(1) Większość ludności Unii Europejskiej ma dostęp do internetu. Życie codzienne ludzi i gospodarki stają się coraz bardziej zależne od technologii cyfrowych. Obywatele i przedsiębiorstwa są w coraz większym stopniu narażeni są na poważne incydenty w zakresie cyberbezpieczeństwa i wiele przedsiębiorstw w Unii doświadcza co najmniej jednego incydentu w zakresie cyberbezpieczeństwa każdego roku. Wskazuje to na potrzebę zbudowania odporności, zwiększenia możliwości technologicznych i przemysłowych oraz stosowania wysokich standardów cyberbezpieczeństwa i kompleksowych rozwiązań w tym zakresie, obejmujących ludzi, produkty, procesy i technologie w Unii, a także na konieczność osiągnięcia przez Unię wiodącej pozycji w dziedzinie cyberbezpieczeństwa i uzyskania autonomii cyfrowej. Cyberbezpieczeństwo można również poprawić poprzez podnoszenie świadomości na temat cyberzagrożeń i poprzez rozwijanie w całej Unii kompetencji, zdolności i możliwości, przy pełnym uwzględnieniu skutków i wątpliwości społecznych i etycznych.

(2) Unia stale intensyfikuje swoje działania w celu rozwiązania rosnących wyzwań w zakresie cyberbezpieczeństwa, realizując strategię cyberbezpieczeństwa przedstawioną przez Komisję i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa (zwanego dalej "Wysokim Przedstawicielem") w ich wspólnym komunikacie do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 7 grudnia 2013 r. pt. "Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń" (zwana dalej "strategią cyberbezpieczeństwa z 2013 r."). Strategia ta miała na celu promowanie niezawodnego, bezpiecznego i otwartego ekosystemu cyfrowego. W 2016 r. Unia przyjęła pierwsze środki w dziedzinie cyberbezpieczeństwa poprzez dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 3  w sprawie bezpieczeństwa sieci i systemów informatycznych.

(3) We wrześniu 2017 r. Komisja i Wysoki Przedstawiciel przedstawili wspólny komunikat do Parlamentu Europejskiego i Rady pt. "Odporność, prewencja i obrona: budowa solidnego bezpieczeństwa cybernetycznego Unii Europejskiej", aby jeszcze bardziej wzmocnić odporność, prewencję i reakcję Unii w przypadku cyberataków.

(4) Podczas Tallińskiego Szczytu Cyfrowego we wrześniu 2017 r. szefowie państw i rządów wezwali Unię, aby stała się do 2025 r. światowym liderem w dziedzinie cyberbezpieczeństwa w celu zapewnienia obywatelom, konsumentom i przedsiębiorstwom zaufania, pewności i ochrony online oraz umożliwienia istnienia wolnego, bezpieczniejszego i podlegającego przepisom prawa internetu, a także zadeklarowali zamiar powszechniejszego korzystania z rozwiązań w zakresie otwartego oprogramowania i otwartych standardów przy (prze)budowie systemów i rozwiązań w zakresie technologii informacyjno-komunikacyjnych (ICT), w szczególności aby uniknąć uzależnienia od jednego dostawcy, w tym rozwiązań i standardów opracowanych lub promowanych w ramach unijnych programów na rzecz interoperacyjności i standaryzacji, takich jak ISA ².

(5) Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa (zwane dalej "Centrum Kompetencji") ustanowione w niniejszym rozporządzeniu powinno przyczyniać się do zwiększenia bezpieczeństwa sieci i systemów informatycznych, w tym internetu i innych rodzajów infrastruktury krytycznych dla funkcjonowania społeczeństwa, takich jak systemy w dziedzinach transportu, zdrowia, energii, infrastruktury cyfrowej, wody, rynków finansowych i bankowości.

(6) Znaczne zakłócenie funkcjonowania sieci i systemów informatycznych może wpływać na poszczególne państwa członkowskie i na Unię jako całość. Wysoki poziom bezpieczeństwa sieci i systemów informatycznych w całej Unii ma zatem zasadnicze znaczenie zarówno dla społeczeństwa, jak i gospodarki. Obecnie Unia jest uzależniona od dostawców cyberbezpieczeństwa spoza Europy. W strategicznym interesie Unii leży jednak zapewnienie, aby utrzymała i rozwijała ona podstawowe zdolności badawcze i technologiczne w dziedzinie cyberbezpieczeństwa w celu zabezpieczenia sieci i systemów informatycznych wykorzystywanych przez obywateli i przedsiębiorstwa, a w szczególności w celu ochrony sieci i systemów informatycznych o znaczeniu krytycznym oraz świadczenia kluczowych usług w zakresie cyberbezpieczeństwa.

(7) Chociaż Unia dysponuje rozległą wiedzą fachową i doświadczeniem w zakresie badań naukowych, technologii i rozwoju przemysłu w dziedzinie cyberbezpieczeństwa, to wysiłki środowisk przemysłowych i badawczych są rozproszone, brak im też koordynacji i wspólnej misji, co stanowi przeszkodę dla konkurencyjności oraz skutecznej ochrony sieci i systemów w tej dziedzinie. Należy skupić takie wysiłki i wiedzę fachową, połączyć je w sieć i wykorzystać w wydajny sposób, aby wzmocnić i uzupełnić istniejące zdolności i umiejętności badawcze, technologiczne i przemysłowe na poziomie unijnym i krajowym. Choć sektor ICT stoi w obliczu ważnych wyzwań, takich jak zaspokojenie popytu na wykwalifikowanych pracowników, może skorzystać on na tym, że będzie reprezentował różnorodność całego społeczeństwa oraz charakteryzował się zrównoważoną reprezentacją płci, różnorodnością etniczną i niedyskryminacją osób z niepełnosprawnościami, jak również na tym, że będzie ułatwiał przyszłym ekspertom w dziedzinie cyberbezpieczeństwa dostęp do wiedzy i szkoleń, w tym do kształcenia takich ekspertów w warunkach pozaformalnych, na przykład w ramach projektów dotyczących wolnego i otwartego oprogramowania, projektów z dziedziny technologii obywatelskiej, przedsiębiorstw typu startup i mikroprzedsiębiorstw.

(8) Małe i średnie przedsiębiorstwa (MŚP) są kluczowymi interesariuszami w unijnym sektorze cyberbezpieczeństwa i ze względu na swoją elastyczność mogą zapewniać najnowocześniejsze rozwiązania. Jednakże MŚP, które nie specjalizują się w cyberbezpieczeństwie, są również bardziej podatne na incydenty w zakresie cyberbezpieczeństwa ze względu na duże wymagania w zakresie inwestycji i zasobów wiedzy niezbędnych do wprowadzenia skutecznych rozwiązań w dziedzinie cyberbezpieczeństwa. W związku z tym konieczne jest, aby Centrum Kompetencji i sieć krajowych ośrodków koordynacji (zwana dalej "Siecią") zapewniły MŚP wsparcie, ułatwiając im dostęp do wiedzy i personalizując dostęp do wyników prac badawczo-rozwojowych, tak aby umożliwić MŚP wystarczające zabezpieczenie się, a tym spośród nich, które działają w dziedzinie cyberbezpieczeństwa, umożliwić konkurencyjność i wnoszenie wkładu w zdobywanie przez Unię wiodącej pozycji w dziedzinie cyberbezpieczeństwa.

(9) Wiedza fachowa istnieje również poza kontekstem przemysłowym i badawczym. Projekty niekomercyjne i przed- komercyjne, nazywane projektami z dziedziny "technologii obywatelskiej", wykorzystują otwarte standardy, otwarte dane oraz wolne i otwarte oprogramowanie w interesie społeczeństwa i dobra publicznego.

(10) Cyberbezpieczeństwo to niejednorodna dziedzina. Do interesariuszy zalicza się podmioty publiczne, państwa członkowskie i Unię, a także podmioty z sektora przemysłu, podmioty społeczeństwa obywatelskiego, takie jak związki zawodowe, stowarzyszenia konsumenckie, środowisko wolnego i otwartego oprogramowania oraz środowisko akademickie i badawcze oraz inne podmioty.

(11) W swoich konkluzjach przyjętych w listopadzie 2017 r. Rada wezwała Komisję do szybkiego opracowania oceny skutków na temat możliwych wariantów stworzenia sieci centrów kompetencji w dziedzinie cyberbezpieczeństwa i Europejskiego Centrum Badań Naukowych i Kompetencji w dziedzinie Cyberbezpieczeństwa oraz do przedstawienia do połowy 2018 r. wniosku dotyczącego odpowiedniego instrumentu prawnego w celu stworzenia takiej sieci i takiego centrum.

(12) Unia nadal nie dysponuje wystarczającymi technologicznymi i przemysłowymi zdolnościami i możliwościami, by w sposób autonomiczny zabezpieczyć swoją gospodarkę i infrastrukturę krytyczną oraz stać się światowym liderem w dziedzinie cyberbezpieczeństwa. Poziom strategicznej i trwałej koordynacji oraz współpracy między sektorami przemysłu, środowiskami badawczymi w dziedzinie cyberbezpieczeństwa i rządami jest niewystarczający. W Unii występuje problem niewystarczających inwestycji i ograniczonego dostępu do wiedzy, umiejętności i infrastruktury w tej dziedzinie, zaś niewiele unijnych wyników badań naukowych i innowacji w dziedzinie cyberbezpieczeństwa przekłada się na rozwiązania rynkowe szeroko wykorzystywane w gospodarce.

(13) Ustanowienie Sieci i Centrum Kompetencji, mających mandat do realizacji środków wspierających technologie przemysłowe oraz środków w dziedzinie badań naukowych i innowacji, stanowi najlepszy sposób osiągnięcia celów niniejszego rozporządzenia, przy jednoczesnym zapewnieniu maksymalnych skutków gospodarczych, społecznych i środowiskowych oraz zabezpieczeniu interesów Unii.

(14) Centrum Kompetencji powinno być głównym unijnym instrumentem służącym skupianiu inwestycji w badania naukowe, technologię i rozwój przemysłu w dziedzinie cyberbezpieczeństwa oraz wdrażaniu odpowiednich projektów i inicjatyw razem z Siecią. Centrum Kompetencji powinno zarządzać wsparciem finansowym na działania związane z cyberbezpieczeństwem z Programu ramowego w zakresie badań naukowych i innowacji "Horyzont Europa" ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady nr 2021/. 4 *  (zwanego dalej "programem Horyzont Europa") oraz programu "Cyfrowa Europa" ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady nr 2021/. 5 **  i w stosownych przypadkach powinno być otwarte na inne programy. Podejście to powinno przyczynić się do tworzenia synergii i koordynowania wsparcia finansowego związanego z inicjatywami Unii w dziedzinie badań naukowych i rozwoju, innowacji i rozwoju technologicznoprzemysłowego w dziedzinie cyberbezpieczeństwa oraz unikać zbędnego powielania działań.

(15) Istotne zapewnienie poszanowania praw podstawowych i zasad etycznego postępowanie w ramach projektów badawczych w dziedzinie cyberbezpieczeństwa wspieranych przez Centrum Kompetencji.

(16) Centrum Kompetencji nie powinno wykonywać zadań operacyjnych w dziedzinie cyberbezpieczeństwa, takich jak zadania należące do zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), w tym zadań w zakresie monitorowania cyberincydentów i reagowania na nie. Centrum Kompetencji powinno być jednak w stanie ułatwiać rozwój infrastruktur ICT służących sektorom przemysłu, w szczególności MŚP, środowiskom badawczym, społeczeństwu obywatelskiemu i sektorowi publicznemu, w zgodzie z misją i celami określonymi w niniejszym rozporządzeniu. Podczas gdy zespoły CSIRT i inni interesariusze dążą do propagowania zgłaszania i ujawniania podatności, Centrum Kompetencji i członkowie społeczności kompetentnej w zakresie cyberbezpie- czeństwa (zwanej dalej "Społecznością") powinni mieć możliwość wspierania tych interesariuszy na ich wniosek w granicach swoich zadań oraz unikając powielania działań z Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (zwaną dalej "agencją ENISA") ustanowioną rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 6 .

(17) W celu zarządzania Społecznością i jej reprezentowania w ramach Centrum Kompetencji, Centrum Kompetencji, Społeczność i Sieć mają korzystać z doświadczenia oraz szerokiej reprezentacji odpowiednich interesariuszy powstałej w wyniku umownego partnerstwa publiczno-prywatnego w dziedzinie cyberbezpieczeństwa między Komisją a Europejską Organizacją ds. Cyberbezpieczeństwa (ECSO) na okres trwania programu Horyzont 2020 - programu ramowego w zakresie badań naukowych i innowacji (2014-2020) ustanowionego rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1291/2013 7  oraz z wniosków wyciągniętych z czterech projektów pilotażowych zainicjowanych na początku 2019 r. w ramach programu "Horyzont 2020", mianowicie CONCORDIA, ECHO, SPARTA i CyberSec4 Europe, a także z projektu pilotażowego i działania przygotowawczego w ramach audytów wolnego i otwartego oprogramowania (EU FOSSA).

(18) Z uwagi na rozmiar wyzwania związanego z cyberbezpieczeństwem oraz inwestycje w zdolności i możliwości w zakresie cyberbezpieczeństwa dokonane w innych częściach świata należy zachęcać Unię i państwa członkowskie do zwiększania wsparcia finansowego na badania naukowe, rozwój i działania wdrożeniowe w tej dziedzinie. Aby osiągnąć korzyści skali i porównywalny poziom ochrony w całej Unii, państwa członkowskie powinny skupić swoje wysiłki w wymiarze unijnym poprzez aktywne przyczynianie się do działalności Centrum Kompetencji i Sieci.

(19) W celu wspierania unijnej konkurencyjności i wysokich norm cyberbezpieczeństwa na arenie międzynarodowej Centrum Kompetencji i Społeczność powinny dążyć do wymiany ze społecznością międzynarodową informacji na temat wydarzeń w dziedzinie cyberbezpieczeństwa, w tym w dziedzinie produktów i procesów, standardów i norm technicznych, tam gdzie ma to związek z misją, celami i zadaniami Centrum Kompetencji. Na potrzeby niniejszego rozporządzenia stosowne normy techniczne mogą obejmować tworzenie oprogramowania wzorcowego, w tym oprogramowania opublikowanego w ramach otwartych licencji standardowych.

(20) Siedziba Centrum Kompetencji znajduje się w Bukareszcie.

(21) Przygotowując swój roczny program prac (zwany dalej "rocznym programem prac"), Centrum Kompetencji powinno poinformować Komisję o swoich potrzebach dotyczących współfinansowania, w oparciu o planowane przez państwa członkowskie wkłady na współfinansowanie wspólnych działań, tak aby Komisja była w stanie uwzględnić wkład Unii w odpowiedniej wysokości podczas przygotowywania projektu budżetu ogólnego Unii na kolejny rok.

(22) W procesie przygotowywania przez Komisję programu prac dla programu "Horyzont Europa" w zakresie kwestii związanych z cyberbezpieczeństwem, w tym w kontekście procesu konsultacji z interesariuszami, a w szczególności przed przyjęciem tego programu prac, Komisja powinna należycie uwzględnić wkład Centrum Kompetencji oraz przekazać ten wkład komitetowi programu "Horyzont Europa".

(23) Aby umożliwić Centrum Kompetencji pełnienie jego roli w dziedzinie cyberbezpieczeństwa i ułatwić zaangażowanie Sieci oraz by zapewnić silną pozycję państw członkowskich w zakresie zarządzania, Centrum Kompetencji należy ustanowić jako organ Unii mający osobowość prawną, do którego ma mieć zastosowanie rozporządzenie delegowane Komisji (UE) 2019/715 8 . Centrum Kompetencji powinno pełnić podwójną rolę: podejmować konkretne, ustanowione w niniejszym rozporządzeniu zadania w odniesieniu do przemysłu, technologii i badań naukowych w dziedzinie cyberbezpieczeństwa oraz zarządzać środkami finansowymi na rzecz cyberbezpieczeństwa pochodzącymi z różnych programów, w szczególności z programu "Horyzont Europa" i programu "Cyfrowa Europa", oraz ewentualnie także z innych programów unijnych. Zarządzanie to musi być zgodne z przepisami mającymi zastosowanie do tych programów. Biorąc jednak pod uwagę, że finansowanie funkcjonowania Centrum Kompetencji będzie pochodziło przede wszystkim z programu "Horyzont Europa" i z programu "Cyfrowa Europa", konieczne jest, by na potrzeby wykonania budżetu Centrum Kompetencji było uznawane za partnerstwo, w tym na etapie programowania.

(24) Ze względu na wkład Unii, dostęp do wyników działań Centrum Kompetencji i do wyników projektów ma być otwarty w największym możliwym zakresie i zamknięty tylko w zakresie koniecznym, a w odpowiednich przypadkach możliwe ma być ponowne wykorzystywanie takich wyników.

(25) Centrum Kompetencji powinno ułatwiać i koordynować pracę Sieci. W skład Sieci powinien wchodzić jeden krajowy ośrodek koordynacji z każdego państwa członkowskiego. Krajowe ośrodki koordynacji, które zostały uznane przez Komisję za posiadające niezbędne zdolności w zakresie zarządzania środkami finansowymi w celu realizacji misji i celów określonych w niniejszym rozporządzeniu, powinny otrzymywać bezpośrednie wsparcie finansowe Unii, w tym dotacje przyznawane bez zaproszenia do składania wniosków, w celu realizacji ich działań związanych z niniejszym rozporządzeniem.

(26) Krajowymi ośrodkami koordynacji wyznaczanymi przez państwa członkowskie powinny być podmioty sektora publicznego lub podmioty z większościowym udziałem tego sektora, wypełniające zadania administracji publicznej na mocy prawa krajowego, w tym w drodze przekazania uprawnień. Powinna istnieć możliwość, aby funkcje krajowego ośrodka koordynacji w danym państwie członkowskim wypełniał podmiot pełniący również inne funkcje wymagane prawem Unii, takie jak funkcja krajowego właściwego organu, pojedynczego punktu kontaktowego w rozumieniu dyrektywy (UE) 2016/1148 lub innego rozporządzenia unijnego, albo funkcja centrum innowacji cyfrowych w rozumieniu rozporządzenia (UE) 2021/... * . Inne podmioty sektora publicznego lub podmioty wypełniające zadania administracji publicznej w danym państwie członkowskim powinny być w stanie wspierać krajowy ośrodek koordynacji w wykonywaniu jego funkcji.

(27) Krajowe ośrodki koordynacji powinny posiadać niezbędne zdolności administracyjne, powinny dysponować wiedzą fachową w zakresie przemysłu, technologii i badań naukowych w dziedzinie cyberbezpieczeństwa lub mieć dostęp do takiej wiedzy i powinny być zdolne do efektywnych kontaktów z przemysłem, sektorem publicznym i środowiskiem badawczym oraz do koordynowania z nimi swoich działań.

(28) Kształcenie w państwach członkowskich powinno uwzględniać znaczenie posiadania odpowiedniej wiedzy na temat cyberbezpieczeństwa i odpowiednich umiejętności w tym zakresie. W tym celu, z uwzględnieniem roli agencji ENISA i bez uszczerbku dla kompetencji państw członkowskich w dziedzinie edukacji, krajowe ośrodki koordynacji - obok odpowiednich organów publicznych i interesariuszy - powinny przyczyniać się do propagowania i upowszechniania programów kształcenia w dziedzinie cyberbezpieczeństwa.

(29) Krajowe ośrodki koordynacji powinny mieć możliwość otrzymywania od Centrum Kompetencji dotacji w celu zapewniania stronom trzecim wsparcia finansowego w formie dotacji. Koszty bezpośrednie ponoszone przez krajowe ośrodki koordynacji w zakresie udzielania wsparcia finansowego stronom trzecim i zarządzania takim wsparciem kwalifikują się do finansowania w ramach odpowiednich programów.

(30) Centrum Kompetencji, Sieć i Społeczność powinny pomagać w rozwijaniu i upowszechnianiu najnowszych produktów, usług i procesów w dziedzinie cyberbezpieczeństwa. Jednocześnie Centrum Kompetencji i Sieć powinny promować możliwości w dziedzinie cyberbezpieczeństwa, którymi dysponują branże po stronie popytu, szczególnie poprzez wspieranie twórców rozwiązań i operatorów w sektorach takich jak sektor transportu, energii, zdrowia, finansowy, administracji, telekomunikacyjny, wytwórczy i kosmiczny, aby pomóc takim twórcom rozwiązań i operatorom w stawianiu czoła wyzwaniom związanym z cyberbezpieczeństwem, takim jak uwzględnianie bezpieczeństwa na etapie projektowania. Centrum Kompetencji i Sieć powinny również wspierać standaryzację i wdrażanie produktów, usług i procesów w dziedzinie cyberbezpieczeństwa, a jednocześnie promować w stosownych przypadkach wdrażanie europejskich ram certyfikacji cyberbezpieczeństwa określonych w rozporządzeniu (UE) 2019/881.

(31) Ze względu na szybko zmieniający się charakter cyberzagrożeń i cyberbezpieczeństwa Unia musi być w stanie szybko i w sposób ciągły dostosowywać się do nowych zjawisk w tej dziedzinie. W związku z tym Centrum Kompetencji, Sieć i Społeczność powinny być na tyle elastyczne, aby zapewnić wymaganą zdolność reagowania na takie zjawiska. Powinny one sprzyjać projektom, które pomagają podmiotom w stałym tworzeniu zdolności do zwiększania swojej odporności i odporności Unii.

(32) Centrum Kompetencji powinno być wsparciem dla Społeczności. Centrum Kompetencji powinno realizować części programu "Horyzont Europa" i programu "Cyfrowa Europa" dotyczące cyberbezpieczeństwa zgodnie z wieloletnim programem prac Centrum Kompetencji (zwanym dalej "wieloletnim programem prac"), rocznym programem prac oraz procesem planowania strategicznego w ramach programu "Horyzont Europa" poprzez udzielanie dotacji i innych form finansowania, głównie na podstawie zapewniających konkurencję zaproszeń do składania wniosków. Centrum Kompetencji powinno również ułatwiać przekazywanie wiedzy fachowej w ramach Sieci i Społeczności oraz wspierać wspólne inwestycje Unii, państw członkowskich lub przemysłu. Szczególną wagę powinno przykładać do wspierania MŚP w dziedzinie cyberbezpieczeństwa, a także do działań mających pomagać w przezwyciężeniu luki kompetencyjnej.

(33) Pomoc techniczna w zakresie przygotowania projektów powinna być udzielana w sposób w pełni obiektywny i przejrzysty, tak by zapewnić, iż wszyscy potencjalni beneficjenci otrzymają te same informacje, i ma unikać konfliktów interesów.

(34) Centrum Kompetencji powinno stymulować i wspierać długoterminową strategiczną współpracę i koordynację działań Społeczności, które to współpraca i koordynacja obejmowałyby dużą, otwartą, interdyscyplinarną i zróżnicowaną grupę europejskich interesariuszy zaangażowanych w technologię cyberbezpieczeństwa. Do Społeczności powinny należeć podmioty prowadzące badania naukowe, sektory przemysłu i sektor publiczny. Społeczność powinna wnosić wkład w działania Centrum Kompetencji oraz w wieloletni program prac i roczny program prac, działając w szczególności za pośrednictwem Strategicznej Grupy Doradczej. Społeczność powinna również korzystać z prowadzonych przez Centrum Kompetencji i Sieć działań na rzecz tworzenia wspólnoty, nie powinna być jednak uprzywilejowana w zakresie zaproszeń do składania wniosków lub zaproszeń do składania ofert. Członkami Społeczności powinny być podmioty zbiorowe i organizacje. Jednocześnie, aby odnosić korzyści z całej wiedzy fachowej w zakresie cyberbezpieczeństwa w Unii, Centrum Kompetencji i jego organy powinny mieć również możliwość wykorzystywać wiedzę fachową osób fizycznych występujących w roli ekspertów ad-hoc.

(35) Centrum Kompetencji powinno współpracować i zapewniać synergię z agencją ENISA i powinno otrzymywać od agencji ENISA odpowiedni wkład przy określaniu priorytetów w zakresie finansowania.

(36) Aby odpowiedzieć zarówno na podaż, jak i popyt w dziedzinie cyberbezpieczeństwa, zadanie Centrum Kompetencji dotyczące zapewnienia wiedzy z zakresu cyberbezpieczeństwa i pomocy technicznej na rzecz przemysłu powinno odnosić się zarówno do produktów, procesów i usług ICT, jak i wszystkich innych technologicznych produktów i procesów, do których ma zostać włączone cyberbezpieczeństwo. Na swój wniosek sektor publiczny mógłby również korzystać ze wsparcia ze strony Centrum Kompetencji.

(37) W celu osiągnięcia stabilnego środowiska cyberbezpieczeństwa ważne jest, aby w procesach tworzenia, utrzymywania, eksploatacji i aktualizacji infrastruktur, produktów i usług obowiązywała zasada uwzględniania bezpieczeństwa na etapie projektowania, szczególnie poprzez wspieranie najnowocześniejszych metod bezpiecznego projektowania, odpowiednich testów i audytów bezpieczeństwa, udostępnianie aktualizacji mających na celu niezwłoczne usuwanie znanych podatności lub zagrożeń, oraz, w miarę możliwości, umożliwianie stronom trzecim tworzenia i dostarczania takich aktualizacji po zakończeniu przewidzianego okresu użytkowania produktów. Bezpieczeństwo uwzględniane na etapie projektowania należy zapewniać w całym cyklu życia produktu, usługi lub procesu ICT oraz poprzez takie procesy projektowania, które nieustannie ewoluują, by ograniczać ryzyko szkody w przypadku wykorzystania w złej wierze.

(38) Chociaż Centrum Kompetencji i Sieć powinny mieć na celu wzmocnienie synergii i koordynacji między cyberbezpieczeństwem w sferze cywilnej i w sferze wojskowej, realizowane na podstawie niniejszego rozporządzenia projekty finansowane w ramach programu "Horyzont Europa" powinny być wdrażane zgodnie z rozporządzeniem (UE) 2021/. * , w którym przewidziano, że działania w zakresie badań naukowych i innowacji przeprowadzane w ramach programu "Horyzont Europa" mają dotyczyć wyłącznie zastosowań cywilnych.

(39) Niniejsze rozporządzenie ma zastosowanie przede wszystkim do kwestii cywilnych, ale działania państw członkowskich na podstawie niniejszego rozporządzenia mogą odzwierciedlać specyfikę państw członkowskich w przypadkach, gdy polityka cyberbezpieczeństwa prowadzona jest przez organy wykonujące zarówno zadania w sferze cywilnej, jak i wojskowej; należy w tych działaniach dążyć do komplementarności i unikać pokrywania się działań z instrumentami finansowania związanymi z obronnością.

(40) Niniejsze rozporządzenie powinno zapewnić odpowiedzialność i przejrzystość działania Centrum Kompetencji oraz finansowanych przedsięwzięć, zgodnie z rozporządzeniami w sprawie odpowiednich programów.

(41) Realizacja projektów wdrożeniowych, w szczególności projektów wdrożeniowych, które dotyczą infrastruktury i zdolności wdrażanych na poziomie unijnym lub w drodze wspólnych zamówień, może być dzielona na różne etapy wdrażania, takie jak oddzielne przetargi na architekturę sprzętu i oprogramowania, ich produkcję oraz obsługę i konserwację, przy czym przedsiębiorstwa będą mogły uczestniczyć tylko w jednym z etapów; w odpowiednich przypadkach może być wymagane, aby beneficjenci na jednym lub kilku z tych etapów spełniali określone warunki dotyczące własności lub kontroli przez podmioty europejskie.

(42) W działaniach Centrum Kompetencji, w tym w opracowywaniu Programu działań, aktywną rolę powinna odgrywać agencja ENISA z uwagi na jej wiedzę fachową w dziedzinie cyberbezpieczeństwa i jej mandat do pełnienia roli punktu odniesienia w zakresie doradztwa i wiedzy fachowej w dziedzinie cyberbezpieczeństwa na rzecz instytucji, organów i jednostek organizacyjnych Unii oraz na rzecz odpowiednich unijnych interesariuszy, a także z uwagi na zbieranie przekazywanych informacji w ramach jej zadań, przy czym należy unikać powielania wysiłków; tę rolę agencja ENISA może pełnić szczególnie dzięki temu, że pełni funkcję stałego obserwatora w Radzie Zarządzającej Centrum Kompetencji. Przy opracowywaniu Programu działań, rocznego programu prac i wieloletniego programu prac Dyrektor Wykonawczy Centrum Kompetencji i Rada Zarządzająca powinni uwzględnić stosowne doradztwo strategiczne i informacje przekazane przez agencję ENISA zgodnie z regulaminem wewnętrznym Rady Zarządzającej.

(43) W przypadku gdy krajowe ośrodki koordynacji i podmioty należące do Społeczności otrzymują wkład finansowy z budżetu ogólnego Unii, powinny one podać do wiadomości publicznej fakt, że odpowiednie działania podejmowane są w kontekście niniejszego rozporządzenia.

(44) Koszty związane z ustanowieniem Centrum Kompetencji oraz jego działaniami administracyjnymi i koordynacyjnymi powinny być finansowane przez Unię oraz przez państwa członkowskie - proporcjonalnie do dobrowolnych wkładów państw członkowskich we wspólne działania. Aby uniknąć podwójnego finansowania, działania te nie powinny jednocześnie korzystać ze środków pochodzących z innych programów unijnych.

(45) Rada Zarządzająca, która powinna się składać z przedstawicieli państw członkowskich i Komisji, powinna określać ogólny kierunek działalności Centrum Kompetencji oraz zapewniać wykonywanie przez Centrum Kompetencji jego zadań zgodnie z niniejszym rozporządzeniem. Rada Zarządzająca powinna przyjąć Program działań.

(46) Rada Zarządzająca powinna mieć uprawnienia niezbędne do uchwalania budżetu Centrum Kompetencji. Rada Zarządzająca powinna kontrolować wykonanie budżetu, przyjmować stosowne zasady finansowe i ustalać przejrzyste procedury działania w procesie podejmowania decyzji przez Centrum Kompetencji, w tym przyjmowanie rocznego programu prac i wieloletniego programu prac zgodnie z Programem działań. Rada Zarządzająca powinna również przyjąć swój regulamin wewnętrzny, powoływać Dyrektora Wykonawczego oraz podejmować decyzje o przedłużeniu jego kadencji lub jej zakończeniu.

(47) Rada Zarządzająca powinna sprawować nadzór nad działaniami o charakterze strategicznym Centrum Kompetencji i jego działaniami w zakresie wdrożenia oraz powinna zapewniać ich spójność. W swoim sprawozdaniu rocznym Centrum Kompetencji powinno położyć szczególny nacisk na osiągnięte przez siebie cele strategiczne i w razie potrzeby zaproponować działania na rzecz dalszej poprawy realizacji tych celów strategicznych.

(48) Do prawidłowego i skutecznego funkcjonowania Centrum Kompetencji Komisja i państwa członkowskie powinny zapewnić, aby osoby, które mają zostać powołane na członków Rady Zarządzającej, miały odpowiednią zawodową wiedzę fachową i doświadczenie w obszarach funkcyjnych. Komisja i państwa członkowskie powinny również dołożyć starań, aby w celu zapewnienia ciągłości jej pracy ograniczyć rotację swoich przedstawicieli w Radzie Zarządzającej.

(49) W świetle szczególnego statusu Centrum Kompetencji i spoczywającej na nim odpowiedzialności za wdrażanie środków finansowych Unii, w szczególności pochodzących z programu "Horyzont Europa" i programu "Cyfrowa Europa", Komisja powinna dysponować w Radzie Zarządzającej 26 % całkowitej liczby głosów w odniesieniu do decyzji dotyczących zaangażowania środków finansowych Unii w celu maksymalizacji unijnej wartości dodanej tych decyzji, przy jednoczesnym zapewnieniu ich legalności i zgodności z priorytetami Unii.

(50) Sprawne funkcjonowanie Centrum Kompetencji wymaga, aby Dyrektor Wykonawczy był powoływany w przejrzysty sposób na podstawie swoich osiągnięć oraz miał udokumentowane kompetencje administracyjne i umiejętności kierownicze, a także odpowiednie kompetencje i doświadczenie w zakresie cyberbezpieczeństwa, oraz aby pełnił swoje obowiązki w sposób całkowicie niezależny.

(51) Centrum Kompetencji powinno korzystać ze wsparcia Strategicznej Grupy Doradczej. Grupa powinna udzielać tego wsparcia w oparciu o regularny dialog między Centrum Kompetencji a Społecznością, która powinna składać się z przedstawicieli sektora prywatnego, organizacji konsumenckich, środowiska akademickiego i innych odpowiednich interesariuszy. Strategiczna Grupa Doradcza powinna skupiać się na zagadnieniach istotnych dla interesariuszy i kierować na nie uwagę Rady Zarządzającej i Dyrektora Wykonawczego. Zadania Strategicznej Grupy Doradczej powinny obejmować zapewnianie doradztwa w zakresie Programu działań, rocznego programu prac i wieloletniego programu prac. Reprezentacja różnych interesariuszy w Strategicznej Grupie Doradczej powinna być zrównoważona, ze szczególnym uwzględnieniem MŚP, tak by zapewnić odpowiednią reprezentację interesariuszy w pracach Centrum Kompetencji.

(52) Wkłady państw członkowskich w zasoby Centrum Kompetencji mogą mieć charakter finansowy lub rzeczowy. Wkładem finansowym może być na przykład dotacja przyznana przez dane państwo członkowskie beneficjentowi z tego państwa, stanowiąca uzupełnienie wsparcia finansowego Unii dla projektu w ramach rocznego programu prac. Natomiast wkład rzeczowy byłby zwykle wnoszony w przypadkach, gdy podmiot z państwa członkowskiego sam jest beneficjentem wsparcia finansowego Unii. Na przykład, jeśli Unia dofinansowuje działania krajowego ośrodka koordynacji z zastosowaniem poziomu finansowania wynoszącego 50 %, pozostałe koszty zostaną ujęte jako wkład rzeczowy. Innym przykładem będzie sytuacja, gdy podmiot z państwa członkowskiego otrzymuje wsparcie finansowe Unii na utworzenie lub modernizację infrastruktury, którą interesariusze będą wykorzystywać wspólnie, zgodnie z rocznym programem prac; powiązane koszty niesubsydiowane ujmowane będą w takim wypadku jako wkłady rzeczowe.

(53) Zgodnie z odpowiednimi przepisami rozporządzenia delegowanego (UE) 2019/715 dotyczącego konfliktów interesów Centrum Kompetencji powinno przyjąć przepisy dotyczące zapobiegania konfliktom interesów, ich identyfikowania i rozwiązywania oraz zarządzania nimi, w odniesieniu do swoich członków, organów i personelu, Rady Zarządzającej, a także Strategicznej Grupy Doradczej i Społeczności. Państwa członkowskie powinny zapewnić zapobieganie konfliktom interesów oraz ich identyfikację i rozstrzyganie w odniesieniu do krajowych ośrodków koordynacji, zgodnie z przepisami krajowymi. Centrum Kompetencji powinno również stosować odpowiednie unijne przepisy dotyczące publicznego dostępu do dokumentów zawarte w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 1049/2001 9 . Przetwarzanie danych osobowych przez Centrum Kompetencji powinno podlegać przepisom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 10 . Centrum Kompetencji powinno przestrzegać przepisów unijnych mających zastosowanie do instytucji Unii oraz prawa krajowego dotyczącego przetwarzania informacji, w szczególności przetwarzania szczególnie chronionych informacji jawnych i informacji niejawnych UE.

(54) Interesy finansowe Unii i państw członkowskich powinny być chronione w całym cyklu wydatków za pomocą proporcjonalnych środków, w tym poprzez zapobieganie nieprawidłowościom, ich wykrywanie i prowadzenie dochodzeń w sprawach nieprawidłowości, odzyskiwanie utraconych, nienależnie wypłaconych lub nieprawidłowo wykorzystanych funduszy oraz, w stosownych przypadkach, nakładanie kar administracyjnych i pieniężnych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 11  (zwanym dalej "rozporządzeniem finansowym").

(55) Centrum Kompetencji powinno działać w otwarty i przejrzysty sposób. Powinno ono na czas udostępniać wszelkie stosowne informacje i promować swoją działalność, w tym realizować działania informacyjne i upowszechnianie wiedzy wśród społeczeństwa. Regulaminy wewnętrzne Rady Zarządzającej Centrum Kompetencji oraz Strategicznej Grupy Doradcze powinno podać się do wiadomości publicznej.

(56) Audytor wewnętrzny Komisji powinien mieć w stosunku do Centrum Kompetencji takie same uprawnienia jak w stosunku do Komisji.

(57) Komisja, Europejski Trybunał Obrachunkowy i Europejski Urząd ds. Zwalczania Nadużyć Finansowych powinny uzyskać dostęp do wszystkich niezbędnych informacji i pomieszczeń Centrum Kompetencji, aby prowadzić audyty i dochodzenia dotyczące dotacji, umów i porozumień podpisanych przez Centrum Kompetencji.

(58) Ponieważ cele niniejszego rozporządzenia, a mianowicie wzmocnienie konkurencyjności i zdolności Unii, utrzymanie i rozwijanie badawczych, technologicznych i przemysłowych zdolności Unii w dziedzinie cyberbezpieczeństwa, zwiększanie konkurencyjności unijnego sektora cyberbezpieczeństwa i sprawienie, by cyberbezpieczeństwo stało się elementem decydującym o przewadze konkurencyjnej pozostałych sektorów przemysłu Unii, nie mogą zostać osiągnięte w sposób wystarczający przez same państwa członkowskie z uwagi na rozproszenie istniejących ograniczonych zasobów oraz wymaganą skalę inwestycji, a jednocześnie mogą zostać w lepszym stopniu osiągnięte na poziomie unijnym, dzięki uniknięciu niepotrzebnego powielania tych wysiłków, pomocy w osiągnięciu masy krytycznej inwestycji, zapewnieniu optymalnego sposobu wykorzystania finansowania publicznego i promowaniu wysokiego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich, Unia może przyjąć środki zgodnie z zasadą pomocniczości określoną w art.5 Traktatu o Unii Europejskiej (TUE). Zgodnie z zasadą proporcjonalności, o której mowa w przywołanym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: