Процедура : 2017/0225(COD)
Етапи на разглеждане в заседание
Етапи на разглеждане на документа : A8-0264/2018

Внесени текстове :

A8-0264/2018

Разисквания :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Гласувания :

PV 12/03/2019 - 9.17
Обяснение на вота

Приети текстове :

P8_TA(2019)0151

ДОКЛАД     ***I
PDF 2152kWORD 346k
30.7.2018
PE 619.373v03-00 A8-0264/2018

относно предложението за регламент на Европейския парламент и на Съвета относно ENISA — Агенцията на ЕС за киберсигурност, и за отмяна на Регламент (ЕС) № 526/2013, както и относно сертифицирането на киберсигурността на информационните и комуникационните технологии („Акт за киберсигурността“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Комисия по промишленост, изследвания и енергетика

Докладчик: Ангелика Ниблер

Докладчик по становище (*):

Никола Данти, комисия по вътрешния пазар и защита на потребителите

(*) Процедура с асоциирани комисии – член 54 от Правилника за дейността

ИЗМЕНЕНИЯ
ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ
 ИЗЛОЖЕНИЕ НА МОТИВИТЕ
 СТАНОВИЩЕ на комисията по вътрешния пазар и защита на потребителите
 СТАНОВИЩЕ на комисията по бюджети
 СТАНОВИЩЕ на комисията по граждански свободи, правосъдие и вътрешни работи
 ПРОЦЕДУРА НА ВОДЕЩАТА КОМИСИЯ
 ПОИМЕННО ОКОНЧАТЕЛНО ГЛАСУВАНЕ ВЪВ ВОДЕЩАТА КОМИСИЯ

ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ

относно предложението за регламент на Европейския парламент и на Съвета относно ENISA — Агенцията на ЕС за киберсигурност, и за отмяна на Регламент (ЕС) № 526/2013, както и относно сертифицирането на киберсигурността на информационните и комуникационните технологии („Акт за киберсигурността“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Обикновена законодателна процедура: първо четене)

Европейският парламент,

–  като взе предвид предложението на Комисията до Европейския парламент и до Съвета (COM(2017)0477),

–  като взе предвид член 294, параграф 2 и член 114 от Договора за функционирането на Европейския съюз, съгласно които Комисията е внесла предложението (C8-0310/2017),

–  като взе предвид член 294, параграф 3 от Договора за функционирането на Европейския съюз,

–  като взе предвид становището на Европейския икономически и социален комитет от 14 февруари 2018 г.(1),

–  като взе предвид член 59 от своя правилник,

–   като взе предвид мотивираното становище, изпратено от Сената на Френската република в рамките на Протокол № 2 относно прилагането на принципите на субсидиарност и пропорционалност, в което се заявява, че проектът на законодателен акт не съответства на принципа на субсидиарност,

–  като взе предвид доклада на комисията по промишленост, изследвания и енергетика и становищата на комисията по вътрешния пазар и защита на потребителите, комисията по бюджети и комисията по граждански свободи, правосъдие и вътрешни работи (A8-0264/2018),

1.  приема изложената по-долу позиция на първо четене;

2.  приканва Комисията да се отнесе до него отново, в случай че замени своето предложение с друг текст или внесе или възнамерява да внесе съществени промени в това предложение;

3.  възлага на своя председател да предаде позицията на Парламента съответно на Съвета и на Комисията, както и на националните парламенти.

Изменение    1

Предложение за регламент

Съображение 1

Текст, предложен от Комисията

Изменение

(1)  Мрежовите и информационните системи и далекосъобщителните мрежи и услуги играят жизненоважна роля за обществото и са се превърнали в основата на икономическия растеж. Информационните и комуникационните технологии са в основата на сложните системи, които поддържат обществената активност, правят възможно функционирането на нашите икономики в основни сектори като здравеопазване, енергетика, финанси и транспорт, и по-специално поддържат функционирането на вътрешния пазар.

(1)  Мрежовите и информационните системи и далекосъобщителните мрежи и услуги играят жизненоважна роля за обществото и са се превърнали в основата на икономическия растеж. Информационните и комуникационните технологии (ИКТ) са в основата на сложните системи, които поддържат ежедневната обществена активност, правят възможно функционирането на нашите икономики в основни сектори като здравеопазване, енергетика, финанси и транспорт, и по-специално поддържат функционирането на вътрешния пазар.

Изменение    2

Предложение за регламент

Съображение 2

Текст, предложен от Комисията

Изменение

(2)  Използването на мрежовите и информационните системи от гражданите, предприятията и правителствата в целия Европейския съюз е вече повсеместно. Цифровизацията и свързаността се превръщат в основни характеристики на все по-голям брой продукти и услуги и с навлизането на „интернет на нещата“ се очаква на територията на ЕС през следващото десетилетие да има милиони, дори милиарди, свързани цифрови устройства. Въпреки нарастващия брой на устройствата, свързани към интернет, вграждането на сигурност и устойчивост в тях „още при проектирането“ все още не се извършва в задоволителен мащаб, което води до недостатъчно ниво на киберсигурността. В този контекст, ограниченото използване на сертифицирането води до недостиг на информация за потребителите (организации и частни лица) относно характеристиките на ИКТ продукти и услуги в областта на киберсигурността, като подкопава доверието в цифровите решения.

(2)  Използването на мрежовите и информационните системи от гражданите, предприятията и правителствата в целия Европейския съюз е вече повсеместно. Цифровизацията и свързаността се превръщат в основни характеристики на все по-голям брой продукти и услуги и с навлизането на „интернет на нещата“ се очаква на територията на ЕС през следващото десетилетие да има милиони, дори милиарди, свързани цифрови устройства. Въпреки нарастващия брой на устройствата, свързани към интернет, вграждането на сигурност и устойчивост в тях „още при проектирането“ все още не се извършва в задоволителен мащаб, което води до недостатъчно ниво на киберсигурността. В този контекст, ограниченото използване на сертифицирането води до недостиг на информация за потребителите (организации и частни лица) относно характеристиките на ИКТ продукти, процеси и услуги в областта на киберсигурността, като подкопава доверието в цифровите решения. Тази амбиция е в центъра на програмата на Европейската комисия за реформа с цел постигане на цифров единен пазар, тъй като ИКТ мрежите представляват основата за цифровите продукти и услуги, които имат потенциала да подпомагат всички аспекти от нашия живот и да стимулират икономическия растеж на Европа. За да се гарантира, че целите на цифровия единен пазар са напълно постигнати, трябва да са въведени основните градивни елементи на технологиите, на които разчитат важни области, като например електронно здравеопазване, „интернет на нещата“, изкуствен интелект, квантови технологии, както и интелигентни транспортни системи и усъвършенствани производствени технологии.

Изменение    3

Предложение за регламент

Съображение 3

Текст, предложен от Комисията

Изменение

(3)  Нарастването на цифровизацията и свързаността доведе до увеличаване на рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца. С цел да се смекчи този риск за обществото, трябва да бъдат предприети всички необходими действия за подобряване на киберсигурността в ЕС, за по-добра защита срещу киберзаплахи на мрежовите и информационните системи, далекосъобщителните мрежи, цифровите продукти, услуги и устройства, използвани от гражданите, правителствата и предприятията — от МСП до операторите на критични инфраструктури.

(3)  Нарастването на цифровизацията и свързаността доведе до увеличаване на рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца. С цел да се смекчи този риск за обществото, трябва да бъдат предприети всички необходими действия за подобряване на киберсигурността в ЕС, за по-добра защита срещу киберзаплахи на мрежовите и информационните системи, далекосъобщителните мрежи, цифровите продукти, услуги и устройства, използвани от гражданите, правителствата и предприятията – от МСП до операторите на критични инфраструктури. В това отношение Планът за действие в областта на цифровото образование, публикуван от Европейската комисия на 17 януари 2018 г., е стъпка в правилната посока, по-специално кампанията в целия ЕС за повишаване на осведомеността, насочена към преподавателите, родителите и учащите, с цел насърчаване на безопасността онлайн, киберхигиената и медийната грамотност, както и инициативата за обучение по киберсигурност, основана на Рамката за цифрова компетентност за гражданите, за да се предостави на хората възможност да използват технологиите уверено и отговорно.

Изменение    4

Предложение за регламент

Съображение 3а (ново)

Текст, предложен от Комисията

Изменение

 

(3a)  Счита, че целите и задачите на ENISA следва да бъдат допълнително приведени в съответствие със съвместното съобщение във връзка с позоваването в него на насърчаването на киберхигиена и осведоменост; отбелязва, че киберустойчивост може да се постигне чрез прилагане на основните принципи на киберхигиена.

Изменение    5

Предложение за регламент

Съображение 3 б (ново)

Текст, предложен от Комисията

Изменение

 

(3б)  ENISA следва да предоставя повече практическа и основана на информация подкрепа на сектора на киберсигурността в Съюза, по-специално МСП и новосъздадените предприятия, които са ключови източници на новаторски решения в областта на киберотбраната, и следва да насърчава по-тясно сътрудничество с университетските изследователски организации и големите участници с оглед на намаляването на зависимостта от продукти в областта на киберсигурността от външни източници и създаване на стратегическа верига на доставки в рамките на Съюза.

Изменение    6

Предложение за регламент

Съображение 4

Текст, предложен от Комисията

Изменение

(4)  Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени защитни механизми. Независимо от факта обаче, че кибератаките често са трансгранични, политическият отговор на органите по киберсигурността и правоприлагащите правомощия са основно национални. Широкомащабните киберинциденти могат да нарушат предоставянето на важни услуги в целия ЕС. Това изисква ефективен отговор и ефективно управление на кризи на равнището на ЕС, които да се основават на специални политики и по-широкообхватни инструменти за европейска солидарност и взаимопомощ. Освен това редовното оценяване на състоянието на киберсигурността и устойчивостта в Съюза въз основа на надеждни данни на Съюза, както и систематичното прогнозиране на бъдещи развития, предизвикателства и заплахи както на равнище на Съюза, така и на световно равнище, е важно за разработчиците на политики, за промишлеността и потребителите.

(4)  Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени и по-сигурни защитни механизми. Независимо от факта обаче, че кибератаките често са трансгранични, политическият отговор на органите по киберсигурността и правоприлагащите правомощия са основно национални. Широкомащабните киберинциденти могат да нарушат предоставянето на важни услуги в целия ЕС. Това изисква ефективен отговор и ефективно управление на кризи на равнището на ЕС, които да се основават на специални политики и по-широкообхватни инструменти за европейска солидарност и взаимопомощ. Потребностите от обучение в областта на киберотбраната са значителни и нарастват и могат да бъдат удовлетворени най-ефективно чрез сътрудничество на равнището на Съюза. Освен това редовното оценяване на състоянието на киберсигурността и устойчивостта в Съюза въз основа на надеждни данни на Съюза, както и систематичното прогнозиране на бъдещи развития, предизвикателства и заплахи както на равнище на Съюза, така и на световно равнище, е важно за разработчиците на политики, за промишлеността и потребителите.

Изменение    7

Предложение за регламент

Съображение 5

Текст, предложен от Комисията

Изменение

(5)  В светлината на предизвикателствата, пред които е изправен Съюзът в областта на киберсигурността, е необходим всеобхватен набор от мерки, който ще се основава на предходни действия на Съюза и ще насърчава взаимно подкрепящите се цели. Това включва необходимостта от допълнително подобряване на способностите и подготвеността на държавите членки и на предприятията, както и от подобряване на сътрудничеството и координацията между държавите членки и институциите, агенциите и органите на ЕС. Освен това, предвид трансграничния характер на киберзаплахите е необходимо да се доразвият способностите на равнището на Съюза, чрез които могат да се допълват действията на държавите членки, по-специално в случаите на мащабни трансгранични киберинциденти и киберкризи. Също така са необходими допълнителни усилия, за да се повиши информираността на гражданите и на предприятията по въпроси, свързани с киберсигурността. Освен това доверието в цифровия единен пазар следва да бъде допълнително подобрено, като се предоставя прозрачна информация за нивото на сигурност на ИКТ продукти и услуги. Това може да бъде улеснено чрез сертифициране на равнище ЕС, като се предоставят общи изисквания относно киберсигурността и общи критерии за оценка, независещи от националните пазари и секторите.

(5)  В светлината на предизвикателствата, пред които е изправен Съюзът в областта на киберсигурността, е необходим всеобхватен набор от мерки, който ще се основава на предходни действия на Съюза и ще насърчава взаимно подкрепящите се цели. Това включва необходимостта от допълнително подобряване на способностите и подготвеността на държавите членки и на предприятията, както и от подобряване на сътрудничеството, координацията и споделянето на информация между държавите членки и институциите, агенциите и органите на ЕС. Освен това, предвид трансграничния характер на киберзаплахите, е необходимо да се доразвият способностите на равнището на Съюза, чрез които могат да се допълват действията на държавите членки, по-специално в случаите на мащабни трансгранични киберинциденти и киберкризи, като същевременно се подчертава значението на поддържането и допълнителното засилване на националните способности за реакция спрямо киберзаплахи от всякакъв мащаб. Също така са необходими допълнителни усилия, за да се осигури една координирана реакция на ЕС и да се повиши информираността на гражданите и на предприятията по въпроси, свързани с киберсигурността. Освен това, като се има предвид, че киберинцидентите накърняват доверието в доставчиците на цифрови услуги и в самия цифров единен пазар, особено сред потребителите, доверието следва да бъде допълнително подобрено, като се предоставя прозрачна информация за нивото на сигурност на ИКТ продукти, процеси и услуги и се подчертава, че дори и високото равнище на сертифициране на киберсигурността не може да гарантира пълната безопасност на ИКТ продукт или услуга. Това може да бъде улеснено чрез сертифициране на равнище ЕС, като се предоставят общи изисквания относно киберсигурността и общи критерии за оценка, независещи от националните пазари и секторите, както и чрез насърчаване на киберграмотността. Наред със сертифициране на равнището на Съюза и предвид нарастващата наличност на устройства за „интернет на нещата“, има редица доброволни мерки, които частният сектор следва да предприеме, за да укрепи доверието в сигурността на ИКТ продуктите, процесите и услугите, като например криптиране и технологии за блок-верига. Срещаните предизвикателства следва да бъдат отразени пропорционално в бюджета, разпределян на Агенцията, за да се гарантира оптимална функционалност при текущите обстоятелства.

Изменение    8

Предложение за регламент

Съображение 5 a (ново)

Текст, предложен от Комисията

Изменение

 

(5a)  С цел укрепване на европейските системи за сигурност и киберотбрана е важно да се поддържат и развиват способностите на държавите членки за всеобхватна реакция по отношение на киберзаплахи, включително трансгранични инциденти, докато координацията на равнището на ЕС от страна на Агенцията не следва да води до накърняване на способностите или полаганите усилия в държавите членки.

Изменение    9

Предложение за регламент

Съображение 5 б (ново)

Текст, предложен от Комисията

Изменение

 

(5б)  Предприятията, както и отделните потребители, имат точна информация относно равнището на сигурност на своите ИКТ продукти. Същевременно трябва да се разбира, че никой продукт не е сигурен по отношение на киберзаплахите и че основните правила на киберхигиената трябва да се насърчават и да станат приоритет.

Изменение    10

Предложение за регламент

Съображение 7

Текст, предложен от Комисията

Изменение

(7)  Съюзът вече предприе важни стъпки за гарантиране на киберсигурността и за повишаване на доверието в цифровите технологии. През 2013 г. беше приета стратегия на ЕС за киберсигурност, която да направлява политиката на Съюза в отговор на заплахите и рисковете в областта на киберсигурността. В усилията си да защити по-добре европейските граждани в онлайн средата, през 2016 г. Съюзът прие първия законодателен акт в областта на киберсигурността — Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза („Директива за МИС“). С Директивата за МИС бяха въведени изисквания по отношение на националните способности в областта на киберсигурността, бяха създадени първите механизми за засилване на стратегическото и оперативното сътрудничество между държавите членки и бяха въведени задължения относно мерките за сигурност и уведомяването за инциденти отвъд границите на отделните сектори, които са жизненоважни за икономиката и обществото, като например енергетиката, транспорта, водните ресурси, банковото дело, инфраструктурите на финансовия пазар, здравеопазването, цифровата инфраструктура, както и доставчиците на основни цифрови услуги (интернет търсачки, услуги за изчисления в облак и платформи за онлайн търговия). ENISA получи основна роля в областта на подпомагането на изпълнението на директивата. В допълнение, ефективна борба срещу киберпрестъпността е важен приоритет в Европейската програма за сигурност, като допринася за общата цел за постигане на високо равнище на киберсигурността.

(7)  Съюзът вече предприе важни стъпки за гарантиране на киберсигурността и за повишаване на доверието в цифровите технологии. През 2013 г. беше приета стратегия на ЕС за киберсигурност, която да направлява политиката на Съюза в отговор на заплахите и рисковете в областта на киберсигурността. В усилията си да защити по-добре европейските граждани в онлайн средата, през 2016 г. Съюзът прие първия законодателен акт в областта на киберсигурността — Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза („Директива за МИС“). Директивата за МИС, чийто успех зависи до голяма степен от ефективното въвеждане от страна на държавите членки, изпълнява стратегията за цифровия единен пазар и заедно с други инструменти, като Директивата за установяване на Европейски кодекс за електронни съобщения, Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО, въвежда изисквания по отношение на националните способности в областта на киберсигурността, бяха създадени първите механизми за засилване на стратегическото и оперативното сътрудничество между държавите членки и бяха въведени задължения относно мерките за сигурност и уведомяването за инциденти отвъд границите на отделните сектори, които са жизненоважни за икономиката и обществото, като например енергетиката, транспорта, водните ресурси, банковото дело, инфраструктурите на финансовия пазар, здравеопазването, цифровата инфраструктура, както и доставчиците на основни цифрови услуги (интернет търсачки, услуги за изчисления в облак и платформи за онлайн търговия). ENISA получи основна роля в областта на подпомагането на изпълнението на директивата. В допълнение, ефективна борба срещу киберпрестъпността е важен приоритет в Европейската програма за сигурност, като допринася за общата цел за постигане на високо равнище на киберсигурността.

Изменение    11

Предложение за регламент

Съображение 8

Текст, предложен от Комисията

Изменение

(8)  Отчита се, че след приемането на Стратегията на ЕС за киберсигурност от 2013 г. и след последното преразглеждане на мандата на Агенцията общият контекст на политиката се е променил значително, също и във връзка с по-нестабилната и по-несигурна глобална среда. В този смисъл и в рамките на новата политика в областта на киберсигурността на Съюза е необходимо да се направи преглед на мандата на ENISA, за да се определи нейната роля в променената екосистема на киберсигурността и да се гарантира нейният ефективен принос към борбата с предизвикателствата за киберсигурността в Съюза, произтичащи от тази коренно променена картина на заплахите, за които настоящият мандат не е достатъчен, както беше констатирано в оценката на Агенцията.

(8)  Отчита се, че след приемането на Стратегията на ЕС за киберсигурност от 2013 г. и след последното преразглеждане на мандата на Агенцията общият контекст на политиката се е променил значително, също и във връзка с по-нестабилната и по-несигурна глобална среда. В този смисъл и в контекста на положителната роля на Агенцията през годините, включваща обединяване на експертни знания, координиране и изграждане на капацитет, и в рамките на новата политика в областта на киберсигурността на Съюза е необходимо да се направи преглед на мандата на ENISA, за да се определи нейната роля в променената екосистема на киберсигурността и да се гарантира нейният ефективен принос към борбата с предизвикателствата за киберсигурността в Съюза, произтичащи от тази коренно променена картина на заплахите, за които настоящият мандат не е достатъчен, както беше констатирано в оценката на Агенцията.

Изменение    12

Предложение за регламент

Съображение 11

Текст, предложен от Комисията

Изменение

(11)  Като се има предвид нарастващият брой на предизвикателствата в областта на киберсигурността, пред които е изправен Съюзът, предоставените на Агенцията финансови и човешки ресурси следва да бъдат увеличени, така че да отразяват нейната разширена роля, нейните задачи, както и нейната ключова позиция в екосистемата на организациите, които защитават европейската цифрова екосистема.

(11)  Като се има предвид нарастващият брой на заплахите и предизвикателствата в областта на киберсигурността, пред които е изправен Съюзът, предоставените на Агенцията финансови и човешки ресурси следва да бъдат увеличени, така че да отразяват нейната разширена роля, нейните задачи, както и нейната ключова позиция в екосистемата на организациите, които защитават европейската цифрова екосистема, с което на ENISA да се даде възможност ефективно да изпълнява възложените ѝ по силата на настоящия регламент задачи.

Изменение    13

Предложение за регламент

Съображение 12

Текст, предложен от Комисията

Изменение

(12)  Агенцията следва да постигне и запази високо равнище на експертен опит и да функционира като отправна точка, създавайки условия за увереност и доверие в единния пазар благодарение на своята независимост, качеството на предоставяните от нея консултации и разпространяваната от нея информация, на прозрачността на своите процедури и методи на работа, както и на добросъвестното изпълнение на възложените ѝ задачи. Агенцията следва да дава активен принос към усилията на национално равнище и на равнището на Съюза, като същевременно изпълнява своите задачи в пълно сътрудничество с институциите, органите, службите и агенциите на Съюза, както и с държавите членки. Освен това работата на Агенцията следва да се основава на приноса и на сътрудничеството с частния сектор и с други заинтересовани страни. В набор от задачи следва да се формулира как Агенцията трябва да постига своите цели и същевременно да ѝ се предоставя възможност за гъвкаво функциониране.

(12)  Агенцията следва да постигне и запази високо равнище на експертен опит и да функционира като отправна точка, създавайки условия за увереност и доверие в единния пазар благодарение на своята независимост, качеството на предоставяните от нея консултации и разпространяваната от нея информация, на прозрачността на своите процедури и методи на работа, както и на добросъвестното изпълнение на възложените ѝ задачи. Агенцията следва да дава активен принос към усилията на национално равнище и на равнището на Съюза, като същевременно изпълнява своите задачи в пълно сътрудничество с институциите, органите, службите и агенциите на Съюза, както и с държавите членки, като избягва дублирането на дейности, насърчава полезните взаимодействия и допълняемостта и по този начин постига координация и финансови икономии. Освен това работата на Агенцията следва да се основава на приноса и на сътрудничеството с частния и публичния сектор и с други заинтересовани страни. Ясна програма и набор от задачи и цели, които следва да бъдат ясно определени, следва да формулират това как Агенцията трябва да постига своите цели, като същевременно се обърне надлежно внимание на необходимата гъвкавост при функционирането ѝ. Когато е възможно, следва да се поддържа най-висока степен на прозрачност и разпространение на информацията.

Изменение    14

Предложение за регламент

Съображение 12 a (ново)

Текст, предложен от Комисията

Изменение

 

(12a)  Ролята на Агенцията следва да бъде предмет на постоянна оценка и своевременен преглед, по-специално ролята ѝ на координатор спрямо държавите членки и техните национални органи, и възможността да изпълнява функциите на единно звено за контакт за държавите членки и органите и институциите на ЕС. Ролята на Агенцията, свързана с предотвратяване на разпокъсването на вътрешния пазар и възможното въвеждане на задължителни схеми за сертифициране на киберсигурността, в случай че положението в бъдеще налага такава промяна, също следва да бъде оценена, както и ролята на Агенцията по отношение на оценката на продуктите на трети държави, навлизащи на пазара на ЕС, и възможното включване в черен списък на дружества, които не отговарят на критериите на ЕС.

Изменение    15

Предложение за регламент

Съображение 12 б (ново)

Текст, предложен от Комисията

Изменение

 

(12б)  С цел осигуряване на адекватна подкрепа за оперативното сътрудничество с държавите членки, ENISA следва допълнително да укрепи собствените си технически възможности и експертен опит. За тази цел Агенцията следва постепенно да увеличи броя на своя персонал, посветен на тази задача, така че да бъде в състояние да събира и анализира самостоятелно различни видове от широкия спектър от заплахи за киберсигурността и зловреден софтуер, да извършва криминалистичен анализ и да подпомага държавите членки при реагирането на мащабни инциденти. За да се избегне дублиране на съществуващи способности в държавите членки, ENISA следва да увеличи своето ноу-хау и капацитета си въз основа на наличните ресурси в държавите членки, по-специално чрез командироването на национални експерти в Агенцията, създаването на групи от експерти, програми за обмен на персонал и т.н. При подбора на служители с отговорности в тази област, Агенцията следва постепенно да гарантира, че те отговарят на съответните критерии, за да осигурят подходяща подкрепа.

Изменение    16

Предложение за регламент

Съображение 13

Текст, предложен от Комисията

Изменение

(13)  Агенцията следва да подпомага Комисията чрез консултации, становища и анализи по всички въпроси на Съюза, свързани с разработването, актуализирането и преразглеждането на политиката и законодателството в областта на киберсигурността, включително защитата на критичната инфраструктура и киберустойчивостта. Агенцията следва да служи като отправна точка за консултации и експертен опит за специфичните секторни политики и правни инициативи на Съюза, когато те включват въпроси, свързани с киберсигурността.

(13)  Агенцията следва да подпомага Комисията чрез консултации, становища и анализи по всички въпроси на Съюза, свързани с разработването, актуализирането и преразглеждането на политиката и законодателството в областта на киберсигурността, включително защитата на критичната инфраструктура и киберустойчивостта. Агенцията следва да служи като отправна точка за консултации и експертен опит за специфичните секторни политики и правни инициативи на Съюза, когато те включват въпроси, свързани с киберсигурността. Нейният експертен опит ще бъде особено необходим при изготвянето на многогодишната работна програма на Съюза за европейските схеми за сертифициране на киберсигурността. Агенцията следва редовно да предоставя на Парламента актуализирана информация, анализ и преглед в областта на киберсигурността и развитието на нейните задачи.

Изменение    17

Предложение за регламент

Съображение 14

Текст, предложен от Комисията

Изменение

(14)  Основната задача на Агенцията е да насърчава последователното прилагане на съответната правна рамка, по-конкретно на ефективното изпълнение на Директивата за МИС, която е от съществено значение за повишаване на киберустойчивостта. С оглед на бързо развиващата се картина на заплахите за киберсигурността е ясно, че държавите членки трябва да бъдат подкрепяни чрез по-широкообхватен подход, надхвърлящ границите на отделните политики, за изграждането на киберустойчивост.

(14)  Основната задача на Агенцията е да насърчава последователното прилагане на съответната правна рамка, по-конкретно на ефективното изпълнение на Директивата за МИС, Директивата за установяване на Европейски кодекс за електронни съобщения, Регламент (ЕС) 2016/679 и Директива 2002/58/ЕО, което е от съществено значение за повишаване на киберустойчивостта. С оглед на бързо развиващата се картина на заплахите за киберсигурността е ясно, че държавите членки трябва да бъдат подкрепяни чрез по-широкообхватен подход, надхвърлящ границите на отделните политики, за изграждането на киберустойчивост.

Изменение    18

Предложение за регламент

Съображение 15

Текст, предложен от Комисията

Изменение

(15)  Агенцията следва да подпомага държавите членки и институциите, органите, службите и агенциите на Съюза в усилията им да изградят и подобрят способностите си и подготвеността си за предотвратяване, откриване и реагиране на проблеми и инциденти в областта на киберсигурността, както и във връзка със сигурността на мрежовите и информационните системи. По-специално, Агенцията следва да подкрепя развитието и укрепването на националните екипи CSIRT с оглед постигане на високо общо равнище на тяхната зрелост в Съюза. Агенцията следва също да съдейства за разработването и актуализирането стратегиите на Съюза и държавите членки относно сигурността на мрежовите и информационните системи, по-специално в областта на киберсигурността, да насърчава тяхното разпространение и да следи напредъка при изпълнението им. Също така, Агенцията следва да предлага обучения и образователни материали за публичните органи и, когато е целесъобразно, да „обучава обучаващите“, с цел да подпомогне държавите членки при развитието на техни собствени способности за обучение.

(15)  Агенцията следва да подпомага държавите членки и институциите, органите, службите и агенциите на Съюза в усилията им да изградят и подобрят способностите си и подготвеността си за предотвратяване, откриване и реагиране на проблеми и инциденти в областта на киберсигурността, както и във връзка със сигурността на мрежовите и информационните системи. По-специално, Агенцията следва да подкрепя развитието и укрепването на националните екипи CSIRT с оглед постигане на високо общо равнище на тяхната зрелост в Съюза. Агенцията следва също да съдейства за разработването и актуализирането стратегиите на Съюза и държавите членки относно сигурността на мрежовите и информационните системи, по-специално в областта на киберсигурността, да насърчава тяхното разпространение и да следи напредъка при изпълнението им. Като се има предвид, че човешките грешки са един от най-често свързаните с киберсигурността рискове, също така, Агенцията следва да предлага обучения и образователни материали за публичните органи и в максимална възможна степен, да „обучава обучаващите“, с цел да подпомогне държавите членки и институциите и агенциите на Съюза при развитието на техни собствени способности за обучение. Агенцията следва да служи също и за звено за контакт за държавите членки и институциите на Съюза, които следва да могат да искат съдействие от Агенцията в рамките на възложените ѝ правомощия и роли.

Изменение    19

Предложение за регламент

Съображение 18

Текст, предложен от Комисията

Изменение

(18)  Агенцията следва да обобщава и анализира националните доклади от CSIRT и CERT-EU, въвеждащи общи правила, език и терминология за обмен на информация. Агенцията следва също така да включи частния сектор, в рамките на Директивата за МИС, с която бяха положени основите за доброволен обмен на техническа информация на оперативно равнище, като бе създадена мрежата на CSIRT.

(18)  Агенцията следва да обобщава и анализира националните доклади от CSIRT и CERT-EU, въвеждащи общи правила, език и терминология за обмен на информация. Агенцията следва също така да включи частния и публичния сектор, в рамките на Директивата за МИС, с която бяха положени основите за доброволен обмен на техническа информация на оперативно равнище, като бе създадена мрежата на CSIRT.

Изменение    20

Предложение за регламент

Съображение 19

Текст, предложен от Комисията

Изменение

(19)  Агенцията следва да допринася за реакцията на равнището на ЕС в случай на мащабни трансгранични инциденти и кризи в областта на киберсигурността. Тази функция следва да включва събирането на съответна информация и поемането на ролята на посредник между мрежата на CSIRT, техническата общност и отговорните за вземане на решения лица, натоварени с управлението на кризи. Освен това на Агенцията би могла да спомогне за справянето с инциденти в технически аспект, като улесни съответния технически обмен на решения между държавите членки и даде своя принос за публичното осведомяване. Агенцията следва да подкрепя процеса, като проверява как функционира това сътрудничество чрез ежегодни учения в областта на киберсигурността.

(19)  Агенцията следва да допринася за реакцията на равнището на ЕС в случай на мащабни трансгранични инциденти и кризи в областта на киберсигурността. Тази функция следва да включва свикване на органите на държавите членки и подпомагане за координирането на техните реакции, събирането на съответна информация и поемането на ролята на посредник между мрежата на CSIRT, техническата общност и отговорните за вземане на решения лица, натоварени с управлението на кризи. Освен това на Агенцията би могла да спомогне за справянето с инциденти в технически аспект, например като улесни съответния технически обмен на решения между държавите членки и даде своя принос за публичното осведомяване. Агенцията следва да подкрепя процеса, като проверява как функционира това сътрудничество чрез ежегодни учения в областта на киберсигурността. Агенцията следва да съблюдава правомощията на държавите членки по въпросите на киберсигурността, по-специално свързаните с обществената сигурност, отбраната, националната сигурност и дейностите на държавата в областта на наказателното право.

Изменение    21

Предложение за регламент

Съображение 25

Текст, предложен от Комисията

Изменение

(25)  Държавите членки могат да приканят засегнати от инцидента предприятия да сътрудничат, като предоставят необходимата информация и съдействие на Агенцията, без да се накърнява правото им на защита на поверителната търговска информация.

(25)  Държавите членки могат да приканят засегнати от инцидента предприятия да сътрудничат, като предоставят необходимата информация и съдействие на Агенцията, без да се накърнява правото им на защита на поверителната търговска информация и информацията от значение за обществената сигурност.

Изменение    22

Предложение за регламент

Съображение 26

Текст, предложен от Комисията

Изменение

(26)  С оглед да се разберат по-добре предизвикателствата в областта на киберсигурността и да се предоставят стратегически дългосрочни препоръки на държавите членки и институциите на Съюза, Агенцията трябва да анализира текущите и нововъзникващи рискове. За тази цел Агенцията, в сътрудничество с държавите членки и, по целесъобразност, със статистически органи и други организации, следва да събира съответна информация, да извършва анализи на нововъзникващите технологии и да предоставя тематични оценки на очаквани социални, правни, икономически и регулаторни въздействия на дадени технологични иновации в областта на мрежовата и информационната сигурност, по-специално в областта на киберсигурността. Освен това Агенцията следва да подпомага държавите членки и институциите, агенциите и органите на Съюза при установяването на възникващите тенденции и предотвратяването на проблеми, свързани с киберсигурността, като извършва анализи на заплахите и инцидентите.

(26)  С оглед да се разберат по-добре предизвикателствата в областта на киберсигурността и да се предоставят стратегически дългосрочни препоръки на държавите членки и институциите на Съюза, Агенцията трябва да анализира текущите и нововъзникващи рискове, инциденти, заплахи и уязвими точки. За тази цел Агенцията, в сътрудничество с държавите членки и, по целесъобразност, със статистически органи и други организации, следва да събира съответна информация, да извършва анализи на нововъзникващите технологии и да предоставя тематични оценки на очаквани социални, правни, икономически и регулаторни въздействия на дадени технологични иновации в областта на мрежовата и информационната сигурност, по-специално в областта на киберсигурността. Освен това Агенцията следва да подпомага държавите членки и институциите, агенциите и органите на Съюза при установяването на възникващите тенденции и предотвратяването на проблеми, свързани с киберсигурността, като извършва анализи на заплахите, инцидентите и уязвимите точки.

Изменение    23

Предложение за регламент

Съображение 27

Текст, предложен от Комисията

Изменение

(27)  С цел да се повиши киберустойчивостта на Съюза, Агенцията следва да развие върхов капацитет в областта на сигурността на инфраструктурата на интернет и на критичните инфраструктури, като предоставя съвети, насоки и най-добри практики. С оглед да се осигури по-лесен достъп до по-добре структурирана информация относно рисковете за киберсигурността и потенциалните средства за защита, Агенцията следва да разработи и поддържа „информационен център“ на Съюза — един вид портал за „обслужване на едно гише“, който осигурява на обществеността информация относно киберсигурността, получена от европейските и националните институции, агенции и органи.

(27)  С цел да се повиши киберустойчивостта на Съюза, Агенцията следва да развие върхов капацитет в областта на сигурността на инфраструктурата на интернет и на критичните инфраструктури, като предоставя съвети, насоки и най-добри практики. С оглед да се осигури по-лесен достъп до по-добре структурирана информация относно рисковете за киберсигурността и потенциалните средства за защита, Агенцията следва да разработи и поддържа „информационен център“ на Съюза — един вид портал за „обслужване на едно гише“, който осигурява на обществеността информация относно киберсигурността, получена от европейските и националните институции, агенции и органи. Улесняването на достъпа до по-добре структурирана информация относно рисковете за киберсигурността и потенциалните средства за защита следва да помогне на държавите членки да подобрят своя капацитет и да приведат в съответствие своите практики, с което да увеличат цялостната си устойчивост на кибератаки.

Изменение    24

Предложение за регламент

Съображение 28

Текст, предложен от Комисията

Изменение

(28)  Агенцията следва да допринася за повишаването на обществената осведоменост относно рисковете, свързани с киберсигурността, и да предлага насоки и добри практики за отделните потребители, насочени към гражданите и организациите. Агенцията следва също така да допринася за насърчаване на най-добрите практики и решения на равнището на отделни лица и организации, като събира и анализира обществено достъпна информация относно значителни инциденти и изготвя доклади, с цел да се предоставят насоки за предприятията и гражданите и да се подобри цялостното ниво на подготвеност и устойчивост. Освен това Агенцията следва да организира, в сътрудничество с институциите, органите, службите и агенциите на Съюза и държавите членки, редовни разяснителни и обществени образователни кампании за крайните потребители, насочени към насърчаването на по-безопасно индивидуално поведение онлайн и повишаване на осведомеността относно потенциалните заплахи в киберпространството, включително относно киберпрестъпления като фишинг, ботмрежи, финансови и данъчни измами, а също така насочени към разпространението на основни съвети относно автентификацията и защитата на данните. Агенцията следва да играе централна роля за по-бързото осведомяване на крайните ползватели относно сигурността на изделията.

(28)  Агенцията следва да допринася за повишаването на обществената осведоменост, включително чрез насърчаване на образованието, относно рисковете, свързани с киберсигурността, и да предлага насоки и добри практики за отделните потребители, насочени към гражданите, организациите и предприятията. Агенцията следва също така да допринася за насърчаване на най-добрите практики на киберхигиена, които обхващат няколко практики, които следва да бъдат въведени и осъществявани редовно за защита на потребителите и предприятията онлайн, и решения на равнището на отделни лица, организации и предприятия, като събира и анализира обществено достъпна информация относно значителни инциденти и изготвя и публикува доклади и ръководства, с цел да се предоставят насоки за предприятията и гражданите и да се подобри цялостното ниво на подготвеност и устойчивост. ENISA следва да се стреми също така да предоставя на потребителите подходяща информация относно приложимите схеми за сертифициране, например като предоставя насоки и препоръки на платформи за онлайн и офлайн търговия. Освен това Агенцията следва да организира, в съответствие с Плана за действие в областта на цифровото образование и в сътрудничество с институциите, органите, службите и агенциите на Съюза и държавите членки, редовни разяснителни и обществени образователни кампании за крайните потребители, насочени към насърчаването на по-безопасно индивидуално поведение онлайн, цифрова грамотност и повишаване на осведомеността относно потенциалните заплахи в киберпространството, включително относно киберпрестъпления като фишинг, ботмрежи, финансови и данъчни измами, а също така насочени към разпространението на основни съвети относно многофакторната автентификация, коригирането на грешките, криптирането, анонимизирането и защитата на данните. Агенцията следва да играе централна роля за по-бързото осведомяване на крайните ползватели относно сигурността на изделията и сигурното използване на услуги, за популяризирането на равнището на ЕС на „сигурността още при проектирането“, на „защитата на личните данни още при проектирането“, на инцидентите и техните решения. За да постигне тази цел, Агенцията трябва да се възползва максимално от наличните най-добри практики и опит, особено у академичните институции и изследователите в сферата на ИТ сигурността. Като се има предвид, че грешките на отделни лица и неосведомеността относно рисковете за киберсигурността представляват основен фактор на несигурност в киберсигурността, на Агенцията следва да се предоставят адекватни ресурси, за да упражнява тази функция във възможно най-пълна степен.

Изменение    25

Предложение за регламент

Съображение 28 a (ново)

Текст, предложен от Комисията

Изменение

 

(28a)  Агенцията следва да повишава осведомеността на обществеността за рисковете от инциденти, свързани с измама и кражба на данни, които могат сериозно да засегнат основните права на отделните лица, да представляват заплаха за принципите на правовата държава и да застрашат стабилността на демократичните общества, включително демократичните процеси в държавите членки.

Изменение    26

Предложение за регламент

Съображение 30

Текст, предложен от Комисията

Изменение

(30)  С цел да се гарантира, че Агенцията ще постигне напълно своите цели, тя следва да си сътрудничи със съответните институции, агенции и органи, в това число CERT-EU, Европейския център за борба с киберпрестъпността към Европол (EC3 към Европол), Европейската агенция по отбрана (EDA), Европейската агенция за оперативното управление на широкомащабни информационни системи (eu-LISA), Европейската агенция за авиационна безопасност (ЕААБ) и всяка друга агенция на ЕС, която действа в областта на киберсигурността. Тя следва също така да поддържа връзка с органите, които работят в областта на защитата на данните, с цел да обменя с тях ноу-хау и най-добри практики и да предоставя консултации относно аспекти на киберсигурността, които биха могли да окажат влияние върху тяхната работа. Правоприлагащите органи на национално равнище и на равнището на Съюза и органите за защита на данните следва да имат правото да бъдат представлявани в Постоянната група на заинтересованите страни на Агенцията. При сътрудничеството си с правоприлагащите органи по въпроси на мрежовата и информационната сигурност, които биха могли да окажат влияние върху тяхната работа, Агенцията следва да спазва съществуващите информационни канали и изградени мрежи.

(30)  С цел да се гарантира, че Агенцията ще постигне напълно своите цели, тя следва да си сътрудничи със съответните институции, съответните надзорни и други компетентни органи на ЕС, агенции и органи, в това число CERT-EU, Европейския център за борба с киберпрестъпността към Европол (EC3 към Европол), Европейската агенция по отбрана (EDA), Европейската агенция за ГНСС (GSA), Органа на европейските регулатори в областта на електронните съобщения (ОЕРЕС), Европейската агенция за оперативното управление на широкомащабни информационни системи (eu-LISA), Европейската централна банка (ЕЦБ), Европейския банков орган (ЕБО), Европейския комитет по защита на данните (ЕКЗД), Европейската агенция за авиационна безопасност (ЕААБ) и всяка друга агенция на ЕС, която действа в областта на киберсигурността. Тя следва също така да поддържа връзка с европейските организации за стандартизация (ЕОС), съответните заинтересовани страни и органите, които работят в областта на защитата на данните, с цел да обменя с тях ноу-хау и най-добри практики и да предоставя консултации относно аспекти на киберсигурността, които биха могли да окажат влияние върху тяхната работа. Правоприлагащите органи на национално равнище и на равнището на Съюза и органите за защита на данните следва да имат правото да бъдат представлявани в консултативната група на ENISA. При сътрудничеството си с правоприлагащите органи по въпроси на мрежовата и информационната сигурност, които биха могли да окажат влияние върху тяхната работа, Агенцията следва да спазва съществуващите информационни канали и изградени мрежи. Следва да бъдат установени партньорства с академични институции, които имат научноизследователски инициативи в съответните области, като приносът на организациите на потребителите и на други организации следва да разполага със съответните канали и винаги да се анализира.

Изменение    27

Предложение за регламент

Съображение 31

Текст, предложен от Комисията

Изменение

(31)  Агенцията, като член на мрежата на CSIRT, който наред с другото осигурява секретариата на мрежата, следва да подкрепя екипите CSIRT на държавите членки и екипите CERT-EU при оперативното сътрудничество в допълнение към всички съответни задачи на мрежата на CSIRT, както е определено в Директивата за МИС. Наред с това Агенцията следва да насърчава и подкрепя сътрудничеството между съответните екипи CSIRT в случай на инциденти, атаки или нарушения в работата на мрежите или инфраструктурата, управлявани или защитавани от екипите CSIRT, които включват, действително или потенциално, най-малко два екипа CERT, като същевременно взема предвид надлежно стандартните оперативни процедури на мрежата на CSIRT.

(31)  Агенцията, като член на мрежата на CSIRT, който наред с другото осигурява секретариата на мрежата, следва да подкрепя екипите CSIRT на държавите членки и екипите CERT-EU при оперативното сътрудничество в допълнение към всички съответни задачи на мрежата на CSIRT, както е определено в Директивата за МИС. Наред с това Агенцията следва да насърчава и подкрепя сътрудничеството между съответните екипи CSIRT в случай на инциденти, атаки или нарушения в работата на мрежите или инфраструктурата, управлявани или защитавани от екипите CSIRT, които включват, действително или потенциално, най-малко два екипа CERT, като същевременно взема предвид надлежно стандартните оперативни процедури на мрежата на CSIRT. Агенцията може, по искане от страна на Комисията или държава членка, да извършва редовни одити на ИТ сигурността на критични трансгранични инфраструктури с цел идентифициране на възможни рискове за киберсигурността и с оглед набелязването на препоръки за укрепване на устойчивостта им.

Изменение    28

Предложение за регламент

Съображение 33

Текст, предложен от Комисията

Изменение

(33)  Агенцията следва да продължава да развива и поддържа своя експертен опит в областта на сертифицирането на киберсигурността, с цел да подпомага политиките на Съюза в тази област. Агенцията следва да насърчава внедряването на сертифицирането на киберсигурността, включително като допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС, с цел повишаване на прозрачността при обезпечаването на ИКТ продукти и услуги и, в крайна сметка, укрепване на доверието в цифровия вътрешен пазар.

(33)  Агенцията следва да продължава да развива и поддържа своя експертен опит в областта на сертифицирането на киберсигурността, с цел да подпомага политиките на Съюза в тази област. Агенцията следва да развива дейността си, като надгражда на основата на съществуващите най-добри практики, и да насърчава внедряването на сертифицирането на киберсигурността, включително като допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС, с цел повишаване на прозрачността при обезпечаването на ИКТ продукти и услуги и, в крайна сметка, укрепване на доверието в цифровия вътрешен пазар.

Изменение    29

Предложение за регламент

Съображение 35

Текст, предложен от Комисията

Изменение

(35)  Агенцията следва да насърчава държавите членки и доставчиците на услуги да повишават общите си стандарти за сигурност, така че всички потребители на интернет да вземат необходимите мерки за гарантиране на собствената си киберсигурност. По-специално, доставчиците на услуги и създателите на продукти следва да оттеглят или рециклират продукти и услуги, които не отговарят на стандартите за киберсигурност. В сътрудничество с компетентните органи, ENISA може да разпространява информация относно равнището на киберсигурността на продуктите и услугите, предлагани на вътрешния пазар, и да отправя предупреждения по отношение на доставчиците и производителите и да изисква от тях да подобрят сигурността, включително киберсигурността, на своите продукти и услуги.

(35)  Агенцията следва да насърчава държавите членки, производителите и доставчиците на услуги да повишават общите си стандарти за сигурност на своите ИКТ продукти, процеси, услуги и системи, които следва да отговарят на основните задължения за сигурност в съответствие с принципа за сигурност на етапа на проектирането и по подразбиране, в частност чрез предоставяне на необходимите актуализации, така че всички потребители на интернет да бъдат подсигурени и да получат стимул да вземат необходимите мерки за гарантиране на собствената си киберсигурност. По-специално, доставчиците на услуги и създателите на продукти следва да изземат, оттеглят или рециклират продукти и услуги, които не отговарят на основните задължения за киберсигурност, а вносителите и дистрибуторите следва да се уверяват, че ИКТ продуктите, процесите, услугите и системите, които пускат на пазара на ЕС, отговарят на приложимите изисквания и не представляват риск за европейските потребители. В сътрудничество с компетентните органи, ENISA може да разпространява информация относно равнището на киберсигурността на продуктите и услугите, предлагани на вътрешния пазар, и да отправя предупреждения по отношение на доставчиците и производителите и да изисква от тях да подобрят сигурността, включително киберсигурността, на своите продукти, процеси, услуги и системи. Агенцията следва да работи съвместно със заинтересованите страни за разработването на подход на равнище ЕС за отговорно разкриване на уязвими точки и следва да насърчава най-добрите практики в тази област.

Изменение    30

Предложение за регламент

Съображение 36

Текст, предложен от Комисията

Изменение

(36)  Агенцията следва да взема под внимание в пълна степен текущата научноизследователска и развойна дейност и дейностите за оценка на технологиите, по-специално тези, провеждани от различните научноизследователски инициативи на Съюза, за да съветва институциите, органите, службите и агенциите на Съюза и, когато е необходимо, държавите членки, по тяхно искане, относно необходимостта от научни изследвания в областта на мрежовата и информационната сигурност, по-специално в областта на киберсигурността.

(36)  Агенцията следва да взема под внимание в пълна степен текущата научноизследователска и развойна дейност и дейностите за оценка на технологиите, по-специално тези, провеждани от различните научноизследователски инициативи на Съюза, за да съветва институциите, органите, службите и агенциите на Съюза и, когато е необходимо, държавите членки, по тяхно искане, относно необходимостта от научни изследвания в областта на мрежовата и информационната сигурност, по-специално в областта на киберсигурността. По-конкретно, следва да бъде установено сътрудничество с Европейския научноизследователски съвет и Европейския институт за иновации и технологии (EIT), а научните изследвания в областта на сигурността следва да бъдат включени в Деветата рамкова програма за научни изследвания (РП9) и „Хоризонт 2020“.

Изменение    31

Предложение за регламент

Съображение 36 a (ново)

Текст, предложен от Комисията

Изменение

 

(36a)  Стандартите са доброволен, определян от потребностите на пазара инструмент, предоставящ технически изисквания и насоки, резултат от открит, прозрачен и приобщаващ процес. Агенцията следва редовно да се консултира и да работи в тясно сътрудничество с организациите за стандартизация, по-специално при изготвянето на европейските схеми за сертифициране на киберсигурността.

Изменение    32

Предложение за регламент

Съображение 37

Текст, предложен от Комисията

Изменение

(37)  Проблемите на киберсигурността са глобални. Необходимо е по-тясно международно сътрудничество с цел подобряване на стандартите за сигурност, включително определяне на общи норми за поведение, обмен на информация, насърчаване на по-бързи форми на международно сътрудничество при реагиране на проблеми на мрежовата и информационната сигурност, както и общ глобален подход към такива проблеми. За тази цел Агенцията следва да подкрепя по-задълбоченото ангажиране на Съюза и сътрудничеството с трети държави и международни организации, като предоставя, където е уместно, необходимия експертен опит и анализи на съответните институции, органи, служби и агенции на Съюза.

(37)  Проблемите на киберсигурността са глобални. Необходимо е по-тясно международно сътрудничество с цел подобряване на стандартите за сигурност, включително определяне на общи норми за поведение и кодекси на поведение, използване на международни стандарти, обмен на информация, насърчаване на по-бързи форми на международно сътрудничество при реагиране на проблеми на мрежовата и информационната сигурност, както и общ глобален подход към такива проблеми. За тази цел Агенцията следва да подкрепя по-задълбоченото ангажиране на Съюза и сътрудничеството с трети държави и международни организации, като предоставя, където е уместно, необходимия експертен опит и анализи на съответните институции, органи, служби и агенции на Съюза.

Изменение    33

Предложение за регламент

Съображение 40

Текст, предложен от Комисията

Изменение

(40)  Управителният съвет, състоящ се от държавите членки и Комисията, следва да определя общата насока на дейността на Агенцията и да гарантира, че тя изпълнява своите задачи в съответствие с настоящия регламент. Управителният съвет следва да получи правомощията, необходими за определяне на бюджета, проверка на неговото изпълнение, приемане на подходящи финансови правила, установяване на прозрачни работни процедури за вземане на решения от страна на Агенцията, приемане на единния програмен документ на Агенцията, приемане на собствен правилник за дейността на Агенцията, назначаване на изпълнителния директор и вземане на решения за удължаване или прекратяване на неговия мандат.

(40)  Управителният съвет, представляващ държавите членки и Комисията, както и заинтересованите страни от значение за постигане на целите на Агенцията, следва да определя общата насока на дейността на Агенцията и да гарантира, че тя изпълнява своите задачи в съответствие с настоящия регламент. Управителният съвет следва да получи правомощията, необходими за определяне на бюджета, проверка на неговото изпълнение, приемане на подходящи финансови правила, установяване на прозрачни работни процедури за вземане на решения от страна на Агенцията, приемане на единния програмен документ на Агенцията, приемане на собствен правилник за дейността на Агенцията, назначаване на изпълнителния директор и вземане на решения за удължаване или прекратяване на неговия мандат. С оглед на високотехнологичните и научни задачи на Агенцията, членовете на управителния съвет следва да имат подходящ опит и високо ниво на експертни знания по въпроси от обхвата на мисиите на Агенцията.

Изменение    34

Предложение за регламент

Съображение 41

Текст, предложен от Комисията

Изменение

(41)  С оглед на правилното и ефективно функциониране на Агенцията Комисията и държавите членки следва да гарантират, че лицата, назначени в управителния съвет, притежават подходяща професионална компетентност, както и опит в областите на работа. Държавите членки и Комисията следва също да положат усилия да намалят текучеството на своите съответни представители в управителния съвет, за да се гарантира непрекъснатост на работата му.

(41)  С оглед на правилното и ефективно функциониране на Агенцията Комисията и държавите членки следва да гарантират, че лицата, назначени в управителния съвет, притежават подходяща професионална компетентност, както и опит в областите на работа. Държавите членки и Комисията следва също да положат усилия да намалят текучеството на своите съответни представители в управителния съвет, за да се гарантира непрекъснатост на работата му. Поради голямата пазарна стойност на уменията, които се изискват във връзка с работата в Агенцията, е необходимо да се гарантира, че заплатите и социалните условия, които се предлагат на всички служители на Агенцията, са конкурентни, и че в нея могат да изберат да работят най-добрите професионалисти.

Обосновка

С цел да се осигури подходящо ниво на експертни знания, е необходимо ENISA да бъде конкурентен работодател на един силно конкурентен пазар

Изменение    35

Предложение за регламент

Съображение 42

Текст, предложен от Комисията

Изменение

(42)  Гладкото функциониране на Агенцията налага нейният изпълнителен директор да се назначава въз основа на неговите заслуги и документирани административни и управленски умения, както и въз основа на неговите компетентност и опит, свързани с киберсигурността, като той трябва да изпълнява задълженията си в условия на пълна независимост. Изпълнителният директор следва да изготви предложение за работна програма на Агенцията след предварителни консултации с Комисията и да предприеме всички необходими стъпки за гарантиране на правилното изпълнение на работната програма на Агенцията. Изпълнителният директор следва да изготвя ежегоден доклад, който да бъде представян на управителния съвет, да съставя проект на разчета за предвидените приходи и разходи на Агенцията, както и да изпълнява бюджета. Освен това, изпълнителният директор следва да разполага с възможността да сформира ad hoc работни групи за решаване на специфични въпроси, по-специално с научен, технически, правен или социално-икономически характер. Изпълнителният директор следва да гарантира, че членовете на ad hoc работните групи се избират съобразно най-високите стандарти за експертни знания, като надлежно се отчита балансът при представянето, в зависимост от конкретния въпрос, между държавните администрации на държавите членки, институциите на Съюза и частния сектор, включително индустрията, потребителите и академични експерти в областта на мрежовата и информационната сигурност.

(42)  Гладкото функциониране на Агенцията налага нейният изпълнителен директор да се назначава въз основа на неговите заслуги и документирани административни и управленски умения, както и въз основа на неговите компетентност и опит, свързани с киберсигурността, като той трябва да изпълнява задълженията си в условия на пълна независимост. Изпълнителният директор следва да изготви предложение за работна програма на Агенцията след предварителни консултации с Комисията и да предприеме всички необходими стъпки за гарантиране на правилното изпълнение на работната програма на Агенцията. Изпълнителният директор следва да изготвя ежегоден доклад, който да бъде представян на управителния съвет, да съставя проект на разчета за предвидените приходи и разходи на Агенцията, както и да изпълнява бюджета. Освен това, изпълнителният директор следва да разполага с възможността да сформира ad hoc работни групи за решаване на специфични въпроси, по-специално с научен, технически, правен или социално-икономически характер. Изпълнителният директор следва да гарантира, че членовете на ad hoc работните групи се избират съобразно най-високите стандарти за експертни знания, като надлежно се отчита балансът при представянето и балансът между половете, в зависимост от конкретния въпрос, между държавните администрации на държавите членки, институциите на Съюза и частния сектор, включително индустрията, потребителите и академични експерти в областта на мрежовата и информационната сигурност.

Изменение    36

Предложение за регламент

Съображение 44

Текст, предложен от Комисията

Изменение

(44)  Агенцията следва да разполага с Постоянна група на заинтересованите страни в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации и други подходящи заинтересовани страни. Постоянната група на заинтересованите страни, сформирана от управителния съвет по предложение на изпълнителния директор, следва да се съсредоточи върху въпроси, засягащи заинтересованите страни, и да насочва вниманието на Агенцията към тях. Съставът на Постоянната група на заинтересованите страни и задачите, които ѝ се възлагат — по-конкретно предоставянето на консултации относно проекта на работната програма — следва да гарантират достатъчна степен на представяне на заинтересованите страни в работата на Агенцията.

(44)  Агенцията следва да разполага с консултативна група наENISA в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации, академичната общност и други подходящи заинтересовани страни. Консултативната група на ENISA, сформирана от управителния съвет по предложение на изпълнителния директор, следва да се съсредоточи върху въпроси, засягащи заинтересованите страни, и да насочва вниманието на Агенцията към тях. Съставът на Постоянната група на заинтересованите страни и задачите, които ѝ се възлагат — по-конкретно предоставянето на консултации относно проекта на работната програма — следва да гарантират достатъчна степен на представяне на заинтересованите страни в работата на Агенцията. Предвид значението на изискванията за сертифициране, за да се гарантира доверието в „интернет на нещата“, Комисията ще разгледа конкретно мерки за прилагане, за да гарантира хармонизиране на стандартите за сигурност в целия ЕС по отношение на устройствата на „интернет на нещата“.

Изменение    37

Предложение за регламент

Съображение 44 а (ново)

Текст, предложен от Комисията

Изменение

 

(44a)  Агенцията следва да разполага с Група на заинтересованите страни в областта на сертифицирането в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации, академичната общност и други подходящи заинтересовани страни. Групата на заинтересованите страни в областта на сертифицирането, създадена от изпълнителния директор, следва да бъде съставена от общ консултативен комитет, предоставящ информация за ИКТ продуктите и услугите, които да бъдат обхванати от бъдещи европейски схеми за сертифициране на сигурността на ИТ, както и ad hoc комитети, даващи принос за предлагането, разработването и приемането на поискани проекти на европейски схеми за киберсигурност.

Изменение    38

Предложение за регламент

Съображение 46

Текст, предложен от Комисията

Изменение

(46)  За да се гарантира пълната автономност и независимост на Агенцията и за да може тя да изпълнява допълнителни и нови задачи, включително непредвидени задачи в спешни случаи, на Агенцията следва да бъде предоставен достатъчен и автономен бюджет, чиито приходи се набавят най-вече чрез вноска на Съюза и вноски на трети държави, вземащи участие в работата на Агенцията. По-голямата част от персонала на Агенцията следва да е пряко ангажирана с оперативното изпълнение на мандата на Агенцията. Приемащата държава членка или всяка друга държава членка следва да могат да правят доброволни вноски към приходите на Агенцията. Бюджетната процедура на Съюза следва да остане приложима по отношение на всякакви субсидии, платими от общия бюджет на Съюза. Освен това Сметната палата следва да одитира финансовите отчети на Агенцията, за да се гарантират прозрачност и отчетност.

(46)  За да се гарантира пълната автономност и независимост на Агенцията и за да може тя да изпълнява допълнителни и нови задачи, включително непредвидени задачи в спешни случаи, на Агенцията следва да бъде предоставен достатъчен и автономен бюджет, чиито приходи се набавят най-вече чрез вноска на Съюза и вноски на трети държави, вземащи участие в работата на Агенцията. Подходящият бюджет е от основно значение, за да се гарантира, че Агенцията има достатъчно капацитет, за да изпълнява всички свои увеличаващи се задачи и цели. По-голямата част от персонала на Агенцията следва да е пряко ангажирана с оперативното изпълнение на мандата на Агенцията. Приемащата държава членка или всяка друга държава членка следва да могат да правят доброволни вноски към приходите на Агенцията. Бюджетната процедура на Съюза следва да остане приложима по отношение на всякакви субсидии, платими от общия бюджет на Съюза. Освен това Сметната палата следва да одитира финансовите отчети на Агенцията, за да се гарантират прозрачност, отчетност, както и ефикасността на разходите.

Изменение    39

Предложение за регламент

Съображение 47

Текст, предложен от Комисията

Изменение

(47)  Оценяването на съответствието е процесът, който показва дали са били изпълнени конкретните изисквания, свързани с продукта, процеса, услугата, подсистемата, физическото или юридическото лице. За целите на настоящия регламент сертифицирането следва да се счита за един вид оценяване на съответствието по отношение на свързаните с киберсигурността характеристики на даден продукт, процес, услуга, система, или комбинация от тях („ИКТ продукти и услуги“) от независима трета страна, различна от създателя на продукта или услугата. Сертифицирането само по себе си не може да гарантира, че сертифицираните ИКТ продукти и услуги са сигурни по отношение на киберзаплахите. То е само процедура и техническа методика за удостоверяване, че ИКТ продуктите и услугите са изследвани и отговарят на определени изисквания, свързани с киберсигурността, които са определени другаде, например в технически стандарти.

(47)  Оценяването на съответствието е процесът, който показва дали са били изпълнени конкретните изисквания, свързани с продукта, процеса, услугата, подсистемата, физическото или юридическото лице. За целите на настоящия регламент сертифицирането следва да се счита за един вид оценяване на съответствието по отношение на свързаните с киберсигурността характеристики на даден продукт, процес, услуга, система, или комбинация от тях („ИКТ продукти, процеси и услуги“) от независима трета страна или, когато е позволено, самооценяване на създателя на продукта или услугата. Самооценяването може да се извършва от създателя на продукта, МСП или доставчика на услуги, посочени в настоящия регламент, и ако е приложимо, както е предвидено от новата законодателна рамка и в съответствие с нея. Наред с това, то може да се извършва от производителя на продукта или оператора, когато вероятността да възникне инцидент с киберсигурността и/или вероятността такъв инцидент да причини значителни вреди на обществото, или на голяма част от него, не се очаква да е голяма или значителна, като се отчита предвиденият от производителя или доставчика на услугата начин на ползване на въпросния продукт или услуга. Сертифицирането само по себе си не може да гарантира, че обхванатите ИКТ продукти, процеси и услуги са сигурни по отношение на киберзаплахите и потребителите и предприятията трябва надлежно да се уведомяват за това. То е само процедура и техническа методика за удостоверяване, че ИКТ продуктите, процесите и услугите са изследвани и отговарят на определени изисквания, свързани с киберсигурността, които са определени другаде, например в технически стандарти. Тези технически стандарти включват указание дали даден ИКТ продукт, процес и услуга може да изпълнява редовните си функции, докато не е свързан с интернет.

Изменение    40

Предложение за регламент

Съображение 48

Текст, предложен от Комисията

Изменение

(48)  Сертифицирането на киберсигурността играе важна роля за повишаването на доверието в ИКТ продуктите и услугите и на тяхната сигурност. Цифровият единен пазар, и по-конкретно основаващата се на данни икономика и „интернет на нещата“, могат да функционират успешно само ако обществото като цяло е уверено, че тези продукти и услуги предоставят определено ниво на обезпеченост в областта на киберсигурността. Свързаните автомобили и автомобилите с автоматично управление, електронните медицински устройства, системите за управление на промишлената автоматизация или интелигентните енергийни мрежи са само някои от примерите за сектори, в които сертифицирането вече широко се използва или е вероятно да бъде използвано в близко бъдеще. Секторите, регулирани от Директивата за МИС, са също така сектори, в които сертифицирането на киберсигурността е от ключово значение.

(48)  Европейското сертифициране на киберсигурността играе съществена роля за повишаването на доверието в ИКТ продуктите, процесите и услугите и на тяхната сигурност. Цифровият единен пазар, и по-конкретно основаващата се на данни икономика и „интернет на нещата“, могат да функционират успешно само ако обществото като цяло е уверено, че тези продукти и услуги предоставят високо ниво на обезпеченост в областта на киберсигурността. Свързаните автомобили и автомобилите с автоматично управление, електронните медицински устройства, системите за управление на промишлената автоматизация или интелигентните енергийни мрежи са само някои от примерите за сектори, в които сертифицирането вече широко се използва или е вероятно да бъде използвано в близко бъдеще. Секторите, регулирани от Директивата за МИС, са също така сектори, в които сертифицирането на киберсигурността е от ключово значение.

Изменение    41

Предложение за регламент

Съображение 49

Текст, предложен от Комисията

Изменение

(49)  В съобщението от 2016 г., озаглавено „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентен и иновативен сектор на киберсигурността“, Комисията описа необходимостта от висококачествени, достъпни и оперативно съвместими продукти и решения, свързани с киберсигурността. Предлагането на ИКТ продукти и услуги в рамките на единния пазар остава обаче силно разпокъсано географски. Това е така, защото развитието на сектора на киберсигурността в Европа се основава главно на търсене от страна на националните правителства. Освен това, липсата на оперативно съвместими решения (технически стандарти), практики и прилагани в целия ЕС механизми за сертифициране е част от другите пропуски, които оказват влияние върху единния пазар на киберсигурността. От една страна, това влошава конкурентоспособността на европейските компании в национален, европейски и световен мащаб. От друга, то ограничава избора на надеждни и приложими технологии за киберсигурност, до които лицата и предприятията имат достъп. Аналогично, в междинния преглед на изпълнението на стратегията за цифровия единен пазар Комисията подчерта необходимостта от безопасни свързани продукти и системи и посочи, че създаването на Европейска рамка за ИКТ сигурност, определяща правила относно организацията на сертифицирането на сигурността на ИКТ в ЕС, би могло да помогне както за запазването на доверието в интернет, така и за преодоляването на настоящата разпокъсаност на пазара за киберсигурност.

(49)  В съобщението от 2016 г., озаглавено „Укрепване на отбранителната способност на Европа срещу кибератаки и изграждане на конкурентен и иновативен сектор на киберсигурността“, Комисията описа необходимостта от висококачествени, достъпни и оперативно съвместими продукти и решения, свързани с киберсигурността. Предлагането на ИКТ продукти, процеси и услуги в рамките на единния пазар остава обаче силно разпокъсано географски. Това е така, защото развитието на сектора на киберсигурността в Европа се основава главно на търсене от страна на националните правителства. Освен това, липсата на оперативно съвместими решения (технически стандарти), практики и прилагани в целия ЕС механизми за сертифициране е част от другите пропуски, които оказват влияние върху единния пазар на киберсигурността. От една страна, това влошава конкурентоспособността на европейските компании в национален, европейски и световен мащаб. От друга, то ограничава избора на надеждни и приложими технологии за киберсигурност, до които лицата и предприятията имат достъп. Аналогично, в междинния преглед на изпълнението на стратегията за цифровия единен пазар Комисията подчерта необходимостта от безопасни свързани продукти и системи и посочи, че създаването на Европейска рамка за ИКТ сигурност, определяща правила относно организацията на сертифицирането на сигурността на ИКТ в ЕС, би могло да помогне както за запазването на доверието в интернет, така и за преодоляването на настоящата разпокъсаност на пазара за киберсигурност.

Изменение    42

Предложение за регламент

Съображение 50

Текст, предложен от Комисията

Изменение

(50)  Понастоящем сертифицирането на киберсигурността на ИКТ продукти и услуги се използва само в ограничена степен. Ако има такова, то се осъществява предимно на равнището на държавите членки или в рамките на секторно обусловени схеми. В тези условия сертификат, издаден от един национален орган в областта на киберсигурността, по принцип не се признава от другите държави членки. Поради това може да се наложи предприятията да сертифицират своите продукти и услуги в няколко държави членки, в които развиват дейност, например с цел да участват в националните процедури за възлагане на обществени поръчки. Освен това, въпреки че се появяват нови схеми, изглежда няма съгласуван и цялостен подход по отношение на хоризонталните въпроси, свързани с киберсигурността, например в сферата на „интернет на нещата“. Действащите схеми проявяват съществени недостатъци и различия по отношение на продуктовия обхват, нивата на обезпеченост, съществените критерии и фактическото използване.

(50)  Понастоящем сертифицирането на киберсигурността на ИКТ продукти, процеси и услуги се използва само в ограничена степен. Ако има такова, то се осъществява предимно на равнището на държавите членки или в рамките на секторно обусловени схеми. В тези условия сертификат, издаден от един национален орган в областта на киберсигурността, по принцип не се признава от другите държави членки. Поради това може да се наложи предприятията да сертифицират своите продукти, процеси и услуги в няколко държави членки, в които развиват дейност, например с цел да участват в националните процедури за възлагане на обществени поръчки, като по този начин увеличават разходите си. Освен това, въпреки че се появяват нови схеми, изглежда няма съгласуван и цялостен подход по отношение на хоризонталните въпроси, свързани с киберсигурността, например в сферата на „интернет на нещата“. Действащите схеми проявяват съществени недостатъци и различия по отношение на продуктовия обхват, основаните на риска нива на обезпеченост, съществените критерии и фактическото използване. Взаимното признаване и доверието между държавите членки е ключов елемент в това отношение. ENISA има важна роля в това да подпомага държавите членки да разработят стабилна институционална структура и експертни знания в защитата от потенциални кибератаки. Необходим е индивидуален подход към всеки отделен случай, за да се гарантира, че услугите, процесите и продуктите са обект на подходящи схеми за сертифициране. Освен това е необходим подход, основаващ се на риска, за ефективно идентифициране и смекчаване на рисковете, като същевременно се отчете, че не е възможно възприемането на една универсална схема.

Изменение    43

Предложение за регламент

Съображение 52

Текст, предложен от Комисията

Изменение

(52)  С оглед на посоченото по-горе е необходимо да се въведе Европейска рамка на сертифициране на киберсигурността, която да определя основните хоризонтални изисквания за европейските схеми за сертифициране на киберсигурност, които ще бъдат разработени, и да дава възможност сертификатите за ИКТ продукти и услуги да бъдат признавани и използвани във всички държави членки. Европейската рамка следва да има две цели: от една страна, тя следва да спомогне за повишаване на доверието в ИКТ продуктите и услугите, които са били сертифицирани по такива схеми. От друга страна тя следва да предотврати увеличаването на броя на противоречащи си или припокриващи се национални сертификати за киберсигурност и по този начин да намали разходите за предприятията, упражняващи дейност на единния цифров пазар. Схемите следва да бъдат недискриминационни и да се основават на международни стандарти и/или стандарти на Съюза, освен ако тези стандарти са неефективни или неподходящи за изпълнението на легитимните цели на ЕС в това отношение.

(52)  С оглед на посоченото по-горе е необходимо да се възприеме общ подход и да се въведе Европейска рамка на сертифициране на киберсигурността, която да определя основните хоризонтални изисквания за европейските схеми за сертифициране на киберсигурност, които ще бъдат разработени, и да дава възможност сертификатите за ИКТ продукти, процеси и услуги да бъдат признавани и използвани във всички държави членки. По този начин е от съществено значение да се гради върху съществуващи национални и международни схеми, както и върху системи за взаимно признаване, по-специално SOG-IS, и да се даде възможност за плавен преход от съществуващите схеми по такива системи към схеми по новата европейска рамка. Европейската рамка следва да има две цели: от една страна, тя следва да спомогне за повишаване на доверието в ИКТ продуктите, процесите и услугите, които са били сертифицирани по такива схеми. От друга страна тя следва да предотврати увеличаването на броя на противоречащи си или припокриващи се национални сертификати за киберсигурност и по този начин да намали разходите за предприятията, упражняващи дейност на единния цифров пазар. Когато европейско сертифициране на киберсигурността замени национална схема, сертификатите, издадени съгласно европейската схема, следва да се приемат за валидни в случаите, когато сертифицирането е било изисквано съгласно национална схема. Схемите следва да се ръководят от принципа „сигурност още при проектирането“ и от принципите, посочени в Регламент (EС) 2016/679. Те също така следва да бъдат недискриминационни и да се основават на международни стандарти и/или стандарти на Съюза, освен ако тези стандарти са неефективни или неподходящи за изпълнението на легитимните цели на ЕС в това отношение.

Изменение    44

Предложение за регламент

Съображение 52 a (ново)

Текст, предложен от Комисията

Изменение

 

(52a)  Тази Европейска рамка на сертифициране на киберсигурността следва да се въведе по еднакъв начин във всички държави членки, за да се избегне практиката да се търси „по-изгодната среда за сертифициране“ поради ценови разлики или различия в строгостта на изискванията между държавите членки.

Изменение    45

Предложение за регламент

Съображение 52 б (ново)

Текст, предложен от Комисията

Изменение

 

(52б)  Отбелязва, че схемите за сертифициране следва да надграждат върху вече съществуващите механизми на национално и международно равнище, като се извличат поуки от текущите силни места и се оценяват и коригират слабите.

Изменение    46

Предложение за регламент

Съображение 52 в (ново)

Текст, предложен от Комисията

Изменение

 

(52в)  Необходими са гъвкави решения за киберсигурност, за да се изпреварват зловредните атаки и заплахите, и следователно при всяка схема за сертифициране следва да се избягва рискът от бързо остаряване.

Изменение    47

Предложение за регламент

Съображение 53

Текст, предложен от Комисията

Изменение

(53)  Комисията следва да бъде оправомощена да приема европейски схеми за сертифициране на киберсигурност за специфични групи ИКТ продукти и услуги. Тези схеми следва да се прилагат и контролират от национални надзорни органи за сертифициране, а сертификатите, издадени в рамките на тези схеми, следва да са валидни и да се признават на цялата територия на Съюза. Схемите за сертифициране, управлявани от промишлеността или от други частни организации, следва да не попадат в обхвата на регламента. Въпреки това, управляващите такива схеми органи могат да предлагат на Комисията да ги разгледа като основа за схеми, които да бъдат одобрени като европейска схема.

(53)  Комисията следва да бъде оправомощена да приема европейски схеми за сертифициране на киберсигурност за специфични групи ИКТ продукти, процеси и услуги. Тези схеми следва да се прилагат и контролират от национални надзорни органи за сертифициране, а сертификатите, издадени в рамките на тези схеми, следва да са валидни и да се признават на цялата територия на Съюза. Схемите за сертифициране, управлявани от промишлеността или от други частни организации, следва да не попадат в обхвата на регламента. Въпреки това, управляващите такива схеми органи могат да предлагат на Комисията да ги разгледа като основа за схеми, които да бъдат одобрени като европейска схема. Агенцията следва да установява и оценява схемите, които вече се прилагат от отрасъла или от частни организации, с цел да се изберат най-добрите практики, които биха могли да станат част от европейска схема. Представителите на отрасъла могат да извършат самооценяване на своите продукти или услуги преди сертифициране, с което да покажат, че продуктът или услугата им е готова да започне процеса по сертифициране, ако това се изисква или е необходимо.

Изменение    48

Предложение за регламент

Съображение 53 a (ново)

Текст, предложен от Комисията

Изменение

 

(53a)  Агенцията и Комисията следва да се възползват във възможно най-голяма степен от вече съществуващите схеми за сертифициране на равнището на ЕС и/или на международно равнище. ENISA следва да може да оценява кои от вече използваните схеми изпълняват своето предназначение и могат да бъдат включени в европейското законодателство в сътрудничество с организациите за стандартизация на ЕС и признати на международно равнище, доколкото това е възможно. Съществуващите добри практики следва да бъдат събирани и споделяни между държавите членки.

Изменение    49

Предложение за регламент

Съображение 54

Текст, предложен от Комисията

Изменение

(54)  Разпоредбите на настоящия регламент не следва да засягат законодателство на Съюза, с което се определят специфични правила за сертифициране на ИКТ продукти и услуги. По-конкретно с Общия регламент относно защитата на данните (ОРЗД) се установяват разпоредби за създаване на механизми за сертифициране и на печати и маркировки за защита на данните, чрез които се доказва съответствието с посочения регламент на операциите по обработката на данни от страна на контрольорите и обработващите тези данни. Тези механизми за сертифициране и тези печати и маркировки за защита на данните следва да позволяват на субектите, предоставящи своите данни, бързо да оценяват нивото на защита на данните на съответните продукти и услуги. Настоящият регламент не засяга сертифицирането на операции по обработката на данни съгласно ОРЗД, включително когато тези операции са включени в продукти и услуги.

(54)  Разпоредбите на настоящия регламент не следва да засягат законодателство на Съюза, с което се определят специфични правила за сертифициране на ИКТ продукти, процеси и услуги. По-конкретно с Общия регламент относно защитата на данните (ОРЗД) се установяват разпоредби за създаване на механизми за сертифициране и на печати и маркировки за защита на данните, чрез които се доказва съответствието с посочения регламент на операциите по обработката на данни от страна на контрольорите и обработващите тези данни. Тези механизми за сертифициране и тези печати и маркировки за защита на данните следва да позволяват на субектите, предоставящи своите данни, бързо да оценяват нивото на защита на данните на съответните продукти и услуги. Настоящият регламент не засяга сертифицирането на операции по обработката на данни съгласно ОРЗД, включително когато тези операции са включени в продукти и услуги.

Изменение    50

Предложение за регламент

Съображение 55

Текст, предложен от Комисията

Изменение

(55)  Целта на европейските схеми за сертифициране на киберсигурността следва да бъде да се гарантира, че ИКТ продуктите и услугите, сертифицирани по такава схема, съответстват на специфицираните изисквания. Тези изисквания засягат тяхната способност да устояват при определено ниво на обезпеченост — на действия, които имат за цел да нарушат наличността, автентичността, целостта и поверителността на съхраняваните, предавани или обработвани данни, или на свързаните с тях функции или услуги, предлагани непосредствено от тези продукти, процеси, услуги и системи или достъпни чрез тях, по смисъла на настоящия регламент. Не е възможно в настоящия регламент да се определят подробно изискванията във връзка с киберсигурността на всички ИКТ продукти и услуги. ИКТ продуктите и услугите и техните потребности във връзка с киберсигурността са толкова разнообразни, че е много трудно да се формулират общи изисквания в областта на киберсигурността, които да са общовалидни. Поради това е необходимо да се приеме широко и общо понятие за киберсигурността за целите на сертифицирането, което да се допълва от набор от конкретни цели, свързани с киберсигурността, които трябва да бъдат вземани предвид при разработването на европейските схеми за сертифициране на киберсигурността. Условията, при които тези цели ще бъдат постигани при конкретни ИКТ продукти и услуги, следва да бъдат допълнително уточнявани в подробности на нивото на всяка отделна схема за сертифициране, приемана от Комисията, например чрез позоваване на стандарти или технически спецификации.

(55)  Целта на европейските схеми за сертифициране на киберсигурността следва да бъде да се гарантира, че ИКТ продуктите, услугите и процесите, сертифицирани по такава схема, съответстват на специфицираните изисквания. Тези изисквания засягат тяхната способност да устояват при определено ниво на риск – на действия, които имат за цел да нарушат наличността, автентичността, целостта и поверителността на съхраняваните, предавани или обработвани данни, или на свързаните с тях функции или услуги, предлагани непосредствено от тези продукти, процеси, услуги и системи или достъпни чрез тях, по смисъла на настоящия регламент. Не е възможно в настоящия регламент да се определят подробно изискванията във връзка с киберсигурността на всички ИКТ продукти, услуги и процеси. ИКТ продуктите, услугите и процесите и техните потребности във връзка с киберсигурността са толкова разнообразни, че е много трудно да се формулират общи изисквания в областта на киберсигурността, които да са общовалидни. Поради това е необходимо да се приеме широко и общо понятие за киберсигурността за целите на сертифицирането, което да се допълва от набор от конкретни цели, свързани с киберсигурността, които трябва да бъдат вземани предвид при разработването на европейските схеми за сертифициране на киберсигурността. Условията, при които тези цели ще бъдат постигани при конкретни ИКТ продукти, услуги и процеси, следва да бъдат допълнително уточнявани в подробности на нивото на всяка отделна схема за сертифициране, приемана от Комисията, например чрез позоваване на стандарти или технически спецификации. На всички етапи от жизнения цикъл на продукта, услугата или процеса всички участници в дадена верига на доставка следва да се насърчават да разработват и приемат стандарти за сигурност, технически норми и принципи за сигурност на етапа на проектирането; всяка европейска схема за сертифициране следва да бъде предназначена да достига този обхват.

Изменение    51

Предложение за регламент

Съображение 56

Текст, предложен от Комисията

Изменение

(56)  На Комисията следва да бъде предоставено правомощието да изисква от ENISA да подготвя проекти за схеми за отделни ИКТ продукти или услуги. Комисията следва да бъде оправомощена да приема посредством актове за изпълнение европейски схеми за сертифициране на киберсигурността въз основава на проекти за схеми, предложени от ENISA. Като се вземат предвид общата цел и целите, свързани със сигурността, определени в настоящия регламент, в европейските схеми за сертифициране на киберсигурността, приемани от Комисията, следва да бъде определен минимален набор от елементи по отношение на предмета, обхвата и функционирането на дадена схема. Те следва да включват, наред с другото, обхвата и предмета на сертифицирането на киберсигурността, включително обхванатите категории ИКТ продукти и услуги, подробна спецификация на изискванията в областта на киберсигурността, например чрез позоваване на стандарти или технически спецификации, конкретните критерии и методи за оценка, както и желаното ниво на обезпеченост: основно, значително и/или високо.

(56)  На Комисията следва да бъде предоставено правомощието да изисква от ENISA да подготвя проекти за схеми за отделни ИКТ продукти, процеси или услуги въз основа на основателни причини, а именно съществуващите национални схеми за сертифициране на киберсигурността, които водят до фрагментиране на вътрешния пазар; настояща или очаквана потребност за подпомагане на законодателството на Съюза; или становището на Групата на държавите членки за сертифициране или на Групата на заинтересованите страни в областта на сертифицирането. След оценяването на проектите за схеми за сертифициране, предложени от ENISA въз основа на искане на Комисията, Комисията следва да бъде оправомощена да приема посредством делегирани актове европейски схеми за сертифициране на киберсигурността. Като се вземат предвид общата цел и целите, свързани със сигурността, определени в настоящия регламент, в тези европейски схеми за сертифициране на киберсигурността следва да бъде определен минимален набор от елементи по отношение на предмета, обхвата и функционирането на дадена схема. Те следва да включват, наред с другото, обхвата и предмета на сертифицирането на киберсигурността, включително обхванатите категории ИКТ продукти и услуги, подробна спецификация на изискванията в областта на киберсигурността, например чрез позоваване на стандарти или технически спецификации, конкретните критерии и методи за оценка, както и желаното ниво на обезпеченост: основно, значително и/или високо.

Изменение    52

Предложение за регламент

Съображение 56 a (ново)

Текст, предложен от Комисията

Изменение

 

(56a)  Агенцията следва да бъде отправна точка за информация относно европейските схеми за киберсигурност. Тя следва да поддържа уебсайт с цялата необходима информация, включително по отношение на сертификатите, които са оттеглени и са с изтекъл срок на валидност, както и обхванатите национални сертификати. Агенцията следва да гарантира, че съответната част от съдържанието на нейния уебсайт е разбираема за обикновените потребители.

Изменение    53

Предложение за регламент

Съображение 56 б (ново)

Текст, предложен от Комисията

Изменение

 

(56б)  Определянето на нивата на обезпечаване на сигурност за сертификатите е необходимо, за да се даде индикация на крайния потребител за очаквания тип киберзаплахи, които мерките за киберсигурност в рамките на продукта, процеса или услугата имат за цел да предотвратят. Киберзаплахите трябва да се определят, като се вземат предвид очакваният риск и възможностите на автора или авторите на атаката в контекста на очакваното използване на обхванатия ИКТ продукт, процес или услуга. Нивото на обезпеченост „основно“ се отнася до способността за устойчивост спрямо атаки, които могат да бъдат избегнати чрез основни мерки за киберсигурност и които могат да бъдат лесно проверени чрез преглед на техническата документация. Нивото на обезпеченост „значително“ се отнася до способността за устойчивост спрямо определени видове атаки от атакуващ с определено ниво на сложност, но с ограничени ресурси. Нивото на обезпеченост „високо“ се отнася до способността за устойчивост с оглед на неизвестни уязвими точки и спрямо сложни атаки чрез най-съвременни технологии и значителни ресурси, като например финансирани мултидисциплинарни екипи.

Изменение    54

Предложение за регламент

Съображение 56 в (ново)

Текст, предложен от Комисията

Изменение

 

(56в)  С цел да се избегне фрагментирането на вътрешния пазар, дължащо се на националните схеми за киберсигурност, да се подкрепи бъдещото законодателство и да се увеличат доверието и сигурността, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз във връзка с определянето на приоритетите за сертифициране на европейско равнище на киберсигурността, приемането на непрекъснатата програма и приемането на европейски схеми за сертифициране. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище, и тези консултации да бъдат проведени в съответствие с принципите, заложени в Междуинституционалното споразумение за по-добро законотворчество от 13 април 2016 г. По-специално, с цел осигуряване на равно участие при подготовката на делегираните актове, Европейският парламент и Съветът получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

Изменение    55

Предложение за регламент

Съображение 56 г (ново)

Текст, предложен от Комисията

Изменение

 

(56г)  Измежду методите и процедурите за оценка, свързани с всяка европейска схема за сертифициране на киберсигурността, на равнището на Съюза следва да се насърчават етичните хакерски атаки, чиято цел е да локализират слабостите и уязвимите точки на устройствата и информационните системи, като се предвиждат очакваните действия и уменията на зловредни хакери.

Изменение    56

Предложение за регламент

Съображение 57

Текст, предложен от Комисията

Изменение

(57)  Използването на европейското сертифициране за киберсигурност следва да остане доброволно, освен ако не е предвидено друго в законодателството на Съюза или в националното законодателство. Въпреки това, за да бъдат постигнати целите на настоящия регламент и да се избегне разпокъсване на вътрешния пазар, националните схеми или процедури за сертифициране на киберсигурността за ИКТ продукти и услуги, обхванати от европейска схема за сертифициране на киберсигурността, следва да престанат да пораждат правно действие от датата, определена от Комисията в акта за изпълнение. Освен това държавите членки следва да не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти и услуги, които са вече обхванати от съществуваща европейска схема за сертифициране на киберсигурността.

(57)  Използването на европейското сертифициране за киберсигурност следва да остане доброволно, освен ако не е предвидено друго в законодателството на Съюза или в националното законодателство. Въпреки това, за да бъдат постигнати целите на настоящия регламент и да се избегне разпокъсване на вътрешния пазар, националните схеми или процедури за сертифициране на киберсигурността за ИКТ продукти, процеси и услуги, обхванати от европейска схема за сертифициране на киберсигурността, следва да престанат да пораждат правно действие от датата, определена от Комисията в делегирания акт. Освен това държавите членки следва да не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти и услуги, които са вече обхванати от съществуваща европейска схема за сертифициране на киберсигурността. Настоящият регламент обаче не следва да засяга националните схеми за ИКТ продуктите, процесите и услугите, използвани за нуждите на държавите членки като суверени, за които държавите членки запазват суверенното си право да ги управляват.

Изменение    57

Предложение за регламент

Съображение 57 a (ново)

Текст, предложен от Комисията

Изменение

 

(57a)  Въвежда се задължението за издаване на декларация за продукта, съдържаща структурирана информация във връзка със сертифицирането на продукта, процеса или услугата, с цел да се предостави на потребителите повече информация и да им се даде възможност да правят добре обоснован избор.

Изменение    58

Предложение за регламент

Съображение 57 б (ново)

Текст, предложен от Комисията

Изменение

 

(57б)  Когато предлагат нови европейски схеми за сертифициране на киберсигурността, ENISA и други имащи отношение органи следва да обръщат нужното внимание на конкурентната динамика на предложението, по-специално като се уверяват, че ако във въпросния сектор има много малки и средни предприятия, като например в сферата на софтуерните разработки, схемите за сертифициране не представляват пречка пред навлизането на нови предприятия и иновации.

Изменение    59

Предложение за регламент

Съображение 57 в (ново)

Текст, предложен от Комисията

Изменение

 

(57в)  Европейските схеми за киберсигурност ще спомогнат за хармонизиране и уеднаквяване на практиките за киберсигурност в Съюза. Те обаче не трябва да стават минимално ниво на киберсигурност. При изготвяне на европейските схеми за киберсигурност следва също да се отчете и даде възможност за разработване на нови иновации в областта на киберсигурността.

Изменение    60

Предложение за регламент

Съображение 58

Текст, предложен от Комисията

Изменение

(58)  След като дадена европейски схема за сертифициране на киберсигурността бъде приета, производителите на ИКТ продукти или доставчиците на ИКТ услуги следва да могат да подават заявления за сертифициране на своите продукти или услуги до орган за оценяване на съответствието по техен избор. Органите за оценяване на съответствието следва да се акредитират от орган по акредитация, ако отговарят на конкретни изисквания, определени в настоящия регламент. Акредитацията следва да се издава за максимален срок от пет години и може да бъде подновявана при същите условия, ако органът за оценяване на съответствието отговаря на изискванията. Органите по акредитация следва да отнемат акредитацията на органа за оценяване на съответствието, ако условията за акредитация не са били спазени или вече не се спазват, или ако органът за оценяване на съответствието е предприел действия, които нарушават разпоредбите на настоящия регламент.

(58)  След като дадена европейски схема за сертифициране на киберсигурността бъде приета, производителите на ИКТ продукти или доставчиците на ИКТ процеси или услуги следва да могат да подават заявления за сертифициране на своите продукти или услуги до орган за оценяване на съответствието по техен избор навсякъде в Съюза. Органите за оценяване на съответствието следва да се акредитират от орган по акредитация, ако отговарят на конкретни изисквания, определени в настоящия регламент. Акредитацията следва да се издава за максимален срок от пет години и може да бъде подновявана при същите условия, ако органът за оценяване на съответствието отговаря на изискванията. Органите по акредитация следва да отнемат акредитацията на органа за оценяване на съответствието, ако условията за акредитация не са били спазени или вече не се спазват, или ако органът за оценяване на съответствието е предприел действия, които нарушават разпоредбите на настоящия регламент. Агенцията следва да извършва одити, за да се гарантира еквивалентно ниво на качество и добросъвестно изпълнение на задълженията на органите за оценяване на съответствието с цел да се избегне регулаторен арбитраж. Резултатите следва да бъдат докладвани на Агенцията, Комисията и Парламента и следва да се направят публично достояние.

Изменение    61

Предложение за регламент

Съображение 58 a (ново)

Текст, предложен от Комисията

Изменение

 

(58a)  Задължителното използване на европейско сертифициране на киберсигурността следва да бъде ограничено до случаите, когато анализът на риска оправдава разходите за отрасъла, гражданите и потребителите. Инциденти, които нарушават основни услуги, могат да попречат на извършването на стопански дейности, да причинят значителни финансови загуби, да подкопаят доверието на потребителите и да причинят големи вреди на икономиката на Съюза. Задължителното използване на европейско сертифициране на киберсигурността от страна на операторите на основни услуги следва да бъде ограничено до елементите, които са от решаващо значение за тяхното функциониране, и не следва да бъде прилагано за продукти, процеси и услуги с общо предназначение, което би довело до неоправдани разходи за отрасъла и потребителите. Комисията следва да работи съвместно с групата за сътрудничество, създадена съгласно член 11 от Директива (ЕС) 2016/1148, за да определи списък на категориите продукти, процеси и услуги, които са специално предназначени за използване от оператори на основни услуги и чието неправилно функциониране в случай на инцидент би могло да има значително увреждащо въздействие върху основната услуга. Този списък следва да се съставя постепенно и при необходимост следва да се актуализира. Единствено продуктите, процесите и услугите в този списък следва да бъдат задължителни за операторите на съществени изисквания.

Изменение    62

Предложение за регламент

Съображение 58 б (ново)

Текст, предложен от Комисията

Изменение

 

(58б)  Наличието на препратки в националното законодателство, които се отнасят до национален стандарт, който е престанал да има правно действие поради влизането в сила на европейска схема за сертифициране, може да бъде потенциален източник на объркване за производителите и крайните потребители. За да не продължават производителите да прилагат спецификации, съответстващи на вече невалидни национални сертификати, държавите членки следва, в съответствие със задълженията си съгласно Договорите, да адаптират своето национално законодателство, за да отразят приемането на европейска схема за сертифициране.

Изменение    63

Предложение за регламент

Съображение 59

Текст, предложен от Комисията

Изменение

(59)  Трябва да се изиска от всички държави членки да определят по един надзорен орган за сертифицирането на киберсигурността, който да упражнява надзор дали органите за оценяване на съответствието и сертификатите, издавани от такива органи, установени на тяхната територия, отговарят на изискванията на настоящия регламент и на съответните схеми за сертифициране на киберсигурността. Националните надзорни органи за сертифициране следва да разглеждат жалбите, подадени от физически или юридически лица по отношение на сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия, да разследват в необходимата степен предмета на жалбата и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок. Освен това те следва да си сътрудничат с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или на конкретни европейски схеми за сертифициране на киберсигурността.

(59)  Трябва да се изиска от всички държави членки да определят по един надзорен орган за сертифицирането на киберсигурността, който да упражнява надзор дали органите за оценяване на съответствието и сертификатите, издавани от такива органи, установени на тяхната територия, отговарят на изискванията на настоящия регламент и на съответните схеми за сертифициране на киберсигурността, както и да гарантират, че европейските сертификати за киберсигурност са признати на тяхна територия. Националните надзорни органи за сертифициране следва да разглеждат жалбите, подадени от физически или юридически лица по отношение на сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия или във връзка с предполагаемото непризнаване на сертификати на тяхна територия, да разследват в необходимата степен предмета на жалбата и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок. Освен това те следва да си сътрудничат с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти, процеси и услуги с изискванията на настоящия регламент или на конкретни европейски схеми за сертифициране на киберсигурността или непризнаването на европейските сертификати за киберсигурност. Освен това те следва да осъществяват надзор и да проверяват съответствието на самостоятелните декларации за съответствие, както и че европейските сертификати за киберсигурност са издадени от органите за оценяване на съответствието съобразно посочените в настоящия регламент изисквания, включително правилата, приети от Европейската група за сертифициране на киберсигурността, и изискванията, посочени в съответната европейска схема за сертифициране на киберсигурността. Ефективното сътрудничество между националните надзорни органи за сертифициране е от съществено значение за правилното прилагане на европейските схеми за сертифициране на киберсигурността и на техническите въпроси, свързани с киберсигурността на ИКТ продукти и услуги. Комисията следва да улесни обмена на информация чрез предоставяне на обща електронна информационна система за подпомагане, например Информационната и комуникационна система за надзор на пазара (ICSMS) и системата за бързо предупреждение за опасни нехранителни продукти (RAPEX), които вече се използват от органите за надзор на пазара съгласно Регламент (ЕО) №765/2008.

Изменение    64

Предложение за регламент

Съображение 60

Текст, предложен от Комисията

Изменение

(60)  За да се гарантира последователно прилагане на Европейската рамка за сертифициране на киберсигурността, следва да се създаде Европейска група за сертифициране на киберсигурността („групата“), състояща се от национални надзорни органи за сертифицирането. Основните задачи на групата следва да са да съветва и подпомага Комисията при работата ѝ за гарантиране на последователното изпълнение и прилагане на Европейската рамка за сертифициране на киберсигурността; да подпомага Агенцията и да си сътрудничи тясно с нея при изготвянето на проекти на схеми за сертифициране на киберсигурността; да препоръчва на Комисията да изиска от Агенцията подготовката на конкретен проект на европейска схема за сертифициране на киберсигурността; и да приема становища, адресирани до Комисията, свързани с поддръжката и преразглеждането на съществуващите европейски схеми за сертифициране на киберсигурността.

(60)  За да се гарантира последователно прилагане на Европейската рамка за сертифициране на киберсигурността, следва да се създаде Група на държавите членки за сертифициране, състояща се от национални надзорни органи за сертифицирането. Основните задачи на Групата на държавите членки за сертифициране следва да са да съветва и подпомага Комисията при работата ѝ за гарантиране на последователното изпълнение и прилагане на Европейската рамка за сертифициране на киберсигурността; да подпомага Агенцията и да си сътрудничи тясно с нея при изготвянето на проекти на схеми за сертифициране на киберсигурността; да препоръчва на Комисията да изиска от Агенцията подготовката на конкретен проект на европейска схема за сертифициране на киберсигурността; и да приема становища, адресирани до Комисията, свързани с поддръжката и преразглеждането на съществуващите европейски схеми за сертифициране на киберсигурността.

Изменение    65

Предложение за регламент

Съображение 60 a (ново)

Текст, предложен от Комисията

Изменение

 

(60a)  За да се гарантира равностойно ниво на компетентност на органите за оценяване на съответствието, да се улесни взаимното признаване и да се насърчи всеобщото приемане на сертификати и резултатите от оценяване на съответствието, издадени от органи за оценяване на съответствието, е необходимо националните надзорни органи за сертифицирането да поддържат строга и прозрачна система за партньорска оценка и редовно да се подлагат на такава оценка.

Изменение    66

Предложение за регламент

Съображение 60 б (ново)

Текст, предложен от Комисията

Изменение

 

(60б)  Ефективно сътрудничество между националните надзорни органи за сертифицирането е съществено за правилното извършване на партньорска оценка и по отношение на презграничната акредитация. Следователно с цел по-голяма прозрачност е необходимо националните надзорни органи за сертифициране да бъдат задължени да обменят информация помежду си и да предоставят съответната информация на националните органи и на Комисията. Актуализирана и точна информация относно наличието на дейности по акредитация, извършвани от националните органи по акредитация, следва да бъде обществено достъпна и следователно по-специално да бъде достъпна за органите за оценяване на съответствието.

Изменение    67

Предложение за регламент

Съображение 61

Текст, предложен от Комисията

Изменение

(61)  С цел да се повиши осведомеността и да се улесни приемането на бъдещи схеми на ЕС за киберсигурност, Европейската комисия може да издава общи или специфични за сектора на насоки за киберсигурност, например относно добри практики в областта на киберсигурността или отговорно поведение по отношение на киберсигурността, които да подчертават положителните ефекти от използването на сертифицирани ИКТ продукти и услуги.

(61)  С цел да се повиши осведомеността и да се улесни приемането на бъдещи схеми на ЕС за киберсигурност, Европейската комисия може да издава общи или специфични за сектора на насоки за киберсигурност, например относно добри практики в областта на киберсигурността или отговорно поведение по отношение на киберсигурността, които да подчертават положителните ефекти от използването на сертифицирани ИКТ продукти, процеси и услуги.

Изменение    68

Предложение за регламент

Съображение 63

Текст, предложен от Комисията

Изменение

(63)  За целите на допълнителното конкретизиране на критериите за акредитиране на органите за оценяване на съответствието, на Комисията следва да се делегира правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. Комисията следва да провежда подходящи консултации, включително на експертно равнище, по време на подготвителната си работа. Тези консултации следва да се провеждат в съответствие с принципите, заложени в Междуинституционалното споразумение за по-добро законотворчество от 13 април 2016 г. По-специално, с цел осигуряване на равно участие при подготовката на делегирани актове, Европейският парламент и Съветът следва да получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

(63)  За целите на допълнителното конкретизиране на критериите за акредитиране на органите за оценяване на съответствието, на Комисията следва да се делегира правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. Комисията следва да провежда подходящи консултации, включително на експертно равнище и със съответните заинтересовани страни, според случая, по време на подготвителната си работа. Тези консултации следва да се провеждат в съответствие с принципите, заложени в Междуинституционалното споразумение за по-добро законотворчество от 13 април 2016 г. По-специално, с цел осигуряване на равно участие при подготовката на делегирани актове, Европейският парламент и Съветът следва да получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

Изменение    69

Предложение за регламент

Съображение 65

Текст, предложен от Комисията

Изменение

(65)  За приемането на актове за изпълнение относно европейските схеми за сертифициране на киберсигурността на ИКТ продукти и услуги следва да се използва процедурата по разглеждане; по отношение на условията за провеждане на разследвания от страна на Агенцията; както и по отношение на обстоятелствата, форматите и процедурите за уведомяване на Комисията относно органи за оценяване на съответствието от националните надзорни органи за сертифицирането.

(65)  Освен това би могло да се приемат делегирани актове относно европейски схеми за сертифициране на киберсигурността на ИКТ продукти, процеси и услуги; по отношение на условията за провеждане на разследвания от страна на Агенцията; както и по отношение на обстоятелствата, форматите и процедурите за уведомяване на Комисията относно органи за оценяване на съответствието от националните надзорни органи за сертифицирането.

Изменение    70

Предложение за регламент

Съображение 66

Текст, предложен от Комисията

Изменение

(66)  Дейностите на Агенцията следва да бъдат оценявани от независим орган. При оценката следва да се има предвид постигането на целите от страна на Агенцията, нейните работни практики и значимостта на задачите ѝ. В оценката следва също така да се разглеждат въздействието, ефективността и ефикасността на Европейската рамка за сертифициране на киберсигурността.

(66)  Дейностите на Агенцията следва да бъдат оценявани непрекъснато и от независим орган. При оценката следва да се има предвид постигането на целите от страна на Агенцията, нейните работни практики и значимостта на задачите ѝ, в частност координиращата ѝ роля по отношение на държавите членки и техните национални органи. В случай на преразглеждане Комисията следва да оцени възможността Агенцията да функционира като точка за „обслужване на едно гише“ за държавите членки и институциите и органите на Съюза .

Изменение    71

Предложение за регламент

Съображение 66 a (ново)

Текст, предложен от Комисията

Изменение

 

(66a)  В оценката следва също така да се разглеждат въздействието, ефективността и ефикасността на Европейската рамка за сертифициране на киберсигурността. В случай на преразглеждане Комисията би могла да направи оценка на роля на Агенцията при оценяването на продуктите и услугите от трети държави, които навлизат на пазара на Съюза, както и възможността за „черен“ списък на дружествата, които не спазват правилата на Съюза.

Изменение    72

Предложение за регламент

Съображение 66 б (ново)

Текст, предложен от Комисията

Изменение

 

(66б)  Оценката следва да анализира нивото на киберсигурност на продуктите и услугите, продавани в Съюза. В случай на преразглеждане Комисията следва да прецени дали да включи основните изисквания за киберсигурност като условие за достъп до вътрешния пазар.

Изменение    73

Предложение за регламент

Член 1 – параграф 1 – буква а

Текст, предложен от Комисията

Изменение

а)  целите, задачите и организационните аспекти на ENISA — Агенцията на ЕС за киберсигурност, наричана по-долу „Агенцията“; както и

а)  целите, задачите и организационните аспекти на „Агенцията на Европейския съюз за мрежова и информационна сигурност“ („Агенцията“); както и

Изменение    74

Предложение за регламент

Член 1 – параграф 1 – буква б

Текст, предложен от Комисията

Изменение

б)  рамка за създаването на европейски схеми за сертифициране на киберсигурността, с цел да се гарантира подходящо ниво на киберсигурността на ИКТ продукти и услуги в Съюза. Тази рамка се прилага, без да се засягат специфичните разпоредби за доброволно или задължително сертифициране, предвидени в други правни актове на Съюза.

б)  рамка за създаването на европейски схеми за сертифициране на киберсигурността, с цел да се избегне фрагментиране на схемите за сертифициране в Съюза и да се гарантира подходящо ниво на киберсигурността на ИКТ продукти, процеси и услуги в Съюза, която се прилага, без да се засягат специфичните разпоредби за доброволно и по целесъобразност задължително сертифициране, предвидени в настоящия регламент или в други правни актове на Съюза.

Изменение    75

Предложение за регламент

Член 1 – параграф 1 а (нов)

Текст, предложен от Комисията

Изменение

 

Агенцията изпълнява задачите си, без да се засягат правомощията на държавите членки по отношение на киберсигурността, и по-специално правомощията на държавите членки в областта на обществената сигурност, отбраната, националната сигурност и наказателното право.

Изменение    76

Предложение за регламент

Член 2 – параграф 1 – точка 1

Текст, предложен от Комисията

Изменение

1)  „киберсигурност“ обхваща всички дейности, необходими за защита от киберзаплахи на мрежовите и информационните системи, на техните потребители и засегнати лица;

1)  „киберсигурност“ означава всички дейности, необходими за защита от киберзаплахи на мрежовите и информационните системи, на техните потребители и засегнати лица;

Изменение    77

Предложение за регламент

Член 2 – параграф 1 – точка 2

Текст, предложен от Комисията

Изменение

2)  „мрежова и информационна система“ означава система по смисъла на член 4, точка 1 от Директива (ЕС) 2016/1148;

2)  „мрежова и информационна система“ означава мрежова и информационна система съгласно определението в член 4, точка 1 от Директива (ЕС) 2016/1148;

Изменение    78

Предложение за регламент

Член 2 – параграф 1 – точка 3

Текст, предложен от Комисията

Изменение

3)  „национална стратегия относно сигурността на мрежовите и информационните системи“ означава рамка по смисъла на член 4, точка 3 от Директива (ЕС) 2016/1148;

3)  „национална стратегия относно сигурността на мрежовите и информационните системи“ означава национална стратегия в областта на сигурността на мрежовите и информационните системи съгласно определението в член 4, точка 3 от Директива (ЕС) 2016/1148;

Изменение    79

Предложение за регламент

Член 2 – параграф 1 – точка 4

Текст, предложен от Комисията

Изменение

4)  „оператор на основни услуги“ означава публичен или частен субект съгласно определението в член 4, точка 4 от Директива (ЕС) № 2016/1148;

4)  „оператор на основни услуги“ означава оператор на основни услуги съгласно определението в член 4, точка 4 от Директива (ЕС) № 2016/1148;

Изменение    80

Предложение за регламент

Член 2 – параграф 1 – точка 5

Текст, предложен от Комисията

Изменение

5)  „доставчик на цифрови услуги“ означава юридическо лице, предоставящо цифрова услуга, съгласно определението в член 4, точка 6 от Директива (ЕС) 2016/1148;

5)  „доставчик на цифрови услуги“ означава доставчик на цифрова услуга, съгласно определението в член 4, точка 6 от Директива (ЕС) 2016/1148;

Изменение    81

Предложение за регламент

Член 2 – параграф 1 – точка 6

Текст, предложен от Комисията

Изменение

6)  „инцидент“ означава събитие съгласно определението в член 4, точка 7 от Директива (ЕС) 2016/1148;

6)  „инцидент“ означава инцидент съгласно определението в член 4, точка 7 от Директива (ЕС) 2016/1148;

Изменение    82

Предложение за регламент

Член 2 – параграф 1 – точка 7

Текст, предложен от Комисията

Изменение

7)  „действия при инцидент“ означава всяка процедура съгласно определението в член 4, точка 8 от Директива (ЕС) 2016/1148;

7)  „действия при инцидент“ означава действията при инцидент съгласно определението в член 4, точка 8 от Директива (ЕС) 2016/1148;

Изменение    83

Предложение за регламент

Член 2 – параграф 1 – точка 8

Текст, предложен от Комисията

Изменение

8)  „киберзаплаха“ означава всяко потенциално обстоятелство или събитие, което може да има неблагоприятно въздействие върху мрежови и информационни системи, техните потребители и засегнати лица;

8)  „киберзаплаха“ означава всяко потенциално обстоятелство, събитие или всяко умишлено действие, включително автоматична команда, което може да увреди, наруши или да има друго неблагоприятно въздействие върху мрежови и информационни системи, техните потребители и засегнати лица;

Изменение    84

Предложение за регламент

Член 2 – параграф 1 – точка 8 a (нова)

Текст, предложен от Комисията

Изменение

 

8a)  „киберхигиена“ означава прости рутинни мерки, които, когато се прилагат и извършват редовно от потребителите и предприятията онлайн, свеждат до минимум излагането им на риск от киберзаплахи.

Изменение    85

Предложение за регламент

Член 2 – параграф 1 – точка 9

Текст, предложен от Комисията

Изменение

9)  „европейска схема за сертифициране на киберсигурността“ означава цялостен набор от правила, технически изисквания, стандарти и процедури, определени на равнището на Съюза, които се прилагат за сертифициране на продукти и услуги на информационните и комуникационните технологии (ИКТ продукти и услуги), които попадат в обхвата на съответната конкретна схема;

9)  „европейска схема за сертифициране на киберсигурността“ означава цялостен набор от правила, технически изисквания, стандарти и процедури, определени на равнището на Съюза и съобразно международни и европейски стандарти и ИКТ спецификации, определени от Агенцията, които се прилагат за сертифициране на продукти, услуги и процеси на информационните и комуникационните технологии (ИКТ), които попадат в обхвата на съответната конкретна схема;

Изменение    86

Предложение за регламент

Член 2 – параграф 1 – точка 10

Текст, предложен от Комисията

Изменение

10)  „европейски сертификат за киберсигурност“ означава документ, издаден от орган за оценяване на съответствието, който удостоверява, че даден ИКТ продукт или дадена ИКТ услуга отговаря на специфичните изисквания, определени в съответната европейска схема за сертифициране на киберсигурността;

10)  „европейски сертификат за киберсигурност“ означава документ, издаден от орган за оценяване на съответствието, който удостоверява, че даден ИКТ продукт, дадена ИКТ услуга или даден ИКТ процес отговаря на специфичните изисквания, определени в съответната европейска схема за сертифициране на киберсигурността;

Изменение    87

Предложение за регламент

Член 2 – параграф 1 – точка 11 a (нова)

Текст, предложен от Комисията

Изменение

 

11a)  „ИКТ процес“ означава набор от дейности, извършвани с цел проектиране, разработване, поддържане и предоставяне на ИКТ продукт или услуга;

Изменение    88

Предложение за регламент

Член 2 – параграф 1 – точка 11 б (нова)

Текст, предложен от Комисията

Изменение

 

11б)  „потребителско електронно устройство“ означава устройство, състоящо се от хардуер и софтуер, с които се обработват личните данни или се осъществява връзка с интернет с цел използване на уреди за осъществяване на компютърно управление и контрол на дома и домакинството, офис уреди, маршрутизиращо оборудване и устройства, които се свързват с мрежа, като например интелигентни телевизори, играчки и конзоли за игри, виртуални или лични асистенти, свързани устройства за стрийминг, носими върху тялото устройства, гласови команди и системи за виртуална реалност;

Изменение    89

Предложение за регламент

Член 2 – параграф 1 – точка 16

Текст, предложен от Комисията

Изменение

16)  „стандарт“ означава стандарт съгласно определението в член 2, точка 1 от Регламент (ЕС) № 1025/2012.

16)  „стандарт, техническа спецификация и техническа спецификация за ИКТ“ означава стандарт , техническа спецификация или техническа спецификация за ИКТ съгласно определението в член 2, точки 1, 4 и 5 от Регламент (ЕС) № 1025/2012;

Изменение    90

Предложение за регламент

Член 2 – параграф 1 – точка 16 a (нова)

Текст, предложен от Комисията

Изменение

 

16а)  „национален надзорен орган за сертифициране“ означава орган, определен от всяка държава членка в съответствие с член 50 от настоящия регламент;

Изменение    91

Предложение за регламент

Член 2 – параграф 1 – точка 16 б (нова)

Текст, предложен от Комисията

Изменение

 

16б)  „самооценка“ означава декларацията за съответствие, с която производителят декларира, че са изпълнени конкретни изисквания, определени в схема за сертифициране, свързана с продукти, процеси и услуги;

Изменение    92

Предложение за регламент

Член 2 – параграф 1 – точка 16 в (нова)

Текст, предложен от Комисията

Изменение

 

16в)  „сигурност по подразбиране“ означава ситуация, при която, ако продукт, софтуер или процес могат да бъдат настроени по начин, който гарантира по-висока степен на сигурност, първият ползвател следва да получи конфигурацията по подразбиране с възможно най-сигурни настройки. Ако за всеки отделен случай анализът на риска и използваемостта води до заключението, че подобна настройка не е осъществима, ползвателите следва да бъдат приканени да изберат най-сигурната настройка;

Изменение    93

Предложение за регламент

Член 2 – параграф 1 – точка 16 г (нова)

Текст, предложен от Комисията

Изменение

 

16г)  „оператор на основни услуги“ означава оператор на основни услуги съгласно определението в член 4, точка 4 от Директива (ЕС) № 2016/1148.

Изменение    94

Предложение за регламент

Член 3 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Агенцията поема задачите, възложени ѝ с настоящия регламент, с цел да допринесе за постигане на високо равнище на киберсигурността в Съюза.

1.  Агенцията поема задачите, възложени ѝ с настоящия регламент и бива подсилена с цел да допринесе за постигане на високо общо равнище на киберсигурността, за да се предотвратят кибератаки в Съюза; да се намали разпокъсаността на вътрешния пазар и да се подобри неговото функциониране; както и да се осигури последователност, като се вземат предвид постиженията на държавите членки в областта на сътрудничеството съгласно директивата за МИС.

Изменение    95

Предложение за регламент

Член 4 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Агенцията функционира като експертен център по въпросите на киберсигурността благодарение на своята независимост, на научното и техническо качество на консултациите, които предоставя, на предлаганата от нея помощ и информация, на прозрачността на процедурите и методите ѝ на работа, както и на добросъвестното изпълнение на възложените ѝ задачи.

1.  Агенцията функционира като център за теоретични и практически експертни знания и умения по въпросите на киберсигурността благодарение на своята независимост, на научното и техническо качество на консултациите, които предоставя, на предлаганата от нея помощ и информация, на прозрачността на процедурите и методите ѝ на работа, както и на добросъвестното изпълнение на възложените ѝ задачи.

Изменение    96

Предложение за регламент

Член 4 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Агенцията подпомага институциите, агенциите и органите на Съюза, както и държавите членки, при разработването и прилагането на политиките, свързани с киберсигурността.

2.  Агенцията подпомага институциите, агенциите и органите на Съюза, както и държавите членки, при разработването и прилагането на политиките, свързани с киберсигурността, и повишаването на осведомеността сред гражданите и предприятията.

Изменение    97

Предложение за регламент

Член 4 – параграф 3

Текст, предложен от Комисията

Изменение

3.  Агенцията подпомага изграждането на капацитет и подготвеността в целия Съюз, като съдейства на Съюза, държавите членки и заинтересованите страни от публичния и частния сектор, с цел засилване на защитата на техните мрежи и информационни системи, развитие на уменията и знанията в областта на киберсигурността, както и за постигане на киберустойчивост.

3.  Агенцията подпомага изграждането на капацитет и подготвеността във всички институции, агенции и органи на Съюза, като съдейства на Съюза, държавите членки и заинтересованите страни от публичния и частния сектор, с цел засилване на защитата на техните мрежи и информационни системи, развитие и подобряване на киберустойчивостта и капацитета за реагиране, повишаване на осведомеността и развитие на уменията и знанията в областта на киберсигурността, както и за постигане на киберустойчивост.

Изменение    98

Предложение за регламент

Член 4 – параграф 4

Текст, предложен от Комисията

Изменение

4.  Агенцията насърчава сътрудничеството и координацията между държавите членки на равнището на Съюза, неговите институции, агенции и органи, и съответните заинтересовани страни, включително от частния сектор, по въпросите на киберсигурността.

4.  Агенцията насърчава сътрудничеството, координацията и споделянето на информация между държавите членки на равнището на Съюза, неговите институции, агенции и органи, и съответните заинтересовани страни по въпросите на киберсигурността.

Изменение    99

Предложение за регламент

Член 4 – параграф 5

Текст, предложен от Комисията

Изменение

5.  Агенцията повишава способностите в областта на киберсигурността на равнището на Съюза, за да допълни дейността на държавите членки за предотвратяването на киберзаплахи и реакцията спрямо тях, особено в случаи на трансгранични инциденти.

5.  Агенцията допринася за повишаване на способностите в областта на киберсигурността на равнището на Съюза, за да допълни дейността на държавите членки за предотвратяването на киберзаплахи и реакцията спрямо тях, особено в случаи на трансгранични инциденти, както и за да изпълнява своята задача да подпомага институциите на Съюза в разработването на политики, свързани с киберсигурността.

Изменение    100

Предложение за регламент

Член 4 – параграф 6

Текст, предложен от Комисията

Изменение

6.  Агенцията насърчава използването на сертифициране, включително като допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС съгласно дял III от настоящия регламент, с цел постигане на повече прозрачност на обезпечаването на киберсигурността на ИКТ продукти и услуги и за укрепване на доверието в цифровия вътрешен пазар.

6.  Агенцията насърчава използването на сертифициране с оглед избягване на фрагментирането на вътрешния пазар и подобряване на функционирането му, включително като допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС съгласно дял III от настоящия регламент, с цел постигане на повече прозрачност на обезпечаването на киберсигурността на ИКТ продукти, услуги и процеси и по този начин за укрепване на доверието в цифровия вътрешен пазар, както и за увеличаване на съвместимостта между съществуващите национални и международни схеми за сертифициране.

Изменение    101

Предложение за регламент

Член 4 – параграф 7

Текст, предложен от Комисията

Изменение

7.  Агенцията насърчава високо равнище на осведоменост на гражданите и на предприятията по въпросите на киберсигурността.

7.  Агенцията насърчава и подкрепя проекти, които допринасят за високо равнище на осведоменост, киберхигиена и киберграмотност сред гражданите и предприятията по въпросите на киберсигурността.

Изменение    102

Предложение за регламент

Член 5 – параграф 1

Текст, предложен от Комисията

Изменение

1.  подпомага и консултира, особено посредством представяне на независими становища и подготвителна работа по разработването и прегледа на политиката и законодателството на Съюза в областта на киберсигурността, както и специфични за сектора политически и законодателни инициативи, засягащи въпросите на киберсигурността;

1.  подпомага и консултира, особено посредством представяне на независими становища и анализ на съответните дейности в киберпространството и подготвителна работа по разработването и прегледа на политиката и законодателството на Съюза в областта на киберсигурността, както и специфични за сектора политически и законодателни инициативи, засягащи въпросите на киберсигурността;

Изменение    103

Предложение за регламент

Член 5 – параграф 2

Текст, предложен от Комисията

Изменение

2.  подпомага държавите членки в последователното прилагане на политиката и законодателството на Съюза по отношение на киберсигурността, особено във връзка с Директива (ЕС) 2016/1148, включително посредством становища, насоки, консултации и споделяне на най-добри практики по въпроси като управление на риска, докладване на инциденти и обмен на информация, както и чрез улесняване на обмена на най-добри практики между компетентните органи в това отношение;

2.  подпомага държавите членки в последователното прилагане на политиката и законодателството на Съюза по отношение на киберсигурността, особено във връзка с Директива (ЕС) 2016/1148, Директива ... за установяване на Европейски кодекс за електронни съобщения, Регламент (ЕС) 2016/679 и Директива 2002/58ЕО, включително посредством становища, насоки, консултации и споделяне на най-добри практики по въпроси като разработване на сигурен софтуер и системи, управление на риска, докладване на инциденти и обмен на информация, технически и организационни мерки, по-специално въвеждането на координирани програми за разкриване на уязвими точки, както и чрез улесняване на обмена на най-добри практики между компетентните органи в това отношение;

Изменение    104

Предложение за регламент

Член 5 – параграф 2 a (нов)

Текст, предложен от Комисията

Изменение

 

2а.  разработването и насърчаването на политики, които биха осигурили общата наличност или интегритет на публичното ядро на отворения интернет, които осигуряват основната функционалност на интернет като цяло и стоят в основата на неговото обичайно функциониране, включително, но не само, сигурността и стабилността на ключовите протоколи (по-специално DNS, BGP, и IPv6), функционирането на системата за имена на домейни (включително имената на всички домейни от първо ниво) и функционирането на кореновата зона.

Изменение    105

Предложение за регламент

Член 5 – параграф 4 – точка 2

Текст, предложен от Комисията

Изменение

(2)  насърчаването на повишено равнище на сигурност на електронните съобщения, включително чрез предоставяне на експертен опит и консултации и улесняване на обмена на най-добри практики между компетентните органи;

(2)  насърчаването на повишено равнище на сигурност на електронните съобщения, съхраняването и обработването на данни, включително чрез предоставяне на експертен опит и консултации и улесняване на обмена на най-добри практики между компетентните органи;

Изменение    106

Предложение за регламент

Член 5 – параграф 5 a (нов)

Текст, предложен от Комисията

Изменение

 

5а.  подпомага държавите членки последователно да прилагат политиката и правото на Съюза относно защитата на данните, и по-специално Регламент (ЕС) 2016/679, както и подпомага Европейския комитет по защита на данните (ЕКЗД) в разработването на насоки, свързани с прилагането на Регламент (ЕС) 2016/679 за целите на киберсигурността. ЕКЗД следва да се задължи да се консултира с Агенцията всеки път, когато издава становище или приема решение относно прилагането на Общия регламент относно защитата на данните и киберсигурността, включително, но и не само, по въпроси, свързани с оценки на въздействието върху неприкосновеността на личния живот, уведомяване при нарушение на сигурността на данните, сигурност на обработката, изисквания за сигурност и поверителност още при проектирането.

Изменение    107

Предложение за регламент

Член 6 – параграф 1 – буква a а (нова)

Текст, предложен от Комисията

Изменение

 

аа)  на държавите членки и институциите на Съюза за установяване и прилагане на координирани политики за оповестяване на уязвими точки и процеси на преглед на оповестяването на уязвими точки от правителствата, чиито практики и решения следва да бъдат прозрачни и да подлежат на независим контрол.

Изменение    108

Предложение за регламент

Член 6 – параграф 1 – буква a б (нова)

Текст, предложен от Комисията

Изменение

 

аб)  Агенцията улеснява създаването и стартирането на дългосрочен европейски проект в областта на сигурността на ИТ за по-нататъшно насърчаване на научните изследвания в областта на киберсигурността в Съюза и в държавите членки, като си сътрудничи с Европейския съвет за научни изследвания (ERC) и Европейския институт за иновации и технологии (EIT), както и в рамките на научноизследователските програми на Съюза;

Изменение    109

Предложение за регламент

Член 6 – параграф 1 – буква ж

Текст, предложен от Комисията

Изменение

ж)  на държавите членки чрез организиране на широкомащабните ежегодни учения в областта на киберсигурността на равнището на Съюза, посочени в член 7, параграф 6, и чрез препоръки за политиката въз основа на процеса на оценка на ученията и направените от тях изводи;

ж)  на държавите членки чрез организиране на широкомащабните редовни или поне ежегодни учения в областта на киберсигурността на равнището на Съюза, посочени в член 7, параграф 6, и чрез препоръки за политиката и обмен на най-добри практики въз основа на процеса на оценка на ученията и направените от тях изводи;

Изменение    110

Предложение за регламент

Член 6 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Агенцията улеснява създаването и непрекъснато подпомага секторните центрове за споделяне и анализ на информация (ISAC), по-специално в секторите, изброени в приложение II към Директива (ЕС) 2016/1148, като им предоставя най-добри практики и насоки относно наличните инструменти и процедури, както и относно начините за преодоляване на нормативните проблеми във връзка с обмена на информация.

2.  Агенцията улеснява създаването и непрекъснато подпомага секторните центрове за споделяне и анализ на информация (ISAC), по-специално в секторите, изброени в приложение II към Директива (ЕС) 2016/1148, като им предоставя най-добри практики и насоки относно наличните инструменти, процедури, принципи на киберхигиена, както и относно начините за преодоляване на нормативните проблеми във връзка с обмена на информация.

Изменение    111

Предложение за регламент

Член 7 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Агенцията подпомага оперативното сътрудничество между компетентните публични органи и между заинтересованите страни.

1.  Агенцията подпомага оперативното сътрудничество между държавите членки, институциите, агенциите и органите на Съюза и между заинтересованите страни, с цел постигане на сътрудничество чрез анализ и оценка на съществуващите схеми на национално равнище, чрез разработване и изпълнение на план и чрез използване на подходящите инструменти за постигане на най-високо равнище на сертифициране на киберсигурността в Съюза и в държавите членки.

Изменение    112

Предложение за регламент

Член 7 – параграф 4 – алинея 1 – буква б

Текст, предложен от Комисията

Изменение

б)  предоставяне, по тяхно искане, на техническа помощ при инциденти със значително или съществено въздействие;

б)  предоставяне, по тяхно искане, на техническа помощ под формата на споделяне на информация и експертни знания и опит при инциденти със значително или съществено въздействие;

Изменение    113

Предложение за регламент

Член 7 – параграф 4 – алинея 1 – буква б a (нова)

Текст, предложен от Комисията

Изменение

 

ба)  В случай че дадена ситуация налага спешни действия, когато даден инцидент има значително вредно въздействие, съответната държава членка може да поиска помощ от експерти от Агенцията за оценяване на ситуацията. Искането включва описание на ситуацията, възможните цели и предполагаемите нужди.

Изменение    114

Предложение за регламент

Член 7 – параграф 5 – алинея 1

Текст, предложен от Комисията

Изменение

По искане на две или повече заинтересовани държави членки и единствено с цел консултация за предотвратяване на бъдещи инциденти, Агенцията осигурява подпомагане или извършва последваща техническа проверка след уведомленията от засегнатите предприятия за инциденти със значително или съществено въздействие съгласно Директива (ЕС) 2016/1148. Агенцията също така осъществява такава проверка при надлежно обосновано искане от Комисията със съгласието на засегнатите държави членки в случай на инциденти, засягащи интересите на повече от две държави членки.

По искане на една или повече заинтересовани държави членки и единствено с цел съдействие или под формата на консултация за предотвратяване на бъдещи инциденти, или под формата на подпомагане за реагирането на текущи широкомащабни инциденти, Агенцията осигурява подпомагане или извършва последваща техническа проверка след уведомленията от засегнатите предприятия за инциденти със значително или съществено въздействие съгласно Директива (ЕС) 2016/1148. Агенцията извършва горепосочените дейности, като получава свързана информация от засегнатите държави членки и като използва собствените си ресурси за анализ на заплахата, както и ресурсите за реагиране при инциденти. Агенцията също така осъществява такава проверка при надлежно обосновано искане от Комисията със съгласието на засегнатите държави членки в случай на инциденти, засягащи интересите на повече от една държава членка. За тази цел Агенцията гарантира, че не разкрива действията, предприети от държавите членки за защита на техните основни държавни функции, по-специално свързаните с националната сигурност.

Изменение    115

Предложение за регламент

Член 7 – параграф 6

Текст, предложен от Комисията

Изменение

6.  Агенцията организира ежегодни учения в областта на киберсигурността на равнището на Съюза и подпомага държавите членки и институциите, агенциите и органите на Съюза, като организира учения по тяхно искане. Годишните учения на равнището на Съюза включват технически, оперативни и стратегически елементи и спомагат за подготовката на колективна реакция на равнище ЕС на широкомащабни трансгранични киберинциденти. По целесъобразност Агенцията също така участва и помага в организирането на секторни учения в областта на киберсигурността заедно със съответните ISAC, като позволява на ISAC да участват и в учения на равнището на Съюза.

6.  Агенцията организира редовни и при всички случаи поне ежегодни учения в областта на киберсигурността на равнището на Съюза и подпомага държавите членки и институциите, агенциите и органите на Съюза, като организира учения по тяхно искане. Годишните учения на равнището на Съюза включват технически, оперативни и стратегически елементи и спомагат за подготовката на колективна реакция на равнище ЕС на широкомащабни трансгранични киберинциденти. По целесъобразност Агенцията също така участва и помага в организирането на секторни учения в областта на киберсигурността заедно със съответните ISAC, като позволява на ISAC да участват и в учения на равнището на Съюза.

Изменение    116

Предложение за регламент

Член 7 – параграф 7

Текст, предложен от Комисията

Изменение

7.  Агенцията изготвя редовен доклад за техническото състояние на киберсигурността на ЕС, който разглежда инциденти и заплахи и се основава на информация от открити източници, собствените ѝ анализи и доклади, споделяни от, между другото: CSIRT на държавите членки (на доброволни начала) или единните звена за контакт по Директивата за МИС (съгласно член 14, параграф 5 от Директивата за МИС); Европейския център за борба с киберпрестъпността (EC3) към Европол, CERT-EU.

7.  Агенцията изготвя редовен и задълбочен доклад за техническото състояние на киберсигурността на ЕС, който разглежда инциденти и заплахи и се основава на информация от открити източници, собствените ѝ анализи и доклади, споделяни от, между другото: CSIRT на държавите членки (на доброволни начала) или единните звена за контакт по Директивата за МИС (съгласно член 14, параграф 5 от Директивата за МИС); Европейския център за борба с киберпрестъпността (EC3) към Европол, CERT-EU. Изпълнителният директор представя публичните констатации пред Европейския парламент, когато е уместно.

Изменение    117

Предложение за регламент

Член 7 – параграф 7 а (нов)

Текст, предложен от Комисията

Изменение

 

7а.  По целесъобразност и с предварителното съгласие на Комисията Агенцията допринася за киберсътрудничество със Съвместния център на НАТО за високи постижения в областта на кибернетичната отбрана и академията на НАТО за комуникации и информация (NCI).

Изменение    118

Предложение за регламент

Член 7 – параграф 8 – буква а

Текст, предложен от Комисията

Изменение

а)  обобщаване на доклади от национални източници с цел да допринесе за общата ситуационна осведоменост;

а)  анализиране и обобщаване на доклади от национални източници с цел да допринесе за общата ситуационна осведоменост;

Изменение    119

Предложение за регламент

Член 7 – параграф 8 – буква в

Текст, предложен от Комисията

Изменение

в)  подпомагане на техническата работа по инциденти или кризи, включително улесняване на обмена на технически решения между държавите членки;

в)  подпомагане на техническата работа по инциденти или кризи въз основа на собствени независими експертни знания и ресурси, включително улесняване на доброволния обмен на технически решения между държавите членки;

Изменение    120

Предложение за регламент

Член 7 – параграф 8 a (нов)

Текст, предложен от Комисията

Изменение

 

8а.  Агенцията организира обмен на мнения, когато е необходимо, и оказва съдействие на органите на държавите членки при координирането на техните действия в съответствие с принципите на субсидиарност и пропорционалност.

Изменение    121

Предложение за регламент

Член 7 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 7а

 

Технически способности на Агенцията

 

1. За постигане на целите, описани в член 7, и в съответствие с работната програма на Агенцията, Агенцията, inter alia, развива следните технически способности и умения:

 

а) способността да събира информация относно заплахи за киберсигурността от отворени източници; както и

 

б) способността да въвежда в действие техническо оборудване, инструменти и експертен опит на разстояние.

 

2. За целите на постигането на техническите възможности, посочени в параграф 1 от настоящия член, и на развиването на съответните умения, Агенцията:

 

а) гарантира, че нейните процедури за набиране на персонал отразяват различните необходими технически умения; както и

 

б) си сътрудничи със CERT EU и Европол в съответствие с член 7, параграф 2 от настоящия регламент.

Изменение    122

Предложение за регламент

Член 8 – параграф 1 – буква а – уводна част

Текст, предложен от Комисията

Изменение

а)  насърчава разработването и изпълнението на политиката на Съюза за сертифициране на киберсигурността на ИКТ продукти и услуги, както е предвидено в дял III от настоящия регламент, като:

а)  насърчава разработването и изпълнението на политиката на Съюза за сертифициране на киберсигурността на ИКТ продукти, услуги и процеси, както е предвидено в дял III от настоящия регламент, като:

Изменение    123

Предложение за регламент

Член 8 – параграф 1 – буква а – точка -1 (нова)

Текст, предложен от Комисията

Изменение

 

(-1)  текущо набелязва стандарти, технически спецификации, включително технически спецификации в сферата на ИКТ;

Изменение    124

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 1

Текст, предложен от Комисията

Изменение

(1)  изготвя проекти за схеми за европейско сертифициране за киберсигурността на ИКТ продукти и услуги в съответствие с член 44 от настоящия регламент;

(1)  в сътрудничество със заинтересованите страни от индустрията и организациите по стандартизация в рамките на официален, стандартизиран и прозрачен процес изготвя проекти за схеми за европейско сертифициране за киберсигурността на ИКТ продукти, услуги и процеси в съответствие с член 44 от настоящия регламент;

Изменение    125

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 1 а (нова)

Текст, предложен от Комисията

Изменение

 

(1а)  в сътрудничество с Групата на държавите членки за сертифициране съгласно член 53 от настоящия регламент, извършва оценки на процедурите за издаване на европейски сертификати за киберсигурност, въведени от органите за оценяване на съответствието, посочени в член 51, с цел да се гарантира еднакво прилагане на настоящия регламент от органите за оценяване на съответствието при издаването на сертификати;

Изменение    126

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 1 б (нова)

Текст, предложен от Комисията

Изменение

 

(1б)  извършва независими периодични последващи проверки на съответствието на сертифицираните ИКТ продукти, процеси и услуги с европейските схеми за сертифициране на киберсигурността;

Изменение    127

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 2

Текст, предложен от Комисията

Изменение

(2)  съдейства на Комисията с осигуряване на секретариата на Европейската група за сертифициране на киберсигурността съгласно член 53 от настоящия регламент;

(2)  съдейства на Комисията с осигуряване на секретариата на Групата на държавите членки за сертифициране съгласно член 53 от настоящия регламент;

Изменение    128

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 3

Текст, предложен от Комисията

Изменение

(3)  съставя и публикува насоки и разработва добри практики относно изискванията за киберсигурност на ИКТ продукти и услуги съвместно с националните надзорни органи по сертифицирането и с отрасъла;

(3)  съставя и публикува насоки и разработва добри практики, включително принципи на киберхигиена, относно изискванията за киберсигурност на ИКТ продукти, процеси и услуги съвместно с националните надзорни органи по сертифицирането и с отрасъла в рамките на един формален, стандартизиран и прозрачен процес;

Изменение    129

Предложение за регламент

Член 8 – параграф 1 – буква б

Текст, предложен от Комисията

Изменение

б)  улеснява въвеждането и използването на европейски и международни стандарти за управление на риска и за сигурността на ИКТ продукти и услуги, и също така съвместно с държавите членки съставя препоръки и насоки по отношение на техническите области, свързани с изискванията за сигурност за операторите на основни услуги и доставчиците на цифрови услуги, както и по отношение на вече съществуващите стандарти, включително националните стандарти на държавите членки, съгласно член 19, параграф 2 от Директива (ЕС) 2016/1148;

б)  улеснява въвеждането и използването на европейски и международни стандарти за управление на риска и за сигурността на ИКТ продукти, процеси и услуги, и също така съвместно с държавите членки и индустрията съставя препоръки и насоки по отношение на техническите области, свързани с изискванията за сигурност за операторите на основни услуги и доставчиците на цифрови услуги, както и по отношение на вече съществуващите стандарти, включително националните стандарти на държавите членки, съгласно член 19, параграф 2 от Директива (ЕС) 2016/1148, и споделя тази информация сред държавите членки;

Изменение    130

Предложение за регламент

Член 9 – параграф 1 – буква в

Текст, предложен от Комисията

Изменение

в)  съвместно с експерти от компетентните органи на държавите членки предоставя съвети, насоки и най-добри практики за сигурността на мрежовите и информационните системи, по-специално за сигурността на интернет инфраструктурата и инфраструктурите, поддържащи изброените в приложение II от Директива (ЕС) 2016/1148 сектори;

в)  съвместно с експерти от компетентните органи на държавите членки и съответните заинтересовани страни предоставя съвети, насоки и най-добри практики за сигурността на мрежовите и информационните системи, по-специално за сигурността на интернет инфраструктурата и инфраструктурите, поддържащи изброените в приложение II от Директива (ЕС) 2016/1148 сектори;

Изменение    131

Предложение за регламент

Член 9 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  повишава обществената осведоменост относно рисковете за киберсигурността и предлага насоки и добри практики за отделните потребители, насочени към гражданите и организациите;

д)  текущо разширява и повишава обществената осведоменост относно рисковете за киберсигурността и предлага обучения, насоки за добри практики за индивидуалните потребителите, насочени към гражданите и организациите, и насърчава приемането на превантивни строги мерки за ИТ сигурност и надеждна защита и неприкосновеност на данните;

Изменение    132

Предложение за регламент

Член 9 – параграф 1 – буква ж

Текст, предложен от Комисията

Изменение

ж)  съвместно с държавите членки и институциите, органите, службите и агенциите на Съюза организира редовни информационни кампании за повишаване на киберсигурността и на присъствието си в Съюза.

ж)  съвместно с държавите членки и институциите, органите, службите и агенциите на Съюза организира редовни комуникационни кампании, за да насърчава широк обществен дебат.

Изменение    133

Предложение за регламент

Член 9 – параграф 1 – буква ж a (нова)

Текст, предложен от Комисията

Изменение

 

жа)  подкрепя по-тясното координиране и обмена на най-добри практики сред държавите членки относно образованието и грамотността по въпросите на киберсигурността, киберхигиената и повишаването на осведомеността.

Изменение    134

Предложение за регламент

Член 10 – параграф 1 – буква а

Текст, предложен от Комисията

Изменение

а)  консултира Съюза и държавите членки относно нуждата от научни изследвания в областта на киберсигурността, с което съдейства за ефективна реакция на настоящите и нововъзникващите рискове и заплахи, както и относно нови и нововъзникващи информационни и комуникационни технологии и ефективното използване на технологиите за предотвратяване на риска;

а)  осигурява предварителна консултация със съответните потребителски групи и консултира Съюза и държавите членки относно нуждата от научни изследвания в областите на киберсигурността, защитата на данните и неприкосновеността на личния живот, с което съдейства за ефективна реакция на настоящите и нововъзникващите рискове и заплахи, както и относно нови и нововъзникващи информационни и комуникационни технологии и ефективното използване на технологиите за предотвратяване на риска;

Изменение    135

Предложение за регламент

Член 10 — параграф 1 — буква б а (нова)

Текст, предложен от Комисията

Изменение

 

ба)  възлага свои собствени научноизследователски дейности в области, представляващи интерес, които все още не са обхванати от съществуващите програми на Съюза за научни изследвания, когато е налице ясно определена европейска добавена стойност.

Изменение    136

Предложение за регламент

Член 11 – параграф 1 – буква в a (нова)

Текст, предложен от Комисията

Изменение

 

ва)  предоставя съвети и подкрепа на Комисията в сътрудничество с Групата на държавите членки за сертифициране, създадена съгласно член 53, по въпроси относно споразумения за взаимно признаване на сертификатите за киберсигурността с трети държави.

Изменение    137

Предложение за регламент

Член 12 - параграф 1 – буква г

Текст, предложен от Комисията

Изменение

г)  постоянна група на заинтересованите страни, която изпълнява функциите, определени в член 20.

г)  консултативна група на ENISA, която изпълнява функциите, определени в член 20.

Изменение    138

Предложение за регламент

Член 14 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  оценява и приема консолидирания годишен доклад за дейностите на Агенцията и изпраща доклада и неговата оценка най-късно до 1 юли на следващата година на Европейския парламент, Съвета, Комисията и Сметната палата. Годишният доклад включва отчетите и описва как Агенцията е изпълнила своите показатели за изпълнение. Годишният доклад е обществено достъпен;

д)  оценява и приема консолидирания годишен доклад за дейностите на Агенцията и изпраща доклада и неговата оценка най-късно до 1 юли на следващата година на Европейския парламент, Съвета, Комисията и Сметната палата. Годишният доклад включва отчетите, описва ефективността на разходите и оценява колко ефикасна е била Агенцията и до каква степен е изпълнила своите показатели за изпълнение. Годишният доклад е обществено достъпен;

Изменение    139

Предложение за регламент

Член 14 – параграф 1 – буква м

Текст, предложен от Комисията

Изменение

м)  назначава изпълнителния директор и при необходимост удължава срока на мандата му или го отстранява от длъжност в съответствие с член 33 от настоящия регламент;

м)  назначава изпълнителния директор чрез подбор, основан на професионални критерии, и при необходимост удължава срока на мандата му или го отстранява от длъжност в съответствие с член 33 от настоящия регламент;

Изменение    140

Предложение за регламент

Член 14 – параграф 1 – буква о

Текст, предложен от Комисията

Изменение

о)  взема всички решения относно създаването на вътрешната структура на Агенцията и при необходимост относно нейното изменение, като взема под внимание нуждите за дейността на Агенцията, както и доброто бюджетно управление;

о)  взема всички решения относно създаването на вътрешната структура на Агенцията и при необходимост относно нейното изменение, като взема под внимание нуждите за дейността на Агенцията, изброени в настоящия регламент, както и доброто бюджетно управление;

Изменение    141

Предложение за регламент

Член 16 – параграф 4

Текст, предложен от Комисията

Изменение

4.  По покана на председателя членове на Постоянната група на заинтересованите страни могат да участват в заседанията на управителния съвет без право на глас.

4.  По покана на председателя членове на Консултативната група на ENISA могат да участват в заседанията на управителния съвет без право на глас.

Изменение    142

Предложение за регламент

Член 18 – параграф 3

Текст, предложен от Комисията

Изменение

3.  Изпълнителният съвет се състои от петима членове, назначени измежду членовете на управителния съвет, като един от тях е председателят на управителния съвет, който може също така да бъде председател на изпълнителния съвет, и един от представителите на Комисията. Изпълнителният директор взима участие в заседанията на изпълнителния съвет, но няма право на глас.

3.  Изпълнителният съвет се състои от петима членове, назначени измежду членовете на управителния съвет, като един от тях е председателят на управителния съвет, който може също така да бъде председател на изпълнителния съвет, и един от представителите на Комисията. Изпълнителният директор взима участие в заседанията на изпълнителния съвет, но няма право на глас. С назначаванията се цели постигане на балансирано представителство на половете в състава на изпълнителния съвет.

Обосновка

Необходимо е членовете на изпълнителния съвет също да се стремят към баланс по отношение на половете, който да отразява разпоредбите относно управителния съвет, посочени в член 13, точка 3.

Изменение    143

Предложение за регламент

Член 19 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Изпълнителният директор докладва на Европейския парламент относно изпълнението на своите задължения, когато бъде поканен да направи това. Съветът може да покани изпълнителния директор да докладва за изпълнението на своите задължения.

2.  Изпълнителният директор докладва на Европейския парламент относно изпълнението на своите задължения ежегодно или когато бъде поканен да направи това. Съветът може да покани изпълнителния директор да докладва за изпълнението на своите задължения.

Изменение    144

Предложение за регламент

Член 19 – параграф 5 a (нов)

Текст, предложен от Комисията

Изменение

 

5а.  Изпълнителният директор има право също да изпълнява ролята на институционален специален консултант на председателя на Европейската комисия относно политиката за киберсигурност, с мандат, определен в Решение C(2014) 541 на Комисията от 6 февруари 2014 г.

Изменение    145

Предложение за регламент

Член 20 – заглавие

Текст, предложен от Комисията

Изменение

Постоянна група на заинтересованите страни

Консултативна група на ENISA

 

(Настоящото изменение се прилага в целия текст. Приемането му ще наложи съответните промени в целия текст.)

Изменение    146

Предложение за регламент

Член 20 – параграф 1

Текст, предложен от Комисията

Изменение

1.  По предложение на изпълнителния директор управителният съвет учредява Постоянна група на заинтересовани страни, съставена от доказани експерти, представляващи съответните заинтересовани страни, например отрасъла на ИКТ, доставчиците на обществени електронни съобщителни мрежи или услуги, потребителски групи, академични експерти в областта на киберсигурността и представители на компетентните органи, нотифицирани съгласно [Директивата за установяване на Европейски кодекс за електронни съобщения], както и правоприлагащите органи и надзорните органи за защита на данните.

1.  По предложение на изпълнителния директор и като действа прозрачно, управителният съвет учредява Консултативна група на ENISA, съставена от доказани експерти по сигурността, представляващи съответните заинтересовани страни, например отрасъла на ИКТ – включително МСП, операторите на основни услуги съгласно Директивата за МИС, доставчиците на обществени електронни съобщителни мрежи или услуги, потребителски групи, академични експерти в областта на киберсигурността, европейски организации за стандартизация (ЕОС), агенции на ЕС и представители на компетентните органи, нотифицирани съгласно [Директивата за установяване на Европейски кодекс за електронни съобщения], както и правоприлагащите органи и надзорните органи за защита на данните. Управителният съвет осигурява подходящ баланс между различните групи от заинтересовани страни.

Изменение    147

Предложение за регламент

Член 20 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Процедурите за Постоянната група на заинтересованите страни, и по-специално тези относно броя, състава, назначаването на членовете от управителния съвет, предложението на изпълнителния директор и дейността на групата, се определят във вътрешния правилник за дейността на Агенцията и се публикуват.

2.  Процедурите за Консултативната група на ENISA, и по-специално тези относно броя, състава, назначаването на членовете от управителния съвет, предложението на изпълнителния директор и дейността на групата, се определят във вътрешния правилник за дейността на Агенцията и се публикуват.

Изменение    148

Предложение за регламент

Член 20 – параграф 3

Текст, предложен от Комисията

Изменение

3.  Постоянната група на заинтересованите страни се председателства от изпълнителния директор или лице, определено от изпълнителния директор за всеки конкретен случай.

3.  Консултативната група на ENISA се председателства от изпълнителния директор или лице, определено от изпълнителния директор за всеки конкретен случай.

Изменение    149

Предложение за регламент

Член 20 – параграф 4

Текст, предложен от Комисията

Изменение

4.  Мандатът на членовете на Постоянната група на заинтересованите страни е с продължителност две години и половина. Членовете на управителния съвет не могат да бъдат членове на Постоянната група на заинтересованите страни. Експертите на Комисията и от държавите членки имат право да присъстват на заседанията на Постоянната група на заинтересованите страни и да участват в нейната работа. Представители на други органи, които не са членове на Постоянната група на заинтересованите страни, но които изпълнителният директор счита за подходящи, могат да бъдат поканени да присъстват на заседанията на Постоянната група на заинтересованите страни и да участват в работата ѝ.

4.  Мандатът на членовете на Консултативната група на ENISA е с продължителност две години и половина. Членовете на управителния съвет не могат да бъдат членове на Консултативната група на ENISA. Експертите на Комисията и от държавите членки имат право да присъстват на заседанията на Консултативната група на ENISA и да участват в нейната работа. Представители на други органи, които не са членове на Консултативната група на ENISA, но които изпълнителният директор счита за подходящи, могат да бъдат поканени да присъстват на заседанията на Консултативната група на ENISA и да участват в работата ѝ.

Изменение    150

Предложение за регламент

Член 20 – параграф 4 a (нов)

Текст, предложен от Комисията

Изменение

 

4а.  Консултативната група на ENISA предоставя редовна актуализирана информация относно своето планиране през цялата година и определя целите в своята работна програма, които се публикуват на всеки шест месеца, за да се гарантира прозрачност;

Изменение    151

Предложение за регламент

Член 20 – параграф 5

Текст, предложен от Комисията

Изменение

5.  Постоянната група на заинтересованите страни консултира Агенцията при изпълнението на нейните дейности. По-специално тя консултира изпълнителния директор относно изготвянето на предложение за работна програма на Агенцията и гарантирането на диалог със съответните заинтересовани страни по всички въпроси, свързани с работната програма.

5.  Консултативната група на ENISA консултира Агенцията при изпълнението на нейните дейности с изключение на прилагането на дял III от настоящия регламент. По-специално тя консултира изпълнителния директор относно изготвянето на предложение за работна програма на Агенцията и гарантирането на диалог със съответните заинтересовани страни по въпроси, свързани с работната програма.

Изменение    152

Предложение за регламент

Член 20 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 20a

 

Група на заинтересованите страни в областта на сертифицирането

 

1.   Изпълнителният директор създава Група на заинтересованите страни в областта на сертифицирането, която се състои от общ консултативен комитет, който предоставя общи съвети относно прилагането на дял III от настоящия регламент, и създава ad hoc комитети за предлагането, разработването и приемането на всеки проект за схема. Членовете на тази група се избират измежду доказаните експерти по сигурността, представляващи съответните заинтересовани страни, например отрасъла на ИКТ – включително МСП, оператори на основни услуги съгласно Директивата за МИС, доставчици на обществени електронни съобщителни мрежи или услуги, потребителски групи, академични експерти в областта на киберсигурността, европейски организации за стандартизация (ЕОС) и представители на компетентните органи, нотифицирани съгласно [Директивата за установяване на Европейски кодекс за електронни съобщения], както и на правоприлагащите органи и надзорните органи за защита на данните.

 

2.   Процедурите за Групата на заинтересованите страни в областта на сертифицирането, и по-специално тези относно броя, състава и назначаването на нейните членове от изпълнителния директор, се определят във вътрешния правилник за дейността на Агенцията, следват най-добрите практики за осигуряване на справедливо представителство и равни права за всички заинтересовани страни и се публикуват.

 

3.   Членовете на управителния съвет не могат да бъдат членове на Групата на заинтересованите страни в областта на сертифицирането. Членовете на управителния съвет не могат да бъдат и членове на Групата на заинтересованите страни в областта на сертифицирането. Експертите на Комисията и на държавите членки имат право при покана да присъстват на заседанията на Групата на заинтересованите страни в областта на сертифицирането. Представители на други органи, които изпълнителният директор счита за подходящи, може да бъдат поканени да присъстват на заседанията на Групата на заинтересованите страни в областта на сертифицирането и да участват в работата ѝ.

 

4.   Групата на заинтересованите страни в областта на сертифицирането консултира Агенцията при изпълнението на нейните дейности във връзка с дял III от настоящия регламент. По-специално, тя има правото да предлага на Комисията да се изготви проект на европейска схема за сертифициране на киберсигурността, както е предвидено в член 44 от настоящия регламент, както и да участва в процедурите, описани в членове 43 – 48 и член 53 от настоящия регламент, за одобряването на такива схеми.

Изменение    153

Предложение за регламент

Член 21 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 21a

 

Искане до Агенцията

 

1. Агенцията следва да създаде и управлява единна европейска входна точка, през която се подават искания за консултация и съдействие, попадащи в рамките на целите и задачите на Агенцията. Тези искания следва да се придружават от основна информация с пояснения по въпроса, който следва да бъде разгледан. Агенцията следва да предвижда потенциалното отражение върху ресурсите и своевременно да предприема последващи действия във връзка с исканията. Ако Агенцията отхвърли искане, тя мотивира отказа си.

 

2. Исканията, посочени в параграф 1, могат да се отправят от:

 

а) Европейския парламент;

 

б) Съвета;

 

в) Комисията; както и

 

г) всеки компетентен орган, посочен от държава членка, например национален регулаторен орган, определен в член 2 от Директива 2002/21/ЕО.

 

3. Практическият ред и условия за прилагането на параграфи 1 и 2, по-специално относно представянето, подреждането в приоритетен ред, последващите действия и информирането, се определят от управителния съвет във вътрешния правилник за дейността на Агенцията.

Изменение    154

Предложение за регламент

Член 24 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Членовете на управителния съвет, изпълнителният директор, членовете на Постоянната група на заинтересовани страни, участващите в работните ad hoc групи външни експерти и членовете на персонала на Агенцията, включително временно командированите от държавите членки длъжностни лица, са задължени да спазват изискванията за поверителност съгласно член 339 от Договора за функционирането на Европейския съюз (ДФЕС), дори и след приключване на службата им.

2.  Членовете на управителния съвет, изпълнителният директор, членовете на Консултативната група на ENISA, участващите в работните ad hoc групи външни експерти и членовете на персонала на Агенцията, включително временно командированите от държавите членки длъжностни лица, са задължени да спазват изискванията за поверителност съгласно член 339 от Договора за функционирането на Европейския съюз (ДФЕС), дори и след приключване на службата им.

Изменение    155

Предложение за регламент

Член 26 – параграф 1 – алинея 1 а (нова)

Текст, предложен от Комисията

Изменение

 

Предварителният проект на бюджетна прогноза се основава на целите и очакваните резултати, заложени в единния програмен документ, посочен в член 21, параграф 1 от настоящия регламент, и отчита финансовите ресурси, необходими за постигането на тези цели и очаквани резултати, в съответствие с принципа на бюджетиране, основано на изпълнението.

Изменение    156

Предложение за регламент

Член 30 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Сметната палата на Европейския съюз има правомощия за извършване на одити по документи и на място на всички бенефициери на безвъзмездни средства, изпълнители и подизпълнители, които са получили средства от Съюза чрез Агенцията.

2.  Сметната палата на Европейския съюз има правомощия за извършване на одити по документи и инспекции на място на всички бенефициери на безвъзмездни средства, изпълнители и подизпълнители, които са получили средства от Съюза чрез Агенцията.

Изменение    157

Предложение за регламент

Член 36 – параграф 5

Текст, предложен от Комисията

Изменение

5.  По отношение на личната отговорност на служителите спрямо Агенцията се прилагат съответните условия, приложими по отношение на служителите на Агенцията.

5.  По отношение на личната отговорност на служителите спрямо Агенцията се прилагат съответните условия, приложими по отношение на служителите на Агенцията. Гарантира се ефективно наемане на персонал.

Изменение    158

Предложение за регламент

Член 37 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Преводаческите услуги, необходими за функционирането на Агенцията, се предоставят от Центъра за преводи за органите на Европейския съюз.

2.  Преводаческите услуги, необходими за функционирането на Агенцията, се предоставят от Центъра за преводи за органите на Европейския съюз или от други доставчици на преводачески услуги в съответствие с правилата за обществените поръчки и съобразно ограниченията, установени в приложимите финансови правила.

Изменение    159

Предложение за регламент

Член 39 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Доколкото е необходимо за постигането на целите, посочени в настоящия регламент, Агенцията може да си сътрудничи с компетентните органи на трети държави или с международни организации, или и двете. За тази цел след предварително одобрение от Комисията Агенцията може да установява работни договорености с органите на трети държави и с международни организации. Тези договорености не създават правни задължения за Съюза и неговите държави членки.

1.  Доколкото е необходимо за постигането на целите, посочени в настоящия регламент, Агенцията може да си сътрудничи с компетентните органи на трети държави или с международни организации, или и двете. За тази цел след предварително одобрение от Комисията Агенцията може да установява работни договорености с органите на трети държави и с международни организации. Сътрудничеството с НАТО, когато се осъществява такова, може да включва съвместни учения в областта на киберсигурността и съвместна координация на реагиране при киберинциденти. Тези договорености не създават правни задължения за Съюза и неговите държави членки.

Обосновка

Като се има предвид трансграничният характер на киберинцидентите, ENISA следва да действа заедно с участниците в сферата на киберсигурността в Европа, като например НАТО, когато е подходящо. Това е особено важно, понеже НАТО може да разполага с киберспособности, каквито ENISA няма, и обратното. В контекста на отправянето на засилени кибератаки срещу държави като цяло е задължително ENISA да си сътрудничи с международни организации, например НАТО на международно равнище, с оглед на сигурността на Европа.

Изменение    160

Предложение за регламент

Член 41 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Приемащата Агенцията държава членка предоставя най-добрите възможни условия за гарантиране на правилното функциониране на Агенцията, включително на достъпност на мястото, наличие на съответната учебна инфраструктура за децата на служителите, подходящ достъп до пазара на труда, социално осигуряване и медицински услуги както за децата, така и за съпрузите.

2.  Приемащата Агенцията държава членка предоставя най-добрите възможни условия за гарантиране на правилното функциониране на Агенцията, включително едно седалище за цялата Агенция, достъпност на мястото, наличие на съответната учебна инфраструктура за децата на служителите, подходящ достъп до пазара на труда, социално осигуряване и медицински услуги както за децата, така и за съпрузите.

Обосновка

Настоящата структура на агенцията с административно седалище в Ираклион и основни операции в Атина се оказа неефективна и скъпа. Следователно целият персонал на ENISA следва да работи в един и същ град. Като се имат предвид посочените в настоящия параграф критерии, това седалище следва да бъде Атина.

Изменение    161

Предложение за регламент

Член 43 – параграф 1

Текст, предложен от Комисията

Изменение

Дадена европейска схема за сертифициране на киберсигурността удостоверява, че ИКТ продуктите и услугите, които са били сертифицирани в съответствие с такава схема, отговарят на определени изисквания по отношение на тяхната способност да устояват, при определено ниво на обезпечаване, на действия, целящи да се компрометира наличността, автентичността, целостта или поверителността на съхраняваните, предавани или обработвани данни, или на функциите и услугите, предлагани или направени достъпни чрез тези продукти, процеси, услуги и системи.

Дадена европейска схема за сертифициране на киберсигурността удостоверява, че покритите ИКТ продукти, процеси и услуги нямат известни към момента на сертифициране уязвими точки и отговарят на определени изисквания, които може да се основават на европейски и международни стандарти и технически спецификации, включително технически спецификации в сферата на ИКТ, по отношение на своята способност да устояват през целия си жизнен цикъл, при определено ниво на обезпечаване, на действия, целящи да се компрометира наличността, автентичността, целостта или поверителността на съхраняваните, предавани или обработвани данни, или на функциите или услугите, предлагани или направени достъпни чрез тези продукти, процеси и услуги, и отговарят на посочените цели в областта на сигурността.

Изменение    162

Предложение за регламент

Член 44 – параграф -1 (нов)

Текст, предложен от Комисията

Изменение

 

-1.  Комисията приема делегирани актове в съответствие с член 55а за допълване на настоящия регламент чрез установяване на непрекъсната работна програма на Съюза за европейските схеми за сертифициране на киберсигурността. Чрез тези делегирани актове се набелязват общи действия, които да бъдат предприети на равнището на Съюза, и стратегически приоритети. Непрекъснатата работната програма на Съюза включва по-специално приоритетен списък на ИКТ продукти, процеси и услуги, подходящи да станат обект на европейска схема за сертифициране на киберсигурността, както и анализ на това дали между органите за оценка на съответствието и националните надзорни органи за сертифицирането съществува еквивалентно ниво на качество, ноу-хау и експертни знания и опит, и – ако е необходимо, предложение за мерки, чрез които подобно еквивалентно ниво може да бъде постигнато.

 

Първоначалната непрекъсната работна програма на Съюза се изготвя не по-късно от ... [шест месеца след влизането в сила на настоящия регламент] и се актуализира, когато е необходимо, но при всички случаи най-малко на всеки две години след това. Непрекъснатата работната програма на Съюза се прави обществено достояние.

 

Преди приемането или актуализирането на непрекъснатата работна програма на Съюза Комисията провежда консултации с Групата на държавите членки за сертифициране, с Агенцията и с Групата на заинтересованите страни в областта на сертифицирането посредством открита, прозрачна и приобщаваща консултация.

Изменение    163

Предложение за регламент

Член 44 – параграф -1 a (нов)

Текст, предложен от Комисията

Изменение

 

-1a.  Когато това е оправдано, Комисията може да изиска от Агенцията да изготви проект на европейска схема за сертифициране на киберсигурността. Искането се основава на непрекъснатата работна програма на Съюза.

Изменение    164

Предложение за регламент

Член 44 – параграф 1

Текст, предложен от Комисията

Изменение

1.  По искане на Комисията ENISA изготвя проект за европейска схема за сертифициране на киберсигурността, която отговаря на изискванията на членове 45, 46 и 47 от настоящия регламент. Държавите членки или Европейската група за сертифициране на киберсигурността („групата“), създадена съгласно член 53, може да предложат на Комисията изготвянето на проект за европейска схема за сертифициране на киберсигурността.

1.  Искането за проект за европейска схема за сертифициране на киберсигурността съдържа обхвата, приложимите цели по отношение на сигурността, посочени в член 45, приложимите елементи, посочени в член 47, както и краен срок, в рамките на който конкретният проект за схема трябва да влезе в действие. Когато изготвя искането, Комисията може да се консултира с Агенцията, с Групата на държавите членки за сертифициране и с Групата на заинтересованите страни в областта на сертифицирането.

Изменение    165

Предложение за регламент

Член 44 – параграф 2

Текст, предложен от Комисията

Изменение

2.  При подготовката на проектите за схеми, посочени в параграф 1 от настоящия член, ENISA провежда консултации с всички съответни заинтересовани страни и си сътрудничи тясно с групата. Групата предоставя на ENISA съдействие и експертни консултации, необходими на Агенцията във връзка с изготвянето на проекта за схема, включително и становища, когато е необходимо.

2.  При подготовката на проектите за схеми, посочени в параграф -1 (нов), Агенцията провежда консултации с всички съответни заинтересовани страни посредством официални, открити, прозрачни и приобщаващи процедури за консултации и си сътрудничи тясно с Групата на държавите членки за сертифициране, Групата на заинтересованите страни в областта на сертифицирането, ad hoc комитетите по член 20а от настоящия регламент и европейските органи по стандартизация. Те предоставят на Агенцията съдействие и експертни консултации, необходими на Агенцията във връзка с изготвянето на проекта за схема, включително и становища, когато е необходимо.

Изменение    166

Предложение за регламент

Член 44 – параграф 3

Текст, предложен от Комисията

Изменение

3.  ENISA предава подготвения съгласно параграф 2 от настоящия член проект за европейска схема за сертифициране на киберсигурността на Комисията.

3.  Агенцията предава подготвения съгласно параграфи 1 и 2 от настоящия член проект за схема на Комисията.

Изменение    167

Предложение за регламент

Член 44 – параграф 4

Текст, предложен от Комисията

Изменение

4.  На основата на проекта за схема, предложен от ENISA, Комисията може да приема актове за изпълнение съгласно член 55, параграф 1, с които осигурява европейски схеми за сертифициране на киберсигурността за ИКТ продукти и услуги, отговарящи на изискванията по членове 45, 46 и 47 от настоящия регламент.

4.  На основата на проекта за схема, предложен от Агенцията, Комисията може да приема делегирани актове съгласно член 55а за допълване на настоящия регламент чрез осигуряване на европейски схеми за сертифициране на киберсигурността за ИКТ продукти, процеси и услуги, отговарящи на изискванията по членове 45, 46 и 47.

Изменение    168

Предложение за регламент

Член 44 – параграф 5

Текст, предложен от Комисията

Изменение

5.  ENISA поддържа специален уебсайт, на който предоставя информация и популяризира европейските схеми за сертифициране на киберсигурността.

5.  Агенцията поддържа специален уебсайт, на който предоставя информация и популяризира европейските схеми за сертифициране на киберсигурността, включително по отношение на сертификатите, които са оттеглени и са с изтекъл срок на валидност, както и обхванатите национални сертификати.

 

Когато дадена европейска схема за сертифициране на киберсигурността отговаря на изискванията, които цели да изпълни съгласно съответното законодателство на Съюза за хармонизация, Комисията незабавно публикува позоваване на нея в Официален вестник на Европейския съюз и чрез всякакви други средства в съответствие с условията, определени в съответния акт на законодателството на Съюза за хармонизация.

Изменение    169

Предложение за регламент

Член 44 – параграф 5 a (нов)

Текст, предложен от Комисията

Изменение

 

5а.  В съответствие със структурата, създадена по настоящия регламент, Агенцията преглежда приетите схеми в края на срока на тяхната валидност съгласно член 47, параграф 1, буква ав) или по искане от Комисията, като взема предвид обратната информация, получена от съответните заинтересовани страни.

Изменение    170

Предложение за регламент

Член 45 – параграф 1 – уводна част

Текст, предложен от Комисията

Изменение

Европейските схеми за сертифициране на киберсигурността се проектират така, че да вземат предвид, според нуждите, следните цели за сигурност:

Европейските схеми за сертифициране на киберсигурността се проектират така, че да вземат предвид, според нуждите, цели за сигурност, които гарантират:

Изменение    171

Предложение за регламент

Член 45 — параграф 1 — буква а

Текст, предложен от Комисията

Изменение

а)  да се защитават съхраняваните, предавани или обработвани по друг начин данни от случайно или неразрешено съхраняване, обработване, достъп или разкриване;

а)  поверителността, целостта, наличността и неприкосновеността на услуги, функции и данни;

Изменение    172

Предложение за регламент

Член 45 – параграф 1 – буква б

Текст, предложен от Комисията

Изменение

б)  да се защитават съхраняваните, предавани или обработвани по друг начин данни от случайно или неразрешено унищожаване, случайна загуба или промяна;

б)  че услугите, функциите и данните могат да бъдат достъпни и използвани само от упълномощени лица и/или разрешени системи и програми;

Изменение    173

Предложение за регламент

Член 45 – параграф 1 – буква в

Текст, предложен от Комисията

Изменение

в)  да се гарантира, че единствено оправомощени лица, програми или машини имат достъп до данните, услугите или функциите, за които се отнася правото им на достъп;

в)  че е въведен процес, чрез който се определят и документират всички зависимости и известни уязвими точки в ИКТ продуктите, процесите и услугите;

Изменение    174

Предложение за регламент

Член 45 - параграф 1 – буква г

Текст, предложен от Комисията

Изменение

г)  да се регистрира кои данни, функции или услуги са били предадени, кога и от кого;

г)  че ИКТ продуктите, процесите и услугите не съдържат известните към момента уязвими точки;

Изменение    175

Предложение за регламент

Член 45 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  да се гарантира, че е възможно да се провери до кои данни, услуги или функции е имало достъп или са били използвани, кога и от кого;

д)  че е въведен процес, чрез който се вземат мерки по новооткритите уязвими точки в ИКТ продуктите, процесите и услугите;

Изменение    176

Предложение за регламент

Член 45 – параграф 1 – буква e

Текст, предложен от Комисията

Изменение

е)  да се възстановяват своевременно наличието и достъпът до данни, услуги и функции в случай на физически или технически инцидент;

е)  че ИКТ продуктите, процесите и услугите са сигурни по подразбиране и по проект;

Изменение    177

Предложение за регламент

Член 45 – параграф 1 – буква ж

Текст, предложен от Комисията

Изменение

ж)  да се гарантира, че ИКТ продуктите и услугите се предоставят с актуален софтуер, който няма известни към момента уязвими точки, и че са осигурени механизми за безопасни софтуерни актуализации.

ж)  че ИКТ продуктите и услугите се предоставят с актуален софтуер, който няма известни към момента уязвими точки, и че са осигурени механизми за безопасни софтуерни актуализации.

Изменение    178

Предложение за регламент

Член 45 – параграф 1 – буква ж a (нова)

Текст, предложен от Комисията

Изменение

 

жа)  че другите рискове, свързани с киберинциденти, като рискове за живота, здравето, околната среда и други съществени правни интереси, са сведени до минимум.

Изменение    179

Предложение за регламент

Член 46 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Европейските схеми за сертифициране на киберсигурността могат да посочват едно или повече от следните нива на обезпечаване на сигурност: основно, значително и/или високо, за ИКТ продукти и услуги, сертифицирани по тази схема.

1.  Европейските схеми за сертифициране на киберсигурността могат да посочват едно или повече от следните нива на обезпечаване на сигурност, основани на риска, в зависимост от контекста и предвидения начин на ползване на ИКТ продуктите, процесите и услугите: основно, значително и/или високо, за ИКТ продукти, процеси и услуги, сертифицирани по тази схема.

Изменение    180

Предложение за регламент

Член 46 – параграф 2 – буква а

Текст, предложен от Комисията

Изменение

а)  основното ниво на обезпеченост се отнася до сертификат, издаден по европейска схема за сертифициране на киберсигурността, който предоставя ограничена степен на увереност в декларираните качества на ИКТ продукт или услуга по отношение на киберсигурността и се характеризира с препратка към технически спецификации, стандарти и процедури, свързани с нея, включително технически проверки, чиято цел е да се намали рискът от киберинциденти;

а)  основното ниво на обезпеченост съответства на нисък риск по отношение на комбинацията от вероятността и вредите, свързани с ИКТ продукт, процес и услуга, като се вземе предвид тяхната предвидена употреба и контекст. Основното ниво на обезпеченост дава увереност, че може да се устои на известните към момента основни рискове от киберинциденти.

Изменение    181

Предложение за регламент

Член 46 – параграф 2 – буква б

Текст, предложен от Комисията

Изменение

б)  значителното ниво на обезпеченост се отнася до сертификат, издаден по европейска схема за сертифициране на киберсигурността, който предоставя значителна степен на увереност в декларираните качества на ИКТ продукт или услуга по отношение на киберсигурността и се характеризира с препратка към технически спецификации, стандарти и процедури, свързани с нея, включително технически проверки, чиято цел е да се намали съществено рискът от киберинциденти;

б)  значителното ниво на обезпеченост съответства на по-висок риск по отношение на комбинацията от вероятността и вредите, свързани с ИКТ продукт, процес и услуга. Значителното ниво на обезпеченост дава увереност, че може да се предотвратят известните към момента рискове от киберинциденти и че съществува способност също така да се устои на кибератаки с ограничени ресурси.

Изменение    182

Предложение за регламент

Член 46 – параграф 2 – буква в

Текст, предложен от Комисията

Изменение

в)  високото ниво на обезпеченост се отнася до сертификат, издаден по европейска схема за сертифициране на киберсигурността, който предоставя по-висока степен на увереност в декларираните качества на ИКТ продукт или услуга по отношение на киберсигурността в сравнение със сертификатите със значително ниво на обезпеченост и се характеризира с препратка към технически спецификации, стандарти и процедури, свързани с нея, включително технически проверки, чиято цел е да се предотвратят киберинциденти.

в)  високото ниво на обезпеченост съответства на висок риск по отношение на вредите, свързани с ИКТ продукт, процес и услуга. Високото ниво на обезпеченост дава увереност, че може да се предотвратят рискове от киберинциденти и че съществува способност също така да се устои на най-съвременни кибератаки със значителни ресурси.

Изменение    183

Предложение за регламент

Член 46 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 46а

 

Оценяване на нивата на обезпеченост на европейските схеми за сертифициране на киберсигурността

 

1.   За основното ниво на обезпеченост производителят или доставчикът на ИКТ продукти, процеси и услуги може, единствено на своя отговорност, да извърши самооценка на съответствието.

 

2.   За значителното ниво на обезпеченост оценяването се ръководи най-малкото от проверка на съответствието на функциите по сигурността на продукта, процеса или услугата с техническата му документация.

 

3.   За високото ниво на обезпеченост методиката за оценяване се ръководи най-малкото от изпитване за ефикасност, при което се оценява устойчивостта на свързаните със сигурността функционалности спрямо атакуващи, които разполагат със значителни ресурси.

Изменение    184

Предложение за регламент

Член 47 – параграф 1 – буква а

Текст, предложен от Комисията

Изменение

а)  предмет и обхват на сертифицирането, включително вида или категориите ИКТ продукти и услуги, обхванати от него;

а)  предмет и обхват на сертифицирането, включително вида или категориите ИКТ продукти, процеси и услуги, обхванати от него;

Изменение    185

Предложение за регламент

Член 47 – параграф 1 – буква a а (нова)

Текст, предложен от Комисията

Изменение

 

аа)  обхват и изисквания за киберсигурност; когато е приложимо, въпросният обхват и въпросните изисквания отразяват тези на националните сертификати за киберсигурност, които заменят или които са предвидени в правни актове;

Изменение    186

Предложение за регламент

Член 47 – параграф 1 – буква a б (нова)

Текст, предложен от Комисията

Изменение

 

аб)  период на валидност на схемата за сертифициране;

Изменение    187

Предложение за регламент

Член 47 – параграф 1 – буква б

Текст, предложен от Комисията

Изменение

б)  подробна спецификация на изискванията за киберсигурност, по които се оценяват конкретните ИКТ продукти и услуги, например чрез позоваване на международни стандарти или технически спецификации или стандарти и спецификации на Съюза;

б)  подробна спецификация на изискванията за киберсигурност, по които се оценяват конкретните ИКТ продукти, процеси и услуги, например чрез позоваване на европейски или международни стандарти, технически спецификации или ИКТ технически спецификации, определени по такъв начин, че сертифицирането да може да се вгради или базира в систематичните процеси за сигурност на производителя, следвани по време на разработването и жизнения цикъл на въпросния продукт или услуга;

Изменение    188

Предложение за регламент

Член 47 – параграф 1 – буква б a (нова)

Текст, предложен от Комисията

Изменение

 

ба)  информация за известни киберзаплахи, които не са обхванати от сертифицирането и насоки за справяне с тях;

Изменение    189

Предложение за регламент

Член 47 – параграф 1 – буква в

Текст, предложен от Комисията

Изменение

в)  когато е уместно, едно или повече нива на обезпечаване на сигурност;

в)  когато е уместно, едно или повече нива на обезпечаване на сигурност, като се взема под внимание inter alia основан на риска подход;

Изменение    190

Предложение за регламент

Член 47 – параграф 1 – буква в a (нова)

Текст, предложен от Комисията

Изменение

 

ва)  посочване на това дали самооценяването за съответствие е разрешено по схемата и приложимата процедура за оценяване на съответствието или самостоятелна декларация за съответствие, или и двете;

Изменение    191

Предложение за регламент

Член 47 – параграф 1 – буква г

Текст, предложен от Комисията

Изменение

г)  конкретните критерии и методи за оценка (включително типовете оценки), използвани с цел да се докаже постигането на конкретните цели, посочени в член 45;

г)  конкретните критерии, типове оценка на съответствието и методи за оценка, целящи да се докаже постигането на конкретните цели, посочени в член 45;

Изменение    192

Предложение за регламент

Член 47 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  необходимата за сертифициране информация, която кандидатът трябва да предостави на органите за оценяване на съответствието;

д)  необходимата за сертифициране информация, която кандидатът трябва да предостави на органите за оценяване на съответствието;

Изменение    193

Предложение за регламент

Член 47 – параграф 1 – буква е

Текст, предложен от Комисията

Изменение

е)  когато схемата предвижда маркировки или етикети — условията, при които те могат да бъдат използвани;

е)  информация относно киберсигурността съгласно член 47а от настоящия регламент;

Изменение    194

Предложение за регламент

Член 47 – параграф 1 – буква ж

Текст, предложен от Комисията

Изменение

ж)  когато надзорът е част от схемата — правила за наблюдение на съответствието на сертификатите с изискванията, включително механизми за удостоверяване на трайното съответствие с определените изисквания на киберсигурността;

ж)  правила за наблюдение на съответствието на сертификатите с изискванията, включително механизми за удостоверяване на трайното съответствие с определените изисквания на киберсигурността;

Изменение    195

Предложение за регламент

Член 47 – параграф 1 – буква з

Текст, предложен от Комисията

Изменение

з)  условия за предоставяне, поддържане, продължаване, разширяване и стесняване на обхвата на сертифицирането;

з)  условия за предоставяне, поддържане, продължаване, преразглеждане, разширяване и стесняване на обхвата и срока на валидност на сертификата;

Изменение    196

Предложение за регламент

Член 47 – параграф 1 – буква з а (нова)

Текст, предложен от Комисията

Изменение

 

за)  правила, имащи за цел преодоляване на уязвими точки, които може да възникнат след издаването на сертификата, посредством създаване на динамичен и непрекъснат организационен процес с участието на доставчиците и ползвателите;

Изменение    197

Предложение за регламент

Член 47 – параграф 1 – буква и

Текст, предложен от Комисията

Изменение

и)  правила за последиците от несъответствието на сертифицирани ИКТ продукти и услуги с изискванията за сертифициране;

и)  правила за последиците от несъответствието на самооценени и сертифицирани ИКТ продукти и услуги с изискванията за сертифициране;

Изменение    198

Предложение за регламент

Член 47 – параграф 1 – буква й

Текст, предложен от Комисията

Изменение

й)  правила за начина, по който неоткрити до момента уязвими точки на киберсигурността на ИКТ продукти и услуги трябва да се докладват и отстраняват;

й)  правила за начина, по който неизвестни на обществеността уязвими точки на киберсигурността на ИКТ продукти и услуги трябва да се докладват и отстраняват, след като бъдат открити;

Изменение    199

Предложение за регламент

Член 47 – параграф 1 – буква л

Текст, предложен от Комисията

Изменение

л)  списък на националните схеми за сертифициране на киберсигурността, които обхващат същия тип или категории ИКТ продукти и услуги;

л)  списък на националните или международните схеми за сертифициране на киберсигурността, които обхващат същия тип или категории ИКТ продукти, процеси и услуги, изисквания за сигурност и критерии и методи за оценяване;

Изменение    200

Предложение за регламент

Член 47 – параграф 1 – буква м а (нова)

Текст, предложен от Комисията

Изменение

 

ма)  условия за взаимно признаване на схеми за сертифициране с трети държави.

Изменение    201

Предложение за регламент

Член 47 – параграф 1 а (нов)

Текст, предложен от Комисията

Изменение

 

1а.  Процесите на поддръжка с актуализации не правят сертифицирането невалидно, освен ако тези актуализации имат значителен отрицателен ефект върху сигурността на ИКТ продукта, процеса или услугата.

Изменение    202

Предложение за регламент

Член 47 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 47a

 

Информация за киберсигурността за сертифицираните продукти, процеси и услуги

 

1.   Производителят или доставчикът на ИКТ продукти, процеси и услуги, които попадат в обхвата на схема за сертифициране съгласно настоящия регламент, предоставя на крайния потребител документ в електронен формат или на хартия, съдържащ най-малко следната информация: нивото на обезпеченост на сертификата, свързано предвидения начин на ползване на ИКТ продукта, процеса или услугата; описание на рисковете, спрямо които е предвидено сертифицирането да даде увереност, че може да се устои; препоръки за това как ползвателите да могат допълнително да насърчават киберсигурността на продукта, процеса или услугата, периодичността и периода на поддръжка след евентуални актуализации; когато е приложимо, информация за това как ползвателите могат да запазят основните характеристики на продукта, процеса или услугата в случай на атака.

 

2.   Документът, посочен в параграф 1 от настоящия член, е на разположение през целия жизнен цикъл на продукта, процеса или услугите до прекъсване на неговото предлагане на пазара и за минимален период от пет години.

 

3.   Комисията приема актове за изпълнение, в които се определя образец за документа. Комисията може да поиска от Агенцията да предложи проект за образец. Този акт за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 55 от настоящия регламент.

Изменение    203

Предложение за регламент

Член 48 – параграф 1

Текст, предложен от Комисията

Изменение

1.  ИКТ продуктите и услугите, сертифицирани по европейска схема за сертифициране на киберсигурността, приета съгласно член 44, по презумпция се приемат за съответстващи на изискванията на такава схема.

1.  ИКТ продуктите, процесите и услугите, сертифицирани по европейска схема за сертифициране на киберсигурността, приета съгласно член 44, по презумпция се приемат за съответстващи на изискванията на такава схема.

Изменение    204

Предложение за регламент

Член 48 – параграф 4 – уводна част

Текст, предложен от Комисията

Изменение

4.  Чрез дерогация от параграф 3 в надлежно обосновани случаи дадена европейска схема за сертифициране на киберсигурността може да предвиди, че европейски сертификат за киберсигурност в резултат от тази схема може да бъде издаден само от публичен орган. Такъв публичен орган е един от следните:

4.  Чрез дерогация от параграф 3 само в надлежно обосновани случаи, например по съображения, свързани с националната сигурност, дадена европейска схема за сертифициране на киберсигурността може да предвиди, че европейски сертификат за киберсигурност в резултат от тази схема може да бъде издаден само от публичен орган. Такъв публичен орган е орган, акредитиран като орган за оценяване на съответствието съгласно член 51, параграф 1 от настоящия регламент. Физическото или юридическото лице, което подлага своите ИКТ продукти или услуги на процедурите за сертифициране, предоставя на разположение на органа за оценяване на съответствието, посочен в член 51, цялата необходима информация за провеждане на процедурата по сертифициране.

Изменение    205

Предложение за регламент

Член 48 – параграф 5

Текст, предложен от Комисията

Изменение

5.  Физическото или юридическото лице, което подлага своите ИКТ продукти или услуги на процедурите за сертифициране, предоставя на органа за оценяване на съответствието, посочен в член 51, цялата необходима информация за провеждане на процедурата по сертифициране.

5.  Физическото или юридическото лице, което подлага своите ИКТ продукти, услугиили процеси на процедурите за сертифициране, предоставя на органа за оценяване на съответствието, посочен в член 51, цялата необходима информация за провеждане на процедурата по сертифициране, включително информация за всички известни уязвими точки, свързани със сигурността. Подаването може да се направи към всеки орган за оценяване на съответствието, посочен в член 51.

Изменение    206

Предложение за регламент

Член 48 – параграф 6

Текст, предложен от Комисията

Изменение

6.  Сертификатите се издават за максимален срок от три години и могат да бъдат подновени при същите условия, ако съответните изисквания продължават да се изпълняват.

6.  Сертификатите се издават за максимален срок, определян за всеки отделен случай от всяка схема, като се взема предвид разумен жизнен цикъл, който в никой случай не надвишава пет години, и могат да бъдат подновени при същите условия, ако съответните изисквания продължават да се изпълняват.

Обосновка

Така се гарантира гъвкавост за адаптиране на срока на валидност спрямо планираната употреба.

Изменение    207

Предложение за регламент

Член 48 – параграф 7

Текст, предложен от Комисията

Изменение

7.  Европейски сертификат за киберсигурност, издаден съгласно настоящия член, се признава във всички държави членки.

7.  Европейски сертификат за киберсигурност, издаден съгласно настоящия член, се признава във всички държави членки като отговарящ на местните изисквания за киберсигурност, свързани с ИКТ продуктите, процесите и потребителските електронни устройства, обхванати от този сертификат, като се взема под внимание посоченото ниво на обезпечаване съгласно член 46, и не се допуска дискриминация между такива сертификати на основание нито държава членка по произход, нито издаващ орган за оценяване на съответствието съгласно член 51.

Обосновка

За да се избегне разпокъсаност при признаването и/или съответствието на схемите на ЕС за сертифициране на киберсигурността, в члена трябва да се подчертае, че нито едно място на издаване на сертификат не може да бъде обект на дискриминация.

Изменение    208

Предложение за регламент

Член 48 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 48a

 

Схеми за сертифициране за оператори на основни услуги

 

1.   Когато са приети европейски схеми за сертифициране на киберсигурността съгласно параграф 2 от настоящия член, операторите на основни услуги, за да изпълнят изискванията за сигурност по член 14 от Директива (ЕС) 2016/1148, използват продукти, процеси и услуги, обхванати от тези схеми за сертифициране .

 

2.   До [една година след влизането в сила на настоящия регламент] Комисията, след консултации с групата за сътрудничество, посочена в член 11 от Директива (ЕС) 2016/1148, приема делегирани актове в съответствие с член 55а за допълване на настоящия регламент, като изброява категориите продукти, процеси и услуги, които отговарят на следните два критерия:

 

а)  предназначени са да бъдат използвани от оператори на основни услуги; както и

 

б)  тяхното неправилно функциониране би имало значително смущаващо въздействие върху предоставянето на основната услуга.

 

3.   Комисията приема делегирани актове в съответствие с член 55а за изменение на настоящия регламент чрез актуализиране, когато е необходимо, на списъка на категориите продукти, процеси и услуги, посочени в параграф 3 от настоящия член.

 

4.   Комисията изисква от Агенцията да изготви проект за европейски схеми за киберсигурност съгласно член 44, параграф -1 от настоящия регламент за списъка на категориите продукти, процеси и услуги, посочени в параграфи 2 и 3 от настоящия член, веднага след приемането или актуализирането на този списък. Сертификатите, издадени в съответствие с такива европейски схеми за сертифициране на киберсигурността, трябва да са с високо ниво на обезпеченост.

Изменение    209

Предложение за регламент

Член 48 б (нов)

Текст, предложен от Комисията

Изменение

 

Член 48б

 

Официални възражения срещу европейски схеми за сертифициране на киберсигурността

 

1.  Когато държава членка счита, че конкретна схема за сертифициране на киберсигурността не отговаря напълно на изискванията, които тя има за цел да изпълни и които са установени в съответното хармонизирано законодателство на Съюза, държавата членка уведомяват Комисията и предоставя подробно обяснение. Комисията, след консултация с комитета, учреден в съответствие със съответното законодателство на Съюза за хармонизация, ако е приложимо, или след други форми на консултиране с експерти в сектора, взема решение:

 

а)  да публикува, да не публикува или да публикува с ограничения позоваванията за съответната европейска схема за сертифициране на киберсигурността в Официален вестник на Европейския съюз;

 

б)  да запази, да запази с ограничения позоваванията за съответната европейска схема за сертифициране на киберсигурността в Официален вестник на Европейския съюз или да оттегли тези позовавания от Официален вестник на Европейския съюз.

 

2.  Комисията публикува на своята интернет страница информация за европейските схеми за сертифициране на киберсигурността, които са предмет на посоченото в параграф 1 от настоящия член решение.

 

3.  Комисията информира Агенцията за решението, посочено в параграф 1 от настоящия член, и ако е необходимо, изисква преразглеждане на съответната европейска схема за сертифициране на киберсигурността.

 

4.  Решението, посочено в параграф 1, буква а) от настоящия член, се приема в съответствие с процедурата по консултиране, посочена в член 55, параграф 2 от настоящия регламент.

 

5.  Решението, посочено в параграф 1, буква б) от настоящия член, се приема в съответствие с процедурата по разглеждане, посочена в член 55, параграф 2а (нов) от настоящия регламент.

Изменение    210

Предложение за регламент

Член 49 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Без да се засягат разпоредбите на параграф 3, националните схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти и услуги, обхванати от европейска схема за сертифициране на киберсигурността, прекратяват правното си действие от датата, посочена в акта за изпълнение, приет съгласно член 44, параграф 4. Действащите национални схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти и услуги, обхванати от европейска схема за сертифициране на киберсигурността, продължават да съществуват.

1.  Без да се засягат разпоредбите на параграф 3, националните схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти, процеси и услуги, обхванати от европейска схема за сертифициране на киберсигурността, прекратяват правното си действие от датата, посочена в акта за изпълнение, приет съгласно член 44, параграф 4. Действащите национални схеми за сертифициране на киберсигурността и свързаните с тях процедури за ИКТ продукти, процеси и услуги, които не са обхванати от европейска схема за сертифициране на киберсигурността, продължават да съществуват.

Изменение    211

Предложение за регламент

Член 49 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Държавите членки не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти и услуги, обхванати от съществуваща европейска схема за сертифициране на киберсигурността.

2.  Държавите членки не въвеждат нови национални схеми за сертифициране на киберсигурността на ИКТ продукти, процеси и услуги, обхванати от съществуваща европейска схема за сертифициране на киберсигурността.

Изменение    212

Предложение за регламент

Член 49 – параграф 3 a (нов)

Текст, предложен от Комисията

Изменение

 

3а.  Държавите членки предават на Комисията всички искания за изготвяне на национални схеми за сертифициране на киберсигурността и посочват основанията за въвеждането им.

Изменение    213

Предложение за регламент

Член 49 – параграф 3 б (нов)

Текст, предложен от Комисията

Изменение

 

3б.  Държавите членки изпращат при поискване проекти на национални схеми за сертифициране на киберсигурността на други държави членки, на Агенцията или на Комисията, поне в електронен формат.

Изменение    214

Предложение за регламент

Член 49 - параграф 3 в (нов)

Текст, предложен от Комисията

Изменение

 

3в.  Без да се засяга Директива (ЕС) 2015/1535, в срок от три месеца държавите членки надлежно вземат под внимание и дават отговор на всички забележки, които са получили от друга държава членка, от Агенцията или от Комисията по отношение на проект, посочен в параграф 3б от настоящия член.

Изменение    215

Предложение за регламент

Член 49 – параграф 3 г (нов)

Текст, предложен от Комисията

Изменение

 

3г.  Когато забележките, получени в съответствие с параграф 3, буква в) от настоящия член, показват, че даден проект на национална схема за сертифициране на киберсигурността вероятно ще окаже отрицателно въздействие върху правилното функциониране на вътрешния пазар, държавата членка, към която са отправени, разглежда и отчита в максимална степен забележките на Агенцията и Комисията, преди да приеме проекта за схема.

Изменение    216

Предложение за регламент

Член 50 – параграф 5

Текст, предложен от Комисията

Изменение

5.  За ефективното изпълнение на регламента е целесъобразно тези органи да участват активно, реално и съобразно правилата за поверителност в Европейската група за сертифициране на киберсигурността, създадена по силата на член 53.

5.  За ефективното изпълнение на регламента е целесъобразно тези органи да участват активно, реално и съобразно правилата за поверителност в Групата на държавите членки за сертифициране, създадена по силата на член 53.

Изменение    217

Предложение за регламент

Член 50 – параграф 6 – буква а

Текст, предложен от Комисията

Изменение

а)  наблюдават и осигуряват прилагането на разпоредбите на настоящия дял и упражняват надзор върху съответствието на сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия, с изискванията, определени в настоящия дял и в съответната европейска схема за сертифициране на киберсигурността;

а)  наблюдават и осигуряват прилагането на разпоредбите на настоящия дял и както се изисква от правилата, приети от Европейската група за сертифициране на киберсигурността съгласно член 53, параграф 3, буква га), проверяват съответствието на:

 

i)   сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия, с изискванията, определени в настоящия дял и в съответната европейска схема за сертифициране на киберсигурността; както и

 

ii)   самостоятелните декларации за съответствие, изготвени по дадена схема за ИКТ процес, продукт или услуга;

Изменение    218

Предложение за регламент

Член 50 – параграф 6 – буква б

Текст, предложен от Комисията

Изменение

б)  наблюдават и упражняват надзор върху дейностите на органите за оценяване на съответствието за целите на настоящия регламент, включително по отношение на уведомленията за органите и съответните задачи, определени в член 52 от настоящия регламент;

б)  наблюдават и упражняват надзор върху, както и поне на всеки две години оценяват, дейностите на органите за оценяване на съответствието за целите на настоящия регламент, включително по отношение на уведомленията за органите и съответните задачи, определени в член 52 от настоящия регламент;

Изменение    219

Предложение за регламент

Член 50 – параграф 6 – буква б a (нова)

Текст, предложен от Комисията

Изменение

 

ба)  извършва одити, за да гарантират, че в Съюза се прилагат еквивалентни стандарти, и докладват относно резултатите пред Агенцията и Групата;

Обосновка

Това спомага да се гарантира, че в целия ЕС се прилага еднакво ниво на обслужване и качество и помага за предотвратяване на възможността да се търси „по-изгодната среда за сертифициране“.

Изменение    220

Предложение за регламент

Член 50 – параграф 6 – буква в

Текст, предложен от Комисията

Изменение

в)  разглеждат жалбите, внесени от физически или юридически лица във връзка със сертификати, издадени от органите за оценяване на съответствието на техните територии, разследват жалбите по същество, доколкото е необходимо, и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок;

в)  разглеждат жалбите, внесени от физически или юридически лица във връзка със сертификати, издадени от органите за оценяване на съответствието на техните територии, или във връзка с направена самооценка на съответствието, разследват жалбите по същество, доколкото е необходимо, и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок;

Изменение    221

Предложение за регламент

Член 50 – параграф 6 – буква в a (нова)

Текст, предложен от Комисията

Изменение

 

ва)  докладват резултатите от проверките по буква а) и оценките по буква б) на Агенцията и на Европейската група за сертифициране на киберсигурността;

Изменение    222

Предложение за регламент

Член 50 – параграф 6 – буква г

Текст, предложен от Комисията

Изменение

г)  сътрудничат си с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или с конкретни европейски схеми за сертифициране на киберсигурността.

г)  сътрудничат си с други национални надзорни органи за сертифицирането или други публични органи, като националните надзорни органи за защита на данните, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти, процеси и услуги с изискванията на настоящия регламент или с конкретни европейски схеми за сертифициране на киберсигурността.

Изменение    223

Предложение за регламент

Член 50 – параграф 6 – буква г

Текст, предложен от Комисията

Изменение

г)  сътрудничат си с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или с конкретни европейски схеми за сертифициране на киберсигурността.

г)  сътрудничат си с други национални надзорни органи за сертифицирането или други публични органи, като националните надзорни органи за защита на данните, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или с конкретни европейски схеми за сертифициране на ИТ сигурността.

Обосновка

От становището на ЕНОЗД.

Изменение    224

Предложение за регламент

Член 50 – параграф 7 – буква в a (нова)

Текст, предложен от Комисията

Изменение

 

ва)  да отнема акредитацията на органи за оценяване на съответствието, които не спазват настоящия регламент;

Изменение    225

Предложение за регламент

Член 50 – параграф 7 – буква д

Текст, предложен от Комисията

Изменение

д)  да отнема в съответствие с националното законодателство сертификати, които не са в съответствие с настоящия регламент или с дадена европейска схема за сертифициране на киберсигурността;

д)  да отнема в съответствие с националното законодателство сертификати, които не са в съответствие с настоящия регламент или с дадена европейска схема за сертифициране на киберсигурността, и съответно да информира националните органи по акредитиране;

Изменение    226

Предложение за регламент

Член 50 – параграф 8

Текст, предложен от Комисията

Изменение

8.  Националните надзорни органи за сертифицирането си сътрудничат помежду си и с Комисията, и по-специално обменят информация, опит и добри практики във връзка със сертифицирането на киберсигурността и техническите въпроси, засягащи киберсигурността на ИКТ продукти и услуги.

8.  Националните надзорни органи за сертифицирането си сътрудничат помежду си и с Комисията, и по-специално обменят информация, опит и добри практики във връзка със сертифицирането на киберсигурността и техническите въпроси, засягащи киберсигурността на ИКТ продукти, процеси и услуги.

Изменение    227

Предложение за регламент

Член 50 – параграф 8 а (нов)

Текст, предложен от Комисията

Изменение

 

8а.  Всеки национален надзорен орган за сертифициране и всеки член и служител от персонала на такъв орган спазва задължение за служебна тайна съгласно правото на Съюза или на държавата членка както по време на, така и след изтичане на мандата си във връзка с всяка поверителна информация, която е узнал при изпълнение на служебните си задължения или упражняване на своите правомощия.

Изменение    228

Предложение за регламент

Член 50 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 50a

 

Партньорска проверка

 

1.  Националните надзорни органи за сертифицирането се подлагат на партньорски проверки, организирани от Агенцията, по отношение на всички дейности, които осъществяват съгласно член 50.

 

2.   Партньорската проверка се извършва на базата на надеждни и прозрачни критерии и процедури за оценка, по-специално по отношение на изискванията към структурата, човешките ресурси, процеса, поверителността и жалбите. Предвиждат се подходящи процедури за оспорване на решенията, взети в резултат на такава оценка.

 

3.   Партньорските проверки обхващат оценките на процедурите, въведени от националните надзорни органи за сертифицирането, по-специално процедурите за проверка на съответствието на сертификатите, процедурите за наблюдение и надзор на дейността на органите за оценка на съответствието, компетентността на персонала, коректността на проверките и методиката за инспектиране, както и точността на резултатите. В партньорската проверка се прави и преценка дали въпросните национални надзорни органи за сертифициране разполагат с достатъчно ресурси за правилното изпълнение на своите задължения, както се изисква в член 50, параграф 4.

 

4.   Партньорската проверка на даден национален надзорен орган за сертифицирането се извършва от два национални надзорни органа за сертифицирането от други държави членки и Комисията и се провежда най-малко веднъж на всеки пет години. Агенцията може да участва в партньорската проверка и взема решение за своето участие въз основа на анализ на оценка на риска.

 

5.   В съответствие с член 55а Комисията може да приема делегирани актове за допълване на настоящия регламент чрез изготвяне на план за партньорската проверка, който да обхваща период от най-малко пет години и в който да се определят критериите относно състава на екипа за партньорска проверка, използваната методика за партньорска проверка, графика, периодичността и другите задачи, свързани с партньорската проверка. При приемането на посочените делегирани актове Комисията взема надлежно предвид съображенията на Групата на държавите членки за сертифициране.

 

6.   Резултатите от партньорската проверка се разглеждат от Групата на държавите членки за сертифициране. Агенцията изготвя обобщение на резултатите и при необходимост предоставя документи с насоки и най-добри практики и ги оповестява публично.

Изменение    229

Предложение за регламент

Член 51 – параграф 1 а (нов)

Текст, предложен от Комисията

Изменение

 

1а.  При високо ниво на обезпеченост органите за оценяване на съответствието трябва в допълнение към акредитацията си да бъдат обявени от националния надзорен орган за сертифицирането във връзка с компетентността и експертния си опит в областта на оценяването на киберсигурността. Националният надзорен орган за сертифицирането трябва да извършва редовни одити на експертния опит и компетентността на обявените органи за оценяване на съответствието.

Обосновка

Високите нива на обезпеченост изискват изпитвания за ефикасност. Експертният опит и компетентността на органите за оценяване на съответствието, които осъществяват изпитвания за ефикасност, трябва да се одитират редовно, за да се осигури по-специално качеството на тези изпитвания.

Изменение    230

Предложение за регламент

Член 51 – параграф 2 a (нов)

Текст, предложен от Комисията

Изменение

 

2а.  Провеждат се одити, за да се гарантира, че в Съюза се прилагат еквивалентни стандарти, като резултатите от тях се докладват на Агенцията и на Групата.

Изменение    231

Предложение за регламент

Член 51 – параграф 2 б (нов)

Текст, предложен от Комисията

Изменение

 

2б.  Когато производителите избират „самостоятелна декларация за съответствие“ съгласно член 48, параграф 3, органите за оценка на съответствието предприемат допълнителни мерки за проверка на вътрешните процедури, използвани от производителя, за да гарантира, че неговите продукти и/или услуги съответстват на изискванията на европейската схема за сертифициране на киберсигурността.

Изменение    232

Предложение за регламент

Член 52 – параграф 5

Текст, предложен от Комисията

Изменение

5.  Комисията може да определи посредством актове за изпълнение обстоятелствата, форматите и процедурите за уведомяването, посочено в параграф 1 от настоящия член. Актовете за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 55, параграф 2.

5.  Комисията може да определи посредством делегирани актове обстоятелствата, форматите и процедурите за уведомяването, посочено в параграф 1 от настоящия член. Делегираните актове се приемат в съответствие с процедурата по разглеждане, посочена в член 55, параграф 2.

Изменение    233

Предложение за регламент

Член 53 – заглавие

Текст, предложен от Комисията

Изменение

Европейска група за сертифициране на киберсигурността

Група на държавите членки за сертифициране

 

(Настоящото изменение се прилага в целия текст. Приемането му ще наложи съответните промени в целия текст.)

Изменение    234

Предложение за регламент

Член 53 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Създава се Европейска група за сертифициране на киберсигурността („групата“).

1.  Създава се Група на държавите членки за сертифициране.

Изменение    235

Предложение за регламент

Член 53 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Групата се състои от националните надзорни органи за сертифициране, представени от своите ръководители или други високопоставени представители.

2.  Групата на държавите членки за сертифициране се състои от националните надзорни органи за сертифициране (ННОС) от всяка държава членка.Органите са представени от своите ръководители или други високопоставени представители. При покана членове на Групата на заинтересованите страни в областта на сертифицирането може да бъдат поканени на заседанията на Групата и да участват в нейната работа.

Изменение    236

Предложение за регламент

Член 53 – параграф 3 – уводна част

Текст, предложен от Комисията

Изменение

3.  Групата има следните задачи:

3.  Групата на държавите членки за сертифициране има следните задачи:

Изменение    237

Предложение за регламент

Член 53 – параграф 3 – буква б

Текст, предложен от Комисията

Изменение

б)  да подпомага, консултира и сътрудничи на ENISA във връзка с подготовката на проекти за схеми съгласно член 44 от настоящия регламент;

б)  да подпомага, консултира и сътрудничи на Агенцията във връзка с подготовката на проекти за схеми съгласно член 44 от настоящия регламент;

Изменение    238

Предложение за регламент

Член 53 – параграф 3 – буква г a (нова)

Текст, предложен от Комисията

Изменение

 

га)  да приема препоръки за определяне на интервалите, през които националните надзорни органи за сертифициране да извършват проверки на сертификатите и самооценката на съответствието и на критериите, мащаба и обхвата на тези проверки, и да приема общи правила и стандарти за докладването в съответствие с член 50, параграф 6;

Изменение    239

Предложение за регламент

Член 53 – параграф 3 – буква д

Текст, предложен от Комисията

Изменение

д)  да проучва важните новости в областта на сертифицирането на киберсигурността и да обменя добри практики във връзка със схемите за сертифициране на киберсигурността;

д)  да проучва важните новости в областта на сертифицирането на киберсигурността и да обменя информация и добри практики във връзка със схемите за сертифициране на киберсигурността;

Изменение    240

Предложение за регламент

Член 53 – параграф 3 – буква e a (нова)

Текст, предложен от Комисията

Изменение

 

еа)  да улеснява привеждането на европейските схеми за киберсигурност в съответствие с международно признатите стандарти, включително като преразглежда съществуващите европейски схеми за киберсигурност и когато е уместно, като отправя препоръки до Агенцията да работи със съответните международни организации по стандартизация, за да се отстранят слабите страни или пропуските в наличните международно признати стандарти;

Изменение    241

Предложение за регламент

Член 53 – параграф 3 – буква e б (нова)

Текст, предложен от Комисията

Изменение

 

еб)  да създаде процес за партньорски проверки. В този процес се взема под внимание по-специално изискуемият технически експертен опит и знания на ННОС при изпълнението на задачите им, както са описани в членове 48 и 50, и при необходимост се включва разработването на документи с насоки и най-добри практики с цел подобряване на съответствието на ННОС с настоящия регламент.

Изменение    242

Предложение за регламент

Член 53 – параграф 3 – буква e в (нова)

Текст, предложен от Комисията

Изменение

 

ев)  да упражнява надзор върху наблюдаването и поддържането на сертификатите;

Изменение    243

Предложение за регламент

Член 53 – параграф 3 – буква e г (нова)

Текст, предложен от Комисията

Изменение

 

ег)  да вземе под внимание резултатите от консултацията със заинтересованите страни, проведена при изготвянето на проект за схема, в съответствие с член 44.

Изменение    244

Предложение за регламент

Член 53 – параграф 4

Текст, предложен от Комисията

Изменение

4.  Комисията председателства групата и осигурява нейния секретариат с помощта на ENISA, както е предвидено в член 8, буква а).

4.  Комисията председателства Групата на държавите членки за сертифициране и осигурява нейния секретариат с помощта на Агенцията, както е предвидено в член 8, буква а).

Изменение    245

Предложение за регламент

Член 53 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 53a

 

Право на ефективна съдебна защита срещу надзорен орган или орган за оценяване на съответствието

 

1.  Без да се засягат никои други административни или несъдебни средства за защита, всяко физическо или юридическо лице има право на ефективна съдебна защита:

 

а)  срещу засягащо го решение на орган за оценяване на съответствието или национален надзорен орган за сертифицирането, в това число, когато е приложимо, във връзка с издаването, неиздаването или признаването на европейски сертификат за киберсигурност, притежаван от въпросното лице; както и

 

б)  когато национален надзорен орган за сертифицирането не разглежда жалба, за която е компетентен.

 

2.  Производствата срещу орган за оценяване на съответствието или национален надзорен орган за сертифицирането се завеждат пред съдилищата на държавата членка, в която са установени органът за оценяване на съответствието или националният надзорен орган за сертифицирането.

Изменение    246

Предложение за регламент

Член 55 – параграф 2 a (нов)

Текст, предложен от Комисията

Изменение

 

2а.  При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

Изменение    247

Предложение за регламент

Член 55 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 55a

 

Упражняване на делегирането

 

1.   Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

 

2.   Правомощието да приема делегирани актове, посочено в членове 44 и 48а, се предоставя на Комисията за неопределен срок, считано от ... [датата на влизане в сила на основния законодателен акт].

 

3.   Делегирането на правомощието, посочено в членове 44а и 48а, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. Прекратяването поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга валидността на делегираните актове, които вече са в сила.

 

4.   Преди приемането на делегиран акт Комисията се консултира с експерти, определени от всяка държава членка в съответствие с принципите, залегнали в Междуинституционалното споразумение за по-добро законотворчество от 13 април 2016 г.

 

5.   Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета.

 

6.   Делегиран акт, приет в съответствие с членове 44 и 48а, влиза в сила само ако нито Европейският парламент, нито Съветът е представил възражения в срок от два месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок както Европейският парламент, така и Съветът са уведомили Комисията, че няма да представят възражения. Посоченият срок може да се удължи с [два месеца] по инициатива на Европейския парламент или на Съвета.

Изменение    248

Предложение за регламент

Член 56 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Не по-късно от пет години след датата, посочена в член 58, и на всеки пет години след това Комисията извършва оценка на въздействието и ефективността на работата на Агенцията и нейните работни практики, както и на евентуалната необходимост от изменение на мандата на Агенцията и финансовите последици от такова изменение. В оценката се взема предвид всякаква обратна информация, предоставена в Агенцията в отговор на нейните дейности. Ако Комисията сметне, че съществуването на Агенцията вече не е оправдано от гледна точка на възложените ѝ цели, мандат и задачи, тя може да предложи настоящият регламент да бъде изменен в частта му, свързана с Агенцията.

1.  Не по-късно от две години след датата, посочена в член 58, и на всеки две години след това Комисията извършва оценка на въздействието и ефективността на работата на Агенцията и нейните работни практики, както и на евентуалната необходимост от изменение на мандата на Агенцията и финансовите последици от такова изменение. В оценката се взема предвид всякаква обратна информация, предоставена в Агенцията в отговор на нейните дейности. Ако Комисията сметне, че съществуването на Агенцията вече не е оправдано от гледна точка на възложените ѝ цели, мандат и задачи, тя може да предложи настоящият регламент да бъде изменен в частта му, свързана с Агенцията.

Изменение    249

Предложение за регламент

Член 56 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Оценката също така разглежда въздействието и ефективността на разпоредбите на дял III по отношение на целите за осигуряване на адекватно ниво на киберсигурност на ИКТ продукти и услуги в Съюза и се подобряване на функционирането на вътрешния пазар.

2.  Оценката също така разглежда въздействието и ефективността на разпоредбите на дял III по отношение на целите за осигуряване на адекватно ниво на киберсигурност на ИКТ продукти, процеси и услуги в Съюза и се подобряване на функционирането на вътрешния пазар.

Изменение    250

Предложение за регламент

Член 56 – параграф 2 a (нов)

Текст, предложен от Комисията

Изменение

 

2а.  В оценката се преценява дали са необходими съществени изисквания по отношение на киберсигурността за достъп до вътрешния пазар, за да се предотврати влизането в пазара на Съюза на продукти, услуги и процеси, които не отговарят на основните изисквания в областта на киберсигурността.

Изменение    251

Предложение за регламент

Приложение -І (ново)

Текст, предложен от Комисията

Изменение

 

ПРИЛОЖЕНИЕ -І

 

При стартирането на Рамката на ЕС за сертифициране на киберсигурността съществува вероятност вниманието да се съсредоточи върху области от непосредствен интерес с цел преодоляване на предизвикателството, поставено от нововъзникващите технологии. Областта „интернет на нещата“ е от особен интерес, тъй като обхваща както потребителските изисквания, така и тези на индустрията. Предлага се приемането в рамката за сертифициране на следния списък с приоритети:

 

(1) Сертифициране на предоставянето на услуги в облак.

 

(2) Сертифициране на устройства, които са част от „интернет на нещата“, в това число:

 

а) устройства на индивидуално равнище, като интелигентни носими на тялото устройства;

 

б) устройства на общностно равнище, като интелигентни автомобили, интелигентни домове и медицински изделия;

 

в) устройства на равнището на цялото общество, като интелигентни градове и интелигентни енергийни мрежи.

 

(3) Промишленост 4.0, в която участват интелигентни, взаимосвързани кибер-физически системи, които автоматизират всички етапи от промишлените операции, от проектирането и производството до експлоатацията, веригата на доставки и сервизната поддръжка.

 

(4) Сертифициране на технологии и продукти, използвани в ежедневието. Такъв пример биха могли да са мрежовите устройства, като домашните интернет рутери.

Изменение    252

Предложение за регламент

Приложение I – параграф 1 – точка 5 а (нова)

Текст, предложен от Комисията

Изменение

 

5а.  Ако собственик или управляващ на орган за оценяване на съответствието е публичноправен субект или институция, се гарантират и документират независимостта и липсата на конфликт на интереси между надзорния орган за сертифициране, от една страна, и органа за оценяване на съответствието, от друга.

Изменение    253

Предложение за регламент

Приложение І – параграф 1 – точка 8

Текст, предложен от Комисията

Изменение

8.  Органът за оценяване на съответствието е в състояние да изпълнява всички задачи по оценяване на съответствието, които са му възложени по силата на настоящия регламент, независимо дали тези задачи се изпълняват от самия орган за оценяване на съответствието или от негово име и на негова отговорност.

8.  Органът за оценяване на съответствието е в състояние да изпълнява всички задачи по оценяване на съответствието, които са му възложени по силата на настоящия регламент, независимо дали тези задачи се изпълняват от самия орган за оценяване на съответствието или от негово име и на негова отговорност. Всяко възлагане на подизпълнители или консултиране на външен персонал надлежно се документира, не включва участието на посредници и е предмет на писмено споразумение, обхващащо, наред с другото, поверителността и конфликтите на интереси. Въпросният орган за оценяване на съответствието поема пълна отговорност за изпълняваните задачи.

Изменение    254

Предложение за регламент

Приложение І – параграф 1 – точка 12

Текст, предложен от Комисията

Изменение

12.  Безпристрастността на органите за оценяване на съответствието, тяхното висше ръководство и персонала, който извършва оценяването, е гарантирана.

12.  Безпристрастността на органите за оценяване на съответствието, тяхното висше ръководство, персонала и подизпълнителите, които извършват оценяването, трябва да е гарантирана.

Изменение    255

Предложение за регламент

Приложение І – параграф 1 – точка 15

Текст, предложен от Комисията

Изменение

15.  Персоналът на органа за оценяване на съответствието спазва служебна тайна по отношение на информацията, получена при изпълнение на неговите задачи съгласно настоящия регламент, или по силата на всяка разпоредба от вътрешното право, която го изисква, освен по отношение на компетентните органи на държавите членки, в които осъществява дейностите си.

15.  Органът за оценяване на съответствието и неговият персонал, комитети, дъщерни дружества, подизпълнители и всички други свързани органи или персонал на външни органи на органа за оценяване на съответствието поддържат поверителността и спазват служебна тайна по отношение на информацията, получена при изпълнение на техните задачи съгласно настоящия регламент, или по силата на всяка разпоредба от вътрешното право, която го изисква, освен когато оповестяването на информацията се изисква съгласно правото на Съюза или на държава членка, на което тези лица са обект, с изключение по отношение на компетентните органи на държавите членки, в които осъществяват дейностите си. Осигурява се защита на правата на собственост. Органът за оценяване на съответствието разполага с въведени документирани процедури във връзка с изискванията по настоящия раздел 15.

Изменение    256

Предложение за регламент

Приложение I – параграф 1 – точка 15 а (нова)

Текст, предложен от Комисията

Изменение

 

15а.  С изключение на точка 15, изискванията по настоящото приложение по никакъв начин не възпрепятстват обмена на техническа информация и насоки във връзка с нормативната уредба между орган за оценяване на съответствието и лице, кандидатстващо или обмислящо да кандидатства за сертифициране.

Изменение    257

Предложение за регламент

Приложение I – параграф 1 – точка 15 б (нова)

Текст, предложен от Комисията

Изменение

 

15б.  Органите за оценяване на съответствието извършват дейностите си съгласно набор от последователни, справедливи и разумни условия, като вземат предвид интересите на малките и средните предприятия по смисъла на Препоръка 2003/361/ЕО във връзка с таксите.

(1)

OВ C 227, 28.6.2018 г., стp. 86.


ИЗЛОЖЕНИЕ НА МОТИВИТЕ

Факт е, че глобалната цифрова революция се утвърждава и увеличава присъствието си в нашите икономики, общества и управленски органи – така че всички наши данни са уязвими. Потребителите, предприятията, институциите и демокрациите на местно, национално, европейско и световно равнище са ставали жертва на кибератаки, кибершпионаж и киберсаботаж и всички ние сме наясно, че тези явления ще нараснат значително през следващите години.

Милиарди устройства се свързват към интернет и взаимодействат на ново равнище и в нови мащаби. Тези устройства и свързаните с тях услуги може да подобрят живота на гражданите и нашите икономики. Но хората и организациите ще бъдат или ще станат пълноценно част от цифровия свят само ако имат доверие в цифровите технологии. За доверие се изисква устройствата, процесите и услугите, базирани на интернет на нещата, да са безопасни и сигурни.

За да се постигнат тези цели, Комисията предложи „Акта за киберсигурността“. Настоящият регламент е важна част и инструмент от новата стратегия на Европейския съюз за киберсигурност, чиято цел е Европа да се сдобие с дългосрочна визия за киберсигурността и да осигури доверието в цифровите технологии. Той трябва да се разглежда в контекста на вече действащото законодателство: ЕС вече създаде Европейската агенция за мрежова и информационна сигурност (ENISA) и прие директива за мрежова и информационна сигурност (Директивата за МИС), която в момента се транспонира от държавите членки.

„Актът за киберсигурността“ се състои от две части: В първата част се уточняват ролята и мандатът на ENISA с цел укрепване на Агенцията. Във втората част се въвежда европейска схема за киберсертифициране под формата на доброволна рамка за подобряване на сигурността на свързаните устройства и цифровите продукти и услуги.

Като цяло докладчикът приветства предложението на Комисията относно Европейския акт за киберсигурността, тъй като то е от ключово значение за свеждане до минимум на рисковете и заплахите за сигурността на информацията и мрежовите системи и за даване възможност потребителите да имат доверие и да се осланят на ИТ решенията, по-специално по отношение на интернет на нещата. Докладчикът твърдо вярва, че Европа може да стане основен фактор в киберсигурността. Европа разполага със силна индустриална база и поради това работата за подобряване на киберсигурността по отношение на потребителските стоки, промишлените приложения и критичната инфраструктура е в интерес както на потребителите, така и на индустрията.

Предложението на Комисията следва да бъде изменено и в двете си части – за ENISA и за сертифицирането.

По отношение на ENISA докладчикът счита, че е решаващо да се определи правилната рамка, ако искаме да има силна и добре функционираща агенция. Докладчикът приветства засилената роля на ENISA, която включва в този случай постоянен неин мандат и увеличение на бюджета и персонала, но е необходим и реалистичен подход, като се има предвид все още малкият брой експерти, наети от ENISA, в сравнение с броя на персонала в някои национални надзорни органи за сертифицирането. Задачата на ENISA следва да продължи да бъде да организира оперативно сътрудничество, като взема предвид експертния опит, придобит по Директивата за МИС, да продължи да подкрепя изграждането на капацитет в държавите членки и да бъде източник на информация. Освен това ENISA трябва да играе важна роля при създаването на европейски схеми за киберсигурност заедно с държавите членки и съответните заинтересовани страни.

По отношение на сертифицирането докладчикът подкрепя изясняването на обхвата на прилагане на предложението. Първо, не само продуктите и услугите следва да бъдат обхванати от този регламент, но и целият жизнен цикъл. По тази причина процесите също трябва да бъдат включени в обхвата на прилагане. От друга страна, областите на правомощия на държавите членки следва да бъдат изрично изключени, а именно когато става дума за обществената сигурност, отбраната, националната сигурност и областта на наказателното право.

Що се отнася до европейската схемата за киберсертифициране, докладчикът предлага да се предвиди в повече подробности подход, основан на риска, а не една унифицирана схема за сертифициране. Освен това докладчикът подкрепя доброволната система – но само за основно и за значително ниво на обезпеченост. За продукти, процеси или услуги, които спадат към най-високото ниво на обезпеченост, докладчикът счита, че е за предпочитане задължителна схема. Що се отнася до оценката на цифровите технологии, които спадат към основното ниво на обезпеченост, докладчикът предлага също така връзка към подхода за новата законодателна рамка. Това ще даде възможност за самооценка, по-евтина и по-малко обременителна система, която е доказала, че върши работа в различни специфични области.

Докладчикът счита, че производителят или доставчикът на ИКТ продукти, процеси и услуги следва да бъде задължен да издава задължителна декларация за продукта със структурирана информация относно сертифицирането, като посочва например възможността за актуализации или оперативната съвместимост на сертифицираните продукти, процеси или услуги. Това би осигурило полезна информация на потребителите при избора на устройство. Докладчикът предпочита подобна декларация за продукта в сравнение с етикет или маркировка, която може да бъде подвеждаща за потребителите.

Докладчикът е твърдо убеден, че управленската структура, предложена от Комисията, трябва да се усъвършенства, за да стане по-прозрачна за всички участващи заинтересовани страни. Поради това докладчикът предлага да се приеме многогодишната работна програма на Съюза, която набелязва общи действия, които да бъдат предприети на равнището на Съюза, и посочва областите, в които европейски схеми за сертифициране следва да бъдат установени приоритетно, както и нивото на еквивалентност на ноу-хау и експертни познания на оценяващите и надзорните органи в държавите членки. Засилено управление означава също така и по-силно участие на държавите членки и на индустрията в процеса на сертифициране: ролята на държавите членки може да бъде засилена, като „Групата“, създаден по силата на член 53 от предложението и съставена от националните надзорни органи за сертифицирането, се постави на равни начала с Комисията в процеса на изготвяне на схема за сертифициране. Групата също така ще трябва да одобрява проектите за европейски схеми. На трето място, следва да бъде засилено също така и участието на индустрията в процеса на сертифициране. Това може да се постигне чрез изясняване на състава на Постоянната група на заинтересованите лица и чрез създаване на ad-hoc консултативни групи от ENISA с цел получаване на допълнителен експертен опит и ноу-хау от индустрията и други съответни заинтересовани страни в процеса на сертифициране. Докладчикът счита, че всички тези мерки ще помогнат на МСП да участват много повече в процеса.

На последно място, за европейска система за сертифициране има нужда от по-силно участие на европейските организации по стандартизация, като например CEN и CENELEC, при разработването на нови схеми. Това би дало възможност съществуващите и общоприетите в световен мащаб международни стандарти да имат предимство.


СТАНОВИЩЕ на комисията по вътрешния пазар и защита на потребителите (22.5.2018)

на вниманието на комисията по промишленост, изследвания и енергетика

относно предложението за регламент на Европейския парламент и на Съвета относно ENISA — Агенцията на ЕС за киберсигурност, и за отмяна на Регламент (ЕС) № 526/2013, както и относно сертифицирането на киберсигурността на информационните и комуникационните технологии („Акт за киберсигурността“)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Докладчик по становище: (*) Никола Данти

(*)  Процедура с асоциирани комисии – член 54 от Правилника за дейността

КРАТКА ОБОСНОВКА

Киберсигурността в ерата на цифровите технологии е съществен елемент за икономическата конкурентоспособност и сигурността на Европейския съюз, както и за интегритета на нашите свободни и демократични общества и процесите, които ги подкрепят. Гарантирането на високо ниво на кибернетична устойчивост в целия ЕС е от съществено значение за постигането на доверие на потребителите в цифровия единен пазар и за по-нататъшното развитие на една по-иновативна и по-конкурентоспособна Европа.

Няма съмнение, че кибернетичните заплахи и глобалните кибератаки, като например „WannaCry“ и „Meltdown“, са въпроси с нарастващо значение в нашето общество, което все повече се цифровизира. Според проучване на Евробарометър, публикувано през юли 2017 г., 87% от анкетираните считат киберпрестъпността „за важно предизвикателство за вътрешната сигурност на ЕС“ и мнозинството от тях са „загрижени да не бъдат жертви на различни форми на киберпрестъпност“. Освен това от началото на 2016 г. всеки ден по света са извършени повече от 4 000 атаки с цел откуп, което представлява 300% увеличение от 2015 г. насам и засяга 80% от дружествата в ЕС. Тези факти и констатации ясно показват необходимостта ЕС да бъде по-устойчив и ефективен в борбата срещу кибернетичните атаки и да увеличава капацитета си за осигуряване на по-добра защита на европейските граждани, предприятия и публични институции.

Една година след влизането в сила на Директивата за мрежова и информационна сигурност Европейската комисия, в по-широката рамка на стратегията на ЕС за киберсигурност, представи регламент, чиято цел е повишаване на устойчивостта, възпирането и отбраната срещу атаки в киберпространството на ЕС. На 13 септември 2017 г. Комисията представи „Акта за киберсигурност“, основаващ се на два стълба:

1) постоянен и по-силен мандат за Европейската агенция за мрежова и информационна сигурност (ENISA) за подпомагане на държавите членки в ефективното предотвратяване и реагиране на кибернетични атаки, и 2) създаването на рамка на ЕС за сертифициране, за да се гарантира кибернетичната сигурност на ИКТ продукти и услуги.

Като цяло докладчикът приветства подхода, предложен от Европейската комисия, и по-конкретно подкрепя въвеждането в целия ЕС на схеми за сертифициране на киберсигурността, които целят увеличаване на сигурността на ИКТ продукти и услуги и избягване на скъпоструващата фрагментация на единния пазар в тази област от решаващо значение. Въпреки че първоначално тя следва да остане доброволен инструмент, докладчикът се надява, че рамката на ЕС за сертифициране на киберсигурността и свързаните с нея процедури ще се превърнат в необходим инструмент за укрепване на доверието на нашите граждани и потребители и увеличаване на сигурността на продуктите и услугите, които се разпространяват в рамките на единния пазар.

Наистина той е убеден също така, че редица точки от предложението следва да бъдат изяснени и подобрени:

•  На първо място повишаване на ангажираността на съответните заинтересовани страни в различните фази на управленската система за подготовката на проекти за схеми за сертифициране от ENISA: докладчикът счита, че е от съществено значение официално да се включат най-съответните заинтересовани страни, като например ИКТ индустрии, организации на потребителите, МСП, органите по стандартизация на ЕС и секторните агенции на ЕС и др., и да им се даде възможност да предлагат нови проекти за схеми, да предоставят съвети на ENISA на базата на експертния си опит, или да водят сътрудничество с ENISA при изготвянето на даден проект за схема.

•   На второ място е необходимо да се засили координиращата роля на Европейската група по сертифициране на киберсигурността (съставена от национални органи, с подкрепата на Комисията и на ENISA) с допълнителните задачи да предоставя стратегически насоки и да създаде работна програма по отношение на общи действия, които трябва да бъдат предприети на равнището на Съюза в областта на сертифицирането, както и да създаде и редовно да актуализира списък с приоритетни ИКТ продукти и услуги, за които тя счита, че е необходима европейска схема за сертифициране на киберсигурността.

·Докладчикът е твърдо убеден, че трябва да се избягва практиката за търсене на най-изгодния режим за сертифициране в ЕС, както вече се случи и в други сектори. Разпоредбите относно контрола и наблюдението на ENISA и националните надзорни органи за сертифициране трябва да бъдат значително засилени, за да се гарантира, че европейски сертификат, издаден в една държава членка, ще има същите стандарти и изисквания, както ако е издаден в друга държава членка. Поради това той предлага:

1) укрепване на правомощията за наблюдение на ENISA: заедно с групата за сертифициране ENISA следва да извършва оценки на процедурите, въведени от органите, които отговарят за издаването на сертификати на ЕС;

2) националните сертифициращи надзорни органи следва да извършват периодични оценки (най-малко на всеки две години) на сертификатите на ЕС, издадени от органите за оценка на съответствието;

3) въвеждане на общи задължителни критерии, които трябва да бъдат определени от Групата, за определяне на мащаба, обхвата и периодичността, с която националните надзорни органи за сертифициране следва да извършват оценките, посочени в точка 2.

·Докладчикът счита, че задължителен знак за доверие на ЕС следва да се въведе за сертифицирани ИКТ продукти и услуги, които са предназначени за крайните потребители. Този знак би могъл да спомогне за повишаване на информираността относно киберсигурността и ще даде на предприятията с добри постижения в областта на киберсигурността конкурентно предимство.

·Докладчикът е съгласен с единния и хармонизиран подход, възприет от Комисията, но е убеден, че той следва да бъде по-гъвкав и приспособим към специфичните характеристики и слабите места на всеки продукт или услуга, без уеднаквен подход. Поради това докладчикът счита, че нивата на обезпечаване на сигурност следва да бъдат преименувани и трябва да се използват също така, като се вземе предвид планираното използване на ИКТ продукти и услуги. Аналогично срокът на валидност на сертификата следва да бъде определян за всяка отделна схема.

·Всяка схема за сертифициране следва да бъде проектирана по такъв начин, че да стимулира и насърчава всички участници в съответния сектор да разработят и приемат стандарти за сигурност, технически норми и принципите „сигурност още при проектирането“ и „неприкосновеност на личния живот още при проектирането“ на всички етапи от жизнения цикъл на продукта или услугата.

ИЗМЕНЕНИЯ

Комисията по вътрешния пазар и защита на потребителите приканва водещата комисия по промишленост, изследвания и енергетика да вземе предвид следните изменения:

Изменение    1

Предложение за регламент

Съображение 1

Текст, предложен от Комисията

Изменение

(1)  Мрежовите и информационните системи и далекосъобщителните мрежи и услуги играят жизненоважна роля за обществото и са се превърнали в основата на икономическия растеж. Информационните и комуникационните технологии са в основата на сложните системи, които поддържат обществената активност, правят възможно функционирането на нашите икономики в основни сектори като здравеопазване, енергетика, финанси и транспорт, и по-специално поддържат функционирането на вътрешния пазар.

(1)  Мрежовите и информационните системи и далекосъобщителните мрежи и услуги играят жизненоважна роля за обществото и са се превърнали в основата на икономическия растеж. Информационните и комуникационните технологии (ИКТ) са в основата на сложните системи, които поддържат ежедневната обществена активност, правят възможно функционирането на нашите икономики в основни сектори като здравеопазване, енергетика, финанси и транспорт, и по-специално поддържат функционирането на вътрешния пазар.

Изменение    2

Предложение за регламент

Съображение 2

Текст, предложен от Комисията

Изменение

(2)  Използването на мрежовите и информационните системи от гражданите, предприятията и правителствата в целия Европейския съюз е вече повсеместно. Цифровизацията и свързаността се превръщат в основни характеристики на все по-голям брой продукти и услуги и с навлизането на „интернет на нещата“ се очаква на територията на ЕС през следващото десетилетие да има милиони, дори милиарди, свързани цифрови устройства. Въпреки нарастващия брой на устройствата, свързани към интернет, вграждането на сигурност и устойчивост в тях „още при проектирането“ все още не се извършва в задоволителен мащаб, което води до недостатъчно ниво на киберсигурността. В този контекст, ограниченото използване на сертифицирането води до недостиг на информация за потребителите (организации и частни лица) относно характеристиките на ИКТ продукти и услуги в областта на киберсигурността, като подкопава доверието в цифровите решения.

(2)  Използването на мрежовите и информационните системи от гражданите, предприятията и правителствата в целия Европейския съюз е вече повсеместно. Цифровизацията и свързаността се превръщат в основни характеристики на все по-голям брой продукти и услуги и с навлизането на „интернет на нещата“ се очаква на територията на ЕС през следващото десетилетие да има милиони, дори милиарди, свързани цифрови устройства. Въпреки нарастващия брой на устройствата, свързани към интернет, вграждането на сигурност и устойчивост в тях „още при проектирането“ все още не се извършва в задоволителен мащаб, което води до недостатъчно ниво на киберсигурността. В този контекст, ограниченото използване на сертифицирането води до недостиг на информация за потребителите (организации и частни лица) относно характеристиките на ИКТ продукти и услуги в областта на киберсигурността, като подкопава доверието в цифровите решения, което е жизненоважно за изграждането на цифровия единен пазар.

Изменение    3

Предложение за регламент

Съображение 3

Текст, предложен от Комисията

Изменение

(3)  Нарастването на цифровизацията и свързаността доведе до увеличаване на рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца. С цел да се смекчи този риск за обществото, трябва да бъдат предприети всички необходими действия за подобряване на киберсигурността в ЕС, за по-добра защита срещу киберзаплахи на мрежовите и информационните системи, далекосъобщителните мрежи, цифровите продукти, услуги и устройства, използвани от гражданите, правителствата и предприятията от МСП до операторите на критични инфраструктури.

(3)  Нарастването на цифровизацията и свързаността доведе до съществено увеличаване на рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца. Преобразяващата сила на изкуствения интелект и машинното самообучение ще се използва от обществото като цяло, но и от киберпрестъпниците. С цел да се смекчат тези рискове за обществото, трябва да бъдат предприети всички необходими действия за подобряване на сигурността срещу кибератаки в ЕС, за по-добра защита срещу киберзаплахи на мрежовите и информационните системи, далекосъобщителните мрежи, цифровите продукти, услуги и устройства, използвани от гражданите, правителствата и предприятията от МСП до операторите на критични инфраструктури.

Изменение    4

Предложение за регламент

Съображение 4

Текст, предложен от Комисията

Изменение

(4)  Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени защитни механизми. Независимо от факта обаче, че кибератаките често са трансгранични, политическият отговор на органите по киберсигурността и правоприлагащите правомощия са основно национални. Широкомащабните киберинциденти могат да нарушат предоставянето на важни услуги в целия ЕС. Това изисква ефективен отговор и ефективно управление на кризи на равнището на ЕС, които да се основават на специални политики и по-широкообхватни инструменти за европейска солидарност и взаимопомощ. Освен това редовното оценяване на състоянието на киберсигурността и устойчивостта в Съюза въз основа на надеждни данни на Съюза, както и систематичното прогнозиране на бъдещи развития, предизвикателства и заплахи както на равнище на Съюза, така и на световно равнище, е важно за разработчиците на политики, за промишлеността и потребителите.

(4)  Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени и по-сигурни защитни механизми. Независимо от факта обаче, че кибератаките често са трансгранични, политическият отговор на органите по киберсигурността и правоприлагащите правомощия са основно национални. Широкомащабните киберинциденти могат да нарушат предоставянето на важни услуги в целия ЕС. Това изисква ефективен отговор и ефективно управление на кризи на равнището на ЕС, които да се основават на специални политики и по-широкообхватни инструменти за европейска солидарност и взаимопомощ. Освен това редовното оценяване на състоянието на киберсигурността и устойчивостта в Съюза въз основа на надеждни данни на Съюза, както и систематичното прогнозиране на бъдещи развития, предизвикателства и заплахи както на равнище на Съюза, така и на световно равнище, е важно за разработчиците на политики, за промишлеността и потребителите.

Изменение    5

Предложение за регламент

Съображение 5

Текст, предложен от Комисията

Изменение

(5)  В светлината на предизвикателствата, пред които е изправен Съюзът в областта на киберсигурността, е необходим всеобхватен набор от мерки, който ще се основава на предходни действия на Съюза и ще насърчава взаимно подкрепящите се цели. Това включва необходимостта от допълнително подобряване на способностите и подготвеността на държавите членки и на предприятията, както и от подобряване на сътрудничеството и координацията между държавите членки и институциите, агенциите и органите на ЕС. Освен това, предвид трансграничния характер на киберзаплахите е необходимо да се доразвият способностите на равнището на Съюза, чрез които могат да се допълват действията на държавите членки, по-специално в случаите на мащабни трансгранични киберинциденти и киберкризи. Също така са необходими допълнителни усилия, за да се повиши информираността на гражданите и на предприятията по въпроси, свързани с киберсигурността. Освен това доверието в цифровия единен пазар следва да бъде допълнително подобрено, като се предоставя прозрачна информация за нивото на сигурност на ИКТ продукти и услуги. Това може да бъде улеснено чрез сертифициране на равнище ЕС, като се предоставят общи изисквания относно киберсигурността и общи критерии за оценка, независещи от националните пазари и секторите.

(5)  В светлината на предизвикателствата, пред които е изправен Съюзът в областта на киберсигурността, е необходим всеобхватен набор от мерки, който ще се основава на предходни действия на Съюза и ще насърчава взаимно подкрепящите се цели. Това включва необходимостта от допълнително подобряване на способностите и подготвеността на държавите членки и на предприятията, както и от подобряване на сътрудничеството и координацията между държавите членки и институциите, агенциите и органите на ЕС. Освен това, предвид трансграничния характер на киберзаплахите е необходимо да се доразвият способностите на равнището на Съюза, чрез които могат да се допълват действията на държавите членки, по-специално в случаите на мащабни трансгранични киберинциденти и киберкризи. Също така са необходими допълнителни усилия, за да се повиши информираността на гражданите и на предприятията по въпроси, свързани с киберсигурността. Освен това, като се има предвид, че киберинцидентите уронват доверието в доставчиците на цифрови услуги и в самия цифров единен пазар, особено сред потребителите, доверието следва да бъде допълнително подобрено, като се предоставя прозрачна информация за нивото на сигурност на ИКТ продукти и услуги. Това може да бъде улеснено чрез стандартизирано сертифициране на равнище ЕС, като се разчита на европейски или международни стандарти и се предоставят общи изисквания относно киберсигурността и общи критерии за оценка, независещи от националните пазари и секторите. Наред със сертифицирането за целия Съюз съществуват редица доброволни мерки, които частният сектор сам по себе си трябва да предприеме, за да укрепи доверието в сигурността на ИКТ продуктите и услугите, по-специално с оглед на нарастващата наличност на устройства, базирани на интернет на нещата. Така например следва да се използват по-ефективно криптирането и други технологии, както и технологиите за предотвратяване на успешни кибератаки, като например блокверига, с цел подобряване на сигурността на данните на крайните потребители и техните комуникации, както и на общата сигурност на мрежовите и информационните системи в Съюза.

Изменение    6

Предложение за регламент

Съображение 5 a (ново)

Текст, предложен от Комисията

Изменение

 

(5a)  Макар че сертифицирането и другите форми на оценка на съответствието на ИКТ процесите, продуктите и услугите играят важна роля, подобряването на киберсигурността изисква многостранен подход, който да обхваща хората, процесите и технологиите. ЕС следва да продължи да подчертава силно и да насърчава и други усилия, в т.ч. образование, обучение и развиване на умения относно киберсигурността; повишаване на осведомеността на равнището на изпълнителните и управителните органи на дружествата; насърчаване на доброволното споделяне на информация, свързана с киберзаплахи; и осъществяване на промяна в ЕС от реактивен към проактивен подход по отношение на реакцията спрямо заплахи, като се акцентира върху предотвратяването на успешни кибератаки.

Изменение    7

Предложение за регламент

Съображение 7

Текст, предложен от Комисията

Изменение

(7)  Съюзът вече предприе важни стъпки за гарантиране на киберсигурността и за повишаване на доверието в цифровите технологии. През 2013 г. беше приета стратегия на ЕС за киберсигурност, която да направлява политиката на Съюза в отговор на заплахите и рисковете в областта на киберсигурността. В усилията си да защити по-добре европейските граждани в онлайн средата, през 2016 г. Съюзът прие първия законодателен акт в областта на киберсигурността — Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза („Директива за МИС“). С Директивата за МИС бяха въведени изисквания по отношение на националните способности в областта на киберсигурността, бяха създадени първите механизми за засилване на стратегическото и оперативното сътрудничество между държавите членки и бяха въведени задължения относно мерките за сигурност и уведомяването за инциденти отвъд границите на отделните сектори, които са жизненоважни за икономиката и обществото, като например енергетиката, транспорта, водните ресурси, банковото дело, инфраструктурите на финансовия пазар, здравеопазването, цифровата инфраструктура, както и доставчиците на основни цифрови услуги (интернет търсачки, услуги за изчисления в облак и платформи за онлайн търговия). ENISA получи основна роля в областта на подпомагането на изпълнението на директивата. В допълнение, ефективна борба срещу киберпрестъпността е важен приоритет в Европейската програма за сигурност, като допринася за общата цел за постигане на високо равнище на киберсигурността.

(7)  Съюзът вече предприе важни стъпки за гарантиране на киберсигурността и за повишаване на доверието в цифровите технологии. През 2013 г. беше приета стратегия на ЕС за киберсигурност, която да направлява политиката на Съюза в отговор на заплахите и рисковете в областта на киберсигурността. В усилията си да защити по-добре европейските граждани в онлайн средата, през 2016 г. Съюзът прие първия законодателен акт в областта на киберсигурността — Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза („Директива за МИС“). С Директивата за МИС, чийто успех ще зависи особено много от ефективното прилагане от държавите членки, бяха въведени изисквания по отношение на националните способности в областта на киберсигурността, бяха създадени първите механизми за засилване на стратегическото и оперативното сътрудничество между държавите членки и бяха въведени задължения относно мерките за сигурност и уведомяването за инциденти отвъд границите на отделните сектори, които са жизненоважни за икономиката и обществото, като например енергетиката, транспорта, водните ресурси, банковото дело, инфраструктурите на финансовия пазар, здравеопазването, цифровата инфраструктура, както и доставчиците на основни цифрови услуги (интернет търсачки, услуги за изчисления в облак и платформи за онлайн търговия). ENISA получи основна роля в областта на подпомагането на изпълнението на директивата. В допълнение, ефективна борба срещу киберпрестъпността е важен приоритет в Европейската програма за сигурност, като допринася за общата цел за постигане на високо равнище на киберсигурността.

Изменение    8

Предложение за регламент

Съображение 11

Текст, предложен от Комисията

Изменение

(11)  Като се има предвид нарастващият брой на предизвикателствата в областта на киберсигурността, пред които е изправен Съюзът, предоставените на Агенцията финансови и човешки ресурси следва да бъдат увеличени, така че да отразяват нейната разширена роля, нейните задачи, както и нейната ключова позиция в екосистемата на организациите, които защитават европейската цифрова екосистема.

(11)  Като се има предвид нарастващият брой на заплахите и предизвикателствата в областта на киберсигурността, пред които е изправен Съюзът, предоставените на Агенцията финансови и човешки ресурси следва да бъдат увеличени, така че да отразяват нейната разширена роля, нейните задачи, както и нейната ключова позиция в екосистемата на организациите, които защитават европейската цифрова екосистема.

Изменение    9

Предложение за регламент

Съображение 28

Текст, предложен от Комисията

Изменение

(28)  Агенцията следва да допринася за повишаването на обществената осведоменост относно рисковете, свързани с киберсигурността, и да предлага насоки и добри практики за отделните потребители, насочени към гражданите и организациите. Агенцията следва също така да допринася за насърчаване на най-добрите практики и решения на равнището на отделни лица и организации, като събира и анализира обществено достъпна информация относно значителни инциденти и изготвя доклади, с цел да се предоставят насоки за предприятията и гражданите и да се подобри цялостното ниво на подготвеност и устойчивост. Освен това Агенцията следва да организира, в сътрудничество с институциите, органите, службите и агенциите на Съюза и държавите членки, редовни разяснителни и обществени образователни кампании за крайните потребители, насочени към насърчаването на по-безопасно индивидуално поведение онлайн и повишаване на осведомеността относно потенциалните заплахи в киберпространството, включително относно киберпрестъпления като фишинг, ботмрежи, финансови и данъчни измами, а също така насочени към разпространението на основни съвети относно автентификацията и защитата на данните. Агенцията следва да играе централна роля за по-бързото осведомяване на крайните ползватели относно сигурността на изделията.

(28)  Агенцията следва да допринася за повишаването на обществената осведоменост относно рисковете, свързани с киберсигурността, и да предлага насоки и добри практики за отделните потребители, насочени към гражданите и организациите. Агенцията следва също така да допринася за насърчаване на най-добрите практики и решения за киберхигиена, което означава прости рутинни мерки, които отделни лица и организации могат да вземат за свеждане до минимум на рисковете от киберзаплахи, като например многофакторна автентификация, коригиране на грешките, криптиране и управление на достъпа. Агенцията следва да прави това, като събира и анализира обществено достъпна информация относно значителни инциденти и изготвя и публикува доклади и ръководства, с цел да се предоставят насоки за предприятията и гражданите и да се подобри цялостното ниво на подготвеност и устойчивост. Освен това Агенцията следва да организира, в сътрудничество с институциите, органите, службите и агенциите на Съюза и държавите членки, редовни разяснителни и обществени образователни кампании за крайните потребители, насочени към насърчаването на по-безопасно индивидуално поведение онлайн и повишаване на осведомеността относно мерките, които могат да се вземат за предпазване от потенциалните заплахи в киберпространството, включително относно киберпрестъпления като фишинг, атаки със софтуер за изнудване, хакерски атаки, ботмрежи, финансови и данъчни измами, а също така насочени към разпространението на основни съвети относно многофакторната автентификация, криптирането, коригирането на грешки, принципите на управление на достъпа, защитата на данните и други технологии, повишаващи сигурността и неприкосновеността на личния живот, както и инструменти за анонимизация. Агенцията следва да играе централна роля за по-бързото осведомяване на крайните ползватели относно сигурността на изделията и сигурното ползване на услуги, като насърчава сигурността още при проектирането на равнище ЕС, което е от основно значение за подобряването на сигурността на свързаните устройства, особено за уязвимите крайни потребители, включително деца, както и неприкосновеността на личния живот още при проектирането. Агенцията следва да насърчава всички крайни потребители да предприемат подходящите стъпки за предотвратяване и свеждане до минимум на влиянието на инциденти, засягащи сигурността на техните мрежови и информационни системи. Следва да се създадат партньорства с академичните институции, които поемат научноизследователски инициативи в съответните области на киберсигурността.

Изменение    10

Предложение за регламент

Съображение 35

Текст, предложен от Комисията

Изменение

(35)  Агенцията следва да насърчава държавите членки и доставчиците на услуги да повишават общите си стандарти за сигурност, така че всички потребители на интернет да вземат необходимите мерки за гарантиране на собствената си киберсигурност. По-специално, доставчиците на услуги и създателите на продукти следва да оттеглят или рециклират продукти и услуги, които не отговарят на стандартите за киберсигурност. В сътрудничество с компетентните органи, ENISA може да разпространява информация относно равнището на киберсигурността на продуктите и услугите, предлагани на вътрешния пазар, и да отправя предупреждения по отношение на доставчиците и производителите и да изисква от тях да подобрят сигурността, включително киберсигурността, на своите продукти и услуги.

(35)  Агенцията следва да насърчава държавите членки и доставчиците на услуги да повишават общите си стандарти за сигурност, така че всички потребители на интернет да вземат необходимите мерки за гарантиране на собствената си киберсигурност. По-специално, доставчиците на услуги и създателите на продукти следва да оттеглят или рециклират продукти и услуги, които не отговарят на стандартите за киберсигурност. В сътрудничество с компетентните органи, ENISA може да разпространява информация относно равнището на киберсигурността на продуктите и услугите, предлагани на вътрешния пазар, и да отправя предупреждения по отношение на доставчиците и производителите и да изисква от тях да подобрят сигурността, включително киберсигурността, на своите продукти и услуги. ENISA следва да оповестява публично такива предупреждения на уебсайта, предназначен да предоставя информация относно схемите за сертифициране. Агенцията следва да изготви насоки относно минималните изисквания за сигурност за ИТ устройства, продавани в или изнасяни от Съюза. Тези насоки биха могли да призовават производителите да предоставят писмена декларация, потвърждаваща, че дадено изделие не съдържа хардуерни, софтуерни или фърмуерни компоненти с каквито и да е известни използваеми слабости по отношение на сигурността, нито непроменима или некриптирана парола или код за достъп, че то е пригодено за приемане на ползващи се с доверие и надлежно автентифицирани актуализации на сигурността, че реакцията на продавачите на засегнато устройство включва подходяща йерархия на средствата за правна защита и че търговците информират крайните потребители, когато изтича поддържането на сигурността за такова устройство.

Изменение    11

Предложение за регламент

Съображение 36 a (ново)

Текст, предложен от Комисията

Изменение

 

(36 a)  Стандартите са доброволен, определян от потребностите на пазара инструмент, предоставящ технически изисквания и насоки, резултат от открит, прозрачен и приобщаващ процес. Използването на стандарти улеснява съответствието на стоки и услуги с правото на Съюза и подкрепя европейските политики в съответствие с Регламент (ЕС) № 1025/2012 относно европейската стандартизация. Агенцията следва редовно да се консултира и да работи в сътрудничество с европейските организации за стандартизация, по-специално при изготвянето на европейските схеми за сертифициране на киберсигурността.

Изменение    12

Предложение за регламент

Съображение 44

Текст, предложен от Комисията

Изменение

(44)  Агенцията следва да разполага с Постоянна група на заинтересованите страни в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации и други подходящи заинтересовани страни. Постоянната група на заинтересованите страни, сформирана от управителния съвет по предложение на изпълнителния директор, следва да се съсредоточи върху въпроси, засягащи заинтересованите страни, и да насочва вниманието на Агенцията към тях. Съставът на Постоянната група на заинтересованите страни и задачите, които ѝ се възлагат по-конкретно предоставянето на консултации относно проекта на работната програма следва да гарантират достатъчна степен на представяне на заинтересованите страни в работата на Агенцията.

(44)  Агенцията следва да разполага с Постоянна група на заинтересованите страни в ролята на консултативен орган, за да се гарантира редовен диалог с частния сектор, потребителските организации, академичната общност и други подходящи заинтересовани страни. Постоянната група на заинтересованите страни, сформирана от управителния съвет по предложение на изпълнителния директор, следва да се съсредоточи върху въпроси, засягащи заинтересованите страни, и да насочва вниманието на Агенцията към тях. С цел да се осигури подходящо участие на заинтересованите страни в рамката за сертифициране на киберсигурността, Постоянната група на заинтересованите страни следва също така да дава съвети относно това кои ИКТ продукти и услуги трябва да бъдат включени в бъдещите европейски схеми за сертифициране на киберсигурността, и следва да отправи предложения до Комисията да поиска от Агенцията да подготви проекти за схеми за тези ИКТ продукти и услуги, или по своя собствена инициатива, или след представяне на предложения от съответни заинтересовани страни. Съставът на Постоянната група на заинтересованите страни и задачите, които ѝ се възлагат по-конкретно предоставянето на консултации относно проекта на работната програма следва да гарантират ефикасно и справедливо представяне на заинтересованите страни в работата на Агенцията.

Изменение    13

Предложение за регламент

Съображение 46

Текст, предложен от Комисията

Изменение

(46)  За да се гарантира пълната автономност и независимост на Агенцията и за да може тя да изпълнява допълнителни и нови задачи, включително непредвидени задачи в спешни случаи, на Агенцията следва да бъде предоставен достатъчен и автономен бюджет, чиито приходи се набавят най-вече чрез вноска на Съюза и вноски на трети държави, вземащи участие в работата на Агенцията. По-голямата част от персонала на Агенцията следва да е пряко ангажирана с оперативното изпълнение на мандата на Агенцията. Приемащата държава членка или всяка друга държава членка следва да могат да правят доброволни вноски към приходите на Агенцията. Бюджетната процедура на Съюза следва да остане приложима по отношение на всякакви субсидии, платими от общия бюджет на Съюза. Освен това Сметната палата следва да одитира финансовите отчети на Агенцията, за да се гарантират прозрачност и отчетност.

(46)  За да се гарантира пълната автономност и независимост на Агенцията и за да може тя да изпълнява допълнителни и нови задачи, включително непредвидени задачи в спешни случаи, на Агенцията следва да бъде предоставен достатъчен и автономен бюджет, чиито приходи се набавят най-вече чрез вноска на Съюза и вноски на трети държави, вземащи участие в работата на Агенцията. По-голямата част от персонала на Агенцията следва да е пряко ангажирана с оперативното изпълнение на мандата на Агенцията. Приемащата държава членка или всяка друга държава членка следва да могат да правят доброволни вноски към приходите на Агенцията. Бюджетната процедура на Съюза следва да остане приложима по отношение на всякакви субсидии, платими от общия бюджет на Съюза. Освен това Сметната палата следва да одитира финансовите отчети на Агенцията, за да се гарантират прозрачност, отчетност, ефикасност и ефективност на разходите.

Изменение    14

Предложение за регламент

Съображение 47

Текст, предложен от Комисията

Изменение

(47)  Оценяването на съответствието е процесът, който показва дали са били изпълнени конкретните изисквания, свързани с продукта, процеса, услугата, подсистемата, физическото или юридическото лице. За целите на настоящия регламент сертифицирането следва да се счита за един вид оценяване на съответствието по отношение на свързаните с киберсигурността характеристики на даден продукт, процес, услуга, система, или комбинация от тях („ИКТ продукти и услуги“) от независима трета страна, различна от създателя на продукта или услугата. Сертифицирането само по себе си не може да гарантира, че сертифицираните ИКТ продукти и услуги са сигурни по отношение на киберзаплахите. То е само процедура и техническа методика за удостоверяване, че ИКТ продуктите и услугите са изследвани и отговарят на определени изисквания, свързани с киберсигурността, които са определени другаде, например в технически стандарти.

(47)  Оценяването на съответствието е процесът, който показва дали са били изпълнени конкретните изисквания, свързани с продукта, процеса, услугата, подсистемата, физическото или юридическото лице. За целите на настоящия регламент сертифицирането следва да се счита за един вид оценяване на съответствието по отношение на свързаните с киберсигурността характеристики и практики, включени в даден продукт, процес, услуга, система, или комбинация от тях („ИКТ продукти и услуги“) от независима трета страна, или чрез процедура на самостоятелна декларация за съответствие. Сертифицирането само по себе си не може да гарантира, че сертифицираните ИКТ продукти и услуги са сигурни по отношение на киберзаплахите, и крайният потребител следва да е запознат с това. То е само процедура и техническа методика за удостоверяване, че ИКТ продуктите и услугите, както и основните процеси и системи са изследвани и отговарят на определени изисквания, свързани с киберсигурността, които са определени другаде, например в технически стандарти.

Изменение    15

Предложение за регламент

Съображение 48

Текст, предложен от Комисията

Изменение

(48)  Сертифицирането на киберсигурността играе важна роля за повишаването на доверието в ИКТ продуктите и услугите и на тяхната сигурност. Цифровият единен пазар, и по-конкретно основаващата се на данни икономика и „интернет на нещата“, могат да функционират успешно само ако обществото като цяло е уверено, че тези продукти и услуги предоставят определено ниво на обезпеченост в областта на киберсигурността. Свързаните автомобили и автомобилите с автоматично управление, електронните медицински устройства, системите за управление на промишлената автоматизация или интелигентните енергийни мрежи са само някои от примерите за сектори, в които сертифицирането вече широко се използва или е вероятно да бъде използвано в близко бъдеще. Секторите, регулирани от Директивата за МИС, са също така сектори, в които сертифицирането на киберсигурността е от ключово значение.

(48)  Европейското сертифициране на киберсигурността играе съществена роля за повишаването на доверието в ИКТ продуктите и услугите и на тяхната сигурност. Цифровият единен пазар, и по-конкретно основаващата се на данни икономика и „интернет на нещата“, могат да функционират успешно само ако обществото като цяло е уверено, че тези продукти и услуги предоставят високо ниво на обезпеченост в областта на киберсигурността. Свързаните автомобили и автомобилите с автоматично управление, електронните медицински устройства, системите за управление на промишлената автоматизация или интелигентните енергийни мрежи са само някои от примерите за сектори, в които сертифицирането вече широко се използва или е вероятно да бъде използвано в близко бъдеще. Секторите, регулирани от Директивата за МИС, са също така сектори, в които сертифицирането на киберсигурността е от ключово значение.

Изменение    16

Предложение за регламент

Съображение 50

Текст, предложен от Комисията

Изменение

(50)  Понастоящем сертифицирането на киберсигурността на ИКТ продукти и услуги се използва само в ограничена степен. Ако има такова, то се осъществява предимно на равнището на държавите членки или в рамките на секторно обусловени схеми. В тези условия сертификат, издаден от един национален орган в областта на киберсигурността, по принцип не се признава от другите държави членки. Поради това може да се наложи предприятията да сертифицират своите продукти и услуги в няколко държави членки, в които развиват дейност, например с цел да участват в националните процедури за възлагане на обществени поръчки. Освен това, въпреки че се появяват нови схеми, изглежда няма съгласуван и цялостен подход по отношение на хоризонталните въпроси, свързани с киберсигурността, например в сферата на „интернет на нещата“. Действащите схеми проявяват съществени недостатъци и различия по отношение на продуктовия обхват, нивата на обезпеченост, съществените критерии и фактическото използване.

(50)  Понастоящем сертифицирането на киберсигурността на ИКТ продукти и услуги се използва само в ограничена степен. Ако има такова, то се осъществява предимно на равнището на държавите членки или в рамките на секторно обусловени схеми. В тези условия сертификат, издаден от един национален орган в областта на киберсигурността, по принцип не се признава от другите държави членки. Поради това може да се наложи предприятията да сертифицират своите продукти и услуги в няколко държави членки, в които развиват дейност, например с цел да участват в националните процедури за възлагане на обществени поръчки, като по този начин увеличават разходите си. Освен това, въпреки че се появяват нови схеми, изглежда няма съгласуван и цялостен подход по отношение на хоризонталните въпроси, свързани с киберсигурността, например в сферата на „интернет на нещата“. Действащите схеми проявяват съществени недостатъци и различия по отношение на продуктовия обхват, нивата на основана на риска обезпеченост, съществените критерии и фактическото използване.

Изменение    17

Предложение за регламент

Съображение 52

Текст, предложен от Комисията

Изменение

(52)  С оглед на посоченото по-горе е необходимо да се въведе Европейска рамка на сертифициране на киберсигурността, която да определя основните хоризонтални изисквания за европейските схеми за сертифициране на киберсигурност, които ще бъдат разработени, и да дава възможност сертификатите за ИКТ продукти и услуги да бъдат признавани и използвани във всички държави членки. Европейската рамка следва да има две цели: от една страна, тя следва да спомогне за повишаване на доверието в ИКТ продуктите и услугите, които са били сертифицирани по такива схеми. От друга страна тя следва да предотврати увеличаването на броя на противоречащи си или припокриващи се национални сертификати за киберсигурност и по този начин да намали разходите за предприятията, упражняващи дейност на единния цифров пазар. Схемите следва да бъдат недискриминационни и да се основават на международни стандарти и/или стандарти на Съюза, освен ако тези стандарти са неефективни или неподходящи за изпълнението на легитимните цели на ЕС в това отношение.

(52)  С оглед на посоченото по-горе е необходимо да се възприеме общ подход и да се въведе Европейска рамка на сертифициране на киберсигурността, която да определя основните хоризонтални изисквания за европейските схеми за сертифициране на киберсигурност, които ще бъдат разработени, и да дава възможност сертификатите за ИКТ продукти и услуги да бъдат признавани и използвани във всички държави членки. По този начин е от съществено значение да се гради върху съществуващи национални и международни схеми, както и върху системи за взаимно признаване, по-специално SOG-IS, и да се даде възможност за плавен преход от съществуващите схеми по такива системи към схеми по новата европейска рамка. Европейската рамка следва да има две цели: от една страна, тя следва да спомогне за повишаване на доверието в ИКТ продуктите и услугите, които са били сертифицирани по такива схеми. От друга страна тя следва да предотврати увеличаването на броя на противоречащи си или припокриващи се национални сертификати за киберсигурност и по този начин да намали разходите за предприятията, упражняващи дейност на единния цифров пазар. Когато европейско сертифициране на киберсигурността замени национална схема, сертификатите, издадени съгласно европейската схема, следва да се приемат за валидни в случаите, когато сертифицирането е било изисквано съгласно национална схема. Схемите следва да се ръководят от принципа „сигурност още при проектирането“ и от принципите, посочени в Регламент (EС) 2016/679. Те също така следва да бъдат недискриминационни и да се основават на международни стандарти и/или стандарти на Съюза, освен ако тези стандарти са неефективни или неподходящи за изпълнението на легитимните цели на ЕС в това отношение.

Изменение    18

Предложение за регламент

Съображение 52 a (ново)

Текст, предложен от Комисията

Изменение

 

(52a)  Европейската рамка на сертифициране на киберсигурността следва да се въведе по еднообразен начин във всички държави членки, за да се избегне практиката за търсене на най-изгодния режим за сертифициране поради ценови разлики или различия в изисквания между държавите членки.

Изменение    19

Предложение за регламент

Съображение 55

Текст, предложен от Комисията

Изменение

(55)  Целта на европейските схеми за сертифициране на киберсигурността следва да бъде да се гарантира, че ИКТ продуктите и услугите, сертифицирани по такава схема, съответстват на специфицираните изисквания. Тези изисквания засягат тяхната способност да устояват — при определено ниво на обезпеченост — на действия, които имат за цел да нарушат наличността, автентичността, целостта и поверителността на съхраняваните, предавани или обработвани данни, или на свързаните с тях функции или услуги, предлагани непосредствено от тези продукти, процеси, услуги и системи или достъпни чрез тях, по смисъла на настоящия регламент. Не е възможно в настоящия регламент да се определят подробно изискванията във връзка с киберсигурността на всички ИКТ продукти и услуги. ИКТ продуктите и услугите и техните потребности във връзка с киберсигурността са толкова разнообразни, че е много трудно да се формулират общи изисквания в областта на киберсигурността, които да са общовалидни. Поради това е необходимо да се приеме широко и общо понятие за киберсигурността за целите на сертифицирането, което да се допълва от набор от конкретни цели, свързани с киберсигурността, които трябва да бъдат вземани предвид при разработването на европейските схеми за сертифициране на киберсигурността. Условията, при които тези цели ще бъдат постигани при конкретни ИКТ продукти и услуги, следва да бъдат допълнително уточнявани в подробности на нивото на всяка отделна схема за сертифициране, приемана от Комисията, например чрез позоваване на стандарти или технически спецификации.

(55)  Целта на европейските схеми за сертифициране на киберсигурността следва да бъде да се допринесе за висока степен на защита на крайните потребители и на европейската конкурентоспособност и повишаване на равнището на сигурност в рамките на цифровия единен пазар, и по-специално да се гарантира, че ИКТ продуктите и услугите, сертифицирани по схема, съответстват на специфицираните изисквания. Тези изисквания засягат тяхната способност да устояват — при определено ниво на обезпеченост — на действия, които имат за цел да нарушат наличността, автентичността, целостта и поверителността на съхраняваните, предавани или обработвани данни, или на свързаните с тях функции или услуги, предлагани непосредствено от тези процеси, продукти, услуги и системи или достъпни чрез тях, по смисъла на настоящия регламент. Не е възможно в настоящия регламент да се определят подробно изискванията във връзка с киберсигурността на всички ИКТ продукти и услуги. ИКТ продуктите и услугите и техните потребности във връзка с киберсигурността са толкова разнообразни, че е много трудно да се формулират общи изисквания в областта на киберсигурността, които да са общовалидни. Поради това е необходимо да се приеме широко и общо понятие за киберсигурността за целите на сертифицирането, което да се допълва от набор от конкретни цели, свързани с киберсигурността, които трябва да бъдат вземани предвид при разработването на европейските схеми за сертифициране на киберсигурността. Условията, при които тези цели ще бъдат постигани при конкретни ИКТ продукти и услуги, следва да бъдат допълнително уточнявани в подробности на нивото на всяка отделна схема за сертифициране, приемана от Комисията, например чрез позоваване на стандарти или технически спецификации. От първостепенно значение е всяка схема за сертифициране да бъде проектирана по такъв начин, че да стимулира и насърчава всички участници в съответния сектор да разработят и приемат стандарти за сигурност, технически норми и принципи „сигурност още при проектирането“ на всички етапи от жизнения цикъл на продукта или услугата. Когато схемата за сертифициране предвижда маркировки или знаци, трябва да бъдат формулирани условията, при които те могат да бъдат използвани. Знакът, който би могъл да бъде под формата на цифрово лого или QR код, би обозначил рисковете, свързани с функционирането и използването на ИКТ продукти и услуги, и следва да бъде ясен и лесно разбираем за крайния потребител.

Изменение    20

Предложение за регламент

Съображение 55 a (ново)

Текст, предложен от Комисията

Изменение

 

(55a)  Предвид тенденциите към иновации и все по-голямата достъпност и непрекъснато нарастващия брой устройства, базирани на интернет на нещата, във всички сектори на обществото, трябва да се обърне специално внимание на сигурността на всички и дори на най-опростените продукти, базирани на интернет на нещата. Ето защо, тъй като сертифицирането е основен метод за повишаване на доверието в пазара и за повишаване на сигурността и устойчивостта, в новата рамка на ЕС за сертифициране на киберсигурността трябва да се постави акцент върху продукти и услуги, базирани на интернет на нещата, с цел да станат по-малко уязвими и по-безопасни за потребителите и предприятията.

Изменение    21

Предложение за регламент

Съображение 56

Текст, предложен от Комисията

Изменение

(56)  На Комисията следва да бъде предоставено правомощието да изисква от ENISA да подготвя проекти за схеми за отделни ИКТ продукти или услуги. Комисията следва да бъде оправомощена да приема посредством актове за изпълнение европейски схеми за сертифициране на киберсигурността въз основава на проекти за схеми, предложени от ENISA. Като се вземат предвид общата цел и целите, свързани със сигурността, определени в настоящия регламент, в европейските схеми за сертифициране на киберсигурността, приемани от Комисията, следва да бъде определен минимален набор от елементи по отношение на предмета, обхвата и функционирането на дадена схема. Те следва да включват, наред с другото, обхвата и предмета на сертифицирането на киберсигурността, включително обхванатите категории ИКТ продукти и услуги, подробна спецификация на изискванията в областта на киберсигурността, например чрез позоваване на стандарти или технически спецификации, конкретните критерии и методи за оценка, както и желаното ниво на обезпеченост: основно, значително и/или високо.

(56)  ENISA следва да поддържа специален уебсайт с лесен за ползване онлайн инструмент, който да съдържа информация относно приетите схеми, проектите за схеми и схемите, поискани от Комисията. Като се вземат предвид общата цел и целите, свързани със сигурността, определени в настоящия регламент, в европейските схеми за сертифициране на киберсигурността, приемани от Комисията, следва да бъде определен минимален набор от елементи по отношение на предмета, обхвата и функционирането на дадена схема. Те следва да включват, наред с другото, обхвата и предмета на сертифицирането на киберсигурността, включително обхванатите категории ИКТ продукти и услуги, подробна спецификация на изискванията в областта на киберсигурността, например чрез позоваване на стандарти или технически спецификации, конкретните критерии и методи за оценка, свързани с функционирането и използването на ИКТ продукт, процес или услуга, присъщия им риск, както и желаното ниво на обезпеченост: функционално сигурни, тоест нива на обезпеченост, имащи функционална степен на сигурност, значително сигурни, висока степен на сигурност, или каквато и да е комбинация от тях. Нивата на обезпеченост не трябва да предполагат абсолютна сигурност, за да не подвеждат крайния потребител. Освен това трябва да се взема предвид целият жизнен цикъл на продукта. С цел да се изясни на кои рискове даден продукт или услуга е проектиран така, че да може да устои, ENISA следва да координира изготвянето на списък за определяне на рисковете, които ИКТ процес, продукт или услуга се очаква да срещнат от дадена категория потребители в определена среда.

Изменение    22

Предложение за регламент

Съображение 56 a (ново)

Текст, предложен от Комисията

Изменение

 

(56 a)  На Комисията следва да бъде предоставено правомощието да изисква от ENISA да подготвя проекти за схеми за отделни ИКТ продукти или услуги. Правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз следва да се делегира на Комисията по отношение на създаването на европейски схеми за сертифициране на киберсигурността за ИКТ продукти и услуги. От особена важност е при своята работа Комисията да провежда подходящи консултации, включително на експертно равнище, и тези консултации да се провеждат в съответствие с принципите, посочени в Междуинституционалното споразумение от 13 април 2016 г. за по-добро законотворчество. По-специално с цел осигуряване на равностойно участие в подготовката на делегираните актове, Европейският парламент и Съветът следва да получават всички документи по едно и също време като експертите на държавите членки, и техните експерти следва системно да имат достъп до срещите на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове. Когато приема тези делегирани актове, Комисията следва да основава схемите за сертифициране на киберсигурността за ИКТ продукти и услуги върху съответните проекти за схеми, предложени от ENISA. Това се прави, за да се подкрепи доверието и предсказуемостта и за повишаване на обществената осведоменост във връзка с рамката за сертифициране на киберсигурността.

Изменение    23

Предложение за регламент

Съображение 56 б (ново)

Текст, предложен от Комисията

Изменение

 

(56б)  Измежду методите и процедурите за оценка, свързани с всяка европейска схема за сертифициране на киберсигурността, на равнището на Съюза следва да се насърчават етичните хакерски атаки, чиято цел е да локализират слабостите и уязвимите точки на устройствата и информационните системи, като се предвиждат очакваните действия и уменията на злонамерени хакери.

Изменение    24

Предложение за регламент

Съображение 58

Текст, предложен от Комисията

Изменение

(58)  След като дадена европейски схема за сертифициране на киберсигурността бъде приета, производителите на ИКТ продукти или доставчиците на ИКТ услуги следва да могат да подават заявления за сертифициране на своите продукти или услуги до орган за оценяване на съответствието по техен избор. Органите за оценяване на съответствието следва да се акредитират от орган по акредитация, ако отговарят на конкретни изисквания, определени в настоящия регламент. Акредитацията следва да се издава за максимален срок от пет години и може да бъде подновявана при същите условия, ако органът за оценяване на съответствието отговаря на изискванията. Органите по акредитация следва да отнемат акредитацията на органа за оценяване на съответствието, ако условията за акредитация не са били спазени или вече не се спазват, или ако органът за оценяване на съответствието е предприел действия, които нарушават разпоредбите на настоящия регламент.

(58)  След като дадена европейски схема за сертифициране на киберсигурността бъде приета, производителите на ИКТ продукти или доставчиците на ИКТ услуги следва да могат да подават заявления за сертифициране на своите процеси, продукти или услуги до орган за оценяване на съответствието по техен избор, или да декларират сами, че техните продукти или услуги са в съответствие със съответната европейска схема за сертифициране на киберсигурността. Органите за оценяване на съответствието следва да се акредитират от орган по акредитация, ако отговарят на конкретни изисквания, определени в настоящия регламент. Акредитацията следва да се издава за максимален срок от пет години и може да бъде подновявана при същите условия, ако органът за оценяване на съответствието отговаря на изискванията. Органите по акредитация следва да отнемат акредитацията на органа за оценяване на съответствието, ако условията за акредитация не са били спазени или вече не се спазват, или ако органът за оценяване на съответствието е предприел действия, които нарушават разпоредбите на настоящия регламент. С оглед да се гарантира, че акредитацията се осъществява по еднакъв начин в целия Европейски съюз, националните надзорни органи за сертифициране следва да бъдат подлагани на партньорска проверка на процедурите за проверка на съответствието на продуктите, които са предмет на сертифициране в областта на киберсигурността.

Изменение    25

Предложение за регламент

Съображение 59

Текст, предложен от Комисията

Изменение

(59)  Трябва да се изиска от всички държави членки да определят по един надзорен орган за сертифицирането на киберсигурността, който да упражнява надзор дали органите за оценяване на съответствието и сертификатите, издавани от такива органи, установени на тяхната територия, отговарят на изискванията на настоящия регламент и на съответните схеми за сертифициране на киберсигурността. Националните надзорни органи за сертифициране следва да разглеждат жалбите, подадени от физически или юридически лица по отношение на сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия, да разследват в необходимата степен предмета на жалбата и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок. Освен това те следва да си сътрудничат с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или на конкретни европейски схеми за сертифициране на киберсигурността.

(59)  Трябва да се изиска от всички държави членки да определят по един надзорен орган за сертифицирането на киберсигурността, който да упражнява надзор дали органите за оценяване на съответствието и сертификатите, издавани от такива органи, установени на тяхната територия, отговарят на изискванията на настоящия регламент и на съответните схеми за сертифициране на киберсигурността. Националните надзорни органи за сертифициране следва да разглеждат жалбите, подадени от физически или юридически лица по отношение на сертификатите, издадени от органите за оценяване на съответствието, установени на тяхна територия, да разследват в необходимата степен предмета на жалбата и информират жалбоподателя за напредъка и резултатите от разследването в разумен срок. Освен това те следва да си сътрудничат с други национални надзорни органи за сертифицирането или други публични органи, включително чрез споделяне на информация за възможни несъответствия на ИКТ продукти и услуги с изискванията на настоящия регламент или на конкретни европейски схеми за сертифициране на киберсигурността. Освен това те следва да осъществяват надзор и да проверяват съответствието на самостоятелните декларации за съответствие, както и че европейските сертификати за киберсигурност са издадени от органите за оценяване на съответствието с посочените в настоящия регламент изисквания, включително правилата, приети от Европейската група за сертифициране на киберсигурността, и изискванията, посочени в съответната европейска схема за сертифициране на киберсигурността. Ефективното сътрудничество между националните надзорни органи за сертифициране е от съществено значение за правилното прилагане на европейските схеми за сертифициране на киберсигурността и на техническите въпроси, свързани с киберсигурността на ИКТ продукти и услуги. Комисията следва да улесни обмена на информация чрез предоставяне на обща електронна информационна система за подпомагане, например Информационната и комуникационна система за надзор на пазара (ICSMS) и системата за бързо предупреждение за опасни нехранителни продукти (RAPEX), които вече се използват от органите за надзор на пазара съгласно Регламент (ЕО) № 765/2008.

Изменение    26

Предложение за регламент

Съображение 63

Текст, предложен от Комисията

Изменение

(63)  За целите на допълнителното конкретизиране на критериите за акредитиране на органите за оценяване на съответствието, на Комисията следва да се делегира правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. Комисията следва да провежда подходящи консултации, включително на експертно равнище, по време на подготвителната си работа. Тези консултации следва да се провеждат в съответствие с принципите, заложени в Междуинституционалното споразумение за по-добро законотворчество от 13 април 2016 г. По-специално, с цел осигуряване на равно участие при подготовката на делегирани актове, Европейският парламент и Съветът следва да получават всички документи едновременно с експертите от държавите членки, като техните експерти получават систематично достъп до заседанията на експертните групи на Комисията, занимаващи се с подготовката на делегираните актове.

заличава се

Изменение    27

Предложение за регламент

Съображение 65

Текст, предложен от Комисията

Изменение

(65)  За приемането на актове за изпълнение относно европейските схеми за сертифициране на киберсигурността на ИКТ продукти и услуги следва да се използва процедурата по разглеждане; по отношение на условията за провеждане на разследвания от страна на Агенцията; както и по отношение на обстоятелствата, форматите и процедурите за уведомяване на Комисията относно органи за оценяване на съответствието от националните надзорни органи за сертифицирането.

(65)  За приемането на актове за изпълнение относно европейските схеми за сертифициране на киберсигурността на ИКТ процеси, продукти и услуги следва да се използва процедурата по разглеждане; по отношение на условията за провеждане на разследвания от страна на Агенцията; както и по отношение на обстоятелствата, форматите и процедурите за уведомяване на Комисията относно органи за оценяване на съответствието от националните надзорни органи за сертифицирането, като се взема предвид доказаната ефективност на инструмента за електронно нотифициране NANDO (New Approach Notified and Designated Organisations).

Изменение    28

Предложение за регламент

Съображение 66

Текст, предложен от Комисията

Изменение

(66)  Дейностите на Агенцията следва да бъдат оценявани от независим орган. При оценката следва да се има предвид постигането на целите от страна на Агенцията, нейните работни практики и значимостта на задачите ѝ. В оценката следва също така да се разглеждат въздействието, ефективността и ефикасността на Европейската рамка за сертифициране на киберсигурността.

(66)  Дейностите на Агенцията следва да бъдат оценявани от независим орган. Оценката следва да включва легитимността и ефективността на разходите на Агенцията, нейната ефикасност при постигането на целите ѝ и описание на нейните работни практики и значимостта на задачите ѝ. В оценката следва също така да се разглеждат въздействието, ефективността и ефикасността на Европейската рамка за сертифициране на киберсигурността.

Изменение    29

Предложение за регламент

Член 2 – параграф 1 – точка 11

Текст, предложен от Комисията

Изменение

(11)  „ИКТ продукт и услуга“ означава елемент или група елементи на мрежовите и информационните системи;

(11)  „ИКТ процес, продукт и услуга“ означава продукт, услуга, процес, система или комбинация от такива елементи – елемент на мрежовите и информационните системи;

 

(Настоящото изменение се прилага в целия текст. Приемането му ще наложи съответните промени в целия текст.)

Изменение    30

Предложение за регламент

Член 2 – параграф 1 – точка 11 a (нова)

Текст, предложен от Комисията

Изменение

 

(11 a)  „национален надзорен орган за сертифициране“ означава орган на държава членка, отговорен за извършването на наблюдение, правоприлагане и надзорни задачи във връзка със сертифицирането на киберсигурността на нейна територия;

Изменение    31

Предложение за регламент

Член 2 – параграф 1 – точка 16 a (нова)

Текст, предложен от Комисията

Изменение

 

(16а)  „самостоятелна декларация за съответствие“ означава изявление на производителя, което удостоверява, че неговите ИКТ процеси, продукти или услуги съответстват на посочените европейски схеми за сертифициране на киберсигурността.

Изменение    32

Предложение за регламент

Член 3 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Агенцията поема задачите, възложени ѝ с настоящия регламент, с цел да допринесе за постигане на високо равнище на киберсигурността в Съюза.

1.  Агенцията поема задачите, възложени ѝ с настоящия регламент, с цел да допринесе за постигане на високо единно равнище на киберсигурността, с цел предотвратяване на кибератаките в Съюза, за намаляване на фрагментирането на вътрешния пазар и подобряване на неговото функциониране.

Изменение    33

Предложение за регламент

Член 4 – параграф 5

Текст, предложен от Комисията

Изменение

5.  Агенцията повишава способностите в областта на киберсигурността на равнището на Съюза, за да допълни дейността на държавите членки за предотвратяването на киберзаплахи и реакцията спрямо тях, особено в случаи на трансгранични инциденти.

5.  Агенцията допринася за повишаването на способностите в областта на киберсигурността на равнището на Съюза, за да допълни и укрепи дейността на държавите членки за предотвратяването на киберзаплахи и реакцията спрямо тях, особено в случаи на трансгранични инциденти.

Изменение    34

Предложение за регламент

Член 4 – параграф 6

Текст, предложен от Комисията

Изменение

6.  Агенцията насърчава използването на сертифициране, включително като допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС съгласно дял III от настоящия регламент, с цел постигане на повече прозрачност на обезпечаването на киберсигурността на ИКТ продукти и услуги и за укрепване на доверието в цифровия вътрешен пазар.

6.  Агенцията насърчава използването на сертифициране и в същото време избягва фрагментирането, причинено от липсата на координация между съществуващите схеми за сертифициране в Съюза. Агенцията допринася за създаването и поддържането на мрежа за сертифициране на киберсигурността на равнище ЕС съгласно членове 43 – 54 [дял III], с цел постигане на повече прозрачност на обезпечаването на киберсигурността на ИКТ продукти и услуги и за укрепване на доверието в цифровия единен пазар.

Изменение    35

Предложение за регламент

Член 4 – параграф 7

Текст, предложен от Комисията

Изменение

7.  Агенцията насърчава високо равнище на осведоменост на гражданите и на предприятията по въпросите на киберсигурността.

7.  Агенцията насърчава високо равнище на осведоменост на гражданите, органите и на предприятията по въпросите на киберсигурността.

Изменение    36

Предложение за регламент

Член 5 – параграф 1 – точка 1

Текст, предложен от Комисията

Изменение

1.  подпомага и консултира, особено посредством представяне на независими становища и подготвителна работа по разработването и прегледа на политиката и законодателството на Съюза в областта на киберсигурността, както и специфични за сектора политически и законодателни инициативи, засягащи въпросите на киберсигурността;

1.  подпомага и консултира по разработването и прегледа на политиката и законодателството на Съюза в областта на киберсигурността, както и специфични за сектора политически и законодателни инициативи, засягащи въпросите на киберсигурността;

Обосновка

Агенцията следва да разполага със свободен избор на инструменти за изпълнението на своите задачи.

Изменение    37

Предложение за регламент

Член 5 – параграф 1 – точка 2 a (нова)

Текст, предложен от Комисията

Изменение

 

2a.  подпомага Европейския комитет по защита на данните, създаден с Регламент (ЕС) 2016/679, в разработването на насоки, с които на техническо равнище да се определят условията, при които се разрешава законна употреба на лични данни от администратори на данни за целите на ИТ сигурността, за да се защитава тяхната инфраструктура като се откриват и блокират атаки срещу техните информационни системи в контекста на: i) Регламент (EС) 2016/6791a; ii) Директива (EС) 2016/1148; и iii) Директива 2002/58/EО;

 

_________________

 

1a Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

 

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (OВ L 119, 4.5.2016, стр. 1).

 

Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1).

Обосновка

Създаване на подходящи механизми за сътрудничество.

Изменение    38

Предложение за регламент

Член 5 – параграф 1 – точка 4 – точка 2

Текст, предложен от Комисията

Изменение

(2)  насърчаването на повишено равнище на сигурност на електронните съобщения, включително чрез предоставяне на експертен опит и консултации и улесняване на обмена на най-добри практики между компетентните органи;

(2)  насърчаването на повишено равнище на сигурност на електронните съобщения, съхраняването и обработването на данни, включително чрез предоставяне на експертен опит и консултации и улесняване на обмена на най-добри практики между компетентните органи;

Изменение    39

Предложение за регламент

Член 6 – параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

 

2a.  Агенцията улеснява създаването и започването на дългосрочен европейски проект за киберсигурност в подкрепа на растежа на независима промишленост на ЕС за киберсигурност и за интегриране на киберсигурността във всички дейности на ЕС за развитие в областта на ИКТ.

Обосновка

ENISA следва да предоставя съвети на законодателите относно изготвянето на политики, които да дадат възможност на ЕС да настигне промишлеността за ИТ сигурност в трети страни. Проектът следва да бъде сравним по мащаб с това, което вече беше постигнато във въздухоплавателната промишленост (например „Еърбъс“). Това е необходимо, за да се развие по-силна, суверенна и надеждна ИКТ промишленост на ЕС (вж. Отдел за научни прогнози (STOA), проучване, PE 614.531).

Изменение    40

Предложение за регламент

Член 7 – параграф 5 – алинея 1

Текст, предложен от Комисията

Изменение

По искане на две или повече заинтересовани държави членки и единствено с цел консултация за предотвратяване на бъдещи инциденти, Агенцията осигурява подпомагане или извършва последваща техническа проверка след уведомленията от засегнатите предприятия за инциденти със значително или съществено въздействие съгласно Директива (ЕС) 2016/1148. Агенцията също така осъществява такава проверка при надлежно обосновано искане от Комисията със съгласието на засегнатите държави членки в случай на инциденти, засягащи интересите на повече от две държави членки.

По искане на една или повече заинтересовани държави членки и единствено с цел консултация за предотвратяване на бъдещи инциденти, Агенцията осигурява подпомагане или извършва последваща техническа проверка след уведомленията от засегнатите предприятия за инциденти със значително или съществено въздействие съгласно Директива (ЕС) 2016/1148. Агенцията също така осъществява такава проверка при надлежно обосновано искане от Комисията със съгласието на засегнатите държави членки в случай на инциденти, засягащи интересите на повече от две държави членки.

Изменение    41

Предложение за регламент

Член 7 – параграф 8 – буква а

Текст, предложен от Комисията

Изменение

а)  обобщаване на доклади от национални източници с цел да допринесе за общата ситуационна осведоменост;

а)  обобщаване на доклади от национални и международни източници с цел да допринесе за общата ситуационна осведоменост;

Изменение    42

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 1 а (нова)

Текст, предложен от Комисията

Изменение

 

(1a)  извършване, в сътрудничество с Европейската група по сертифициране на киберсигурността, на оценки на процедурите за издаване на сертификати за киберсигурност, въведени от органите за оценяване на съответствието, посочени в член 51, с оглед да се гарантира еднакво прилагане на настоящия регламент от органите за оценяване на съответствието при издаването на сертификати;

Изменение    43

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 1 б (нова)

Текст, предложен от Комисията

Изменение

 

(1б)  извършване на независими периодични последващи проверки относно съответствието на сертифицираните ИКТ продукти и услуги с европейските схеми за сертифициране на киберсигурността;

Изменение    44

Предложение за регламент

Член 8 – параграф 1 – буква а – точка 3

Текст, предложен от Комисията

Изменение

(3)  съставя и публикува насоки и разработва добри практики относно изискванията за киберсигурност на ИКТ продукти и услуги съвместно с националните надзорни органи по сертифицирането и с отрасъла;

(3)  съставя и публикува насоки и разработва добри практики, включително относно принципите на киберхигиената и възпирането на тайните възможности за достъп, относно изискванията за киберсигурност на ИКТ продукти и услуги съвместно с националните надзорни органи по сертифицирането и с отрасъла в рамките на официален, стандартизиран и прозрачен процес;

Изменение    45

Предложение за регламент

Член 8 – параграф 1 – буква б

Текст, предложен от Комисията

Изменение

б)  улеснява въвеждането и използването на европейски и международни стандарти за управление на риска и за сигурността на ИКТ продукти и услуги, и също така съвместно с държавите членки съставя препоръки и насоки по отношение на техническите области, свързани с изискванията за сигурност за операторите на основни услуги и доставчиците на цифрови услуги, както и по отношение на вече съществуващите стандарти, включително националните стандарти на държавите членки, съгласно член 19, параграф 2 от Директива (ЕС) 2016/1148;

б)  консултира се с международните органи по стандартизация и европейските организации по стандартизация за развитието на европейските стандарти, за да гарантира подходящи стандарти, използвани в европейските схеми за сертифициране на киберсигурността, и улеснява въвеждането и използването на съответни европейски и международни стандарти за управление на риска и за сигурността на ИКТ продукти и услуги, и също така съвместно с държавите членки съставя препоръки и насоки по отношение на техническите области, свързани с изискванията за сигурност за операторите на основни услуги и доставчиците на цифрови услуги, както и по отношение на вече съществуващите стандарти, включително националните стандарти на държавите членки, съгласно член 19, параграф 2 от Директива (ЕС) 2016/1148;

Изменение    46

Предложение за регламент

Член 8 – параграф 1 – буква б a (нова)

Текст, предложен от Комисията

Изменение

 

ба)  изготвя насоки относно начина и момента, в който държавите членки трябва да се уведомяват една друга, щом получат информация за уязвима точка, която не е публично известна в ИКТ процес, продукт или услуга, сертифицирана в съответствие с Дял III от настоящия регламент, включително насоки за координация на политиките в областта на разкриването на уязвими точки;

Изменение    47

Предложение за регламент

Член 8 – параграф 1 – буква б б (нова)

Текст, предложен от Комисията

Изменение

 

бб)  изготвя насоки относно минималните изисквания за сигурност за ИТ устройства, пускани на пазара в Съюза или изнасяни от Съюза;

Изменение    48

Предложение за регламент

Член 9 – параграф 1 – буква г

Текст, предложен от Комисията

Изменение

г)  събира, организира и предоставя на разположение на обществеността чрез специален портал осигурена от институциите, агенциите и органите на Съюза информация относно киберсигурността;

г)  събира, организира и предоставя на разположение на обществеността чрез специален портал осигурена от институциите, агенциите и органите на Съюза информация относно киберсигурността, включително информация относно значителни инциденти, свързани с киберсигурността, и груби нарушения в областта на данните;

Изменение    49

Предложение за регламент

Член 9 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  повишава обществената осведоменост относно рисковете за киберсигурността и предлага насоки и добри практики за отделните потребители, насочени към гражданите и организациите;

д)  повишава обществената осведоменост относно рисковете за киберсигурността, предлага насоки и добри практики за потребителите, насочени към гражданите и организациите, и насърчава приемането на превантивни силни мерки за ИТ сигурност и надеждна защита на данните и неприкосновеността на личния живот;

Изменение    50

Предложение за регламент

Член 9 – параграф 1 – буква ж a (нова)

Текст, предложен от Комисията

Изменение

 

(ж а)  подкрепя по-тясното сътрудничество и обмена на най-добри практики между държавите членки в областта на образованието относно киберсигурността, киберхигиената и осведомеността;

Изменение    51

Предложение за регламент

Член 10 – параграф 1 – буква а

Текст, предложен от Комисията

Изменение

а)  консултира Съюза и държавите членки относно нуждата от научни изследвания в областта на киберсигурността, с което съдейства за ефективна реакция на настоящите и нововъзникващите рискове и заплахи, както и относно нови и нововъзникващи информационни и комуникационни технологии и ефективното използване на технологиите за предотвратяване на риска;

а)  осигурява предварителна консултация със съответните потребителски групи и консултира Съюза и държавите членки относно нуждата от научни изследвания в областта на киберсигурността, с което съдейства за ефективна реакция на настоящите и нововъзникващите рискове и заплахи, както и относно нови и нововъзникващи информационни и комуникационни технологии и ефективното използване на технологиите за предотвратяване на риска;

Изменение    52

Предложение за регламент

Член 13 – параграф 1

Текст, предложен от Комисията

Изменение

1.  Съставът на управителния съвет включва по един представител на всяка държава членка и двама представители, назначени от Комисията. Всеки от представителите има право на глас.

1.  Съставът на управителния съвет включва по един представител на всяка държава членка и двама представители, назначени от Комисията и Европейския парламент. Всеки от представителите има право на глас.

Изменение    53

Предложение за регламент

Член 14 – параграф 1 – буква д

Текст, предложен от Комисията

Изменение

д)  оценява и приема консолидирания годишен доклад за дейностите на Агенцията и изпраща доклада и неговата оценка най-късно до 1 юли на следващата година на Европейския парламент, Съвета, Комисията и Сметната палата. Годишният доклад включва отчетите и описва как Агенцията е изпълнила своите показатели за изпълнение. Годишният доклад е обществено достъпен;

д)  оценява и приема консолидирания годишен доклад за дейностите на Агенцията и изпраща доклада и неговата оценка най-късно до 1 юли на следващата година на Европейския парламент, Съвета, Комисията и Сметната палата. Годишният доклад включва отчетите, описва ефективността на разходите и оценява колко ефикасна е била Агенцията и до каква степен е изпълнила своите показатели за изпълнение. Годишният доклад е обществено достъпен;

Изменение    54

Предложение за регламент

Член 14 – параграф 1 – буква м

Текст, предложен от Комисията

Изменение

м)  назначава изпълнителния директор и при необходимост удължава срока на мандата му или го отстранява от длъжност в съответствие с член 33 от настоящия регламент;

м)  назначава изпълнителния директор чрез избор въз основа на професионални критерии и при необходимост удължава срока на мандата му или го отстранява от длъжност в съответствие с член 33 от настоящия регламент;

Изменение    55

Предложение за регламент

Член 14 – параграф 1 – буква о

Текст, предложен от Комисията

Изменение

о)  взема всички решения относно създаването на вътрешната структура на Агенцията и при необходимост относно нейното изменение, като взема под внимание нуждите за дейността на Агенцията, както и доброто бюджетно управление;

о)  взема всички решения относно създаването на вътрешната структура на Агенцията и при необходимост относно нейното изменение, като взема под внимание нуждите за дейността на Агенцията, посочени в настоящия регламент, както и доброто бюджетно управление;

Изменение    56

Предложение за регламент

Член 19 – параграф 2

Текст, предложен от Комисията

Изменение

2.  Изпълнителният директор докладва на Европейския парламент относно изпълнението на своите задължения, когато бъде поканен да направи това. Съветът може да покани изпълнителния директор да докладва за изпълнението на своите задължения.

2.  Изпълнителният директор докладва ежегодно на Европейския парламент относно изпълнението на своите задължения или когато бъде поканен да направи това. Съветът може да покани изпълнителния директор да докладва за изпълнението на своите задължения.

Изменение    57

Предложение за регламент

Член 20 – параграф 1

Текст, предложен от Комисията

Изменение

1.  По предложение на изпълнителния директор управителният съвет учредява Постоянна група на заинтересовани страни, съставена от доказани експерти, представляващи съответните заинтересовани страни, например отрасъла на ИКТ, доставчиците на обществени електронни съобщителни мрежи или услуги, потребителски групи, академични експерти в областта на киберсигурността и представители на компетентните органи, нотифицирани съгласно [Директивата за установяване на Европейски кодекс за електронни съобщения], както и правоприлагащите органи и надзорните органи за защита на данните.

1.  По предложение на изпълнителния директор управителният съвет учредява Постоянна група на заинтересовани страни, съставена от доказани експерти, представляващи съответните заинтересовани страни, например отрасъла на ИКТ и доставчиците на обществени електронни съобщителни мрежи или услуги, по-конкретно европейския ИКТ отрасъл и доставчици, сдружения на малки и средни предприятия, потребителски групи и сдружения, академични експерти в областта на киберсигурността, европейските организации по стандартизация, както са определени в точка 8 от член 2 от Регламент (ЕС) № 1025/2012, съответните секторни агенции и органи на Съюза и представители на компетентните органи, нотифицирани съгласно [Директивата за установяване на Европейски кодекс за електронни съобщения], както и правоприлагащите органи и надзорните органи за защита на данните.

Изменение    58

Предложение за регламент

Член 20 – параграф 4

Текст, предложен от Комисията

Изменение

4.  Мандатът на членовете на Постоянната група на заинтересованите страни е с продължителност две години и половина. Членовете на управителния съвет не могат да бъдат членове на Постоянната група на заинтересованите страни. Експертите на Комисията и от държавите членки имат право да присъстват на заседанията на Постоянната група на заинтересованите страни и да участват в нейната работа. Представители на други органи, които не са членове на Постоянната група на заинтересованите страни, но които изпълнителният директор счита за подходящи, могат да бъдат поканени да присъстват н