanzmittel erhalten, im Einklang mit den einschlägigen Programmverordnungen gewährleisten.

(41)

Die Umsetzung von Realisierungsprojekten, die insbesondere auf Unionsebene oder über gemeinsame Auftragsvergabe realisierte Infrastrukturen und Fähigkeiten betreffen, könnte in verschiedene Umsetzungsphasen unterteilt werden, etwa in getrennte Ausschreibungen für Hardware-Design und Software-Architektur, ihre Einrichtung sowie ihren Betrieb und ihre Wartung, wobei Unternehmen jeweils nur an einer der Phasen teilnehmen dürften und gegebenenfalls verlangen könnte, dass die Begünstigten, die an einer oder mehreren dieser Phasen beteiligt sind, bestimmte für Europa geltende Anforderungen in Bezug auf Eigentum oder Kontrolle erfüllen.

(42)

Angesichts ihres Fachwissens im Bereich der Cybersicherheit und ihres Mandats als Bezugspunkt der Organe, Einrichtungen und sonstigen Stellen der Union sowie anderen maßgeblichen Interessenträgern der Union für Beratung und Fachwissen auf dem Gebiet der Cybersicherheit und angesichts der von ihr im Zusammenhang mit ihren Aufgaben gesammelten Beiträge sollte sich die ENISA aktiv an den Tätigkeiten des Kompetenzzentrums, einschließlich der Entwicklung der Agenda, beteiligen, wobei jedoch — insbesondere durch die Mitwirkung der ENISA als ständige Beobachterin im Verwaltungsrat des Kompetenzzentrums — Doppelarbeit vermieden werden sollte. Bezüglich der Aufstellung der Agenda, des jährlichen Arbeitsprogramms und des mehrjährigen Arbeitsprogramms sollten der Exekutivdirektor des Kompetenzzentrums und der Verwaltungsrat sämtliche von der ENISA durchgeführten strategischen Beratungen und bereitgestellten Beiträge im Einklang mit der vom Verwaltungsrat festgelegten Geschäftsordnung berücksichtigen.

(43)

Erhalten die nationalen Koordinierungszentren und die Einrichtungen, die Teil der Gemeinschaft sind, einen Finanzbeitrag aus dem Unionshaushalt, so sollten sie öffentlich machen, dass ihre jeweiligen Tätigkeiten im Rahmen der vorliegenden Verordnung durchgeführt werden.

(44)

Die Kosten für die Einrichtung des Kompetenzzentrums sowie für die Verwaltungs- und Koordinierungstätigkeiten des Kompetenzzentrums sollten von der Union sowie — im Verhältnis zum freiwilligen Beitrag der Mitgliedstaaten zu gemeinsamen Maßnahmen — von den Mitgliedstaaten finanziert werden. Um eine Doppelfinanzierung zu vermeiden, sollten in diese Tätigkeiten nicht gleichzeitig auch Mittel aus anderen Unionsprogrammen fließen.

(45)

Der Verwaltungsrat, der sich aus Vertretern der Mitgliedstaaten und der Kommission zusammensetzen sollte, sollte die allgemeine Ausrichtung der Tätigkeit des Kompetenzzentrums festlegen und dafür sorgen, dass das Kompetenzzentrums seine Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte die Agenda annehmen.

(46)

Dem Verwaltungsrat sollten über die erforderlichen Befugnisse übertragen werden, um den Haushaltsplan des Kompetenzzentrums zu erstellen. Er sollte die Ausführung des Haushaltsplans überprüfen, eine angemessene Finanzordnung annehmen sowie transparente Verfahren für die Entscheidungsfindung des Kompetenzzentrums festlegen, einschließlich für die Annahme des jährlichen Arbeitsprogramm und des mehrjährigen Arbeitsprogramms, die die Agenda widerspiegeln. Der Verwaltungsrat sollte sich auch eine Geschäftsordnung geben, den Exekutivdirektor ernennen und über die Verlängerung oder die Beendigung der Amtszeit des Exekutivdirektors beschließen.

(47)

Der Verwaltungsrat sollte die strategischen Tätigkeiten und Umsetzungstätigkeiten des Kompetenzzentrums beaufsichtigen und dafür sorgen, dass diese Tätigkeiten aufeinander abgestimmt sind. Das Kompetenzzentrum sollte in seinem jährlichen Bericht einen besonderen Schwerpunkt auf die strategischen Ziele legen, die es verwirklicht hat, und erforderlichenfalls Maßnahmen vorschlagen, um die Verwirklichung dieser strategischen Ziele weiter zu verbessern.

(48)

Damit das Kompetenzzentrum seine Aufgaben ordnungsgemäß und effizient wahrnehmen kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die Personen, die als Mitglieder des Verwaltungsrats ernannt werden, über angemessenes Fachwissen und Erfahrung in den Funktionsbereichen verfügen. Die Kommission und die Mitgliedstaaten sollten sich auch darum bemühen, die Fluktuation bei ihren jeweiligen Vertretern im Verwaltungsrat zu verringern, um die Kontinuität seiner Arbeit sicherzustellen.

(49)

Angesichts des besonderen Status und der Zuständigkeit des Kompetenzzentrums für die Ausführung der Unionsmittel, insbesondere der Mittel aus „Horizont Europa” und dem Programm „Digitales Europa” , sollte die Kommission im Verwaltungsrat bei Beschlüssen im Zusammenhang mit Unionsmitteln über 26 % aller Stimmen verfügen, um den Unionsmehrwert dieser Beschlüsse zu maximieren und gleichzeitig die Rechtmäßigkeit dieser Beschlüsse und deren Übereinstimmung mit den Prioritäten der Union zu gewährleisten.

(50)

Damit das Kompetenzzentrum reibungslos funktioniert, ist es erforderlich, dass sein Exekutivdirektor in transparenter Weise aufgrund seiner Verdienste, seiner nachgewiesenen Verwaltungs- und Managementfähigkeiten und seiner einschlägigen Sachkenntnis und Erfahrungen auf dem Gebiet der Cybersicherheit ernannt wird und seine Aufgaben völlig unabhängig wahrnimmt.

(51)

Das Kompetenzzentrum sollte über eine strategische Beratungsgruppe als Beratungsgremium verfügen. Die strategische Beratungsgruppe sollte auf der Grundlage eines regelmäßigen Dialogs zwischen dem Kompetenzzentrum und der Gemeinschaft, die aus Vertretern von Privatsektor, Verbraucherorganisationen, Wissenschaft und sonstigen Interessenträgern bestehen sollte, Empfehlungen abgeben. Die strategische Beratungsgruppe sollte sich auf für die Interessenträger relevante Fragen konzentrieren und sie dem Verwaltungsrat und dem Exekutivdirektor zur Kenntnis bringen. Die Aufgaben der strategischen Beratungsgruppe sollten Empfehlungen zur Agenda, zum jährlichen Arbeitsprogramm und zum mehrjährigen Arbeitsprogramm einschließen. Die Vertretung der verschiedenen Interessenträger in der strategischen Beratungsgruppe sollte ausgewogen sein, unter besonderer Berücksichtigung von Vertretern von KMU, damit eine angemessene Vertretung der Interessenträger in der Arbeit des Kompetenzzentrums gewährleistet ist.

(52)

Bei den Beiträgen der Mitgliedstaaten zu den Ressourcen des Kompetenzzentrums könnte es sich um Finanzbeiträge oder Beiträge in Form von Sachleistungen handeln. Finanzbeiträge könnten beispielsweise aus einer Finanzhilfe bestehen, die ein Mitgliedstaat einem Begünstigten in diesem Mitgliedstaat gewährt und die die finanzielle Unterstützung der Union für ein Projekt im Rahmen des jährlichen Arbeitsprogramms ergänzt. Allerdings würden Beiträge in Form von Sachleistungen typischerweise geleistet werden, wenn eine Einrichtung eines Mitgliedstaats selbst Begünstigte einer finanziellen Unterstützung durch die Union ist. Wenn zum Beispiel die Union die Tätigkeit eines nationalen Koordinierungszentrums zu 50 % subventioniert, würden die verbleibenden Kosten der Tätigkeit als Beitrag in Form von Sachleistungen verbucht. Ein anderes Beispiel wäre wie folgt: Wenn eine Einrichtung eines Mitgliedstaats finanzielle Unterstützung der Union für die Schaffung oder die Aufrüstung einer Infrastruktur erhält, die im Einklang mit dem jährlichen Arbeitsprogramm von den Interessenträgern gemeinsam genutzt werden soll, würden die damit verbundenen nicht subventionierten Kosten als Beiträge in Form von Sachleistungen verbucht.

(53)

Gemäß den einschlägigen Bestimmungen der Delegierten Verordnung (EU) 2019/715 über Interessenkonflikte sollte das Kompetenzzentrum Vorschriften zur Vermeidung, Ermittlung und Beseitigung sowie zur Handhabung von Interessenkonflikten bezüglich seiner Mitglieder, Gremien und Mitarbeiter, des Verwaltungsrates sowie der strategischen Beratungsgruppe und der Gemeinschaft haben. Die Mitgliedstaaten sollten dafür Sorge tragen, dass Interessenkonflikte mit Blick auf die nationalen Koordinierungszentren im Einklang mit dem nationalen Recht vermieden, ermittelt und beseitigt werden. Das Kompetenzzentrum sollte das einschlägige Unionsrecht in Bezug auf den Zugang der Öffentlichkeit zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates⁽⁹⁾ anwenden. Die Verarbeitung personenbezogener Daten durch das Kompetenzzentrum sollte der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates⁽¹⁰⁾ unterliegen. Das Kompetenzzentrum sollte die für die Unionsorgane geltenden Bestimmungen des Unionsrechts über den Umgang mit Informationen, insbesondere den Umgang mit sensiblen Informationen und Verschlusssachen der EU, sowie die entsprechenden nationalen Rechtsvorschriften befolgen.

(54)

Die finanziellen Interessen der Union und der Mitgliedstaaten sollten während des gesamten Ausgabenzyklus durch angemessene Maßnahmen geschützt werden; dazu gehören unter anderem Maßnahmen zur Prävention, Aufdeckung und Untersuchung von Unregelmäßigkeiten, die Rückforderung entgangener, zu Unrecht gezahlter oder nicht widmungsgemäß verwendeter Mittel und gegebenenfalls verwaltungsrechtliche und finanzielle Sanktionen gemäß der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates⁽¹¹⁾ (im Folgenden „Haushaltsordnung” ).

(55)

Das Kompetenzzentrum sollte seine Geschäftstätigkeit in offener und transparenter Weise ausüben. Es sollte alle relevanten Informationen fristgerecht übermitteln und seine Tätigkeiten bekannt machen, unter anderem auch durch an die Öffentlichkeit gerichtete Informations- und Verbreitungsmaßnahmen. Die Geschäftsordnungen des Verwaltungsrats des Kompetenzzentrums und der strategischen Beratungsgruppe sollten öffentlich zugänglich gemacht werden.

(56)

Der Interne Prüfer der Kommission sollte gegenüber dem Kompetenzzentrum die gleichen Befugnisse ausüben wie gegenüber der Kommission.

(57)

Die Kommission, der Rechnungshof und das Europäische Amt für Betrugsbekämpfung sollten Zugang zu allen Informationen und Räumlichkeiten des Kompetenzzentrums erhalten, die für die Durchführung von Rechnungsprüfungen und Untersuchungen in Bezug auf die vom Kompetenzzentrum unterzeichneten Finanzhilfen, Aufträge und Vereinbarungen erforderlich sind.

(58)

Da die Ziele dieser Verordnung — nämlich die Stärkung der Wettbewerbsfähigkeit und der Kapazitäten der Union, die Wahrung und Weiterentwicklung der technischen und industriellen Kapazitäten der Union im Bereich der Cybersicherheitsforschung, die Steigerung der Wettbewerbsfähigkeit der Cybersicherheitsbranche der Union und die Verwandlung der Cybersicherheit in einen Wettbewerbsvorteil für andere Branchen der Union — von den Mitgliedstaaten allein nicht ausreichend verwirklicht werden können, da die vorhandenen begrenzten Ressourcen weit verstreut und umfangreiche Investitionen erforderlich sind, sondern vielmehr besser auf Unionsebene zu verwirklichen sind, da es darum geht, unnötige Doppelarbeit bei diesen Anstrengungen zu vermeiden, die kritische Investitionsmasse zu erreichen und sicherzustellen, dass die öffentlichen Mittel optimal genutzt werden und ein hohes Maß an Cybersicherheit in allen Mitgliedstaaten gefördert wird, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus —

HABEN FOLGENDE VERORDNUNG ERLASSEN: