ZPRÁVA k návrhu nařízení Evropského parlamentu a Rady o agentuře ENISA, Evropské agentuře pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)

30.7.2018 - (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)) - ***I

Výbor pro průmysl, výzkum a energetiku
Zpravodajka: Angelika Niebler
Navrhovatel (*):
Nicola Danti, Výbor pro vnitřní trh a ochranu spotřebitelů
(*) Přidružený výbor – článek 54 jednacího řádu


Postup : 2017/0225(COD)
Průběh na zasedání
Stadia projednávání dokumentu :  
A8-0264/2018
Předložené texty :
A8-0264/2018
Přijaté texty :

NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU

k návrhu nařízení Evropského parlamentu a Rady o agentuře ENISA, Evropské agentuře pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Řádný legislativní postup: první čtení)

Evropský parlament,

–  s ohledem na návrh Komise předložený Evropskému parlamentu a Radě (COM(2017)0477),

–  s ohledem na čl. 294 odst. 2 a článek 114 Smlouvy o fungování Evropské unie, v souladu s nimiž Komise předložila svůj návrh Parlamentu (C8-0310/2017),

–  s ohledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,

–  s ohledem na stanovisko Evropského hospodářského a sociálního výboru ze dne 14. února 2018[1],

–  s ohledem na článek 59 jednacího řádu,

–   s ohledem na odůvodněné stanovisko předložené francouzským Senátem v rámci protokolu č. 2 o používání zásad subsidiarity a proporcionality uvádějící, že návrh legislativního aktu není v souladu se zásadou subsidiarity,

–  s ohledem na zprávu Výboru pro průmysl, výzkum a energetiku a na stanoviska Výboru pro vnitřní věci a ochranu spotřebitelů, Rozpočtového výboru a Výboru pro občanské svobody, spravedlnost a vnitřní věci (A8-0264/2018),

1.  přijímá níže uvedený postoj v prvním čtení;

2.  vyzývá Komisi, aby věc znovu postoupila Parlamentu, jestliže svůj návrh nahradí jiným textem, podstatně jej změní nebo má v úmyslu jej podstatně změnit;

3.  pověřuje svého předsedu, aby předal postoj Parlamentu Radě, Komisi a také parlamentům členských států.

Pozměňovací návrh    1

Návrh nařízení

Bod odůvodnění 1

Znění navržené Komisí

Pozměňovací návrh

(1)  Sítě, informační systémy a telekomunikační sítě a služby mají zásadní význam pro společnost a staly se páteří hospodářského růstu. Informační a komunikační technologie podporuje komplexní systémy, které podporují společenské činnosti, udržují v chodu naše ekonomiky v klíčových odvětvích jako například zdravotnictví, energetika, finančnictví a doprava, a zejména podporují fungování vnitřního trhu.

(1)  Sítě, informační systémy a telekomunikační sítě a služby mají zásadní význam pro společnost a staly se páteří hospodářského růstu. Informační a komunikační technologie (IKT) jsou základem komplexních systémů, které podporují běžné společenské činnosti, udržují v chodu naši ekonomiku v klíčových odvětvích, jako je například zdravotnictví, energetika, finančnictví a doprava, a zejména podporují fungování vnitřního trhu.

Pozměňovací návrh    2

Návrh nařízení

Bod odůvodnění 2

Znění navržené Komisí

Pozměňovací návrh

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů a služeb IKT, což narušuje důvěru v digitální řešení.

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů, procesů a služeb IKT, což narušuje důvěru v digitální řešení. Tento cíl je hlavním bodem reformního programu Evropské komise zaměřeného na vytvoření jednotného digitálního trhu, neboť sítě IKT poskytují základ pro digitální produkty a služby, které mají potenciál podporovat všechny aspekty našeho života a být hybnou silou hospodářského růstu v Evropě. Aby se zajistilo dosažení veškerých cílů jednotného digitálního trhu, musejí fungovat základní technické stavební kameny, na které se spoléhají důležité oblasti, jako je elektronické zdravotnictví (eHealth), internet věcí, umělá inteligence, kvantová technologie či inteligentní dopravní systémy a pokročilé výrobní technologie.

Pozměňovací návrh    3

Návrh nařízení

Bod odůvodnění 3

Znění navržené Komisí

Pozměňovací návrh

(3)  Nárůst digitalizace a propojenosti vede k nárůstu kybernetických bezpečnostních rizik, což způsobuje, že společnost jako celek je zranitelnější vůči kybernetickým hrozbám a zhoršujícím se nebezpečím, s nimiž se setkávají jednotliví uživatelé včetně zranitelných osob, jako jsou děti. Za účelem zmírnění těchto rizik pro společnost je třeba přijmout veškerá opatření potřebná ke zlepšení kybernetické bezpečnosti v EU, aby byly sítě a informační systémy, telekomunikační sítě, digitální produkty, služby a zařízení používané občany, vládami a podniky – od malých a středních podniků až po provozovatele kritických infrastruktur – lépe chráněny před kybernetickými hrozbami.

(3)  Nárůst digitalizace a propojenosti vede k nárůstu kybernetických bezpečnostních rizik, což způsobuje, že společnost jako celek je zranitelnější vůči kybernetickým hrozbám a zhoršujícím se nebezpečím, s nimiž se setkávají jednotliví uživatelé včetně zranitelných osob, jako jsou děti. Za účelem zmírnění těchto rizik pro společnost je třeba přijmout veškerá opatření potřebná ke zlepšení kybernetické bezpečnosti v EU, aby byly sítě a informační systémy, telekomunikační sítě, digitální produkty, služby a zařízení používané občany, vládami a podniky – od malých a středních podniků až po provozovatele životně důležité infrastruktury – lépe chráněny před kybernetickými hrozbami. V tomto ohledu je akční plán digitálního vzdělávání, který Evropská komise zveřejnila dne 17. ledna 2018, krokem správným směrem, zejména celoevropská informační kampaň zaměřená na pedagogy, rodiče a účastníky vzdělávání, která má podpořit on-line bezpečnost, kybernetickou hygienu a mediální gramotnost, a iniciativa týkající se výuky kybernetické bezpečnosti vycházející z rámce digitálních kompetencí pro občany, jejímž cílem je umožnit lidem, aby techniku používali s důvěrou a odpovědným způsobem.

Pozměňovací návrh    4

Návrh nařízení

Bod odůvodnění 3 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(3a)  Domnívá se, že cíle a úkoly agentury ENISA by měly více odpovídat společnému sdělení, pokud jde o jeho odkaz na podporu kybernetické hygieny a informovanosti. Konstatuje, že kybernetické odolnosti lze dosáhnout zavedením základních zásad kybernetické hygieny.

Pozměňovací návrh    5

Návrh nařízení

Bod odůvodnění 3 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(3b)  Agentura ENISA by měla podnikům EU v oblasti kybernetické bezpečnosti, zejména malým a středním podnikům a začínajícím podnikům, které jsou hlavním zdrojem inovativních řešení v oblasti kybernetické obrany, poskytovat větší praktickou a informovanou podporu a měla by prosazovat užší spolupráci s vysokoškolskými vědecko-výzkumnými organizacemi a významnými aktéry, tak aby došlo k omezení závislosti na produktech v oblasti kybernetické bezpečnosti z vnějších zdrojů a k vytvoření strategického dodavatelského řetězce v rámci Unie.

Pozměňovací návrh    6

Návrh nařízení

Bod odůvodnění 4

Znění navržené Komisí

Pozměňovací návrh

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější a bezpečnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni politických opatření a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které by vycházely ze speciálních opatření a širších nástrojů pro zajištění evropské solidarity a vzájemné pomoci. Potřeba odborné přípravy v oblasti kybernetické obrany je značná a dále roste a lze ji neúčinněji zajistit díky spolupráci na unijní úrovni. Kromě toho je proto pro tvůrce politiky, dané odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, a to na základě spolehlivých unijních údajů, a získávat také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak i na celosvětové úrovni.

Pozměňovací návrh    7

Návrh nařízení

Bod odůvodnění 5

Znění navržené Komisí

Pozměňovací návrh

(5)  S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci koordinaci mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Je rovněž třeba další úsilí ke zvýšení informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti. Kromě toho důvěra v jednotný digitální trh by měla být dále posílena tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů a služeb IKT. Toto lze usnadnit celoevropskou certifikací, která bude poskytovat společné kybernetickobezpečnostní požadavky a hodnoticí kritéria napříč vnitrostátními trhy a odvětvími.

(5)  S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci, koordinaci a výměnu informací mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Zároveň je však nutné poukázat na to, že je důležité zachovat schopnost členských států reagovat na kybernetické hrozby nejrůznějšího rozsahu a tyto schopnosti rozšiřovat. Je rovněž třeba dále usilovat o zajištění koordinované reakce EU a o zvýšení informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti. Vzhledem k tomu, že kybernetické incidenty podrývají důvěru v poskytovatele digitálních služeb a samotný jednotný digitální trh, zejména mezi spotřebiteli, je nutné navíc tuto důvěru dále posílit tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů, procesů a služeb IKT, přičemž je třeba zdůraznit, že ani vysoká úroveň certifikace kybernetické bezpečnosti nemůže zaručit, že produkt nebo služba IKT je zcela bezpečná. Toto lze usnadnit celounijní certifikací, která by stanovovala společné požadavky v oblasti kybernetické bezpečnostní a hodnoticí kritéria napříč vnitrostátními trhy a odvětvími a podporou počítačové gramotnosti. Vedle celounijní certifikace a s ohledem na rostoucí dostupnost zařízení pro provozování internetu věcí existuje řada dobrovolných opatření, která by měl soukromý sektor přijmout, aby posílil důvěru v bezpečnost produktů, procesů a služeb IKT, jako jsou technologie šifrování a blockchainu (technologie distribuovaných databází). Výzvy, jimž je nutno čelit, by měly být přiměřeně zohledněny v rozpočtu agentury, aby byla za současných podmínek zajištěna její optimální funkčnost.

Pozměňovací návrh    8

Návrh nařízení

Bod odůvodnění 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(5a)  Pro upevnění struktur evropské bezpečnosti a kybernetické obrany je důležité zachovat a rozvíjet schopnost členských států komplexně reagovat na kybernetické hrozby včetně přeshraničních incidentů, přičemž koordinace, kterou agentura zajišťuje na úrovni EU, by neměla vést ke snížení této schopnosti členských států či k omezení jejich úsilí v dané oblasti.

Pozměňovací návrh    9

Návrh nařízení

Bod odůvodnění 5 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(5b)  Firmy i jednotliví spotřebitelé by měli mít přesné informace o úrovni bezpečnosti svých produktů v oblasti IKT. Současně je třeba si uvědomit, že žádný výrobek není kyberneticky bezpečný a že je třeba podporovat a upřednostňovat základní zásady kybernetické hygieny.

Pozměňovací návrh    10

Návrh nařízení

Bod odůvodnění 7

Znění navržené Komisí

Pozměňovací návrh

(7)  Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na kybernetické bezpečnostní hrozby a rizika. Ve snaze lépe chránit Evropany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti kybernetické bezpečnosti, směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Směrnice o bezpečnosti sítí a informací zavedla požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i poskytovatelé klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho účinný boj proti kyberkriminalitě je důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli dosažení vysoké úrovně kybernetické bezpečnosti.

(7)  Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na kybernetické bezpečnostní hrozby a rizika. Ve snaze lépe chránit Evropany v on-line prostředí přijala Unie v roce 2016 první legislativní akt v oblasti kybernetické bezpečnosti směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Tato směrnice, jejíž úspěch závisí do značné míry na tom, jak ji členské státy uplatňují, splňuje strategii digitálního jednotného trhu a společně s dalšími nástroji, jako je směrnice, kterou se stanovuje evropský kodex pro elektronické komunikace, nařízení (EU) 2016/679 a směrnice 2002/58/ES, zavádí požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro prohloubení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která mají pro hospodářství a pro společnost zásadní význam, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i poskytovatelé klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho účinný boj proti kyberkriminalitě je důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli, kterým je dosažení vysoké úrovně kybernetické bezpečnosti.

Pozměňovací návrh    11

Návrh nařízení

Bod odůvodnění 8

Znění navržené Komisí

Pozměňovací návrh

(8)  Je třeba poznamenat, že od přijetí strategie kybernetické bezpečnosti EU v roce 2013 a od poslední revize mandátu agentury se celkový politický kontext významně změnil, mimo jiné s ohledem na více nejisté a méně bezpečné globální prostředí. V této souvislosti a v rámci nové politiky Unie v oblasti kybernetické bezpečnosti je nezbytné přezkoumat mandát agentury ENISA, aby bylo možné vymezit její roli v měnícím se ekosystému kybernetické bezpečnosti a zajistit, že účinně přispívá k reakci Unie na kybernetické bezpečnostní výzvy plynoucí z radikálně transformovaných hrozeb, k čemuž, jak bylo uznáno při hodnocení agentury, není stávající mandát dostatečný.

(8)  Je třeba poznamenat, že od přijetí strategie kybernetické bezpečnosti EU v roce 2013 a od poslední revize mandátu agentury se celkový politický kontext významně změnil, mimo jiné s ohledem na více nejisté a méně bezpečné globální prostředí. V této souvislosti a v souvislosti s pozitivní rolí, kterou agentura v průběhu let hrála při shromažďování odborných poznatků, koordinaci, budování kapacit a v rámci nové politiky Unie v oblasti kybernetické bezpečnosti, je nezbytné přezkoumat mandát agentury ENISA, aby bylo možné vymezit její roli v měnícím se ekosystému kybernetické bezpečnosti a zajistit, aby účinně přispívala k reakci Unie na kybernetické bezpečnostní výzvy plynoucí z radikálně transformovaných hrozeb, k čemuž, jak bylo uznáno při hodnocení agentury, není stávající mandát dostatečný.

Pozměňovací návrh    12

Návrh nařízení

Bod odůvodnění 11

Znění navržené Komisí

Pozměňovací návrh

(11)  Vzhledem k nárůstu kybernetických bezpečnostních hrozeb, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely posílení úlohy a úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém.

(11)  Vzhledem k nárůstu kybernetických bezpečnostních hrozeb a problémů, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely širší úlohu a množství úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém a umožnily jí, aby účinně plnila úkoly, které jí byly svěřeny tímto nařízením.

Pozměňovací návrh    13

Návrh nařízení

Bod odůvodnění 12

Znění navržené Komisí

Pozměňovací návrh

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k vnitrostátnímu úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy. Kromě toho by agentura měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Měl by být určen soubor úkolů, jenž by stanovil, jak má agentura plnit své cíle, a současně umožňoval flexibilitu jejích činností.

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k úsilí členských států a Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy a měla by se zároveň vyhnout zdvojování činnosti a podpořit součinnost a doplňkovost, aby byla zajištěna příslušná koordinace a dosaženo fiskálních úspor. Kromě toho by agentura měla reagovat na podněty od soukromého i veřejného sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Je třeba jasně stanovit konkrétní program, soubor úkolů a cíle, které má agentura plnit, přičemž by se patřičná pozornost měla věnovat potřebné flexibilitě její činnosti. Podle možností by měla být zachována nejvyšší míra transparentnosti a šíření informací.

Pozměňovací návrh    14

Návrh nařízení

Bod odůvodnění 12 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(12a)  Úloha agentury by měla být průběžně posuzována a v pravou chvíli přezkoumávána, zejména pokud jde o její koordinační úlohu ve vztahu k členským státům a jejich vnitrostátním orgánům a o případnou možnost fungovat pro členské státy a orgány a instituce EU jako jednotný kontakt. Měla by se rovněž posuzovat úloha agentury při předcházení roztříštěnosti vnitřního trhu a případné zavedení povinných systémů certifikace kybernetické bezpečnosti, pokud by situace vyžadovala v budoucnosti tuto změnu, stejně jako úloha agentury v souvislosti s hodnocením produktů ze třetích zemí vstupujících na trh EU a případné vypracování černé listiny společností, které nesplňují kritéria EU.

Pozměňovací návrh    15

Návrh nařízení

Bod odůvodnění 12 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(12b)  Aby mohla agentura ENISA přiměřeně podporovat operační spolupráci mezi členskými státy, měla by dále rozšířit své technické schopnosti a odborné zkušenosti. Za tímto účelem by měla postupně navýšit počet svých zaměstnanců vyčleněných na plnění tohoto úkolu, aby byla schopna samostatně shromažďovat informace o nejrůznějších druzích hrozeb v oblasti kybernetické bezpečnosti a škodlivém softwaru a analyzovat je, provádět forenzní analýzu a pomáhat členským státům reagovat na rozsáhlé incidenty. Aby nedocházelo ke zdvojování stávajících schopností členských států, měla by agentura ENISA rozšířit své know-how a kapacity v závislosti na stávajících zdrojích, které jsou v členských státech k dispozici, zejména by měly být do agentury vysíláni odborníci jednotlivých členských států, měla by se vytvořit skupina expertů a měly by být vypracovány programy na výměnu pracovníků apod. Při výběru zaměstnanců odpovědných za tuto oblast by agentura měla postupně zajistit, aby splňovali příslušná kritéria, tak aby bylo možné zajistit poskytování příslušné podpory.

Pozměňovací návrh    16

Návrh nařízení

Bod odůvodnění 13

Znění navržené Komisí

Pozměňovací návrh

(13)  Agentura by měla být nápomocna Komisi prostřednictvím poradenství, stanovisek a analýz ke všem záležitostem Unie souvisejícím s rozvojem politiky a právních předpisů a prostřednictvím aktualizací a přezkumů v oblasti kybernetické bezpečnosti, včetně ochrany kritické infrastruktury a kybernetické odolnosti. Pro politiky Unie v konkrétních odvětvích a pro iniciativy Unie v oblasti právních předpisů by agentura měla působit jako referenční bod poskytující doporučení a odborné poradenství v případech, kdy se tyto politiky a iniciativy týkají otázek souvisejících s kybernetickou bezpečností.

(13)  Agentura by měla být nápomocna Komisi prostřednictvím poradenství, stanovisek a analýz ke všem záležitostem Unie souvisejícím s rozvojem politiky a právních předpisů a prostřednictvím aktualizací a přezkumů v oblasti kybernetické bezpečnosti, včetně ochrany životně důležité infrastruktury a kybernetické odolnosti. V případě politiky Unie v konkrétních odvětvích a iniciativ Unie v oblasti právních předpisů by agentura měla působit jako referenční bod poskytující doporučení a odborné poradenství v případech, kdy se tato politika a tyto iniciativy týkají otázek souvisejících s kybernetickou bezpečností. Její odborné znalosti budou zvláště potřebné při přípravě víceletého pracovního programu Unie pro evropské systémy certifikace kybernetické bezpečnosti. Agentura by měla pravidelně Parlamentu poskytovat aktuální informace, analýzu a přezkum týkající se kybernetické bezpečnosti a vývoje svých úkolů.

Pozměňovací návrh    17

Návrh nařízení

Bod odůvodnění 14

Znění navržené Komisí

Pozměňovací návrh

(14)  Hlavním úkolem agentury je prosazovat jednotné provádění příslušného právního rámce, zejména účinné provádění směrnice o bezpečnosti sítí a informací, která je zásadní pro zvýšení kybernetické odolnosti. S ohledem na rychle se vyvíjející oblast kybernetických bezpečnostních hrozeb je zřejmé, že se členské státy musí opírat o komplexnější přístup k budování kybernetické odolnosti přesahující jednotlivé politiky.

(14)  Hlavním úkolem agentury je prosazovat jednotné uplatňování příslušného právního rámce, zejména účinné provádění směrnice o bezpečnosti sítí a informací, směrnice, kterou se stanovuje evropský kodex pro elektronické komunikace, nařízení (EU) 2016/679 a směrnice 2002/58/ES, což má zásadní význam pro zvýšení kybernetické odolnosti. S ohledem na rychle se vyvíjející oblast kybernetických bezpečnostních hrozeb je zřejmé, že se členské státy musí opírat o komplexnější přístup k budování kybernetické odolnosti přesahující jednotlivé oblasti politiky.

Pozměňovací návrh    18

Návrh nařízení

Bod odůvodnění 15

Znění navržené Komisí

Pozměňovací návrh

(15)  Agentura by měla být nápomocna členským státům a orgánům, institucím a jiným subjektům Unie při jejich úsilí o vytváření a rozvoj schopností a připravenosti předcházet problémům a incidentům týkajícím se kybernetické bezpečnosti, odhalovat je a reagovat na ně, a také v souvislosti s bezpečností sítí a informačních systémů. Agentura by zejména měla podporovat rozvoj a posilování vnitrostátních týmů CSIRT s cílem dosáhnout v Unii vysoké společné úrovně jejich vyspělosti. Agentura by rovněž měla pomáhat s rozvíjením a aktualizováním strategií Unie a členských států pro bezpečnost sítí a informačních systémů, zejména strategií pro kybernetickou bezpečnost, podporovat jejich šíření a sledovat pokrok při jejich provádění. Agentura by měla také poskytovat školení a vzdělávací materiály veřejným subjektům, a případně „školit školitele“, a tím pomáhat členským státům při rozvoji vlastních školicích kapacit.

(15)  Agentura by měla být nápomocna členským státům a orgánům, institucím a jiným subjektům Unie při jejich úsilí o vytváření a rozvoj schopností a připravenosti předcházet problémům a incidentům týkajícím se kybernetické bezpečnosti, odhalovat je a reagovat na ně, a také v souvislosti s bezpečností sítí a informačních systémů. Agentura by zejména měla podporovat rozvoj a posilování vnitrostátních týmů CSIRT s cílem dosáhnout v Unii vysoké společné úrovně jejich vyspělosti. Agentura by rovněž měla pomáhat s rozvíjením a aktualizováním strategií Unie a členských států pro bezpečnost sítí a informačních systémů, zejména strategií pro kybernetickou bezpečnost, podporovat jejich šíření a sledovat pokrok při jejich provádění. Vzhledem k tomu, že lidské chyby jsou jedním z nejrelevantnějších rizik z hlediska kybernetické bezpečnosti, měla by agentura také poskytovat školení a vzdělávací materiály veřejným subjektům a v maximální možné míře „školit školitele“, a tím pomáhat členským státům a orgánům a agenturám Unie při rozvoji vlastních školicích kapacit. Agentura by měla rovněž sloužit jako kontaktní místo pro členské státy a orgány Unie, které by měly mít možnost požádat ji v rámci jejích pravomocí a přidělených úkolů o pomoc.

Pozměňovací návrh    19

Návrh nařízení

Bod odůvodnění 18

Znění navržené Komisí

Pozměňovací návrh

(18)  Agentura by měla agregovat a analyzovat vnitrostátní zprávy od týmů CSIRT a skupiny CERT-EU a stanovovat společná pravidla, jazyk a terminologii pro výměnu informací. Agentura by rovněž měla zapojit soukromý sektor, a to v rámci směrnice o bezpečnosti sítí a informací, která vytvořením sítě CSIRT stanovila základ pro dobrovolnou výměnu technických informací na operativní úrovni.

(18)  Agentura by měla agregovat a analyzovat vnitrostátní zprávy od týmů CSIRT a skupiny CERT-EU a stanovovat společná pravidla, jazyk a terminologii pro výměnu informací. Agentura by rovněž měla zapojit soukromý a veřejný sektor, a to v rámci směrnice o bezpečnosti sítí a informací, která vytvořením sítě CSIRT stanovila základ pro dobrovolnou výměnu technických informací na operativní úrovni.

Pozměňovací návrh    20

Návrh nařízení

Bod odůvodnění 19

Znění navržené Komisí

Pozměňovací návrh

(19)  V případě rozsáhlých přeshraničních kybernetických bezpečnostních incidentů a krizí by agentura měla přispět k reakci na úrovni EU. Tato funkce by měla zahrnovat shromažďování příslušných informací a působení jako zprostředkovatel mezi sítí CSIRT a technickou komunitou a mezi subjekty s rozhodovací pravomocí příslušnými pro řešení krizí. Agentura by dále mohla podporovat řešení incidentů po technické stránce, a to tím, že by usnadňovala příslušnou technickou výměnu řešení mezi členskými státy a poskytovala vstupy do veřejných komunikací. Agentura by měla tento proces podporovat testováním způsobů takové spolupráce prostřednictvím každoročních cvičení v oblasti kybernetické bezpečnosti.

(19)  V případě rozsáhlých přeshraničních kybernetických bezpečnostních incidentů a krizí by agentura měla přispět k reakci na úrovni EU. Tato funkce by měla zahrnovat svolání orgánů členských států a poskytnutí pomoci při koordinaci jejich reakce, shromažďování příslušných informací a působení jako zprostředkovatel mezi sítí CSIRT a technickou komunitou a mezi subjekty s rozhodovací pravomocí příslušnými pro řešení krizí. Agentura by dále mohla podporovat řešení incidentů po technické stránce, a to například tím, že by usnadňovala příslušnou technickou výměnu řešení mezi členskými státy a poskytovala vstupy do veřejných komunikací. Agentura by měla tento proces podporovat testováním způsobů takové spolupráce prostřednictvím každoročních cvičení v oblasti kybernetické bezpečnosti. Agentura by měla respektovat pravomoci členských států týkající se kybernetické bezpečnosti, zejména jejich pravomoci týkající se činnosti v oblasti veřejné bezpečnosti, obrany, národní bezpečnosti a činnosti státu v oblastech trestního práva.

Pozměňovací návrh    21

Návrh nařízení

Bod odůvodnění 25

Znění navržené Komisí

Pozměňovací návrh

(25)  Členské státy mohou podniky dotčené incidentem vyzvat, aby spolupracovaly tak, že agentuře poskytnou nezbytné informace a veškerou pomoc, aniž je dotčeno jejich právo na ochranu obchodně citlivých informací.

(25)  Členské státy mohou podniky dotčené incidentem vyzvat, aby spolupracovaly tak, že agentuře poskytnou nezbytné informace a veškerou pomoc, aniž je dotčeno jejich právo na ochranu obchodně citlivých informací a informací důležitých z hlediska veřejné bezpečnosti.

Pozměňovací návrh    22

Návrh nařízení

Bod odůvodnění 26

Znění navržené Komisí

Pozměňovací návrh

(26)  K lepšímu pochopení výzev v oblasti kybernetické bezpečnosti a s cílem poskytovat členským státům a orgánům Unie dlouhodobé strategické poradenství je třeba, aby agentura analyzovala současná a nově se objevující rizika. Za tímto účelem by agentura měla, ve spolupráci s členskými státy a případně statistickými orgány a dalšími subjekty, shromažďovat příslušné informace, provádět analýzy nově vznikajících technologií a poskytovat konkrétně zaměřená posouzení společenských, právních, hospodářských a regulačních dopadů technologických inovací na bezpečnost sítí a informací, zejména na kybernetickou bezpečnost. Agentura by měla také podporovat členské státy a orgány, instituce a jiné subjekty Unie při určování nových trendů a při předcházení problémům souvisejícím s kybernetickou bezpečností tak, že bude provádět analýzy hrozeb a incidentů.

(26)  K lepšímu pochopení výzev v oblasti kybernetické bezpečnosti a s cílem poskytovat členským státům a orgánům Unie dlouhodobé strategické poradenství je třeba, aby agentura analyzovala současná a nově se objevující rizika, incidenty, hrozby a slabá místa. Za tímto účelem by agentura měla, ve spolupráci s členskými státy a případně statistickými orgány a dalšími subjekty, shromažďovat příslušné informace, provádět analýzy nově vznikajících technologií a poskytovat konkrétně zaměřená posouzení společenských, právních, hospodářských a regulačních dopadů technických inovací na bezpečnost sítí a informací, zejména na kybernetickou bezpečnost. Agentura by měla také podporovat členské státy a orgány, instituce a jiné subjekty Unie při zjišťování nových trendů a při předcházení problémům souvisejícím s kybernetickou bezpečností tak, že bude provádět analýzy hrozeb, incidentů a slabých míst.

Pozměňovací návrh    23

Návrh nařízení

Bod odůvodnění 27

Znění navržené Komisí

Pozměňovací návrh

(27)  Za účelem zvýšení odolnosti Unie by agentura měla rozvíjet excelenci v oblasti bezpečnosti internetové infrastruktury a kritických infrastruktur, a to poskytováním poradenství, pokynů a osvědčených postupů. S cílem zajistit snazší přístup k lépe strukturovaným informacím o kybernetických bezpečnostních rizicích a o potenciálních prostředcích nápravy by agentura měla vytvořit a spravovat „informační centrum“ Unie, jednotný portál („one-stop-shop“) poskytující veřejnosti informace o kybernetické bezpečnosti získané od EU a vnitrostátních orgánů, institucí a subjektů.

(27)  Za účelem zvýšení odolnosti Unie by agentura měla rozvíjet excelenci v oblasti bezpečnosti internetové infrastruktury a kritických infrastruktur, a to poskytováním poradenství, pokynů a osvědčených postupů. S cílem zajistit snazší přístup k lépe strukturovaným informacím o kybernetických bezpečnostních rizicích a o potenciálních prostředcích nápravy by agentura měla vytvořit a spravovat „informační centrum“ Unie, jednotný portál („one-stop-shop“) poskytující veřejnosti informace o kybernetické bezpečnosti získané od EU a vnitrostátních orgánů, institucí a subjektů. Usnadnění přístupu k přehlednějším informacím o kybernetických bezpečnostních rizicích a o potenciálních prostředcích nápravy by mělo pomoci členským státům rozvíjet své schopnosti a sladit své postupy, tak aby došlo ke zlepšení jejich celkové odolnosti vůči kybernetickým útokům.

Pozměňovací návrh    24

Návrh nařízení

Bod odůvodnění 28

Znění navržené Komisí

Pozměňovací návrh

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s kybernetickou bezpečností a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany a organizace. Agentura by rovněž měla přispívat k podpoře osvědčených postupů a řešení na úrovni jednotlivců a organizací, a to shromažďováním a analyzováním veřejně dostupných informací týkajících se závažných incidentů a sestavováním zpráv s cílem poskytnout podnikům a občanům pokyny a zlepšit celkovou úroveň připravenosti a odolnosti. Agentura by dále měla ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat informovanost o potenciálních hrozbách v kyberprostoru, včetně počítačové kriminality jako phishingové útoky, botnety a finanční a bankovní podvody, a podporovat základní nástroje ověřování a ochrany údajů. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení.

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s kybernetickou bezpečností, mj. podporou vzdělávání, a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany, organizace a podniky. Agentura by rovněž měla přispívat k podpoře kybernetické hygieny, osvědčených postupů, které by zahrnovaly několik postupů, jež by se měly pravidelně uplatňovat a používat na ochranu uživatelů a podniků online, a dále k podpoře řešení na úrovni jednotlivců a podniků, a to shromažďováním a analyzováním veřejně dostupných informací týkajících se závažných incidentů a sestavováním a zveřejňováním zpráv a pokynů s cílem poskytnout podnikům a občanům pokyny a zlepšit celkovou úroveň připravenosti a odolnosti. Agentura ENISA by se měla rovněž snažit poskytovat spotřebitelům příslušné informace o platných systémech certifikace, například poskytnutím pokynů a doporučení pro on-line a offline trhy. Agentura by dále měla v souladu s akčním plánem digitálního vzdělávání a ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat digitální gramotnost a informovanost o potenciálních hrozbách v kyberprostoru, včetně počítačové kriminality jako phishingové útoky, botnety a finanční a bankovní podvody, a podporovat základní multifaktoriální nástroje ověřování, patchingu, šifrování, anonymizace a ochrany údajů. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení, při prosazování bezpečného používání služeb a při popularizaci bezpečnosti a ochrany soukromí již od fáze návrhu a informací týkajících se incidentů a jejich řešení, a to na úrovni celé EU. Při dosahování tohoto cíle musí agentura co nejlépe využít dostupné osvědčené postupy a zkušenosti získané zejména od akademických institucí a vědecko-výzkumných pracovníků v oblasti informační bezpečnosti. Vzhledem k tomu, že hlavní faktor nejistoty v oblasti kybernetické bezpečnosti představují chyby jednotlivců a neznalost kybernetických rizik, měly by být agentuře poskytnuty k vykonávání této funkce v maximální možné míře dostatečné zdroje.

Pozměňovací návrh    25

Návrh nařízení

Bod odůvodnění 28 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(28a)  Agentura by měla zvyšovat informovanost veřejnosti ohledně rizika falšování nebo odcizení údajů, které mohou mít vážný dopad na základní práva jednotlivců, představovat hrozbu pro právní stát a ohrožovat stabilitu demokratických společností, včetně demokratických procesů v členských státech.

Pozměňovací návrh    26

Návrh nařízení

Bod odůvodnění 30

Znění navržené Komisí

Pozměňovací návrh

(30)  Aby bylo zajištěno, že agentura plně dosahuje svých cílů, měla by spolupracovat s příslušnými orgány, institucemi a jinými subjekty, včetně skupiny CERT-EU, Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu, Evropské agentury pro provozní řízení rozsáhlých informačních systémů (eu-LISA), Evropské agentury pro bezpečnost letectví (EASA) a dalších agentur EU zapojených do kybernetické bezpečnosti. Měla by rovněž spolupracovat s orgány zabývajícími se ochranou údajů, a to za účelem výměny know-how a osvědčených postupů a poskytování poradenství ohledně aspektů kybernetické bezpečnosti, které mohou mít dopad na práci těchto orgánů. Zástupcům vnitrostátních a unijních donucovacích orgánů a orgánů na ochranu údajů by měla být umožněna účast ve stálé skupině zúčastněných stran agentury. Při spolupráci s donucovacími orgány týkající se aspektů bezpečnosti sítí a informací, které by mohly mít dopad na jejich práci, by agentura měla respektovat stávající informační kanály a zavedené sítě.

(30)  Aby bylo zajištěno, že agentura plně dosahuje svých cílů, měla by spolupracovat s příslušnými orgány, orgány dohledu a jinými příslušnými orgány, institucemi a jinými subjekty EU, včetně skupiny CERT-EU, Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu, Evropské obranné agentury (EDA), Agentury pro evropský GNSS (GSA), Sdružení evropských regulačních orgánů v oblasti elektronických komunikací (BEREC), Evropské agentury pro provozní řízení rozsáhlých informačních systémů (eu-LISA), Evropské centrální banky (ECB), Evropského orgánu pro bankovnictví (EBA), Evropského sboru pro ochranu osobních údajů (EDPB), Evropské agentury pro bezpečnost letectví (EASA) a všech dalších agentur EU zapojených do kybernetické bezpečnosti. Měla by rovněž spolupracovat s evropskými normalizačními organizacemi, příslušnými zúčastněnými stranami a orgány zabývajícími se ochranou údajů, a to za účelem výměny know-how a osvědčených postupů a poskytování poradenství ohledně nejrůznějších aspektů kybernetické bezpečnosti, které by mohly mít dopad na práci těchto orgánů. Zástupcům vnitrostátních a unijních donucovacích orgánů a orgánů na ochranu údajů by měla být umožněna účast v poradní skupině agentury ENISA. Při spolupráci s donucovacími orgány týkající se aspektů bezpečnosti sítí a informací, které by mohly mít dopad na jejich práci, by agentura měla respektovat stávající informační kanály a zavedené sítě. Měla by být navázána partnerství s akademickými institucemi, které se zabývají výzkumem v daných oblastech, přičemž by měly existovat příslušné kanály k předávání podnětů spotřebitelských a dalších organizací, které by měly vždy podléhat analýze.

Pozměňovací návrh    27

Návrh nařízení

Bod odůvodnění 31

Znění navržené Komisí

Pozměňovací návrh

(31)  Agentura, jakožto člen, který rovněž zajišťuje služby sekretariátu sítě týmů CSIRT, by měla podporovat týmy CSIRT členských států a skupinu CERT-EU při operativní spolupráci na základě všech příslušných úkolů sítě týmu CSIRT, jak jsou vymezeny ve směrnici o bezpečnosti sítí a informací. Agentura by dále měla prosazovat a podporovat spolupráci mezi příslušnými týmy CSIRT v případě incidentů, útoků či poruch sítí nebo infrastruktury, které jsou spravovány nebo chráněny týmy CSIRT a které postihují nebo potenciálně postihují alespoň dvě skupiny CERT, přičemž by měla náležitě zohlednit standardní operační postupy sítě týmu CSIRT.

(31)  Agentura, jakožto člen, který rovněž zajišťuje služby sekretariátu sítě týmů CSIRT, by měla podporovat týmy CSIRT členských států a skupinu CERT-EU při operativní spolupráci na základě všech příslušných úkolů sítě týmu CSIRT, jak jsou vymezeny ve směrnici o bezpečnosti sítí a informací. Agentura by dále měla prosazovat a podporovat spolupráci mezi příslušnými týmy CSIRT v případě incidentů, útoků či poruch sítí nebo infrastruktury, které jsou spravovány nebo chráněny týmy CSIRT a které postihují nebo potenciálně postihují alespoň dvě skupiny CERT, přičemž by měla náležitě zohlednit standardní operační postupy sítě týmu CSIRT. S cílem zjišťovat možná rizika v oblasti kybernetické bezpečnosti a vypracovat doporučení ke zvýšení odolnosti životně důležité přeshraniční infrastruktury může u ní agentura na žádost Komise nebo členského státu provádět pravidelné nezávislé audity bezpečnosti IT.

Pozměňovací návrh    28

Návrh nařízení

Bod odůvodnění 33

Znění navržené Komisí

Pozměňovací návrh

(33)  Agentura by měla dále rozvíjet a udržovat svoji odbornost v oblasti certifikace kybernetické bezpečnosti s cílem podporovat politiku Unie v této oblasti. Agentura by měla s cílem zvýšení transparentnosti záruk kybernetické bezpečnosti produktů a služeb IKT a s tím souvisejícího posílení důvěry v digitální vnitřní trh prosazovat zavádění certifikace kybernetické bezpečnosti v Unii, a to včetně toho, že bude přispívat k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie.

(33)  Agentura by měla dále rozvíjet a udržovat svoji odbornost v oblasti certifikace kybernetické bezpečnosti s cílem podporovat politiku Unie v této oblasti. Agentura by měla za účelem zvýšení transparentnosti záruk kybernetické bezpečnosti produktů a služeb IKT a s tím souvisejícího posílení důvěry v digitální vnitřní trh navazovat na stávající osvědčené postupy a prosazovat zavádění certifikace kybernetické bezpečnosti v Unii, a to včetně toho, že bude přispívat k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie.

Pozměňovací návrh    29

Návrh nařízení

Bod odůvodnění 35

Znění navržené Komisí

Pozměňovací návrh

(35)  Agentura by měla vybízet členské státy a poskytovatele služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní kybernetické bezpečnosti Poskytovatelé služeb a výrobci produktů by zejména měli stáhnout nebo recyklovat produkty a služby, které nesplňují normy kybernetické bezpečnosti. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili bezpečnost svých produktů a služeb, včetně kybernetické bezpečnosti.

(35)  Agentura by měla vybízet členské státy, výrobce a poskytovatele služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti svých produktů, procesů, služeb a systémů IKT, které by měly splňovat základní povinnosti v oblasti bezpečnosti v souladu se zásadou ochrany bezpečnosti již ve stádiu návrhu a standardního nastavení ochrany bezpečnosti, zejména tím, že by poskytovaly jejich nezbytné aktualizace, aby tak byla zajištěna ochrana všech uživatelů internetu a aby byli vedeni k podnikání potřebných kroků k zajištění své vlastní kybernetické bezpečnosti. Poskytovatelé služeb a výrobci produktů by měli zejména stáhnout z trhu nebo z oběhu či recyklovat produkty a služby, které nesplňují základní povinnosti v oblasti kybernetické bezpečnosti, a dovozci a distributoři by měli zajistit, aby produkty, procesy, služby a systémy IKT, které uvádějí na trh EU, odpovídaly platným požadavkům a nepředstavovaly pro evropské spotřebitele riziko. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili bezpečnost svých produktů, procesů, služeb a systémů, včetně kybernetické bezpečnosti. Agentura by měla spolupracovat se zúčastněnými stranami na vypracování celounijního přístupu k odpovědnému zveřejňování slabých míst a měla by podporovat osvědčené postupy v této oblasti.

Pozměňovací návrh    30

Návrh nařízení

Bod odůvodnění 36

Znění navržené Komisí

Pozměňovací návrh

(36)  Agentura by měla plně zohlednit činnosti probíhající v oblasti výzkumu, vývoje a technologického hodnocení, zejména činnosti prováděné v rámci různých výzkumných iniciativ Unie, aby mohla orgánům, institucím a jiným subjektům Unie a případně členským státům, které o to požádají, poskytovat poradenství ohledně potřeb výzkumu v oblasti bezpečnosti sítí a informací, zejména pak kybernetické bezpečnosti.

(36)  Agentura by měla plně zohlednit činnost probíhající v oblasti výzkumu, vývoje a technologického hodnocení, zejména činnost prováděnou v rámci různých výzkumných iniciativ Unie, aby mohla orgánům, institucím a jiným subjektům Unie a případně členským státům, které o to požádají, poskytovat poradenství ohledně potřeb výzkumu v oblasti bezpečnosti sítí a informací, zejména pak kybernetické bezpečnosti. Konkrétně by měla být navázána spolupráce s Evropskou radou pro výzkum (ERV) a Evropským inovačním a technologickým institutem (EIT) a bezpečnostní výzkum by měl být zahrnut do devátého rámcového programu pro výzkum (FP9) a do iniciativy Horizont 2020.

Pozměňovací návrh    31

Návrh nařízení

Bod odůvodnění 36 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(36a)  Standardy jsou dobrovolný, tržně orientovaný nástroj, který stanovuje technické požadavky a poskytuje pokyny a který je výsledkem otevřeného, transparentního a inkluzivního procesu. Agentura by měla pravidelně konzultovat s organizacemi pro normalizaci a úzce s nimi spolupracovat, zejména při vypracovávání evropských systémů certifikace kybernetické bezpečnosti.

Pozměňovací návrh    32

Návrh nařízení

Bod odůvodnění 37

Znění navržené Komisí

Pozměňovací návrh

(37)  Problémy týkající se kybernetické bezpečnosti jsou globální záležitostí. Je nutná užší mezinárodní spolupráce pro zvýšení bezpečnostních standardů, včetně stanovení společných norem chování, a zlepšení sdílení informací, jež podpoří pružnější mezinárodní spolupráci v reakci na problémy týkající se bezpečnosti sítí a informací, ale i společný globální přístup k nim. Agentura by za tímto účelem měla podporovat větší zapojení Unie a spolupráci se třetími zeměmi a mezinárodními organizacemi tím, že případně poskytne nezbytné odborné znalosti a analýzy příslušným orgánům, institucím a jiným subjektům Unie.

(37)  Problémy týkající se kybernetické bezpečnosti jsou globální záležitostí. Je nutná užší mezinárodní spolupráce pro zvýšení bezpečnostních standardů, včetně stanovení společných norem a kodexů chování a používání mezinárodních norem, a lepší výměna informací, jež by podpořila pružnější mezinárodní spolupráci v reakci na problémy týkající se bezpečnosti sítí a informací, ale i společný globální přístup k nim. Agentura by za tímto účelem měla podporovat větší zapojení Unie a spolupráci se třetími zeměmi a mezinárodními organizacemi tím, že případně poskytne nezbytné odborné znalosti a analýzy příslušným orgánům, institucím a jiným subjektům Unie.

Pozměňovací návrh    33

Návrh nařízení

Bod odůvodnění 40

Znění navržené Komisí

Pozměňovací návrh

(40)  Správní rada složená z členských států a Komise by měla vymezit obecné směry činnosti agentury a zaručit, že bude své úkoly plnit v souladu s tímto nařízením. Správní radě by měly být svěřeny pravomoci potřebné pro sestavování rozpočtu, ověřování jeho plnění, schvalování příslušných finančních předpisů, stanovení transparentních pracovních postupů pro přijímání rozhodnutí agentury, schvalování jednotného programového dokumentu agentury, přijímání jejího jednacího řádu, jmenování výkonného ředitele a rozhodování o prodloužení funkčního období výkonného ředitele a o jeho odvolání.

(40)  Správní rada, která zastupuje členské státy a Komisi, jakož i zúčastněné strany, které jsou důležité z hlediska cílů agentury, by měla vymezit obecné směry činnosti agentury a zaručit, že bude své úkoly plnit v souladu s tímto nařízením. Správní radě by měly být svěřeny pravomoci potřebné sestavování rozpočtu, ověřování jeho plnění, schvalování příslušných finančních předpisů, stanovování transparentních pracovních postupů pro přijímání rozhodnutí agentury, schvalování jednotného programového dokumentu agentury, přijímání jejího jednacího řádu, jmenování výkonného ředitele a rozhodování o prodloužení funkčního období výkonného ředitele a o jeho odvolání. Vzhledem k vysoce odborným a vědeckým úkolům agentury by měli mít členové správní rady v otázkách spadajících do rámce úkolů agentury příslušné zkušenosti a vysokou odbornost.

Pozměňovací návrh    34

Návrh nařízení

Bod odůvodnění 41

Znění navržené Komisí

Pozměňovací návrh

(41)  V zájmu řádného a účinného fungování agentury by Komise a členské státy měly zajistit, aby osoby, které mají být jmenovány členy správní rady, měly patřičnou odbornou kvalifikaci a zkušenosti v oblastech činnosti. Komise a členské státy by měly usilovat o omezení obměny svých zástupců ve správní radě, aby byla zajištěna kontinuita její činnosti.

(41)  V zájmu řádného a účinného fungování agentury by Komise a členské státy měly zajistit, aby osoby, které mají být jmenovány členy správní rady, měly patřičnou odbornou kvalifikaci a zkušenosti v oblastech její činnosti. Komise a členské státy by měly usilovat o omezení obměny svých zástupců ve správní radě, aby byla zajištěna kontinuita její činnosti. S ohledem na vysokou tržní hodnotu kvalifikace, kterou práce v agentuře vyžaduje, je nezbytné zabezpečit, aby mzdy a sociální podmínky nabízené všem zaměstnancům agentury byly konkurenceschopné, a zajistit, aby si práci v agentuře mohli zvolit ti nejlepší odborníci.

Odůvodnění

V zájmu dosažení náležité úrovně odbornosti je nutné, aby byla agentura ENISA na vysoce konkurenčním trhu konkurenceschopným zaměstnavatelem.

Pozměňovací návrh    35

Návrh nařízení

Bod odůvodnění 42

Znění navržené Komisí

Pozměňovací návrh

(42)  Řádné fungování agentury vyžaduje, aby byl její výkonný ředitel jmenován na základě projevených kvalit a doložených administrativních a řídicích schopností a rovněž odbornosti a zkušeností v oblasti kybernetické bezpečnosti a aby vykonával své povinnosti zcela nezávisle. Výkonný ředitel by měl za tímto účelem po předchozích konzultacích s Komisí zpracovat návrh pracovního programu agentury a učinit veškeré kroky nezbytné k zajištění jeho řádného plnění. Výkonný ředitel by měl vypracovávat výroční zprávy, které se předloží správní radě, a návrh odhadu příjmů a výdajů agentury a měl by plnit rozpočet. Výkonný ředitel by měl mít dále možnost sestavovat ad hoc pracovní skupiny, které by se věnovaly konkrétním otázkám, zejména vědecké, technické nebo právní či socioekonomické povahy. Výkonný ředitel by měl zajistit, aby byli členové ad hoc pracovní skupiny vybráni na základě vysokých standardů odborných znalostí a se zřetelem k rovnovážnému zastoupení podle obsahu činnosti mezi zástupci veřejné správy členských států, zástupci orgánů Unie a zástupci soukromého sektoru, včetně průmyslu, a zástupci uživatelů a vědeckých odborníků v oblasti bezpečnosti sítí a informací.

(42)  Řádné fungování agentury vyžaduje, aby byl její výkonný ředitel jmenován na základě projevených kvalit a doložených administrativních a řídicích schopností a rovněž odbornosti a zkušeností v oblasti kybernetické bezpečnosti a aby vykonával své povinnosti zcela nezávisle. Výkonný ředitel by měl za tímto účelem po předchozích konzultacích s Komisí zpracovat návrh pracovního programu agentury a učinit veškeré kroky nezbytné k zajištění jeho řádného plnění. Výkonný ředitel by měl vypracovávat výroční zprávy, které se předloží správní radě, a návrh odhadu příjmů a výdajů agentury a měl by plnit rozpočet. Výkonný ředitel by měl mít dále možnost sestavovat ad hoc pracovní skupiny, které by se věnovaly konkrétním otázkám, zejména vědecké, technické nebo právní či socioekonomické povahy. Výkonný ředitel by měl zajistit, aby byli členové ad hoc pracovní skupiny vybráni na základě vysokých standardů odborných znalostí a se zřetelem k rovnovážnému zastoupení mužů a žen a rovnovážnému zastoupení podle obsahu činnosti mezi zástupci veřejné správy členských států, zástupci orgánů Unie, zástupci soukromého sektoru, včetně průmyslu, a zástupci uživatelů a vědeckých odborníků v oblasti bezpečnosti sítí a informací.

Pozměňovací návrh    36

Návrh nařízení

Bod odůvodnění 44

Znění navržené Komisí

Pozměňovací návrh

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Složení stálé skupiny zúčastněných stran a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit dostatečnou účast zúčastněných stran na činnosti agentury.

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů, akademickým světem a ostatními dotyčnými zúčastněnými stranami by agentura měla mít svou poradní skupinu, tj. poradní skupinu agentury ENISA. Tato skupina ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Složení této skupiny a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit dostatečnou účast zúčastněných stran na činnosti agentury. Vzhledem k důležitosti požadavků na certifikaci zajišťujících důvěryhodnost internetu věcí se Komise bude zabývat konkrétně možností uplatňování opatření, která by zajistila harmonizaci celounijních bezpečnostních norem pro zařízení pro internet věcí.

Pozměňovací návrh    37

Návrh nařízení

Bod odůvodnění 44 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(44a)  K vedení pravidelného dialogu se soukromým sektorem, organizacemi spotřebitelů, akademickým světem a ostatními dotyčnými zúčastněnými stranami by agentura měla mít skupinu zúčastněných stran pro certifikaci. Tato skupina ustavená výkonným ředitelem by se měla skládat z všeobecného poradního výboru, který by měl poskytovat informace o tom, na které produkty a služby v oblasti IKT by se měly v budoucnu vztahovat evropské systémy certifikace bezpečnosti IT, a z účelově vytvořených výborů, které by poskytovaly podněty týkající se návrhu, vypracování a přijímání požadovaných možných evropských systémů certifikace kybernetické bezpečnosti.

Pozměňovací návrh    38

Návrh nařízení

Bod odůvodnění 46

Znění navržené Komisí

Pozměňovací návrh

(46)  Aby byla zaručena plná autonomie a nezávislost agentury a bylo jí umožněno vykonávat další nové úkoly, včetně nečekaných naléhavých úkolů, měla by mít k dispozici dostatečný a samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích zemí podílejících se na práci agentury. Většina zaměstnanců agentury by se měla přímo podílet na operativním plnění mandátu agentury. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky k příjmům agentury. Všechny subvence ze souhrnného rozpočtu Unie by měly podléhat rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví agentury s cílem zajistit transparentnost a odpovědnost.

(46)  Aby byla zaručena plná autonomie a nezávislost agentury a bylo jí umožněno vykonávat další nové úkoly, včetně nečekaných naléhavých úkolů, měla by mít k dispozici dostatečný a samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích zemí podílejících se na práci agentury. Aby mohla agentura plnit rostoucí objem svých úkolů a cílů, je mimořádně důležité, aby měla k dispozici přiměřený rozpočet. Většina zaměstnanců agentury by se měla přímo podílet na operativním plnění mandátu agentury. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky k příjmům agentury. Všechny subvence ze souhrnného rozpočtu Unie by měly podléhat rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví agentury s cílem zajistit transparentnost, odpovědnost a efektivitu nákladů.

Pozměňovací návrh    39

Návrh nařízení

Bod odůvodnění 47

Znění navržené Komisí

Pozměňovací návrh

(47)  Posuzování shody je postup k prokázání, zda byly splněny konkrétní požadavky týkající se produktu, postupu, služby, systému, osoby nebo subjektu. Pro účely tohoto nařízení by certifikace měla být považována za typ posuzování shody, který se týká kybernetickobezpečnostních prvků produktů, procesů, služeb a systémů nebo jejich kombinací („produkty a služby IKT“) a který je prováděn nezávislou třetí stranou jinou než výrobcem produktu nebo poskytovatelem služby. Certifikace nemůže sama o sobě zaručit, že certifikované produkty a služby IKT jsou kyberneticky bezpečné. Spíše se jedná o proces a technickou metodiku sloužící k potvrzení, že produkty a služby IKT byly testovány a že splňují určité stanovené kybernetickobezpečnostní požadavky, např. požadavky stanovené v technických normách.

(47)  Posuzování shody je postup k prokázání, zda byly splněny konkrétní požadavky týkající se produktu, postupu, služby, systému, osoby nebo subjektu. Pro účely tohoto nařízení by certifikace měla být považována za typ posuzování shody, který se týká kybernetickobezpečnostních prvků produktů, procesů, služeb a systémů nebo jejich kombinací („produkty, procesy a služby IKT“) a který je prováděn nezávislou třetí stranou nebo – umožňuje-lit to vlastní posouzení – výrobcem produktu nebo poskytovatelem služby. Vlastní posouzení může být provedeno výrobcem produktu, malým a středním podnikem nebo poskytovatelem služeb, jak je uvedeno v tomto nařízení a případně stanoveno v novém legislativním rámci a v souladu s tímto rámcem. Může být dále provedeno výrobcem produktu nebo poskytovatelem služby, pokud se po zohlednění zamýšleného použití daného produktu nebo služby výrobcem nebo poskytovatelem služeb neočekává vysoká nebo významná pravděpodobnost, že dojde ke kybernetickému bezpečnostnímu incidentu nebo že takový incident způsobí značnou škodu společnosti nebo její velké části. Certifikace nemůže sama o sobě zaručit, že produkty, procesy a služby IKT, na něž se vztahuje, jsou kyberneticky bezpečné, což musí být spotřebitelům a podnikům řádně sděleno. Spíše se jedná o proces a technickou metodiku sloužící k potvrzení, že produkty, procesy a služby IKT byly testovány a že splňují určité stanovené kybernetickobezpečnostní požadavky, např. požadavky stanovené v technických normách. Tyto technické standardy zahrnují i uvedení informace, zda je produkt, proces nebo služba IKT schopna řádně fungovat v případě odpojení od internetu.

Pozměňovací návrh    40

Návrh nařízení

Bod odůvodnění 48

Znění navržené Komisí

Pozměňovací návrh

(48)  Certifikace kybernetické bezpečnosti hraje důležitou úlohu při zvyšování důvěry v produkty a služby a jejich bezpečnosti. Jednotný digitální trh a zejména ekonomika dat a internet věcí se mohou rozvíjet, pouze bude-li existovat obecná důvěra veřejnosti, že dané produkty a služby poskytují určitou úroveň záruky kybernetické bezpečnosti. Propojené a automatizované automobily, elektronická zdravotnická zařízení, průmyslové automatizační řídicí systémy nebo inteligentní sítě, to je pouze několik příkladů odvětví, v nichž je certifikace již široce využívána, nebo je pravděpodobné, že v blízké budoucnosti využívána bude. Odvětví regulovaná směrnicí o bezpečnosti sítí a informací jsou zároveň odvětvími, v nichž má certifikace kybernetické bezpečnosti zásadní význam.

(48)  Evropská certifikace kybernetické bezpečnosti hraje klíčovou úlohu při zvyšování důvěry v produkty, procesy a služby a jejich bezpečnosti. Jednotný digitální trh a zejména ekonomika dat a internet věcí se mohou rozvíjet, pouze bude-li existovat obecná důvěra veřejnosti, že dané produkty a služby poskytují vysokou úroveň záruky kybernetické bezpečnosti. Propojené a automatizované automobily, elektronická zdravotnická zařízení, průmyslové automatizační řídicí systémy nebo inteligentní sítě, to je pouze několik příkladů odvětví, v nichž je certifikace již široce využívána, nebo je pravděpodobné, že v blízké budoucnosti využívána bude. Odvětví regulovaná směrnicí o bezpečnosti sítí a informací jsou zároveň odvětvími, v nichž má certifikace kybernetické bezpečnosti zásadní význam.

Pozměňovací návrh    41

Návrh nařízení

Bod odůvodnění 49

Znění navržené Komisí

Pozměňovací návrh

(49)  Komise ve svém sdělení „Posílení evropského systému kybernetické odolnosti a podpora konkurenceschopného a inovativního odvětví kybernetické bezpečnosti“ z roku 2016 nastínila potřebu vysoce kvalitních, cenově dostupných a interoperabilních kybernetickobezpečnostních produktů a řešení. Dodávky produktů a služeb IKT v rámci jednotného trhu jsou geograficky velmi roztříštěné. Důvodem je skutečnost, že odvětví kybernetické bezpečnosti v Evropě se vyvíjelo převážně na základě poptávky vnitrostátních vlád. Mezi další nedostatky, které ovlivňují jednotný trh kybernetické bezpečnosti, patří dále absence interoperabilních řešení (technických norem), postupů a celoevropských mechanismů pro certifikaci. To na straně jedné snižuje konkurenceschopnost evropských společností na vnitrostátní, evropské i celosvětové úrovni. Na straně druhé to omezuje výběr funkčních a užitečných kybernetickobezpečnostních technologií, ke kterým mají občané a podniky přístup. Podobně Komise ve svém přezkumu v polovině období provádění strategie pro jednotný digitální trh zdůraznila potřebu bezpečných propojených produktů a systémů a uvedla, že vytvoření evropského bezpečnostního rámce IKT stanovujícího pravidla pro systémy certifikace bezpečnosti IKT v Unii by mohla zachovat důvěru v internet a řešit stávající roztříštěnost trhu kybernetické bezpečnosti.

(49)  Komise ve svém sdělení „Posílení evropského systému kybernetické odolnosti a podpora konkurenceschopného a inovativního odvětví kybernetické bezpečnosti“ z roku 2016 nastínila potřebu vysoce kvalitních, cenově dostupných a interoperabilních kybernetickobezpečnostních produktů a řešení. Dodávky produktů, procesů a služeb IKT v rámci jednotného trhu jsou geograficky velmi roztříštěné. Důvodem je skutečnost, že odvětví kybernetické bezpečnosti v Evropě se vyvíjelo převážně na základě poptávky vnitrostátních vlád. Mezi další nedostatky, které ovlivňují jednotný trh kybernetické bezpečnosti, patří dále absence interoperabilních řešení (technických norem), postupů a celoevropských mechanismů pro certifikaci. To na straně jedné snižuje konkurenceschopnost evropských společností na vnitrostátní, evropské i celosvětové úrovni. Na straně druhé to omezuje výběr funkčních a užitečných kybernetickobezpečnostních technologií, ke kterým mají občané a podniky přístup. Podobně Komise ve svém přezkumu provádění strategie pro jednotný digitální v polovině období trh zdůraznila potřebu bezpečných propojených produktů a systémů a uvedla, že vytvoření evropského bezpečnostního rámce IKT stanovujícího pravidla pro systémy certifikace bezpečnosti IKT v Unii by mohlo zachovat důvěru v internet a řešit stávající roztříštěnost trhu kybernetické bezpečnosti.

Pozměňovací návrh    42

Návrh nařízení

Bod odůvodnění 50

Znění navržené Komisí

Pozměňovací návrh

(50)  Certifikace kybernetické bezpečnosti produktů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro kybernetickou bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií a skutečného využití.

(50)  Certifikace kybernetické bezpečnosti produktů, procesů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro kybernetickou bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty, procesy a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení, a tím se zvyšují jejich náklady. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk založených na posouzení rizika, podstatných kritérií a skutečného využití. Klíčové je v tomto ohledu vzájemné uznávání a důvěra mezi členskými státy. Agentura ENISA hraje při pomoci členským státům s vytvářením pevné institucionální struktury a rozvojem odborných znalostí v oblasti ochrany proti potenciálním počítačovým útokům důležitou úlohu. Pro zajištění toho, aby se na služby, procesy a produkty vztahovaly příslušné systémy certifikace, je nutný individuální přístup. Kromě toho je k účinnému zjišťování a omezování rizik nutné zajistit přístup zaměřený na rizika, zároveň je však nutné připomenout, že není možné vytvořit nějaký univerzální systém.

Pozměňovací návrh    43

Návrh nařízení

Bod odůvodnění 52

Znění navržené Komisí

Pozměňovací návrh

(52)  S ohledem na výše uvedené je nezbytné zřídit evropský rámec pro certifikaci kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty a služby IKT uznávané a používané ve všech členských státech. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Systémy by měly být nediskriminační a měly by být založeny na mezinárodních normách a/nebo na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

(52)  S ohledem na výše uvedené je nezbytné zaujmout společný přístup a zřídit evropský rámec pro certifikaci kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty, procesy a služby IKT uznávané a používané ve všech členských státech. Zásadní přitom je stavět na stávajících vnitrostátních a mezinárodních systémech a rovněž na systémech vzájemného uznávání, zejména systému SOG-IS, a umožnit hladký přechod ze stávajících systémů v rámci těchto systémů na systémy podle tohoto nového evropského rámce. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty, procesy a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Tam, kde evropská certifikace kybernetické bezpečnosti nahradila vnitrostátní systém, jsou certifikáty vydané v rámci evropského systému přijímány jako platné v případech, kdy byla vyžadována certifikace v rámci vnitrostátního systému. Systémy by měly být vedeny zásadou bezpečnosti již od fáze návrhu a zásadami uvedenými v nařízení (EU) 2016/679. Měly by také být nediskriminační a měly by být založeny na mezinárodních normách, příp. na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

Pozměňovací návrh    44

Návrh nařízení

Bod odůvodnění 52 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(52a)  Tento evropský rámec pro certifikaci kybernetické bezpečnosti by měl být jednotně zaveden ve všech členských státech, aby se zabránilo spekulativnímu výběru místa v závislosti na certifikaci v důsledku rozdílných nákladů nebo rozdílné přísnosti požadavků v jednotlivých členských státech.

Pozměňovací návrh    45

Návrh nařízení

Bod odůvodnění 52 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(52b)  Konstatuje, že certifikační systémy by měly vycházet z toho, co již existuje na vnitrostátní a mezinárodní úrovni, poučit se ze stávajících silných stránek a posoudit a napravit slabé stránky.

Pozměňovací návrh    46

Návrh nařízení

Bod odůvodnění 52 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(52c)  Flexibilní řešení v oblasti kybernetické bezpečnosti jsou nezbytná pro to, aby si odvětví udržovalo náskok před nebezpečnými útoky a hrozbami, a proto by se měl každý systém certifikace vyhnout riziku rychlé ztráty aktuálnosti.

Pozměňovací návrh    47

Návrh nařízení

Bod odůvodnění 53

Znění navržené Komisí

Pozměňovací návrh

(53)  Komisi by měla být svěřena pravomoc přijímat evropské systémy certifikace kybernetické bezpečnosti týkající se konkrétních skupin produktů a služeb IKT. Tyto systémy by měly provádět a dozor nad nimi by měly vykonávat vnitrostátní orgány dozoru nad certifikací a certifikáty vydané v rámci těchto systémů by měly být platné a uznávané v celé Unii. Systémy certifikace provozované odvětvím nebo jinými soukromými organizacemi by měly spadat mimo oblast působnosti tohoto nařízení. Subjekty provozující tyto systémy však mohou Komisi navrhnout, aby tyto systémy zvážila jako základ pro jejich schválení jakožto evropského systému.

(53)  Komisi by měla být svěřena pravomoc přijímat evropské systémy certifikace kybernetické bezpečnosti týkající se konkrétních skupin produktů, procesů a služeb IKT. Tyto systémy by měly provádět a dozor nad nimi by měly vykonávat vnitrostátní orgány dozoru nad certifikací a certifikáty vydané v rámci těchto systémů by měly být platné a uznávané v celé Unii. Systémy certifikace provozované odvětvím nebo jinými soukromými organizacemi by měly spadat mimo oblast působnosti tohoto nařízení. Subjekty provozující tyto systémy však mohou Komisi navrhnout, aby tyto systémy zvážila jako základ pro jejich schválení jakožto evropského systému. Agentura by měla stanovit a posoudit systémy, které již provozují odvětvové nebo soukromé organizace, s cílem vybrat osvědčené postupy, které by mohly být začleněny do evropského systému. Představitelé odvětví mohou před certifikací provést vlastní posouzení svých produktů nebo služeb a tím ukázat, že jejich výrobek nebo služba jsou připraveny zahájit certifikační proces, pokud je to požadováno nebo nutné.

Pozměňovací návrh    48

Návrh nařízení

Bod odůvodnění 53 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(53a)  Agentura a Komise by měly co nejlépe využívat již existující certifikační systémy na úrovni EU nebo na mezinárodní úrovni. Agentura ENISA by měla být schopna posoudit, které již používané systémy jsou vhodné pro daný účel, mohly by být ve spolupráci s normalizačními organizacemi EU zavedeny do evropských právních předpisů a v co největším rozsahu mezinárodně uznány. Stávající osvědčené postupy by měly být shromážděny a sdíleny mezi členskými státy.

Pozměňovací návrh    49

Návrh nařízení

Bod odůvodnění 54

Znění navržené Komisí

Pozměňovací návrh

(54)  Ustanoveními tohoto nařízení by neměly být dotčeny právní předpisy Unie stanovující zvláštní pravidla týkající se certifikace produktů a služeb IKT. Zejména obecné nařízení o ochraně osobních údajů obsahuje ustanovení týkající se zavedení mechanismů pro vydávání osvědčení a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Tyto mechanismy pro vydávání osvědčení a pečetě a známky dokládající ochranu údajů by měly subjektům údajů u příslušných produktů a služeb umožnit rychlé posouzení úrovně ochrany údajů. Tímto nařízením není dotčena certifikace operací zpracování údajů podle obecného nařízení o ochraně osobních údajů, včetně situací, kdy jsou tyto operace zabudované v produktech a službách.

(54)  Ustanoveními tohoto nařízení by neměly být dotčeny právní předpisy Unie stanovující zvláštní pravidla týkající se certifikace produktů, procesů a služeb IKT. Zejména obecné nařízení o ochraně osobních údajů obsahuje ustanovení týkající se zavedení mechanismů pro vydávání osvědčení a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Tyto mechanismy pro vydávání osvědčení a pečetě a známky dokládající ochranu údajů by měly subjektům údajů u příslušných produktů a služeb umožnit rychlé posouzení úrovně ochrany údajů. Tímto nařízením není dotčena certifikace operací zpracování údajů podle obecného nařízení o ochraně osobních údajů, včetně situací, kdy jsou tyto operace zabudované v produktech a službách.

Pozměňovací návrh    50

Návrh nařízení

Bod odůvodnění 55

Znění navržené Komisí

Pozměňovací návrh

(55)  Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být zajistit, aby produkty a služby IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni záruky odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto produktů, procesů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit kybernetickobezpečnostní požadavky týkající se veškerých produktů a služeb IKT. Produkty a služby IKT a související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné přijít s obecnými kybernetckobezpečnostními požadavky, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, doplněný souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů a služeb IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace.

(55)  Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být zajistit, aby produkty, služby a procesy IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni rizika odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto produktů, procesů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit kybernetickobezpečnostní požadavky týkající se veškerých produktů, služeb a procesů IKT. Produkty, služby a procesy IKT a související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné přijít s obecnými kybernetckobezpečnostními požadavky, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, doplněný souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů, služeb a procesů IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace. Všechny zúčastněné subjekty v daném dodavatelském řetězci by měly být vybízeny, aby rozvíjely a přijímaly bezpečnostní standardy a technické normy a aby uplatňovaly zásady bezpečnosti již od fáze návrhu, a to ve všech fázích životního cyklu produktu, služby nebo procesu; všechny evropské systémy certifikace kybernetické bezpečnosti by měly být navrženy tak, aby dosáhly tohoto rozsahu.

Pozměňovací návrh    51

Návrh nařízení

Bod odůvodnění 56

Znění navržené Komisí

Pozměňovací návrh

(56)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty nebo služby IKT. Komisi by poté měla být svěřena pravomoc, aby na základě návrhu systému předloženého agenturou ENISA přijala evropský systém certifikace kybernetické bezpečnosti prostřednictvím prováděcích aktů. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace kybernetické bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci kybernetickobezpečnostních požadavků, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení a úroveň záruky, kterou mají zajistit: základní, významnou a/nebo vysokou.

(56)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty, procesy nebo služby IKT na základě opodstatněných důvodů, například skutečnosti, že stávající vnitrostátní systémy certifikace kybernetické bezpečnosti fragmentují vnitřní trh; že existuje nebo se očekává potřeba podpořit právní předpisy Unie; nebo na základě stanoviska skupiny členských států pro certifikaci nebo skupiny zúčastněných stran pro certifikaci. Poté, co jsou návrhy systémů certifikace navržené agenturou ENISA na základě žádosti Komise posouzeny, měla by být Komisi svěřena pravomoc, aby prostřednictvím aktů v přenesené pravomoci přijala evropské systémy certifikace kybernetické bezpečnosti. ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by tyto evropské systémy certifikace kybernetické bezpečnosti měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci kybernetickobezpečnostních požadavků, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení a úroveň záruky, kterou mají zajistit: základní, významnou a/nebo vysokou.

Pozměňovací návrh    52

Návrh nařízení

Bod odůvodnění 56 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56a)  Agentura by měla být informačním zdrojem o evropských systémech certifikace kybernetické bezpečnosti. Měla by spravovat internetové stránky obsahující veškeré příslušné informace, a to i s ohledem na certifikáty, které byly odmítnuty nebo jejichž platnost již skončila, a pokryté vnitrostátní certifikace. Agentura by měla zajistit, aby přiměřená část obsahu její stránky byla srozumitelná běžným spotřebitelům.

Pozměňovací návrh    53

Návrh nařízení

Bod odůvodnění 56 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56b)  Definice úrovní záruky certifikátů je důležitá pro to, aby konečný uživatel získat přehled o očekávaném typu kybernetických hrozeb, kterým mají opatření kybernetické bezpečnosti v rámci produktu, procesu nebo služby zabránit. Při definici kybernetických hrozeb je třeba zohlednit očekávané riziko a schopnost původce či původců útoku, pokud jde o očekávané využití pokrytého produktu, procesu nebo služby IKT. Základní úroveň záruky odkazuje na schopnost čelit útokům, kterým lze zabránit základními opatřeními kybernetické bezpečnosti a které lze snadno kontrolovat prostřednictvím revize technické dokumentace. Významná úroveň záruky odkazuje na schopnost čelit známým typům útoků útočníků s určitou úrovní sofistikovanosti, ale s omezenými zdroji. Vysoká úroveň záruky odkazuje na schopnost čelit neznámým zranitelným místům a sofistikovaným útokům prováděným nejnovějšími technikami a za použití významných zdrojů, jako jsou financované multidisciplinární týmy.

Pozměňovací návrh    54

Návrh nařízení

Bod odůvodnění 56 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56c)  Z cílem zabránit roztříštěnosti vnitřního druhu způsobené vnitrostátními systémy kybernetické bezpečnosti, podpořit budoucí právní předpisy a zvýšit důvěru a bezpečnost by na Komisi měla být v souladu s článkem 290 Smlouvy o fungování Evropské unie převedena pravomoc stanovit priority pro evropské systémy certifikace kybernetické bezpečnosti, přijímat průběžné programy a přijímat evropské systémy certifikace. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

Pozměňovací návrh    55

Návrh nařízení

Bod odůvodnění 56 d (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56d)  Mezi metodami hodnocení a postupy posuzování spojenými s jednotlivými evropskými systémy certifikace kybernetické bezpečnosti by měl být na úrovni Unie podporován etický hacking, jehož cílem je odhalit slabá a zranitelná místa přístrojů a informačních systémů tím, že jsou předjímány zamýšlené aktivity a dovednosti škodlivých hackerů.

Pozměňovací návrh    56

Návrh nařízení

Bod odůvodnění 57

Znění navržené Komisí

Pozměňovací návrh

(57)  Využití evropské certifikace kybernetické bezpečnosti by mělo zůstat dobrovolné, pokud unijní nebo vnitrostátní právní předpisy nestanoví jinak. Avšak s cílem dosažení cílů tohoto nařízení a zabránění roztříštěnosti vnitřního trhu by vnitrostátní systémy nebo postupy certifikace kybernetické bezpečnosti pro produkty a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti měly ode dne stanoveného Komisí prostřednictvím prováděcího aktu pozbýt účinnosti. Členské státy by navíc neměly zavádět nové vnitrostátní systémy stanovující systémy certifikace kybernetické bezpečnosti pro produkty a služby IKT, které jsou již zahrnuty do určitého evropského systému certifikace kybernetické bezpečnosti.

(57)  Využití evropské certifikace kybernetické bezpečnosti by mělo zůstat dobrovolné, pokud unijní nebo vnitrostátní právní předpisy nestanoví jinak. Avšak s cílem dosáhnout cílů tohoto nařízení a zabránit roztříštěnosti vnitřního trhu by vnitrostátní systémy nebo postupy certifikace kybernetické bezpečnosti pro produkty, procesy a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti měly ode dne stanoveného Komisí prostřednictvím aktu v přenesené pravomoci pozbýt účinnosti. Členské státy by navíc neměly zavádět nové vnitrostátní systémy stanovující systémy certifikace kybernetické bezpečnosti pro produkty a služby IKT, které jsou již zahrnuty do určitého evropského systému certifikace kybernetické bezpečnosti. Tímto nařízením by však neměly být dotčeny vnitrostátní systémy, podle nichž jsou členské státy nadále odpovědné za řízení produktů, procesů a služeb IKT používaných pro své svrchované doménové potřeby.

Pozměňovací návrh    57

Návrh nařízení

Bod odůvodnění 57 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(57a)  Povinnost vydávat prohlášení o produktu obsahující strukturované informace týkající se certifikace produktu, procesu nebo služby je zavedena s cílem poskytnout spotřebiteli více informací a umožnit mu uskutečnit informovanou volbu.

Pozměňovací návrh    58

Návrh nařízení

Bod odůvodnění 57 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(57b)  Při navrhování nových evropských systémů kybernetické bezpečnosti by měla agentura ENISA a další příslušné orgány věnovat v rámci návrhu náležitou pozornost dynamice hospodářské soutěže, a zejména zajistit, aby v případě, že v dotyčném odvětví působí mnoho malých a středních podniků, například v oblasti vývoje softwaru, nevytvářely systémy certifikace překážku vstupu nových podniků a inovací.

Pozměňovací návrh    59

Návrh nařízení

Bod odůvodnění 57 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(57c)  Evropské systémy kybernetické bezpečnosti pomohou v rámci Unie harmonizovat a sjednotit postupy kybernetické bezpečnosti. Nesmí se však stát minimální úrovní kybernetické bezpečnosti. Návrh evropských systémů kybernetické bezpečnosti by měl také zohlednit a umožnit vývoj nových inovací v oblasti kybernetické bezpečnosti.

Pozměňovací návrh    60

Návrh nařízení

Bod odůvodnění 58

Znění navržené Komisí

Pozměňovací návrh

(58)  Jakmile je přijat určitý evropský systém certifikace kybernetické bezpečnosti, výrobci produktů IKT nebo poskytovatelé služeb IKT by měli být schopni subjektu posuzování shody podlé své volby předložit žádost o certifikaci svých produktů nebo služeb. Subjekty posuzování shody by měly být akreditovány akreditačním orgánem, splňují-li určité konkrétní požadavky stanovené v tomto nařízení. Akreditace by měla být vydávána na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt posuzování shody splňuje příslušné požadavky. Akreditační orgány by měly zrušit akreditaci subjektu posuzování shody, pokud podmínky pro akreditaci nejsou nebo přestanou být splňovány, nebo pokud opatření přijatá subjektem posuzování shody porušují toto nařízení.

(58)  Jakmile je přijat určitý evropský systém certifikace kybernetické bezpečnosti, výrobci produktů IKT nebo poskytovatelé procesů a služeb IKT by měli být schopni subjektu posuzování shody podlé své volby kdekoli v Unii předložit žádost o certifikaci svých produktů nebo služeb. Subjekty posuzování shody by měly být akreditovány akreditačním orgánem, splňují-li určité konkrétní požadavky stanovené v tomto nařízení. Akreditace by měla být vydávána na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt posuzování shody splňuje příslušné požadavky. Akreditační orgány by měly zrušit akreditaci subjektu posuzování shody, pokud podmínky pro akreditaci nejsou nebo přestanou být splňovány, nebo pokud opatření přijatá subjektem posuzování shody porušují toto nařízení. Agentura by měla provádět audity, aby se zajistila rovnocenná úroveň kvality a řádné péče subjektů posuzování shody s cílem vyhnout se regulatorní arbitráži. Výsledky by měly být oznamovány agentuře, Komisi a Parlamentu a měly by být zveřejněny.

Pozměňovací návrh    61

Návrh nařízení

Bod odůvodnění 58 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(58a)  Povinné využívání evropských systémů kybernetické bezpečnosti by mělo být omezeno na případy, kdy analýza rizik odůvodňuje náklady pro odvětví, občany a spotřebitele. Incidenty narušující základní služby mohou bránit ve výkonu ekonomické činnosti, přivodit významné finanční ztráty, narušit důvěru uživatelů a způsobit značnou újmu hospodářství Unie. Povinné používání evropských systémů kybernetické bezpečnosti provozovateli základních služeb by mělo být omezeno na prvky, které mají zásadní význam pro jejich fungování, a nemělo by se uplatňovat na produkty, procesy a služby všeobecného účelu, což by vedlo k neopodstatněným nákladům pro odvětví a spotřebitele. Komise by měla spolupracovat se skupinou pro spolupráci zřízenou podle článku 11 směrnice (EU) 2016/1148 na definici seznamu kategorií produktů, procesů a služeb, které jsou konkrétně určeny pro poskytovatele základních služeb a jejichž špatné fungování v případě nehody by mohlo mít pro dotyčnou základní službu výrazně negativní důsledky. Tento seznam by měl být sestavován postupně a v případě potřeby by měl být aktualizován. Pro poskytovatele základních služeb by měly být povinné pouze produkty, procesy a služby uvedené na dotyčném seznamu.

Pozměňovací návrh    62

Návrh nařízení

Bod odůvodnění 58 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(58b)  Křížové odkazy ve vnitrostátních právních předpisech odkazující na vnitrostátní standardy, které z důvodu vstupu v platnost evropských systémů certifikace již nemají právní účinek, by mohly výrobce a konečné uživatele mást. S cílem zabránit tomu, aby výrobci nadále uplatňovali specifikace týkající se vnitrostátních certifikátů, které již nejsou v platnosti, by členské státy měly v souladu se svými povinnostmi vyplývajícími ze Smluv přijmout vnitrostátní právní předpisy, které budou odrážet přijetí evropského systému certifikace.

Pozměňovací návrh    63

Návrh nařízení

Bod odůvodnění 59

Znění navržené Komisí

Pozměňovací návrh

(59)  Je nezbytné od všech členských států požadovat, aby určily jeden orgán dozoru nad certifikací kybernetické bezpečnosti, který bude dohlížet na to, aby subjekty posuzování shody a certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky tohoto nařízení a příslušných systémů certifikace kybernetické bezpečnosti. Vnitrostátní orgány dozoru nad certifikací by měly řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území, v přiměřeném rozsahu šetřit předmět stížnosti a v přiměřené lhůtě informovat stěžovatele o pokroku a výsledku šetření. Kromě toho by měly spolupracovat s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, a to i prostřednictvím sdílení informací o možných případech, kdy produkty a služby IKT nesplňují požadavky tohoto nařízení nebo konkrétních systémů kybernetické bezpečnosti.

(59)  Je nezbytné od všech členských států požadovat, aby určily jeden orgán dozoru nad certifikací kybernetické bezpečnosti, který bude dohlížet na to, aby subjekty posuzování shody a certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky tohoto nařízení a příslušných systémů certifikace kybernetické bezpečnosti, a zajistí, aby byly na jejich území uznávány evropské certifikáty kybernetické bezpečnosti. Vnitrostátní orgány dozoru nad certifikací by měly řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území nebo v souvislosti s údajným neuznáním certifikátu na jejich území, v přiměřeném rozsahu šetřit předmět stížnosti a v přiměřené lhůtě informovat stěžovatele o pokroku a výsledku šetření. Kromě toho by měly spolupracovat s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, a to i prostřednictvím sdílení informací o možných případech, kdy produkty, procesy a služby IKT nesplňují požadavky tohoto nařízení nebo konkrétních systémů kybernetické bezpečnosti nebo nejsou uznány evropské certifikáty kybernetické bezpečnosti. Dále by měly ověřovat shodu vlastních prohlášení o shodě, dohlížet na ni a kontrolovat, zda byly evropské certifikáty kybernetické bezpečnosti vydány subjekty posuzování shody v souladu s požadavky stanovenými v tomto nařízení, včetně pravidel, která přijala Evropská skupina pro certifikaci kybernetické bezpečnosti, a pravidel stanovených v příslušném evropském systému certifikace kybernetické bezpečnosti. Účinná spolupráce mezi vnitrostátními orgány dozoru nad certifikací má pro řádné provádění evropských systémů certifikace kybernetické bezpečnosti a pro technické otázky týkající se kybernetické bezpečnosti produktů a služeb IKT zásadní význam. Komise by měla tuto výměnu informací podporovat zpřístupněním obecného elektronického systému pro výměnu informací, například prostřednictvím systému pro výměnu informací v rámci dohledu nad trhem (ICSMS) a systému rychlého varování pro nebezpečné nepotravinářské výrobky (RAPEX), které již dnes využívají orgány dohledu nad trhem podle nařízení (ES) č. 765/2008.

Pozměňovací návrh    64

Návrh nařízení

Bod odůvodnění 60

Znění navržené Komisí

Pozměňovací návrh

(60)  S cílem zajistit jednotné uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti by měla být zřízena Evropská skupina pro certifikaci kybernetické bezpečnosti (dále jen „skupina“) sestávající z vnitrostátních orgánů dozoru nad certifikací. Hlavními úkoly skupiny by mělo být poskytování poradenství a pomoci Komisi při její práci směřující k zajištění jednotného provádění a uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti; pomáhat agentuře a úzce s ní spolupracovat při přípravě návrhů systémů certifikace kybernetické bezpečnosti; doporučovat, aby Komise požádala agenturu, aby vypracovala návrh evropského systému certifikace kybernetické bezpečnosti; a přijímat stanoviska určená Komisi týkající se zachování a přezkumu stávajících evropských systémů certifikace kybernetické bezpečnosti.

(60)  S cílem zajistit jednotné uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti by měla být zřízena skupina členských států pro certifikaci sestávající z vnitrostátních orgánů dozoru nad certifikací. Hlavními úkoly skupiny členských států pro certifikaci by mělo být poskytování poradenství a pomoci Komisi při její práci směřující k zajištění jednotného provádění a uplatňování evropského rámce pro certifikaci kybernetické bezpečnosti; pomáhat agentuře a úzce s ní spolupracovat při přípravě návrhů systémů certifikace kybernetické bezpečnosti; doporučovat, aby Komise požádala agenturu, aby vypracovala návrh evropského systému certifikace kybernetické bezpečnosti; a přijímat stanoviska určená Komisi týkající se zachování a přezkumu stávajících evropských systémů certifikace kybernetické bezpečnosti.

Pozměňovací návrh    65

Návrh nařízení

Bod odůvodnění 60 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(60a)  V zájmu zajištění rovnocenné úrovně odborné způsobilosti subjektů posuzování shody, usnadnění vzájemného uznávání a podpory obecného přijímání osvědčení a výsledků posuzování shody vydaných subjekty posuzování shody je nezbytné, aby vnitrostátní orgány dozoru nad certifikací měly přísný a transparentní systém vzájemného hodnocení a pravidelně se tomuto hodnocení podrobovaly.

Pozměňovací návrh    66

Návrh nařízení

Bod odůvodnění 60 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(60b)  Účinná spolupráce mezi vnitrostátními orgány dozoru nad certifikací je nezbytná pro řádné provádění vzájemného hodnocení a pro přeshraniční akreditaci. V zájmu transparentnosti je proto nezbytné stanovit pro vnitrostátní orgány dozoru nad certifikací povinnost vyměňovat si mezi sebou informace a poskytovat příslušné informace vnitrostátním orgánům a Komisi. Aktualizované a přesné informace o dostupných akreditačních činnostech prováděných vnitrostátními akreditačními orgány by měly být také zveřejněny, a tedy i přístupné zejména subjektům posuzování shody.

Pozměňovací návrh    67

Návrh nařízení

Bod odůvodnění 61

Znění navržené Komisí

Pozměňovací návrh

(61)  Evropská komise může za účelem zvyšování informovanosti a usnadnění uznávání budoucích systémů evropské kybernetické bezpečnosti vydávat obecné kybernetické bezpečnostní pokyny nebo kybernetické bezpečnostní pokyny pro konkrétní odvětví, např. osvědčené postupy v oblasti kybernetické bezpečnosti nebo pokyny týkající se odpovědného chování v oblasti kybernetické bezpečnosti zdůrazňující pozitivní účinek používání certifikovaných produktů a služeb IKT.

(61)  Evropská komise může za účelem zvyšování informovanosti a usnadnění uznávání budoucích systémů evropské kybernetické bezpečnosti vydávat obecné kybernetické bezpečnostní pokyny nebo kybernetické bezpečnostní pokyny pro konkrétní odvětví, např. osvědčené postupy v oblasti kybernetické bezpečnosti nebo pokyny týkající se odpovědného chování v oblasti kybernetické bezpečnosti zdůrazňující pozitivní účinek používání certifikovaných produktů, procesů a služeb IKT.

Pozměňovací návrh    68

Návrh nařízení

Bod odůvodnění 63

Znění navržené Komisí

Pozměňovací návrh

(63)  Za účelem dalšího upřesnění kritérií pro akreditaci subjektů posuzování shody by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Komise by během přípravné činnosti měla provádět příslušné konzultace, včetně konzultací na úrovni odborníků. Tyto konzultace by měly být prováděny v souladu se zásadami stanovenými v interinstitucionální dohodě o zdokonalení tvorby právních předpisů ze dne 13. dubna 2016. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci by měly Evropský parlament a Rada obdržet veškeré dokumenty současně s odborníky z členských států a jejich odborníci by měly mít automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(63)  Za účelem dalšího upřesnění kritérií pro akreditaci subjektů posuzování shody by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Komise by během přípravné činnosti měla provádět příslušné konzultace, včetně konzultací na úrovni odborníků a případně příslušných zúčastněných stran. Tyto konzultace by měly být prováděny v souladu se zásadami stanovenými v interinstitucionální dohodě o zdokonalení tvorby právních předpisů ze dne 13. dubna 2016. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci by měly Evropský parlament a Rada obdržet veškeré dokumenty současně s odborníky z členských států a jejich odborníci by měli mít automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

Pozměňovací návrh    69

Návrh nařízení

Bod odůvodnění 65

Znění navržené Komisí

Pozměňovací návrh

(65)  Přezkumný postup by měl být použit pro přijímání prováděcích aktů týkajících se evropských systémů certifikace kybernetické bezpečnosti pro produkty a služby IKT; způsobů, jakými agentura provádí šetření; jakož i okolností, formátů a postupů oznamování akreditovaných subjektů posuzování shody podávaných vnitrostátními orgány dozoru nad certifikací Komisi.

(65)  Mohly by být dále přijaty akty v přenesené pravomoci týkající se evropských systémů certifikace kybernetické bezpečnosti pro produkty, procesy a služby IKT; způsobů, jakými agentura provádí šetření; jakož i okolností, formátů a postupů oznamování akreditovaných subjektů posuzování shody podávaných vnitrostátními orgány dozoru nad certifikací Komisi.

Pozměňovací návrh    70

Návrh nařízení

Bod odůvodnění 66

Znění navržené Komisí

Pozměňovací návrh

(66)  Činnosti agentury by měly být hodnoceny nezávisle. Hodnocení by se mělo týkat toho, jak agentura dosahuje svých cílů, jejích pracovních postupů a relevantnosti jejích úkolů. Hodnocení by rovněž mělo posuzovat dopad, účinnost a účelnost evropského rámce pro certifikaci kybernetické bezpečnosti.

(66)  Činnosti agentury by měly být hodnoceny průběžně a nezávisle. Hodnocení by se mělo týkat toho, jak agentura dosahuje svých cílů, jejích pracovních postupů a relevantnosti jejích úkolů, zejména pak její úlohy koordinátora vůči členským státům a jejich vnitrostátním orgánům. V případě přezkumu by Komise měla posoudit, zda by agentura mohla fungovat jako jednotné kontaktní místo pro členské státy a orgány a instituce Unie.

Pozměňovací návrh    71

Návrh nařízení

Bod odůvodnění 66 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(66a)  Hodnocení by rovněž mělo posuzovat dopad, účinnost a účelnost evropského rámce pro certifikaci kybernetické bezpečnosti. V případě přezkumu by Komise měla posoudit, zda by se Agentura mohla podílet na hodnocení produktů a služeb třetích zemí vstupujících na trh Unie a zda je vhodné vytvořit černou listinu společností, které nedodržují pravidla Unie.

Pozměňovací návrh    72

Návrh nařízení

Bod odůvodnění 66 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(66b)  Hodnocení by mělo posoudit úroveň kybernetické bezpečnosti produktů a služeb prodávaných v Unii. V případě přezkumu by Komise měla posoudit, zda by bylo vhodné zařadit mezi podmínky přístupu na vnitřní trh základní požadavky týkající se kybernetické bezpečnosti.

Pozměňovací návrh    73

Návrh nařízení

Čl. 1 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  stanoví cíle, úkoly a organizační aspekty agentury ENISA, „Agentury EU pro kybernetickou bezpečnost“, dále jen „agentura“, a

a)  stanovuje cíle, úkoly a organizační aspekty „Agentury Evropské unie pro bezpečnost sítí a informací“ („Agentury“); a 

Pozměňovací návrh    74

Návrh nařízení

Čl. 1 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  stanoví rámec pro zavedení evropského systému certifikace kybernetické bezpečnosti za účelem zajištění odpovídající úrovně kybernetické bezpečnosti produktů a služeb IKT v Unii. Tento rámec se použije, aniž jsou dotčena zvláštní ustanovení týkající se dobrovolné nebo povinné certifikace stanovená v jiných právních předpisech Unie.

b)  stanoví rámec pro zavedení evropského systému certifikace kybernetické bezpečnosti za účelem zabránění roztříštěnosti systémů certifikace v Unii a zajištění odpovídající úrovně kybernetické bezpečnosti produktů, procesů a služeb IKT v Unii, kterýse

použije, aniž jsou dotčena zvláštní ustanovení týkající se dobrovolné, případně povinné certifikace, stanoví-li to toto nařízení nebo jiné právní předpisy Unie.

Pozměňovací návrh    75

Návrh nařízení

Čl. 1 – odst. 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Agentura vykonává své úkoly, aniž by byly dotčeny pravomoci členských států týkající se kybernetické bezpečnosti, a zvláště pak jejich pravomoci týkající se veřejné bezpečnosti, obrany, vnitrostátní bezpečnosti a trestního práva.

Pozměňovací návrh    76

Návrh nařízení

Čl. 2 – odst. 1 – bod 1

Znění navržené Komisí

Pozměňovací návrh

1)  „kybernetickou bezpečností“ veškeré činnosti nezbytné k ochraně sítí a informačních systémů, jejich uživatelů a osob dotčených kybernetickými hrozbami;

(Netýká se českého znění.)  

Pozměňovací návrh    77

Návrh nařízení

Čl. 2 – odst. 1 – bod 2

Znění navržené Komisí

Pozměňovací návrh

2)  „sítí a informačním systémem“ systém ve smyslu čl. 4 bodu 1 směrnice (EU) 2016/1148;

2)  „sítí a informačním systémem“ síť a informační systém, jak jsou definovány v čl. 4 bodu 1 směrnice (EU) 2016/1148;

Pozměňovací návrh    78

Návrh nařízení

Čl. 2 – odst. 1 – bod 3

Znění navržené Komisí

Pozměňovací návrh

3)  „národní strategií pro bezpečnost sítí a informačních systémů“ rámec ve smyslu čl. 4 bodu 3 směrnice (EU) 2016/1148;

3)  „národní strategií pro bezpečnost sítí a informačních systémů“ národní strategie pro bezpečnost sítí a informačních systémů definovaná v čl. 4 bodu 3 směrnice (EU) 2016/1148;

Pozměňovací návrh    79

Návrh nařízení

Čl. 2 – odst. 1 – bod 4

Znění navržené Komisí

Pozměňovací návrh

4)  „provozovatelem základních služeb“ veřejný nebo soukromý subjekt definovaný v čl. 4 bodu 4 směrnice (EU) 2016/1148;

4)  „provozovatelem základních služeb“ provozovatel základních služeb definovaný v čl. 4 bodu 4 směrnice (EU) 2016/1148;

Pozměňovací návrh    80

Návrh nařízení

Čl. 2 – odst. 1 – bod 5

Znění navržené Komisí

Pozměňovací návrh

5)  „poskytovatelem digitálních služeb“ jakákoli právnická osoba poskytující digitální službu definovaná v čl. 4 bodu 6 směrnice (EU) 2016/1148;

5)  „poskytovatelem digitálních služeb“ poskytovatel digitálních služeb definovaný v čl. 4 bodu 6 směrnice (EU) 2016/1148;

Pozměňovací návrh    81

Návrh nařízení

Čl. 2 – odst. 1 – bod 6

Znění navržené Komisí

Pozměňovací návrh

6)  „incidentem“ jakákoliv událost definovaná v čl. 4 bodu 7 směrnice (EU) 2016/1148;

6)  „incidentem“ jakýkoli incident definovaný v čl. 4 bodu 7 směrnice (EU) 2016/1148;

Pozměňovací návrh    82

Návrh nařízení

Čl. 2 – odst. 1 – bod 7

Znění navržené Komisí

Pozměňovací návrh

7)  „řešením incidentu“ veškeré postupy definované v čl. 4 bodu 8 směrnice (EU) 2016/1148;

7)  „řešením incidentu“ řešení incidentu definované v čl. 4 bodu 8 směrnice (EU) 2016/1148;

Pozměňovací návrh    83

Návrh nařízení

Čl. 2 – odst. 1 – bod 8

Znění navržené Komisí

Pozměňovací návrh

8)  „kybernetickou hrozbou“ jakákoliv potenciální okolnost nebo událost, která může nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a dotčené osoby;

8)  „kybernetickou hrozbou“ jakákoliv potenciální okolnost, událost nebo úmyslný čin, včetně automatického příkazu, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a dotčené osoby;

Pozměňovací návrh    84

Návrh nařízení

Čl. 2 – odst. 1 – bod 8 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

8a)  „kybernetickou hygienou“ jednoduchá rutinní opatření, která – jsou-li zavedena a prováděna uživateli a podniky on-line pravidelně – omezují jejich vystavení rizikům kybernetických hrozeb.

Pozměňovací návrh    85

Návrh nařízení

Čl. 2 – odst. 1 – bod 9

Znění navržené Komisí

Pozměňovací návrh

9)  „evropským systémem certifikace kybernetické bezpečnosti“ komplexní soubor pravidel, technických požadavků, norem a postupů definovaných na úrovni Unie, které se uplatňují na certifikaci produktů a služeb informačních a komunikačních technologií (IKT) spadajících do oblasti působnosti konkrétního systému;

9)  „evropským systémem certifikace kybernetické bezpečnosti“ komplexní soubor pravidel, technických požadavků, norem a postupů definovaných na úrovni Unie a podle mezinárodních a evropských norem a specifikací IKT určených Agenturou, které se uplatňují na certifikaci produktů, procesů a služeb informačních a komunikačních technologií (IKT) spadajících do oblasti působnosti konkrétního systému;

Pozměňovací návrh    86

Návrh nařízení

Čl. 2 – odst. 1 – bod 10

Znění navržené Komisí

Pozměňovací návrh

10)  „evropským certifikátem kybernetické bezpečnosti“ dokument vydaný subjektem posuzování shody, který osvědčuje, že daný produkt nebo služba IKT splňuje konkrétní požadavky stanovené v evropském systému certifikace kybernetické bezpečnosti;

10)  „evropským certifikátem kybernetické bezpečnosti“ dokument vydaný subjektem posuzování shody, který osvědčuje, že daný produkt, služba nebo proces IKT splňuje konkrétní požadavky stanovené v evropském systému certifikace kybernetické bezpečnosti;

Pozměňovací návrh    87

Návrh nařízení

Čl. 2 – odst. 1 – bod 11 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

11a)  „procesem IKT“ jakýkoli soubor činností prováděných za účelem navrhování, vývoje, údržby a poskytování produktů nebo služeb IKT;

Pozměňovací návrh    88

Návrh nařízení

Čl. 2 – odst. 1 – bod 11 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

11b)  „spotřebním elektronickým zařízením“ zařízení sestávající z hardwaru a softwaru, které zpracovávají osobní údaje nebo se připojují k internetu za účelem ovládání domotických zařízení a domácích spotřebičů, kancelářských přístrojů, směrovacích zařízení a přístrojů, které se připojují k síti, jako je chytrá televize, hračky a herní konzoly, virtuální nebo osobní asistenti, připojené streamingové zařízení, přístroje, které jsou součástí oděvu, systémy hlasového ovládání a virtuální reality;

Pozměňovací návrh    89

Návrh nařízení

Čl. 2 – odst. 1 – bod 16

Znění navržené Komisí

Pozměňovací návrh

16)  „normou“ norma ve smyslu čl. 2 bodu 1 nařízení (EU) č. 1025/2012.

16)  „normou, technickou specifikací a technickou specifikací IKT“ norma, technická specifikace nebo technická specifikace IKT ve smyslu čl. 2 bodů 1, 4 a 5 nařízení (EU) č. 1025/2012.

Pozměňovací návrh    90

Návrh nařízení

Čl. 2 – odst. 1 – bod 16 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

16a)  „vnitrostátním orgánem dozoru nad certifikací“ orgán jmenovaný každým členským státem v souladu s článkem 50 tohoto nařízení;

Pozměňovací návrh    91

Návrh nařízení

Čl. 2 – odst. 1 – bod 16 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

16b)  „vlastním posouzením“ prohlášení o shodě, kterým výrobce prohlašuje, že byly splněny konkrétní požadavky týkající se produktu, procesu a služby stanovené v systému certifikace;

Pozměňovací návrh    92

Návrh nařízení

Čl. 2 – odst. 1 – bod 16 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

 

 

 

 

 

 

 

16c)  „standardní bezpečností“ situace, kdy pokud produkt, software či proces může být nastaven tak, aby zajistil vysokou úroveň bezpečnosti, měl by první uživatel obdržet standardní konfiguraci s co nejbezpečnějším nastavením. Pokud v individuálním případě vede analýza rizika a využitelnosti k závěru, že takové nastavení není proveditelné, měli by být uživatelé nabádáni ke zvolení nejbezpečnějšího nastavení.

Pozměňovací návrh    93

Návrh nařízení

Čl. 2 – odst. 1 – bod 16 d (nový)

Znění navržené Komisí

Pozměňovací návrh

 

16d)  „provozovateli základních služeb“ provozovatelé základních služeb definovaní v čl. 4 bodu 4 směrnice (EU) 2016/1148.

Pozměňovací návrh    94

Návrh nařízení

Čl. 3 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura plní úkoly, které jsou jí uloženy tímto nařízením za účelem zajištění vysoké úrovně kybernetické bezpečnosti v Unii.

1.  Agentura plní úkoly, které jsou jí uloženy tímto nařízením, a je posílena, aby přispěla k dosažení vysoké jednotné úrovně kybernetické bezpečnosti s cílem předcházet kybernetickým útokům v Unii, snížit roztříštěnost na vnitřním trhu a zlepšit jeho fungování a zajistit konzistentnost tím, že se zohlední výsledky spolupráce členských států podle směrnice o bezpečnosti sítí a informací.

Pozměňovací návrh    95

Návrh nařízení

Čl. 4 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura je odborným střediskem pro kybernetickou bezpečnost vzhledem ke své nezávislosti, vědecké a technické kvalitě poradenství a pomoci, které poskytuje, a informací, které šíří, transparentnosti svých operativních postupů a metod práce a náležité péči při plnění svých úkolů.

1.  Agentura je střediskem pro teoretické a praktické odborné znalosti o kybernetické bezpečnosti vzhledem ke své nezávislosti, vědecké a technické kvalitě poradenství a pomoci, které poskytuje, a informací, které šíří, transparentnosti svých operativních postupů a metod práce a náležité péči při plnění svých úkolů.

Pozměňovací návrh    96

Návrh nařízení

Čl. 4 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Agentura je nápomocna orgánům, institucím a jiným subjektům Unie, jakož i členským státům při vypracovávání a provádění politik týkajících se kybernetické bezpečnosti.

2.  Agentura je nápomocna orgánům, institucím a jiným subjektům Unie, jakož i členským státům při vypracovávání a provádění politik týkajících se kybernetické bezpečnosti a při zvyšování povědomí mezi občany a podniky.

Pozměňovací návrh    97

Návrh nařízení

Čl. 4 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Agentura podporuje budování a připravenost kapacit v celé Unii tím, že pomáhá Unii, členským státům a zúčastněným stranám z veřejného a soukromého sektoru zvyšovat ochranu jejich sítí a informačních systémů, rozvíjet schopnosti a odbornost v oblasti kybernetické bezpečnosti a dosahovat kybernetické odolnosti.

3.  Agentura podporuje budování a připravenost kapacit v celé Unii tím, že pomáhá orgánům, institucím a jiným subjektům Unie, členským státům a zúčastněným stranám z veřejného a soukromého sektoru zvyšovat ochranu jejich sítí a informačních systémů, rozvíjet a zlepšovat schopnosti kybernetické odolnosti a reakce, zvyšovat informovanost a rozvíjet schopnosti a odbornost v oblasti kybernetické bezpečnosti a dosahovat kybernetické odolnosti.

Pozměňovací návrh    98

Návrh nařízení

Čl. 4 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Agentura podporuje spolupráci a koordinaci na úrovni Unie mezi členskými státy, orgány, institucemi a jinými subjekty Unie a příslušnými zúčastněnými stranami včetně soukromého sektoru v záležitostech týkajících se kybernetické bezpečnosti.

4.  Agentura podporuje spolupráci, koordinaci a sdílení informací na úrovni Unie mezi členskými státy, orgány, institucemi a jinými subjekty Unie a příslušnými zúčastněnými stranami v záležitostech týkajících se kybernetické bezpečnosti.

Pozměňovací návrh    99

Návrh nařízení

Čl. 4 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Agentura zvyšuje schopnosti v oblasti kybernetické bezpečnosti na úrovni Unie s cílem doplňovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce a ně, zejména v případě přeshraničních incidentů.

5.  Agentura přispívá ke zvýšení schopnosti v oblasti kybernetické bezpečnosti na úrovni Unie s cílem doplňovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce a ně, zejména v případě přeshraničních incidentů, a plnit své úkoly související s pomocí orgánům Unie při vytváření politik týkajících se kybernetické bezpečnosti.

Pozměňovací návrh    100

Návrh nařízení

Čl. 4 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Aby agentura zvýšila transparentnost záruk kybernetické bezpečnosti produktů a služeb IKT, a posílila tím důvěru v digitální vnitřní trh, prosazuje využívání certifikace, mimo jiné tím, že přispívá k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie v souladu s hlavou III tohoto nařízení.

6.  Aby agentura zvýšila transparentnost záruk kybernetické bezpečnosti produktů, služeb a procesů IKT, a posílila tím důvěru v digitální vnitřní trh a zvýšila kompatibilitu mezi stávajícími vnitrostátními a mezinárodními systémy certifikace, prosazuje využívání certifikace s cílem zabránit roztříštěnosti vnitřního trhu a zlepšit jeho fungování, mimo jiné tím, že přispívá k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie v souladu s hlavou III tohoto nařízení.

Pozměňovací návrh    101

Návrh nařízení

Čl. 4 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7.  Agentura podporuje vysokou úroveň informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti.

7.  Agentura prosazuje a podporuje projekty, které přispívají k vysoké úrovni informovanosti, kybernetické hygieny a počítačové gramotnosti mezi občany a podniky v souvislosti s otázkami týkajícími se kybernetické bezpečnosti.

Pozměňovací návrh    102

Návrh nařízení

Čl. 5 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  je nápomocna a poskytuje poradenství ohledně tvorby a přezkumu politiky a práva Unie v oblasti kybernetické bezpečnosti, jakož i ohledně odvětvových politik a iniciativ v oblasti práva, pokud se tyto politiky a iniciativy týkají záležitostí souvisejících s kybernetickou bezpečností, a to zejména poskytováním svých nezávislých stanovisek a zajišťováním přípravných činností;

1.  je nápomocna a poskytuje poradenství ohledně tvorby a přezkumu politiky a práva Unie v oblasti kybernetické bezpečnosti, jakož i ohledně odvětvových politik a iniciativ v oblasti práva, pokud se tyto politiky a iniciativy týkají záležitostí souvisejících s kybernetickou bezpečností, a to zejména poskytováním svých nezávislých stanovisek a analýz příslušných aktivit v kyberprostoru a zajišťováním přípravných činností;

Pozměňovací návrh    103

Návrh nařízení

Čl. 5 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  je nápomocna členským státům při jednotném uplatňování politiky a práva Unie v oblasti kybernetické bezpečnosti, zejména pokud jde o směrnici (EU) 2016/1148, mimo jiné formou stanovisek, pokynů, poradenství a osvědčených postupů týkajících se témat jako řízení rizik, hlášení incidentů a sdílení informací, jakož i usnadňováním výměny souvisejících osvědčených postupů mezi příslušnými orgány;

2.  je nápomocna členským státům při jednotném uplatňování politiky a práva Unie v oblasti kybernetické bezpečnosti, zejména pokud jde o směrnici (EU) 2016/1148, směrnici ..., kterou se stanoví evropský kodex pro elektronické komunikace, nařízení (EU) 2016/679 a směrnici 2002/58/ES, mimo jiné formou stanovisek, pokynů, poradenství a osvědčených postupů týkajících se témat jako vývoj bezpečného softwaru a systémů, řízení rizik, hlášení incidentů a sdílení informací, technická a organizační opatření, zejména zřízení programů koordinovaného odhalování slabých míst, jakož i usnadňováním výměny souvisejících osvědčených postupů mezi příslušnými orgány;

Pozměňovací návrh    104

Návrh nařízení

Čl. 5 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  vyvíjí a propaguje politiky, které by zachovaly obecnou dostupnost nebo integritu veřejného jádra otevřeného internetu, které zajišťují základní funkci internetu jako celku a které jsou základem pro jeho běžný provoz, mimo jiné bezpečnost a stabilitu klíčových protokolů (zejména DNS, BGP a IPv6), provoz systému doménových názvů (zejména všech domén na vrcholné úrovni) a provoz Root Zone.

Pozměňovací návrh    105

Návrh nařízení

Čl. 5 – odst. 4 – bod 2

Znění navržené Komisí

Pozměňovací návrh

(2)  prosazování vyšší úrovně bezpečnosti elektronických komunikací, mimo jiné poskytováním odborných poznatků a poradenství a usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

(2)  prosazování vyšší úrovně bezpečnosti elektronických komunikací, uchovávání a zpracování údajů, mimo jiné poskytováním odborných poznatků a poradenství a usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

Pozměňovací návrh    106

Návrh nařízení

Čl. 5 – odst. 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

5a.  pomáhá členským státům důsledně uplatňovat politiku a právní předpisy Unie týkající se ochrany údajů, zejména nařízení (EU) 2016/679, a rovněž napomáhá Evropskému sboru pro ochranu osobních údajů (EDPB) při přípravě pokynů týkajících se provádění nařízení (EU) 2016/679 pro účely kybernetické bezpečnosti. EDPB konzultuje s agenturou vždy, když vydává stanovisko nebo rozhodnutí týkající se provádění GDPR a kybernetické bezpečnosti, například pokud jde o otázky týkající se posuzování dopadů na soukromí, oznámení o narušení bezpečnosti údajů, bezpečnosti zpracování, bezpečnostních požadavků a ochrany soukromí již od návrhu.

Pozměňovací návrh    107

Návrh nařízení

Čl. 6 – odst. 1 – písm. a a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

aa)  členským státům a orgánům Unie ve vytváření a provádění politik koordinovaného odhalování slabých míst a vládních přezkumných procesů v oblasti odhalování slabých míst, jejichž postupy a rozhodování by měly být transparentní a podléhat nezávislému dohledu.

Pozměňovací návrh    108

Návrh nařízení

Čl. 6 – odst. 1 – písm. a b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ab)  Agentura usnadňuje vytvoření a zahájení dlouhodobého evropského projektu v oblasti bezpečnosti informačních technologií s cílem dále podporovat výzkum v oblasti kybernetické bezpečnosti v Unii a v členských státech ve spolupráci s Evropskou radou pro výzkum (ERC) a Evropským inovačním a technologickým institutem (EIT) a v souvislosti s výzkumnými programy Unie;

Pozměňovací návrh    109

Návrh nařízení

Čl. 6 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  členským státům tím, že každý rok zorganizuje rozsáhlé cvičení v oblasti kybernetické bezpečnosti na úrovni EU podle čl. 7 odst. 6 a na základě vyhodnocení těchto cvičení a poznatků z těchto cvičení předloží politická doporučení;

g)  členským státům tím, že pravidelně a alespoň jednou ročně zorganizuje rozsáhlé cvičení v oblasti kybernetické bezpečnosti na úrovni EU podle čl. 7 odst. 6 a na základě vyhodnocení těchto cvičení a poznatků z těchto cvičení předloží politická doporučení a zajistí výměnu osvědčených postupů;

Pozměňovací návrh    110

Návrh nařízení

Čl. 6 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Agentura usnadňuje zřizování odvětvových středisek pro sdílení a analýzu informací (ISAC), zejména v odvětvích uvedených v příloze II směrnice (EU) 2016/1148, a průběžně je podporuje poskytováním osvědčených postupů a vydáváním pokynů k dostupným nástrojům a postupům, jakož i k řešení regulačních otázek týkajících se sdílení informací.

2.  Agentura usnadňuje zřizování odvětvových středisek pro sdílení a analýzu informací (ISAC), zejména v odvětvích uvedených v příloze II směrnice (EU) 2016/1148, a průběžně je podporuje poskytováním osvědčených postupů a vydáváním pokynů k dostupným nástrojům a postupům, zásadám kybernetické hygieny, jakož i k řešení regulačních otázek týkajících se sdílení informací.

Pozměňovací návrh    111

Návrh nařízení

Čl. 7 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura podporuje operativní spolupráci mezi příslušnými veřejnými orgány a mezi zúčastněnými stranami.

1.  Agentura podporuje operativní spolupráci mezi členskými státy, orgány, institucemi a jinými subjekty Unie a mezi zúčastněnými stranami, jejímž cílem je dosažení spolupráce prostřednictvím analýzy a posouzení stávajících vnitrostátních systémů, vypracování a provádění plánu a použití vhodných nástrojů pro dosažení nejvyšší úrovně certifikace kybernetické bezpečnosti v Unii a v členských státech.

Pozměňovací návrh    112

Návrh nařízení

Čl. 7 – odst. 4 – pododstavec 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  poskytuje na jejich žádost technickou pomoc v případě incidentů se závažným nebo významným dopadem;

b)  poskytuje na jejich žádost technickou pomoc ve formě sdílení informací a odborných znalostí v případě incidentů se závažným nebo významným dopadem;

Pozměňovací návrh    113

Návrh nařízení

Čl. 7 – odst. 4 – pododstavec 1 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  pokud situace vyžaduje, aby bylo přijato naléhavé opatření, neboť incident má výrazně negativní důsledky, může členský stát požádat odborníky agentury, aby pomohli situaci zhodnotit. Žádost obsahuje popis situace, možné cíle a předpokládané potřeby.

Pozměňovací návrh    114

Návrh nařízení

Čl. 7 – odst. 5 – pododstavec 1

Znění navržené Komisí

Pozměňovací návrh

Na žádost jednoho nebo více dotčených členských států a výhradně pro účely poskytování poradenství ohledně předcházení budoucím incidentům agentura může provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. V případě, že tyto incidenty mají dopad na více než dva členské státy, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy.

Na žádost jednoho nebo více dotčených členských států a výhradně pro účely poskytování pomoci buď ve formě poradenství ohledně předcházení budoucím incidentům, nebo ve formě pomoci v rámci reakce na současné rozsáhlé incidenty může agentura provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. Agentura provede výše uvedené kroky, jakmile obdrží příslušné informace od dotčených členských států, a využije své vlastní zdroje k provedení analýzy hrozeb, jakož i prostředky k reakci na incidenty. případě, že tyto incidenty mají dopad na více než jeden členský stát, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy. Přitom agentura dbá na to, aby nezveřejnila opatření přijatá členskými státy k ochraně základních funkcí státu, zejména pokud se dotýkají národní bezpečnosti.

Pozměňovací návrh    115

Návrh nařízení

Čl. 7 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Agentura organizuje každoroční cvičení v oblasti kybernetické bezpečnosti na úrovni Unie a při organizování těchto cvičení podporuje členské státy a orgány, instituce a jiné subjekty EU, pokud o to požádají. Každoroční cvičení na úrovni Unie zahrnují technické, operativní a strategické prvky a pomáhají s přípravou koordinované reakce na úrovni Unie na rozsáhlé přeshraniční kybernetické bezpečnostní incidenty. Agentura případně rovněž přispívá k odvětvovým cvičením v oblasti kybernetické bezpečnosti a pomáhá je organizovat spolu s příslušnými středisky ISAC a dává střediskům ISAC povolení účastnit se rovněž cvičení v oblasti kybernetické bezpečnosti na úrovni Unie.

6.  Agentura organizuje pravidelně a v každém případě alespoň jednou ročně cvičení v oblasti kybernetické bezpečnosti na úrovni Unie a při organizování těchto cvičení podporuje členské státy a orgány, instituce a jiné subjekty EU, pokud o to požádají. Každoroční cvičení na úrovni Unie zahrnují technické, operativní a strategické prvky a pomáhají s přípravou koordinované reakce na úrovni Unie na rozsáhlé přeshraniční kybernetické bezpečnostní incidenty. Agentura případně rovněž přispívá k odvětvovým cvičením v oblasti kybernetické bezpečnosti a pomáhá je organizovat spolu s příslušnými středisky ISAC a dává střediskům ISAC povolení účastnit se rovněž cvičení v oblasti kybernetické bezpečnosti na úrovni Unie.

Pozměňovací návrh    116

Návrh nařízení

Čl. 7 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7.  Agentura vypracovává pravidelnou technickou zprávu EU o situaci v oblasti kybernetické bezpečnosti týkající se incidentů a hrozeb na základě informací z otevřených zdrojů, vlastní analýzy a zpráv, které jí poskytly mimo jiné: týmy CSIRT členských států (na dobrovolném základě) nebo jednotná kontaktní místa podle směrnice o bezpečnosti sítí a informací (v souladu s čl. 14 odst. 5 směrnice o bezpečnosti sítí a informací); Evropským centrem pro boj proti kyberkriminalitě (EC3) při Europolu a týmem CERT-EU.

7.  Agentura vypracovává pravidelnou a detailní technickou zprávu EU o situaci v oblasti kybernetické bezpečnosti týkající se incidentů a hrozeb na základě informací z otevřených zdrojů, vlastní analýzy a zpráv, které jí poskytly mimo jiné: týmy CSIRT členských států (na dobrovolném základě) nebo jednotná kontaktní místa podle směrnice o bezpečnosti sítí a informací (v souladu s čl. 14 odst. 5 směrnice o bezpečnosti sítí a informací); Evropským centrem pro boj proti kyberkriminalitě (EC3) při Europolu a týmem CERT-EU. Výkonný ředitel případně předloží veřejná zjištění Evropskému parlamentu.

Pozměňovací návrh    117

Návrh nařízení

Čl. 7 – odst. 7 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

7a.  Agentura případně na základě předchozího schválení Komisí přispívá ke kybernetické spolupráci se Střediskem excelence NATO pro společnou kybernetickou obranu a s Akademií NATO pro komunikaci a informace (NCI).

Pozměňovací návrh    118

Návrh nařízení

Čl. 7 – odst. 8 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  agreguje zprávy z vnitrostátních zdrojů, aby přispěla k vytvoření společného povědomí o situaci;

a)  analyzuje a agreguje zprávy z vnitrostátních zdrojů, aby přispěla k vytvoření společného povědomí o situaci;

Pozměňovací návrh    119

Návrh nařízení

Čl. 7 – odst. 8 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  podporuje technické řešení incidentů a krizí, včetně toho, že usnadňuje sdílení technických řešení mezi členskými státy;

c)  podporuje technické řešení incidentů a krizí na základě vlastních nezávislých odborných znalostí a zdrojů, včetně toho, že usnadňuje dobrovolné sdílení technických řešení mezi členskými státy;

Pozměňovací návrh    120

Návrh nařízení

Čl. 7 – odst. 8 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

8a.  Agentura v případě potřeby uspořádá výměnu názorů a je nápomocna orgánům členských států při koordinaci jejich reakcí v souladu se zásadami subsidiarity a proporcionality.

Pozměňovací návrh    121

Návrh nařízení

Článek 7 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 7a

 

Technické schopnosti agentury

 

1. Za účelem splnění cílů uvedených v článku 7 a v souladu se svým pracovním programem agentura rozvíjí mj. tyto technické schopnosti a dovednosti:

 

a) schopnost shromažďovat informace o ohrožení kybernetické bezpečnosti z otevřeného zdroje; a

 

b) schopnost využívat technické vybavení, nástroje a odborné znalosti na dálku.

 

2. Za účelem zajištění technických schopností uvedených v odstavci 1 tohoto článku a za účelem rozvoje příslušných dovedností agentura:

 

a) zabezpečí, aby její postupy přijímání pracovníků odrážely různé požadované technické dovednosti; a

 

b) spolupracuje se skupinou CERT EU a s Europolem v souladu s čl. 7 odst. 2 tohoto nařízení.

Pozměňovací návrh    122

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – návětí

Znění navržené Komisí

Pozměňovací návrh

a)  podporuje a prosazuje tvorbu a provádění politiky Unie v oblasti certifikace kybernetické bezpečnosti produktů a služeb IKT, jak je stanoveno v hlavě III tohoto nařízení, tím, že:

a)  podporuje a prosazuje tvorbu a provádění politiky Unie v oblasti certifikace kybernetické bezpečnosti produktů, služeb a procesů IKT, jak je stanoveno v hlavě III tohoto nařízení, tím, že:

Pozměňovací návrh    123

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod -1 (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(-1)  průběžně identifikuje normy, technické specifikace a technické specifikace IKT;

Pozměňovací návrh    124

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1

Znění navržené Komisí

Pozměňovací návrh

(1)  vypracovává návrhy evropských systémů certifikace kybernetické bezpečnosti pro produkty a služby IKT v souladu s článkem 44 tohoto nařízení;

(1)  ve spolupráci se zúčastněnými stranami v odvětví a normalizačními organizacemi prostřednictvím oficiálního, standardizovaného a transparentního procesu vypracovává návrhy evropských systémů certifikace kybernetické bezpečnosti pro produkty, služby a procesy IKT v souladu s článkem 44 tohoto nařízení;

Pozměňovací návrh    125

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(1a)  ve spolupráci se skupinou členských států pro certifikaci podle článku 53 tohoto nařízení provádí hodnocení postupů pro vydávání evropských certifikátů kybernetické bezpečnosti zavedených subjekty posuzování shody uvedenými v článku 51 tohoto nařízení s cílem zajistit jednotné uplatňování tohoto nařízení subjekty posuzování shody při vydávání certifikátů;

Pozměňovací návrh    126

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(1b)  provádí nezávislé pravidelné následné kontroly shody certifikovaných produktů, procesů a služeb IKT s evropskými systémy certifikace kybernetické bezpečnosti;

Pozměňovací návrh    127

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 2

Znění navržené Komisí

Pozměňovací návrh

(2)  je nápomocna Komisi při zajišťování služeb sekretariátu pro Evropskou skupinu pro certifikaci kybernetické bezpečnosti podle článku 53 tohoto nařízení;

(2)  je nápomocna Komisi při zajišťování služeb sekretariátu pro skupinu členských států pro certifikaci podle článku 53 tohoto nařízení;

Pozměňovací návrh    128

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 3

Znění navržené Komisí

Pozměňovací návrh

(3)  ve spolupráci s vnitrostátními orgány dozoru nad certifikací a odvětvím sestavuje a zveřejňuje pokyny a vypracovává osvědčené postupy týkající se požadavků na kybernetickou bezpečnost produktů a služeb IKT;

(3)  ve spolupráci s vnitrostátními orgány dozoru nad certifikací a odvětvím prostřednictvím oficiálního, standardizovaného a transparentního procesu sestavuje a zveřejňuje pokyny a vypracovává osvědčené postupy, včetně zásad kybernetické hygieny, týkající se požadavků na kybernetickou bezpečnost produktů, procesů a služeb IKT;

Pozměňovací návrh    129

Návrh nařízení

Čl. 8 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  usnadňuje stanovení a zavádění evropských a mezinárodních norem pro řízení rizik a pro bezpečnost produktů a služeb IKT a ve spolupráci s členskými státy vydává podle čl. 19 odst. 2 směrnice (EU) 2016/1148 doporučení a pokyny týkající se technických oblastí souvisejících s bezpečnostními požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států;

b)  usnadňuje stanovení a zavádění evropských a mezinárodních norem pro řízení rizik a pro bezpečnost produktů, procesů a služeb IKT a ve spolupráci s členskými státy a odvětvím vydává podle čl. 19 odst. 2 směrnice (EU) 2016/1148 doporučení a pokyny týkající se technických oblastí souvisejících s bezpečnostními požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států, a vyměňuje si tyto informace s členskými státy;

Pozměňovací návrh    130

Návrh nařízení

Čl. 9 – odst. 1 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  ve spolupráci s odborníky z orgánů členských států poskytuje poradenství, pokyny a osvědčené postupy týkající se bezpečnosti sítí a informačních systémů, zejména bezpečnosti internetové infrastruktury a infrastruktur podporujících odvětví uvedená v příloze II směrnice (EU) 2016/1148;

c)  ve spolupráci s odborníky z orgánů členských států a příslušnými zúčastněnými stranami poskytuje poradenství, pokyny a osvědčené postupy týkající se bezpečnosti sítí a informačních systémů, zejména bezpečnosti internetové infrastruktury a infrastruktur podporujících odvětví uvedená v příloze II směrnice (EU) 2016/1148;

Pozměňovací návrh    131

Návrh nařízení

Čl. 9 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik a poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace;

e)  soustavně zlepšuje a zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik a poskytuje odbornou přípravu a pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace a podporuje přijetí přísných preventivních opatření v oblasti IT bezpečnosti a spolehlivé ochrany údajů a soukromí;

Pozměňovací návrh    132

Návrh nařízení

Čl. 9 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizuje pravidelné informační kampaně za účelem zvýšení kybernetické bezpečnosti a jejího zviditelnění v Unii.

g)  ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizuje pravidelné komunikační kampaně za účelem podnícení široké veřejné rozpravy;

Pozměňovací návrh    133

Návrh nařízení

Čl. 9 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  podporuje užší koordinaci a výměnu osvědčených postupů mezi členskými státy v souvislosti se vzděláváním a gramotností v oblasti kybernetické bezpečnosti, kybernetickou hygienou a zlepšováním informovanosti.

Pozměňovací návrh    134

Návrh nařízení

Čl. 10 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

a)  zajišťuje předchozí konzultaci s příslušnými uživatelskými skupinami a poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblastech kybernetické bezpečnosti, ochrany údajů a soukromí s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

Pozměňovací návrh    135

Návrh nařízení

Čl. 10 – odst. 1 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  zadává vlastní výzkumné činnosti v oblastech zájmu, jimiž se prozatím nezabývají stávající výzkumné programy Unie, pokud v těchto oblastech existuje jednoznačně vymezená evropská přidaná hodnota.

Pozměňovací návrh    136

Návrh nařízení

Čl. 11 – odst. 1 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  poskytování poradenství a podpory Komisi ve spolupráci se skupinou členských států pro certifikaci zřízenou podle článku 53 v záležitostech týkajících se dohod o vzájemném uznávání certifikátů kybernetické bezpečnosti se třetími zeměmi.

Pozměňovací návrh    137

Návrh nařízení

Čl. 12 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  ze stálé skupiny zúčastněných stran, která plní funkce stanovené v článku 20.

d)  z poradní skupiny agentury ENISA, která plní funkce stanovené v článku 20.

Pozměňovací návrh    138

Návrh nařízení

Čl. 14 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  posuzuje a přijímá souhrnnou výroční zprávu o činnosti agentury a do 1. července následujícího roku zprávu a její posouzení zašle Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru. Výroční zpráva obsahuje účetní výkaz a popisuje, nakolik agentura naplnila ukazatele výkonnosti. Výroční zpráva se zveřejňuje;

e)  posuzuje a přijímá souhrnnou výroční zprávu o činnosti agentury a do 1. července následujícího roku zprávu a její posouzení zašle Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru. Výroční zpráva obsahuje účetní výkaz, popisuje účelnost vynakládaných prostředků a zhodnocuje, nakolik byla agentura efektivní a do jaké míry naplnila ukazatele výkonnosti. Výroční zpráva se zveřejňuje;

Pozměňovací návrh    139

Návrh nařízení

Čl. 14 – odst. 1 – písm. m

Znění navržené Komisí

Pozměňovací návrh

m)  jmenuje výkonného ředitele a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

m)  jmenuje výkonného ředitele na základě výběru podle odborných kritérií a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

Pozměňovací návrh    140

Návrh nařízení

Čl. 14 – odst. 1 – písm. o

Znění navržené Komisí

Pozměňovací návrh

o)  přijímá veškerá rozhodnutí o zřízení vnitřních struktur agentury a o jejich případných změnách s ohledem na potřeby činností agentury a na řádné rozpočtové řízení;

o)  přijímá veškerá rozhodnutí o zřízení vnitřních struktur agentury a o jejich případných změnách s ohledem na potřeby činností agentury uvedených v tomto nařízení a na řádné rozpočtové řízení;

Pozměňovací návrh    141

Návrh nařízení

Čl. 16 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Zasedání správní rady se na pozvání předsedy mohou bez hlasovacího práva účastnit členové stálé skupiny zúčastněných stran.

4.  Zasedání správní rady se na pozvání předsedy mohou bez hlasovacího práva účastnit členové poradní skupiny agentury ENISA.

Pozměňovací návrh    142

Návrh nařízení

Čl. 18 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Výkonná rada se skládá z pěti členů jmenovaných z řad členů správní rady, z nichž jedním je předseda správní rady, který smí předsedat i výkonné radě, a dalším jeden ze zástupců Komise. Výkonný ředitel se účastní zasedání výkonné rady, avšak nemá hlasovací právo.

3.  Výkonná rada se skládá z pěti členů jmenovaných z řad členů správní rady, z nichž jedním je předseda správní rady, který smí předsedat i výkonné radě, a dalším jeden ze zástupců Komise. Výkonný ředitel se účastní zasedání výkonné rady, avšak nemá hlasovací právo. Cílem jmenování je dosažení vyváženého zastoupení mužů a žen ve výkonné radě.

Odůvodnění

Při jmenování výkonné rady se musí také usilovat o vyvážené zastoupení mužů a žen, odrážející ustanovení pro správní radu v čl. 13 odst. 3.

Pozměňovací návrh    143

Návrh nařízení

Čl. 19 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Výkonný ředitel předkládá Evropskému parlamentu na jeho žádost zprávu o plnění svých povinností. Rada může výkonného ředitele vyzvat, aby o plnění svých povinností předložil zprávu.

2.  Výkonný ředitel předkládá Evropskému parlamentu každoročně nebo na jeho žádost zprávu o plnění svých povinností. Rada může výkonného ředitele vyzvat, aby o plnění svých povinností předložil zprávu.

Pozměňovací návrh    144

Návrh nařízení

Čl. 19 – odst. 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

5a.  Výkonný ředitel je rovněž oprávněn působit jako zvláštní institucionální poradce předsedy Evropské komise v otázkách politiky kybernetické bezpečnosti s mandátem definovaným v rozhodnutí Komise C(2014) 541 ze dne 6. února 2014.

Pozměňovací návrh    145

Návrh nařízení

Čl. 20 – název

Znění navržené Komisí

Pozměňovací návrh

Stálá skupina zúčastněných stran

Poradní skupina agentury ENISA

 

(Tento pozměňovací návrh se vztahuje na celý text. Jeho přijetí si vyžádá odpovídající změny v celém textu.)

Pozměňovací návrh    146

Návrh nařízení

Čl. 20 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

1.  Správní rada na návrh výkonného ředitele ustaví transparentním způsobem poradní skupinu agentury ENISA složenou z uznávaných bezpečnostních odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, včetně malých a středních podniků, provozovatelé základních služeb podle směrnice o bezpečnosti sítí a informací, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti, evropské normalizační organizace, agentury EU a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů. Správní rada zajistí vhodné vyvážené zastoupení různých skupin zúčastněných stran.

Pozměňovací návrh    147

Návrh nařízení

Čl. 20 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Postupy týkající se stálé skupiny zúčastněných stran, zejména počtu, složení a jmenování jejích členů správní radou, návrhu výkonného ředitele a činnosti skupiny jsou stanoveny ve vnitřních organizačních předpisech agentury a jsou zveřejňovány.

2.  Postupy týkající se poradní skupiny agentury ENISA, zejména počtu, složení a jmenování jejích členů správní radou, návrhu výkonného ředitele a činnosti skupiny jsou stanoveny ve vnitřních organizačních předpisech agentury a jsou zveřejňovány.

Pozměňovací návrh    148

Návrh nařízení

Čl. 20 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Stálé skupině zúčastněných stran předsedá výkonný ředitel nebo osoba, kterou výkonný ředitel pro danou záležitost určí.

3.  Poradní skupině agentury ENISA předsedá výkonný ředitel nebo osoba, kterou výkonný ředitel pro danou záležitost určí.

Pozměňovací návrh    149

Návrh nařízení

Čl. 20 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Funkční období členů stálé skupiny zúčastněných stran je dva a půl roku. Členy stálé skupiny zúčastněných stran nesmějí být členové správní rady. Odborníci z řad Komise a členských států jsou oprávněni účastnit se zasedání a podílet se na činnosti stálé skupiny zúčastněných stran. K účasti na zasedáních a na činnosti stálé skupiny zúčastněných stran mohou být přizváni zástupci dalších subjektů, kteří nejsou členy stálé skupiny zúčastněných stran a jejichž účast považuje výkonný ředitel za důležitou.

4.  Funkční období členů poradní skupiny agentury ENISA je dva a půl roku. Členy poradní skupiny agentury ENISA nesmějí být členové správní rady. Odborníci z řad Komise a členských států jsou oprávněni účastnit se zasedání a podílet se na činnosti poradní skupiny agentury ENISA. K účasti na zasedáních a na činnosti poradní skupiny agentury ENISA mohou být přizváni zástupci dalších subjektů, kteří nejsou členy poradní skupiny agentury ENISA a jejichž účast považuje výkonný ředitel za důležitou.

Pozměňovací návrh    150

Návrh nařízení

Čl. 20 – odst. 4 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

4a.  Poradní skupina agentury ENISA bude pravidelně během celého roku aktualizovat informace týkající se jejího plánování a ve svém pracovním programu, který bude zveřejňován každých šest měsíců, stanoví cíle, aby byla zajištěna transparentnost;

Pozměňovací návrh    151

Návrh nařízení

Čl. 20 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Stálá skupina zúčastněných stran poskytuje agentuře poradenství při výkonu jejích činností. Radí zejména výkonnému řediteli při vypracovávání návrhu pracovního programu agentury a při zajišťování komunikace s příslušnými zúčastněnými stranami ve všech otázkách souvisejících s pracovním programem.

5.  Poradní skupina agentury ENISA poskytuje agentuře poradenství při výkonu jejích činností, s výjimkou případů, kdy je uplatněna hlava III tohoto nařízení. Radí zejména výkonnému řediteli při vypracovávání návrhu pracovního programu agentury a při zajišťování komunikace s příslušnými zúčastněnými stranami v otázkách souvisejících s pracovním programem.

Pozměňovací návrh    152

Návrh nařízení

Článek 20 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 20a

 

Skupina zúčastněných stran pro certifikaci

 

1.   Výkonný ředitel zřídí skupinu zúčastněných stran pro certifikaci, tvořenou všeobecným poradním výborem, který poskytuje obecné poradenství ohledně uplatňování hlavy III tohoto nařízení, a zřídí ad hoc výbory pro přípravu, vývoj a přijetí každého návrhu systému. Členové této skupiny jsou vybráni z uznávaných bezpečnostních odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, včetně malých a středních podniků, provozovatelé základních služeb podle směrnice o bezpečnosti sítí a informací, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti a evropské normalizační organizace a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

 

2.   Postupy týkající se skupiny zúčastněných stran pro certifikaci, zejména pokud jde o počet, složení a jmenování jejích členů výkonným ředitelem, jsou stanoveny ve vnitřních organizačních předpisech agentury, odpovídají osvědčeným postupům z hlediska spravedlivého zastoupení a rovných práv pro všechny zúčastněné strany a jsou zveřejňovány.

 

3.   Členové správní rady nesmějí být členy skupiny zúčastněných stran pro certifikaci. Členové poradní skupiny agentury ENISA smějí rovněž být členy skupiny zúčastněných stran pro certifikaci. Zasedání skupiny zúčastněných stran pro certifikaci jsou oprávněni účastnit se na pozvání také odborníci z řad Komise a členských států. K účasti na zasedáních a na činnosti skupiny zúčastněných stran pro certifikaci mohou být přizváni zástupci dalších subjektů, jejichž účast považuje výkonný ředitel za důležitou.

 

4.   Skupina zúčastněných stran pro certifikaci poskytuje agentuře poradenství při výkonu jejích činností s ohledem na hlavu III tohoto nařízení. Je zejména oprávněna navrhovat Komisi vypracování návrhu evropského systému certifikace kybernetické bezpečnosti v souladu s článkem 44 tohoto nařízení a účastnit se postupů uvedených v článcích 43 až 48 a v článku 53 tohoto nařízení za účelem schválení takových systémů.

Pozměňovací návrh    153

Návrh nařízení

Článek 21 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 21a

 

Žádosti podávané agentuře

 

1. Agentura by měla zřídit a spravovat jednotné kontaktní místo, jehož prostřednictvím budou podávány žádosti o poradenství a pomoc v záležitostech spadajících mezi cíle a úkoly agentury. Tyto žádosti by měly být doprovázeny základními informacemi, které objasňují danou otázku. Agentura by měla vypracovat možné dopady na zdroje a následně další postup ve věci žádosti. Pokud agentura žádost zamítne, musí své rozhodnutí odůvodnit.

 

2. Žádosti podle odstavce 1 může podávat:

 

a) Evropský parlament;

 

b) Rada;

 

c) Komise; a

 

d) jakýkoli příslušný subjekt určený členským státem, například vnitrostátní regulační orgán ve smyslu článku 2 směrnice 2002/21/ES.

 

3. Správní rada stanoví ve vnitřních organizačních předpisech agentury praktická opatření pro uplatňování odstavců 1 a 2, zejména s ohledem na podávání žádostí a stanovení pořadí jejich důležitosti, na další postupy a informování.

Pozměňovací návrh    154

Návrh nařízení

Čl. 24 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Členové správní rady, výkonný ředitel, členové stálé skupiny zúčastněných stran, externí odborníci účastnící se pracovních skupin ad hoc a zaměstnanci agentury, včetně úředníků dočasně přidělených členskými státy, jsou povinni i po skončení svých funkcí dodržovat požadavky na důvěrnost podle článku 339 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“).

2.  Členové správní rady, výkonný ředitel, členové poradní skupiny agentury ENISA, externí odborníci účastnící se pracovních skupin ad hoc a zaměstnanci agentury, včetně úředníků dočasně přidělených členskými státy, jsou povinni i po skončení svých funkcí dodržovat požadavky na důvěrnost podle článku 339 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“).

Pozměňovací návrh    155

Návrh nařízení

Čl. 26 – odst. 1 – pododstavec 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Předběžný návrh odhadu příjmů a výdajů se zakládá na cílech a očekávaných výsledcích obsažených v jednotném programovém dokumentu uvedeném v čl. 21 odst. 1 tohoto nařízení a bere v úvahu finanční prostředky nutné pro dosažení těchto cílů a očekávaných výsledků v souladu se zásadou sestavování rozpočtu podle výkonnosti.

Pozměňovací návrh    156

Návrh nařízení

Čl. 30 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Účetní dvůr má pravomoc provádět na základě kontroly dokumentů a inspekce na místě audit u všech příjemců grantů, zhotovitelů, dodavatelů nebo poskytovatelů a subdodavatelů, kteří od agentury obdrželi finanční prostředky Unie.

2.  Účetní dvůr má pravomoc provádět na základě kontroly dokumentů a inspekcí na místě audit u všech příjemců grantů, zhotovitelů, dodavatelů nebo poskytovatelů a subdodavatelů, kteří od agentury obdrželi finanční prostředky Unie.

Pozměňovací návrh    157

Návrh nařízení

Čl. 36 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Osobní odpovědnost zaměstnanců vůči agentuře se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury.

5.  Osobní odpovědnost zaměstnanců vůči agentuře se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury. Zajistí se účinný nábor zaměstnanců.

Pozměňovací návrh    158

Návrh nařízení

Čl. 37 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Překladatelské služby potřebné pro činnost agentury poskytuje Překladatelské středisko pro instituce Evropské unie.

2.  Překladatelské služby potřebné pro činnost agentury poskytuje Překladatelské středisko pro instituce Evropské unie nebo jiní poskytovatelé překladatelských služeb v souladu s pravidly zadávání zakázek a v rámci stropů stanovených v příslušných finančních předpisech.

Pozměňovací návrh    159

Návrh nařízení

Čl. 39 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Je-li to nezbytné pro dosažení cílů uvedených v tomto nařízení, může agentura spolupracovat s příslušnými orgány třetích zemí, s mezinárodními organizacemi nebo s oběma. Za tímto účelem může agentura po předchozím schválení Komisí uzavřít s orgány třetích zemí a s mezinárodními organizacemi pracovní ujednání. Z těchto ujednání nevyplývají pro Unii ani její členské státy žádné právní závazky.

1.  Je-li to nezbytné pro dosažení cílů uvedených v tomto nařízení, může agentura spolupracovat s příslušnými orgány třetích zemí, s mezinárodními organizacemi nebo s oběma. Za tímto účelem může agentura po předchozím schválení Komisí uzavřít s orgány třetích zemí a s mezinárodními organizacemi pracovní ujednání. Pokud je navázána spolupráce s NATO, může zahrnovat společná cvičení v oblasti kybernetické bezpečnosti a společnou koordinaci reakce na kybernetické incidenty. Z těchto ujednání nevyplývají pro Unii ani její členské státy žádné právní závazky.

Odůvodnění

Vzhledem k přeshraničnímu charakteru kybernetických incidentů by měla agentura ENISA jednat společně s evropskými subjekty v oblasti kybernetické bezpečnosti, jako je NATO, je-li to vhodné. To je obzvláště důležité, protože NATO může mít kybernetické schopnosti, které agentura ENISA nemá, a naopak. V kontextu rostoucího počtu kybernetických útoků směřujících proti státům jako celku je pro evropskou bezpečnost nezbytné, aby agentura ENISA spolupracovala na mezinárodní úrovni s mezinárodními organizacemi, jako je NATO.

Pozměňovací návrh    160

Návrh nařízení

Čl. 41 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Hostitelský členský stát agentury poskytne nejlepší možné podmínky pro zajištění řádného fungování agentury, včetně přístupnosti lokality, existence vhodných vzdělávacích zařízení pro děti zaměstnanců, patřičného přístupu na pracovní trh, sociálního zabezpečení a zdravotní péče pro děti i pro manžely a manželky zaměstnanců.

2.  Hostitelský členský stát agentury poskytne nejlepší možné podmínky pro zajištění řádného fungování agentury, včetně jediného sídla celé agentury, přístupnosti lokality, existence vhodných vzdělávacích zařízení pro děti zaměstnanců, patřičného přístupu na pracovní trh, sociálního zabezpečení a zdravotní péče pro děti i pro manžely a manželky zaměstnanců.

Odůvodnění

Stávající struktura agentury se správním sídlem v Heraklionu a hlavními útvary v Aténách se ukázala jako neúčinná a nákladná. Všichni zaměstnanci agentury ENISA by proto měli pracovat ve stejném městě. Vzhledem ke kritériím uvedeným v tomto odstavci by tímto místem měly být Atény.

Pozměňovací návrh    161

Návrh nařízení

Čl. 43 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

Evropský systém certifikace kybernetické bezpečnosti osvědčuje, že produkty a služby IKT, které byly v souladu s tímto systémem certifikovány, splňují specifikované požadavky na jejich schopnost odolávat s příslušnou úrovní záruky činnostem, které ohrožují přístupnost, pravost, neporušenost nebo důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo funkcí či služeb, jež jsou prostřednictvím těchto produktů, procesů, služeb a systémů nabízené nebo přístupné.

Evropský systém certifikace kybernetické bezpečnosti osvědčuje, že zahrnuté produkty, procesy a služby IKT, nemají v době certifikace známá slabá místa a splňují specifikované požadavky, které mohou odkazovat na evropské a mezinárodní normy, technické specifikace a technické specifikace IKT, pokud jde o jejich schopnost odolávat v průběhu celého životního cyklu s příslušnou úrovní záruky činnostem, které ohrožují přístupnost, pravost, neporušenost nebo důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo funkcí či služeb, jež jsou prostřednictvím těchto produktů, procesů služeb nabízené nebo přístupné, a splňují stanovené cíle v oblasti bezpečnosti.

Pozměňovací návrh    162

Návrh nařízení

Čl. 44 – odst. -1 (nový)

Znění navržené Komisí

Pozměňovací návrh

 

-1.  Komise přijímá akty v přenesené pravomoci v souladu s článkem 55a, kterými doplní toto nařízení tím, že zavede průběžný pracovní program Unie pro evropské programy certifikace kybernetické bezpečnosti. V těchto aktech v přenesené pravomoci stanoví společná opatření, jež mají být prováděna na úrovni Unie, a strategické priority. Průběžný pracovní program Unie obsahuje zejména seznam priorit produktů, procesů a služeb IKT, na které by se měl vztahovat evropský systém certifikace kybernetické bezpečnosti, a rovněž analýzu toho, zda existuje rovnocenná úroveň kvality, know-how a odborných znalostí mezi subjekty posuzování shody a vnitrostátními orgány dozoru nad certifikací, a případně návrh opatření, jak lze takové míry ekvivalence dosáhnout.

 

Prvotní průběžný pracovní program Unie se stanoví nejpozději do ... [šest měsíců po vstupu tohoto nařízení v platnost] a poté je aktualizován v případě potřeby, v každém případě však alespoň každé dva roky. Průběžný pracovní program Unie je veřejně přístupný.

 

Před přijetím nebo aktualizací průběžného pracovního programu Unie vede Komise otevřené, transparentní a inkluzivní konzultace se skupinou členských států pro certifikaci, s agenturou a se skupinou zúčastněných stran pro certifikaci.

Pozměňovací návrh    163

Návrh nařízení

Čl. 44 – odst. -1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

-1a.  Pokud je to odůvodněné, může Komise požádat agenturu, aby vypracovala návrh evropského systému certifikace kybernetické bezpečnosti. Žádost vychází z průběžného pracovního programu Unie.

Pozměňovací návrh    164

Návrh nařízení

Čl. 44 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura ENISA na základě žádosti Komise vypracuje návrh evropského systému certifikace kybernetické bezpečnosti, který splňuje požadavky stanovené v článcích 45, 46 a 47 tohoto nařízení. Vypracování návrhu evropského systému certifikace kybernetické bezpečnosti mohou Komisi navrhnout členské státy nebo Evropská skupina pro certifikaci kybernetické bezpečnosti (dále jen „skupina“), zřízená podle článku 53.

1.  Žádost o návrh evropského systému certifikace kybernetické bezpečnosti obsahuje rozsah, příslušné bezpečnostní cíle uvedené v článku 45, příslušné prvky uvedené v článku 47 a lhůtu, do kdy má konkrétní návrh systému nabýt účinnosti. Při vypracovávání žádosti může Komise konzultovat s agenturou, se skupinou členských států pro certifikaci a skupinou zúčastněných stran pro certifikaci.

Pozměňovací návrh    165

Návrh nařízení

Čl. 44 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Při vypracovávání návrhu systému uvedeného v odstavci 1 tohoto článku agentura ENISA konzultuje všechny příslušné zúčastněné strany a úzce spolupracuje se skupinou. Skupina poskytne agentuře ENISA pomoc a odborné poradenství, které si agentura ENISA v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek.

2.  Při vypracovávání návrhu systému uvedeného v odstavci -1 (novém) agentura konzultuje všechny příslušné zúčastněné strany v rámci formálních, otevřených, transparentních a inkluzivních procesů konzultace a úzce spolupracuje se skupinou členských států pro certifikaci, skupinou zúčastněných stran pro certifikaci, výbory ad hoc podle článku 20a tohoto nařízení a s evropskými normalizačními orgány. Ty poskytnou agentuře pomoc a odborné poradenství, které si agentura v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek.

Pozměňovací návrh    166

Návrh nařízení

Čl. 44 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Agentura ENISA návrh evropského systému certifikace kybernetické bezpečnosti, vypracovaný v souladu s odstavcem 2 tohoto článku, předá Komisi.

3.  Agentura návrh evropského systému vypracovaný v souladu s odstavci 1 a 2 tohoto článku předá Komisi.

Pozměňovací návrh    167

Návrh nařízení

Čl. 44 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  V souladu s čl. 55 odst. 1 může Komise na základě návrhu systému vypracovaného agenturou ENISA přijímat prováděcí akty, kterými stanoví evropské systémy certifikace kybernetické bezpečnosti produktů a služeb IKT splňující požadavky článků 45, 46 a 47 tohoto nařízení.

4.  V souladu s článkem 55a může Komise na základě návrhu systému vypracovaného agenturou přijímat akty v přenesené pravomoci, kterými doplní toto nařízení a stanoví evropské systémy certifikace kybernetické bezpečnosti produktů, procesů a služeb IKT splňující požadavky článků 45, 46 a 47.

Pozměňovací návrh    168

Návrh nařízení

Čl. 44 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Agentura ENISA spravuje zvláštní internetové stránky poskytující informace o evropských systémech certifikace kybernetické bezpečnosti a zajišťující jejich propagaci.

5.  Agentura spravuje zvláštní internetové stránky poskytující informace o evropských systémech certifikace kybernetické bezpečnosti a zajišťující jejich propagaci, a to i s ohledem na certifikáty, které byly odmítnuty nebo jejichž platnost už skončila, a pokryté vnitrostátní certifikace.

 

Pokud některý evropský systém certifikace kybernetické bezpečnosti splňuje požadavky, které má splňovat v souladu s příslušným harmonizačním právním předpisem Unie, zveřejní Komise bezodkladně odkaz na tento systém v Úředním věstníku Evropské unie a jakýmkoli jiným způsobem v souladu s podmínkami stanovenými v příslušném aktu harmonizačních právních předpisů Unie.

Pozměňovací návrh    169

Návrh nařízení

Čl. 44 – odst. 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

5a.  V souladu se strukturou stanovenou tímto nařízením přezkoumá agentura přijaté systémy na konci jejich platnosti podle čl. 47 odst. 1 písm. ac) nebo na žádost Komise a zohlední přitom zpětnou vazbu, kterou získá od příslušných zúčastněných stran.

Pozměňovací návrh    170

Návrh nařízení

Čl. 45 – odst. 1 – návětí

Znění navržené Komisí

Pozměňovací návrh

Evropský systém certifikace kybernetické bezpečnosti je navržen tak, aby zohledňoval tyto bezpečnostní cíle:

Evropský systém certifikace kybernetické bezpečnosti je navržen tak, aby zohledňoval bezpečnostní cíle, které zajistí, aby:

Pozměňovací návrh    171

Návrh nařízení

Čl. 45 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  chránit ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému ukládání, zpracování, přístupu nebo sdělování;

a)  byla zachována důvěrnost, neporušenost, dostupnost a soukromí služeb, funkcí a údajů;

Pozměňovací návrh    172

Návrh nařízení

Čl. 45 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  chránit ukládané, předávané nebo jinak zpracovávané údaje proti náhodnému nebo neoprávněnému zničení, náhodné ztrátě nebo úpravám;

b)  služby, funkce a údaje byly přístupné pouze oprávněným osobám nebo oprávněným systémům a programům a mohly být použity pouze takovými osobami nebo systémy a programy;

Pozměňovací návrh    173

Návrh nařízení

Čl. 45 – odst. 1 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  zajistit, aby oprávněné osoby, programy nebo stroje měly přístup výhradně k údajům, službám nebo funkcím, jichž se týkají jejich přístupová práva;

c)  byl zaveden proces pro identifikaci a zdokumentování všech závislostí a známých slabých míst v produktech, procesech a službách IKT;

Pozměňovací návrh    174

Návrh nařízení

Čl. 45 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  zaznamenat, které údaje, funkce nebo služby byly kdy a kým sděleny;

d)  produkty, procesy a služby IKT neobsahovaly žádná slabá místa;

Pozměňovací návrh    175

Návrh nařízení

Čl. 45 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zajistit, aby bylo možné kontrolovat, ke kterým údajům, službám nebo funkcím kdy a kdo získal přístup nebo je použil;

e)  byl zaveden proces pro řešení nově zjištěných slabých míst v produktech, procesech a službách IKT;

Pozměňovací návrh    176

Návrh nařízení

Čl. 45 – odst. 1 – písm. f

Znění navržené Komisí

Pozměňovací návrh

f)  včas obnovit dostupnost údajů, služeb a funkcí a přístup k nim v případě fyzických nebo technických incidentů;

f)  produkty, procesy a služby IKT byly zabezpečeny na úrovni standardního nastavení a výchozího návrhu;

Pozměňovací návrh    177

Návrh nařízení

Čl. 45 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  zajistit, aby produkty a služby IKT byly poskytovány s aktualizovaným softwarem, který neobsahuje známá slabá místa, a aby byly zavedeny mechanismy pro bezpečné aktualizace softwaru.

g)  produkty a služby IKT byly poskytovány s aktualizovaným softwarem, který neobsahuje známá slabá místa, a aby byly zavedeny mechanismy pro bezpečné aktualizace softwaru.

Pozměňovací návrh    178

Návrh nařízení

Čl. 45 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  byla minimalizována další rizika spojená s kybernetickými incidenty, jako je ohrožení života, zdraví, životního prostředí a jiných významných zákonných zájmů;

Pozměňovací návrh    179

Návrh nařízení

Čl. 46 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Evropský systém certifikace kybernetické bezpečnosti může u produktů a služeb IKT, jež jsou v rámci daného systému vydány, určit jednu nebo více těchto úrovní záruky: základní, významnou a/nebo vysokou.

1.  Evropský systém certifikace kybernetické bezpečnosti může určit jednu nebo více těchto úrovní záruky založených na posouzení rizik podle kontextu a zamýšleného použití produktů, procesů a služeb IKT: základní, významnou nebo vysokou úroveň u produktů, procesů a služeb IKT, jež jsou v rámci daného systému vydány.

Pozměňovací návrh    180

Návrh nařízení

Čl. 46 – odst. 2 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  základní úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje omezený stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je snížit riziko kybernetických bezpečnostních incidentů;

a)  Základní úroveň záruky odpovídá u produktu, procesu a služby IKT nízkému riziku z hlediska kombinace pravděpodobnosti a škody v souvislosti s jejich zamýšleným účelem a kontextem použití. Základní úroveň záruky poskytuje jistotu, že známým základním rizikům kybernetických incidentů lze čelit.

Pozměňovací návrh    181

Návrh nařízení

Čl. 46 – odst. 2 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  významná úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje významný stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je významně snížit riziko kybernetických bezpečnostních incidentů;

b)  Významná úroveň záruky odpovídá u produktu, procesu a služby IKT vyššímu riziku z hlediska kombinace pravděpodobnosti a škody. Významná úroveň záruky poskytuje jistotu, že známým rizikům kybernetických incidentů je možné předejít a že je rovněž možné čelit kybernetickým útokům s omezenými zdroji.

Pozměňovací návrh    182

Návrh nařízení

Čl. 46 – odst. 2 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  vysoká úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje vyšší stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT než certifikáty s významnou úrovní záruky a je charakterizován odkazem na související technické specifikace, normypostupy, včetně technických kontrol, jejichž účelem je předcházet kybernetickým bezpečnostním incidentům.

c)  Vysoká úroveň záruky odpovídá u produktu, procesu a služby IKT vysokému riziku z hlediska škody. Vysoká úroveň záruky poskytuje jistotu, že rizikům kybernetických incidentů je možné předejítže je rovněž možné čelit kybernetickým útokům využívajícím nejnovější techniku a významné zdroje.

Pozměňovací návrh    183

Návrh nařízení

Článek 46 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 46a

 

Hodnocení úrovní záruky evropských systémů certifikace kybernetické bezpečnosti

 

1.   U základní úrovně záruky může výrobce nebo poskytovatel produktů, procesů a služeb IKT provést na svou odpovědnost vlastní posouzení shody.

 

2.   U významné úrovně záruky se hodnocení provádí alespoň ověřením shody bezpečnostních funkcí produktu, procesu nebo služby s příslušnou technickou dokumentací.

 

3.   U vysokých úrovní záruky se metodika hodnocení opírá přinejmenším o zkoušku účinnosti, která posuzuje odolnost bezpečnostních funkcí vůči útočníkům disponujícím významnými zdroji.

Pozměňovací návrh    184

Návrh nařízení

Čl. 47 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  předmět a rozsah certifikace včetně druhu nebo kategorií zahrnutých produktů a služeb IKT;

a)  předmět a rozsah certifikace včetně druhu nebo kategorií zahrnutých produktů, procesů a služeb IKT;

Pozměňovací návrh    185

Návrh nařízení

Čl. 47 – odst. 1 – písm. a a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

aa)  rozsah a požadavky na kybernetickou bezpečnost, případně tento rozsah a tyto požadavky odrážejí požadavky vnitrostátních certifikací kybernetické bezpečnosti, které systém nahrazuje, nebo požadavky stanovené v právních aktech;

Pozměňovací návrh    186

Návrh nařízení

Čl. 47 – odst. 1 – písm. a b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ab)  dobu platnosti systému certifikace;

Pozměňovací návrh    187

Návrh nařízení

Čl. 47 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  podrobnou specifikaci kybernetickobezpečnostních požadavků, na jejichž základě jsou konkrétní produkty a služby IKT hodnoceny, například prostřednictvím odkazu na unijní nebo mezinárodní normy nebo technické specifikace;

b)  podrobnou specifikaci kybernetickobezpečnostních požadavků, na jejichž základě jsou konkrétní produkty, procesy a služby IKT hodnoceny, například prostřednictvím odkazu na evropské nebo mezinárodní normy, technické specifikace nebo technické specifikace IKT definované tak, že certifikaci lze začlenit do systematických procesů kybernetické bezpečnosti výrobce, které jsou dodržovány při vývoji i životním cyklu konkrétního produktu nebo služby, nebo ji lze na těchto procesech založit;

Pozměňovací návrh    188

Návrh nařízení

Čl. 47 – odst. 1 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  informace o známých kybernetických hrozbách, na něž se nevztahuje certifikace, a pokyny k jejich řešení;

Pozměňovací návrh    189

Návrh nařízení

Čl. 47 – odst. 1 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  případně jednu nebo více úrovní záruky;

c)  případně jednu nebo více úrovní záruky mimo jiné s ohledem na přístup založený na analýze rizik;

Pozměňovací návrh    190

Návrh nařízení

Čl. 47 – odst. 1 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  informace o tom, zda je vlastní posouzení shody v rámci systému povoleno, a příslušný postup, který se má použít při posuzování shody nebo při vypracování vlastního prohlášení o shodě nebo v obou případech;

Pozměňovací návrh    191

Návrh nařízení

Čl. 47 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  konkrétní kritéria a metody hodnocení použité k prokázání toho, že bylo dosaženo konkrétních cílů uvedených v článku 45, včetně typů těchto hodnocení;

d)  konkrétní kritéria, druhy posouzení shody a metody hodnocení použité k prokázání toho, že bylo dosaženo konkrétních cílů uvedených v článku 45;

Pozměňovací návrh    192

Návrh nařízení

Čl. 47 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  informace nezbytné pro certifikaci, které žadatel předkládá subjektům posuzování shody;

(Netýká se českého znění.)  

Pozměňovací návrh    193

Návrh nařízení

Čl. 47 – odst. 1 – písm. f

Znění navržené Komisí

Pozměňovací návrh

f)  stanoví-li systém známky nebo označení, podmínky používání těchto známek nebo označení;

f)  informace o kybernetické bezpečnosti podle článku 47a tohoto nařízení;

Pozměňovací návrh    194

Návrh nařízení

Čl. 47 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  je-li součástí systému dozor, pravidla pro sledování souladu s požadavky uvedenými v certifikátech, včetně mechanismů pro prokázání trvalého souladu s uvedenými kybernetickobezpečnostními požadavky;

g)  pravidla pro sledování souladu s požadavky uvedenými v certifikátech, včetně mechanismů pro prokázání trvalého souladu s uvedenými kybernetickobezpečnostními požadavky;

Pozměňovací návrh    195

Návrh nařízení

Čl. 47 – odst. 1 – písm. h

Znění navržené Komisí

Pozměňovací návrh

h)  podmínky pro udělení, zachování, prodloužení, rozšíření a omezení rozsahu certifikace;

h)  podmínky pro udělení, zachování, prodloužení, přezkum, rozšíření a omezení rozsahu certifikace a doby platnosti certifikátu;

Pozměňovací návrh    196

Návrh nařízení

Čl. 47 – odst. 1 – písm. h a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ha)  pravidla pro řešení slabých míst, která mohou vzniknout po vydání certifikace, a to vytvořením dynamického a trvalého organizačního postupu zahrnujícího jak poskytovatele, tak uživatele;

Pozměňovací návrh    197

Návrh nařízení

Čl. 47 – odst. 1 – písm. i

Znění navržené Komisí

Pozměňovací návrh

i)  pravidla upravující důsledky nesouladu certifikovaných produktů a služeb IKT s požadavky certifikace;

i)  pravidla upravující důsledky nesouladu sebehodnocených a certifikovaných produktů a služeb IKT s požadavky certifikace;

Pozměňovací návrh    198

Návrh nařízení

Čl. 47 – odst. 1 – písm. j

Znění navržené Komisí

Pozměňovací návrh

j)  pravidla upravující způsob oznamování a řešení dříve nezjištěných slabých míst v kybernetické bezpečnosti produktů a služeb IKT;

j)  pravidla upravující způsob, jak oznamovat a řešit veřejně neznámá slabá místa v kybernetické bezpečnosti produktů a služeb IKT poté, co byla zjištěna;

Pozměňovací návrh    199

Návrh nařízení

Čl. 47 – odst. 1 – písm. l

Znění navržené Komisí

Pozměňovací návrh

l)  označení vnitrostátních systémů certifikace kybernetické bezpečnosti pokrývajících stejný druh nebo kategorie produktů a služeb IKT;

l)  označení vnitrostátních nebo mezinárodních systémů certifikace kybernetické bezpečnosti pokrývajících stejný druh nebo kategorie produktů, procesů a služeb IKT, bezpečnostních požadavků a hodnotících kritérií a metod;

Pozměňovací návrh    200

Návrh nařízení

Čl. 47 – odst. 1 – písm. m a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ma)  podmínky pro vzájemné uznávání systémů certifikace se třetími zeměmi.

Pozměňovací návrh    201

Návrh nařízení

Čl. 47 – odst. 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1a.  Postupy údržby s aktualizacemi neruší platnost certifikace, pokud tyto aktualizace nemají zásadní negativní vliv na bezpečnost produktu, procesu nebo služby IKT.

Pozměňovací návrh    202

Návrh nařízení

Článek 47 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 47a

 

Informace o kybernetické bezpečnosti týkající se certifikovaných produktů, procesů a služeb

 

1.   Výrobce nebo poskytovatel produktů, procesů a služeb IKT, na něž se vztahuje systém certifikace podle tohoto nařízení, poskytne konečnému uživateli dokument v elektronické nebo tištěné podobě, který obsahuje alespoň tyto informace: úroveň záruky certifikátu vztahující se na zamýšlené použití produktu, procesu nebo služby IKT; popis rizik, jimž produkt, proces nebo služba – podle stupně důvěry, kterou má certifikace poskytovat, – odolá; doporučení, jak mohou uživatelé dále posílit kybernetickou bezpečnost produktu, procesu nebo služby a podpořit pravidelnost poskytování podpory a období jejího poskytování po jakýchkoli aktualizacích; případně informace o tom, jak mohou uživatelé zachovat hlavní vlastnosti produktu, procesu nebo služby v případě útoku.

 

2.   Dokument uvedený v odstavci 1 tohoto článku je k dispozici během celého životního cyklu výrobku, procesu nebo služeb, až do doby, kdy se již nevyskytují na trhu, a nejméně po dobu pěti let.

 

3.   Komise přijme prováděcí akty, v nichž stanoví vzorovou podobu tohoto dokumentu. Komise může agenturu požádat, aby předložila návrh tohoto vzoru. Prováděcí akt se přijímá přezkumným postupem podle článku 55 tohoto nařízení.

Pozměňovací návrh    203

Návrh nařízení

Čl. 48 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  U produktů a služeb IKT, které byly certifikovány podle evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 44, se předpokládá, že splňují požadavky daného systému.

1.  U produktů, procesů a služeb IKT, které byly certifikovány podle evropského systému certifikace kybernetické bezpečnosti přijatého podle článku 44, se předpokládá, že splňují požadavky daného systému.

Pozměňovací návrh    204

Návrh nařízení

Čl. 48 – odst. 4 – návětí

Znění navržené Komisí

Pozměňovací návrh

4.  Odchylně od odstavce 3 může konkrétní evropský systém certifikace kybernetické bezpečnosti v řádně odůvodněných případech stanovit, že evropský certifikát kybernetické bezpečnosti vyplývající z daného systému může být vydán pouze veřejným subjektem. Tímto veřejným subjektem je:

4.  Odchylně od odstavce 3 a pouze v řádně odůvodněných případech, například z důvodů národní bezpečnosti, může konkrétní evropský systém certifikace kybernetické bezpečnosti stanovit, že evropský certifikát kybernetické bezpečnosti vyplývající z daného systému může být vydán pouze veřejným subjektem. Tímto veřejným subjektem je orgán, který je akreditovaný jako orgán pro posuzování shody podle čl. 51 odst. 1 tohoto nařízení. Fyzická nebo právnická osoba, která předkládá své produkty nebo služby IKT certifikačnímu mechanismu, poskytne subjektu posuzování shody uvedenému v článku 51 veškeré informace nezbytné k provedení certifikačního postupu.

Pozměňovací návrh    205

Návrh nařízení

Čl. 48 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Fyzická nebo právnická osoba, která předkládá své produkty nebo služby IKT certifikačnímu mechanismu, poskytne subjektu posuzování shody uvedenému v článku 51 veškeré informace nezbytné k provedení certifikačního postupu.

5.  Fyzická nebo právnická osoba, která předkládá své produkty, služby nebo procesy IKT certifikačnímu mechanismu, poskytne subjektu posuzování shody uvedenému v článku 51 veškeré informace nezbytné k provedení certifikačního postupu, včetně informací o jakýchkoli známých zranitelných místech v oblasti bezpečnosti. Předložení lze provést u kteréhokoli subjektu posuzování shody podle článku 51.

Pozměňovací návrh    206

Návrh nařízení

Čl. 48 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Certifikáty se vydávají na období nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou nadále splněny příslušné požadavky.

6.  Certifikáty se vydávají na období, jehož maximální délka se stanoví pro každý systém individuálně s ohledem na přiměřený životní cyklus, které v žádném případě nepřekročí pět let a jež lze obnovit, pokud jsou nadále splněny příslušné požadavky.

Odůvodnění

Tím je zajištěna flexibilita pro přizpůsobení doby platnosti certifikátu zamýšlenému použití.

Pozměňovací návrh    207

Návrh nařízení

Čl. 48 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7.  Evropský certifikát kybernetické bezpečnosti vydaný podle tohoto článku je uznáván ve všech členských státech.

7.  Evropský certifikát kybernetické bezpečnosti vydaný podle tohoto článku je uznáván ve všech členských státech jako vyhovující místním požadavkům na kybernetickou bezpečnost, které platí pro produkty a procesy IKT a spotřební elektronická zařízení, na něž se vztahuje tento certifikát, přičemž je zohledněna daná úroveň záruky podle článku 46 a mezi těmito certifikáty neexistuje žádná diskriminace, a to ani na základě členského státu původu, ani na základě vydávajícího orgánu pro posuzování shody uvedeného v článku 51.

Odůvodnění

Aby se zabránilo roztříštěnosti v uznávání nebo souladu unijních systémů certifikace kybernetické bezpečnosti, musí článek zdůraznit, že žádné místo vydání certifikátu není důvodem k diskriminaci.

Pozměňovací návrh    208

Návrh nařízení

Článek 48 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 48a

 

Systémy certifikace provozovatelů základních služeb

 

1.   Pokud evropské systémy certifikace kybernetické bezpečnosti byly přijaty podle odstavce 2 tohoto článku, provozovatelé základních služeb za účelem vyhovění bezpečnostním požadavkům podle článku 14 směrnice (EU) 2016/1148 použijí produkty, postupy a služby, na které se tyto systémy certifikace vztahují.

 

2.   Do [jednoho roku od vstupu tohoto nařízení v platnost] přijme Komise po konzultaci se skupinou pro spolupráci uvedenou v článku 11 směrnice (EU) 2016/1148 akty v přenesené pravomoci v souladu s článkem 55a, které doplní toto nařízení o seznam kategorií produktů, procesů a služeb, které splňují obě tato kritéria:

 

a)  jsou určeny pro provozovatele základních služeb; a 

 

b)  jejich špatné fungování by významně narušilo poskytování základní služby.

 

3.   Komise přijme akty v přenesené pravomoci v souladu s článkem 55a, kterými se mění toto nařízení případnou aktualizací seznamu kategorií produktů, procesů a služeb uvedených v odstavci 3 tohoto článku.

 

4.   Komise požádá agenturu, aby podle čl. 44 odst. -1 tohoto nařízení vypracovala návrhy evropských systémů certifikace kybernetické bezpečnosti pro kategorie produktů, procesů a služeb uvedené v seznamu podle odstavců 2 a 3 tohoto článku, jakmile bude tento seznam přijat nebo aktualizován. Certifikáty vydané na základě těchto evropských systémů certifikace kybernetické bezpečnosti mají vysokou úroveň záruky.

Pozměňovací návrh    209

Návrh nařízení

Článek 48 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 48b

 

Formální námitky proti evropským systémům certifikace kybernetické bezpečnosti

 

1.  Pokud se členský stát domnívá, že některý evropský systém certifikace kybernetické bezpečnosti zcela nesplňuje požadavky, které má splňovat a které jsou stanoveny v příslušném harmonizačním právním předpisu Unie, informuje o tom Komisi a podá podrobné vysvětlení. Komise případně po konzultaci s výborem zřízeným v souladu s příslušným harmonizačním právním předpisem Unie nebo po konzultacích s odborníky v daném odvětví vedených jinou formou rozhodne, zda:

 

a)  odkazy na příslušný evropský systém kybernetické bezpečnosti zveřejnit, nezveřejnit nebo zveřejnit s omezením v Úředním věstníku Evropské unie;

 

b)  odkazy na příslušný evropský systém kybernetické bezpečnosti zachovat, zachovat s omezením nebo zrušit v Úředním věstníku Evropské unie.

 

2.  Komise na svých internetových stránkách zveřejní informace o evropských systémech kybernetické bezpečnosti, na něž se vztahuje rozhodnutí uvedené v odstavci 1 tohoto článku.

 

3.  Komise informuje agenturu o rozhodnutí podle odstavce 1 tohoto článku a případně požádá o revizi příslušného evropského systému kybernetické bezpečnosti.

 

4.  Rozhodnutí podle odst. 1 písm. a) tohoto článku se přijímá poradním postupem podle čl. 55 odst. 2 tohoto nařízení.

 

5.  Rozhodnutí podle odst. 1 písm. b) tohoto článku se přijímá přezkumným postupem podle čl. 55 odst. 2a tohoto nařízení.

Pozměňovací návrh    210

Návrh nařízení

Čl. 49 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Aniž je dotčen odstavec 3, vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti ztrácejí svou účinnost od data uvedeného v prováděcím aktu přijatém podle čl. 44 odst. 4. Stávající vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT, na něž se evropský systém certifikace kybernetické bezpečnosti nevztahuje, zůstávají v platnosti.

1.  Aniž je dotčen odstavec 3, vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty, procesy a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti ztrácejí svou účinnost od data uvedeného v prováděcím aktu přijatém podle čl. 44 odst. 4. Stávající vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty, procesy a služby IKT, na něž se evropský systém certifikace kybernetické bezpečnosti nevztahuje, zůstávají v platnosti.

Pozměňovací návrh    211

Návrh nařízení

Čl. 49 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Členské státy nesmějí zavádět nové vnitrostátní systémy certifikace kybernetické bezpečnosti pro produkty a služby IKT zahrnuté do platného evropského systému certifikace kybernetické bezpečnosti.

2.  Členské státy nesmějí zavádět nové vnitrostátní systémy certifikace kybernetické bezpečnosti pro produkty, procesy a služby IKT zahrnuté do platného evropského systému certifikace kybernetické bezpečnosti.

Pozměňovací návrh    212

Návrh nařízení

Čl. 49 – odst. 3 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

3a.  Členské státy informují Komisi o veškerých žádostech o vypracování vnitrostátních systémů certifikace kybernetické bezpečnosti a uvedou důvody k jejich přijetí.

Pozměňovací návrh    213

Návrh nařízení

Čl. 49 – odst. 3 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

3b.  Na požádání zašlou členské státy návrhy vnitrostátních systémů certifikace kybernetické bezpečnosti ostatním členským státům, agentuře nebo Komisi, a to alespoň v elektronické formě.

Pozměňovací návrh    214

Návrh nařízení

Čl. 49 – odst. 3 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

3c.  Členské státy odpoví do tří měsíců na jakékoli připomínky jiného členského státu, agentury nebo Komise v souvislosti s jakýmkoli návrhem uvedeným v odstavci 3b tohoto článku a náležitě tyto připomínky zohlední, aniž je dotčena směrnice (EU) 2015/1535.

Pozměňovací návrh    215

Návrh nařízení

Čl. 49 – odst. 3 d (nový)

Znění navržené Komisí

Pozměňovací návrh

 

3d.  Pokud z připomínek obdržených podle odst. 3 písm. c) tohoto článku vyplývá, že návrh vnitrostátního systému certifikace kybernetické bezpečnosti bude mít pravděpodobně nepříznivý dopad na řádné fungování vnitřního trhu, členský stát, který připomínky obdržel, konzultuje před schválením návrhu systému agenturu a Komisi a v co nejvyšší míře zohlední připomínky agentury a Komise.

Pozměňovací návrh    216

Návrh nařízení

Čl. 50 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Za účelem efektivního provádění tohoto nařízení je vhodné, aby se tyto orgány aktivním, efektivním, účinným a bezpečným způsobem podílely na činnosti Evropské skupiny pro certifikaci kybernetické bezpečnosti zřízené podle článku 53.

5.  Za účelem efektivního provádění tohoto nařízení je vhodné, aby se tyto orgány aktivním, efektivním, účinným a bezpečným způsobem podílely na činnosti skupiny členských států pro certifikaci zřízené podle článku 53.

Pozměňovací návrh    217

Návrh nařízení

Čl. 50 – odst. 6 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  sledují a vymáhají uplatňování ustanovení podle této hlavy na vnitrostátní úrovni a dohlížejí na to, aby certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky stanovené v této hlavě a v odpovídajícím evropském systému certifikace kybernetické bezpečnosti;

a)  sledují a vymáhají uplatňování ustanovení podle této hlavy na vnitrostátní úrovni a podle pravidel přijatých Evropskou skupinou pro certifikaci kybernetické bezpečnosti ve smyslu čl. 53 odst. 3 písm. da) ověřují soulad:

 

i)   certifikátů vydaných subjekty posuzování shody usazenými na jejich území s požadavky stanovenými v této hlavě a v odpovídajícím evropském systému certifikace kybernetické bezpečnosti a

 

ii)   vlastních prohlášení o shodě vypracovaných na základě systému pro procesy, produkty nebo služby IKT;

Pozměňovací návrh    218

Návrh nařízení

Čl. 50 – odst. 6 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  sledují a dohlížejí na činnosti subjektů posuzování shody pro účely tohoto nařízení, mimo jiné ve vztahu k oznámením subjektů posuzování shody a k souvisejícím úkolům stanoveným v článku 52 tohoto nařízení;

b)  sledují a dohlížejí na činnosti subjektů posuzování shody pro účely tohoto nařízení, mimo jiné ve vztahu k oznámením subjektů posuzování shody a k souvisejícím úkolům stanoveným v článku 52 tohoto nařízení, a nejméně jednou za dva roky je posuzují;

Pozměňovací návrh    219

Návrh nařízení

Čl. 50 – odst. 6 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  provádějí audity, které mají zajistit, aby se v Unii uplatňovaly rovnocenné normy, a zprávu o výsledcích předkládají agentuře a skupině;

Odůvodnění

Záměrem tohoto pozměňovacího návrhu je pomoci zajistit, aby se v celé EU uplatňovala jednotná úroveň služeb a kvality, a pomoci zabránit možnosti „obchodování s certifikacemi“.

Pozměňovací návrh    220

Návrh nařízení

Čl. 50 – odst. 6 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  řeší stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území, v přiměřeném rozsahu šetří předmět stížnosti a v přiměřené lhůtě informují stěžovatele o průběhu a výsledku šetření;

c)  řeší stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území nebo v souvislosti s vlastním posouzením shody, v přiměřeném rozsahu šetří předmět stížnosti a v přiměřené lhůtě informují stěžovatele o průběhu a výsledku šetření;

Pozměňovací návrh    221

Návrh nařízení

Čl. 50 – odst. 6 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  předkládají zprávu o výsledcích ověřování podle písmene a) a posuzování podle písmene b) agentuře a Evropské skupině pro certifikaci kybernetické bezpečnosti;

Pozměňovací návrh    222

Návrh nařízení

Čl. 50 – odst. 6 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, jako jsou vnitrostátní orgány dozoru pro ochranu údajů, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů, procesů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

Pozměňovací návrh    223

Návrh nařízení

Čl. 50 – odst. 6 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, jako jsou vnitrostátní orgány dozoru pro ochranu údajů, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace bezpečnosti IT;

Odůvodnění

Ze stanoviska evropského inspektora ochrany údajů.

Pozměňovací návrh    224

Návrh nařízení

Čl. 50 – odst. 7 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  odnímat akreditace subjektům pro posuzování shody, které nedodržují toto nařízení;

Pozměňovací návrh    225

Návrh nařízení

Čl. 50 – odst. 7 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  v souladu s vnitrostátním právem odnímat certifikáty, které nejsou v souladu s tímto nařízením nebo evropským systémem certifikace kybernetické bezpečnosti;

e)  v souladu s vnitrostátním právem odnímat certifikáty, které nejsou v souladu s tímto nařízením nebo evropským systémem certifikace kybernetické bezpečnosti a odpovídajícím způsobem informovat vnitrostátní akreditační orgány;

Pozměňovací návrh    226

Návrh nařízení

Čl. 50 – odst. 8

Znění navržené Komisí

Pozměňovací návrh

8.  Vnitrostátní orgány dozoru nad certifikací spolupracují mezi sebou a s Komisí, a zejména si vyměňují informace, zkušenosti a osvědčené postupy týkající se certifikace kybernetické bezpečnosti a technických otázek týkajících se kybernetické bezpečnosti produktů a služeb IKT.

8.  Vnitrostátní orgány dozoru nad certifikací spolupracují mezi sebou a s Komisí, a zejména si vyměňují informace, zkušenosti a osvědčené postupy týkající se certifikace kybernetické bezpečnosti a technických otázek týkajících se kybernetické bezpečnosti produktů, procesů a služeb IKT.

Pozměňovací návrh    227

Návrh nařízení

Čl. 50 – odst. 8 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

8a.  Každý vnitrostátní orgán dozoru nad certifikací a každý člen a zaměstnanec jakéhokoli vnitrostátního orgánu dozoru nad certifikací podléhá v souladu s právními předpisy Unie nebo členského státu povinnosti dodržovat profesní tajemství jak během svého funkčního období, tak po jeho skončení, pokud jde o jakékoli důvěrné informace, o nichž se dozvěděl v průběhu plnění svých úkolů nebo výkonu svých pravomocí.

Pozměňovací návrh    228

Návrh nařízení

Článek 50 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 50a

 

Vzájemné hodnocení

 

1.  Vnitrostátní orgány dozoru nad certifikací podléhají vzájemnému hodnocení každé činnosti, kterou vykonávají podle článku 50 a již organizuje agentura.

 

2.   Vzájemné hodnocení se provádí na základě řádných a transparentních hodnotících kritérií a postupů, zejména pokud jde o požadavky na strukturu, lidské zdroje a o procedurální otázky, otázky důvěrnosti a stížností. Pro odvolání proti rozhodnutím přijatým na základě takového hodnocení jsou stanoveny náležité postupy.

 

3.   Vzájemné hodnocení se týká posouzení postupů zavedených vnitrostátními orgány dozoru nad certifikací, zejména postupů pro kontrolu shody certifikátů, postupů sledování činnosti subjektů posuzování shody a dohledu nad jejich činností, způsobilosti pracovníků, správnosti kontrol a inspekční metodiky, jakož i správnosti výsledků. V rámci vzájemného hodnocení se rovněž hodnotí, zda dotčené vnitrostátní orgány dozoru nad certifikací disponují dostatečnými zdroji pro řádné plnění povinností stanovených v čl. 50 odst. 4.

 

4.   Vzájemné hodnocení vnitrostátního orgánu dozoru nad certifikací provádí dva vnitrostátní orgány dozoru nad certifikací z jiných členských států a Komise. Toto hodnocení se provádí nejméně jednou za pět let. Vzájemného hodnocení se může zúčastnit agentura, která o své účasti rozhodne na základě analýzy posouzení rizik.

 

5.   Komise může v souladu s článkem 55a přijímat akty v přenesené pravomoci, kterými doplní toto nařízení a v nichž vypracuje plán vzájemného hodnocení na dobu nejméně pěti let, který stanoví kritéria týkající se složení týmu provádějícího vzájemné hodnocení, metodiky používané pro vzájemné hodnocení, harmonogramu, periodicity a dalších úkolů souvisejících se vzájemným hodnocením. Při přijímání těchto aktů v přenesené pravomoci Komise řádně zohlední postřehy skupiny členských států pro certifikaci.

 

6.   Výsledek vzájemného hodnocení přezkoumá skupina členských států pro certifikaci. Agentura vypracuje souhrn výsledků a v případě potřeby poskytne pokyny a dokumenty týkající se osvědčených postupů a zveřejní je.

Pozměňovací návrh    229

Návrh nařízení

Čl. 51 – odst. 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1a.  V případě vysoké úrovně záruky musí být subjekt posuzování shody, kromě toho, že je akreditován, také informován vnitrostátním orgánem dozoru o odborných znalostech a schopnostech v oblasti hodnocení kybernetické bezpečnosti. Vnitrostátní orgán dozoru nad certifikací provádí pravidelné kontroly odborných znalostí a schopností subjektů posuzování shody, o nichž informoval.

Odůvodnění

Vysoké úrovně záruky vyžadují testování účinnosti. Odborné znalosti a schopnosti orgánů posuzování shody provádějící testy účinnosti musí být pravidelně kontrolovány, aby byla zajištěna zejména kvalita testů.

Pozměňovací návrh    230

Návrh nařízení

Čl. 51 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Provádějí se audity, jejichž účelem je zajistit uplatňování rovnocenných norem v rámci Unie, a výsledky těchto auditů se oznamují agentuře a skupině.

Pozměňovací návrh    231

Návrh nařízení

Čl. 51 – odst. 2 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2b.  Pokud se výrobci v souladu s čl. 48 odst. 3 rozhodnou pro „vlastní prohlášení o shodě“, subjekty posuzování shody podniknou další kroky, aby ověřily vnitřní procesy, které výrobce uskutečnil s cílem zajistit shodu produktů nebo služeb s požadavky evropského systému certifikace kybernetické bezpečnosti.

Pozměňovací návrh    232

Návrh nařízení

Čl. 52 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Komise může stanovit prostřednictvím prováděcích aktů okolnosti, formáty a postupy oznámení uvedených v odstavci 1 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 55 odst. 2.

5.  Komise může stanovit prostřednictvím aktů v přenesené pravomoci okolnosti, formáty a postupy oznámení uvedených v odstavci 1 tohoto článku. Tyto akty v přenesené pravomoci se přijímají přezkumným postupem podle čl. 55 odst. 2.

Pozměňovací návrh    233

Návrh nařízení

Čl. 53 – název

Znění navržené Komisí

Pozměňovací návrh

Evropská skupina pro certifikaci kybernetické bezpečnosti

Skupina členských států pro certifikaci kybernetické bezpečnosti

 

(Tento pozměňovací návrh se vztahuje na celý text. Jeho přijetí si vyžádá odpovídající změny v celém textu.)

Pozměňovací návrh    234

Návrh nařízení

Čl. 53 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Zřizuje se Evropská skupina pro certifikaci kybernetické bezpečnosti (dále jen „skupina“).

1.  Zřizuje se Skupina členských států pro certifikaci kybernetické bezpečnosti.

Pozměňovací návrh    235

Návrh nařízení

Čl. 53 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Skupina je složena z vnitrostátních orgánů dozoru nad certifikací. Orgány jsou zastoupeny řediteli nebo jinými vysokými představiteli vnitrostátních orgánů dozoru nad certifikací.

2.  Skupina členských států pro certifikaci je složena z vnitrostátních orgánů dozoru nad certifikací z každého členského státu. Orgány jsou zastoupeny řediteli nebo jinými vysokými představiteli vnitrostátních orgánů dozoru nad certifikací. Členové skupiny zúčastněných stran pro certifikaci se mohou na základě pozvání skupiny členských států podílet na její práci.

Pozměňovací návrh    236

Návrh nařízení

Čl. 53 – odst. 3 – návětí

Znění navržené Komisí

Pozměňovací návrh

3.  Skupina má tyto úkoly:

3.  Skupina členských států pro certifikaci má tyto úkoly:

Pozměňovací návrh    237

Návrh nařízení

Čl. 53 – odst. 3 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  poskytovat poradenství a pomoc agentuře ENISA a spolupracovat s ní v souvislosti s vypracováním návrhu systému v souladu s článkem 44 tohoto nařízení;

b)  poskytovat poradenství a pomoc agentuře a spolupracovat s ní v souvislosti s vypracováním návrhu systému v souladu s článkem 44 tohoto nařízení;

Pozměňovací návrh    238

Návrh nařízení

Čl. 53 – odst. 3 – písm. d a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

da)  přijímat doporučení určující intervaly, v nichž mají vnitrostátní orgány dozoru nad certifikací ověřovat certifikáty a vlastní posouzení shody, a určující rovněž kritéria, rozsah a působnost těchto ověřování, a přijímat společná pravidla a normy pro předkládání zpráv v souladu s čl. 50 odst. 6.

Pozměňovací návrh    239

Návrh nařízení

Čl. 53 – odst. 3 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a vyměňovat osvědčené postupy týkající se systémů certifikace kybernetické bezpečnosti;

e)  zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a sdílet informace a osvědčené postupy týkající se systémů certifikace kybernetické bezpečnosti;

Pozměňovací návrh    240

Návrh nařízení

Čl. 53 – odst. 3 – písm. f a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fa)  usnadňovat soulad evropských systémů kybernetické bezpečnosti s mezinárodně uznávanými normami, a to i přezkumem stávajících evropských systémů kybernetické bezpečnosti a případně předložením doporučení agentuře, aby navázala dialog s příslušnými mezinárodními normalizačními organizacemi s cílem společně řešit nedostatky nebo mezery v dostupných mezinárodně uznávaných normách;

Pozměňovací návrh    241

Návrh nařízení

Čl. 53 – odst. 3 – písm. f b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fb)  zavést postup vzájemného hodnocení; tento postup zohlední zejména požadované odborné znalosti vnitrostátních orgánů dozoru nad certifikací při plnění jejich úkolů v souladu s články 48 a 50, a v případě potřeby bude zahrnovat vypracování dokumentů s pokyny a osvědčenými postupy pro zlepšení dodržování tohoto nařízení vnitrostátními orgány dozoru nad certifikací;

Pozměňovací návrh    242

Návrh nařízení

Čl. 53 – odst. 3 – písm. f c (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fc)  dohlížet na sledování a zachování certifikátů;

Pozměňovací návrh    243

Návrh nařízení

Čl. 53 – odst. 3 – písm. f d (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fd)  zohledňovat výsledky konzultací se zúčastněnými stranami vedených při přípravě návrhu systému v souladu s článkem 44.

Pozměňovací návrh    244

Návrh nařízení

Čl. 53 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Skupině předsedá Komise a s pomocí agentury ENISA jí podle čl. 8 písm. a) zajišťuje služby sekretariátu.

4.  Skupině členských států pro certifikaci předsedá Komise a s pomocí agentury jí podle čl. 8 písm. a) zajišťuje služby sekretariátu.

Pozměňovací návrh    245

Návrh nařízení

Článek 53 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 53a

 

Právo na účinný soudní opravný prostředek proti orgánu dozoru nebo subjektu posuzování shody

 

1.  Aniž je dotčen jakýkoli jiný správní nebo mimosoudní právní prostředek, má každá fyzická nebo právnická osoba právo na účinný soudní opravný prostředek:

 

a)  proti rozhodnutí subjektu posuzování shody nebo vnitrostátního orgánu dozoru nad certifikací, které se jich týká, případně také rozhodnutí souvisejícího s vydáním, nevydáním nebo uznáním evropského certifikátu kybernetické bezpečnosti, jehož je tato osoba držitelem, a

 

b)  v případě, že vnitrostátní orgán dozoru nad certifikací nezpracuje stížnost, pro kterou je příslušný.

 

2.  Řízení vedené proti subjektu posuzování shody nebo vnitrostátnímu orgánu dozoru nad certifikací se předkládá soudům členského státu, v němž je usazen subjekt posuzování shody nebo vnitrostátní orgán dozoru nad certifikací.

Pozměňovací návrh    246

Návrh nařízení

Čl. 55 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Pozměňovací návrh    247

Návrh nařízení

Článek 55 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 55a

 

Výkon přenesené pravomoci

 

1.   Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

 

2.   Pravomoc přijímat akty v přenesené pravomoci uvedená v článcích 44 a 48a je svěřena Komisi na dobu neurčitou od ... [datum vstupu v platnost základního legislativního aktu].

 

3.   Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v článcích 44 a 48a kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Netýká se platnosti již platných aktů v přenesené pravomoci.

 

4.   Před přijetím aktu v přenesené pravomoci se Komise poradí s odborníky, které určí každý členský stát v souladu se zásadami stanovenými v interinstitucionální dohodě o zdokonalení tvorby právních předpisů ze dne 13. dubna 2016.

 

5.   Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

 

6.   Akt v přenesené pravomoci přijatý podle článků 44 a 48a vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Pozměňovací návrh    248

Návrh nařízení

Čl. 56 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Nejpozději pět let po dni uvedeném v článku 58 a poté každých pět let Komise posoudí dopad, efektivitu a účinnost agentury a jejích pracovních postupů, jakož i případnou potřebu změnit mandát agentury a finanční důsledky této změny. Hodnocení zohledňuje veškerou zpětnou vazbu, kterou agentura v reakci na svou činnost zaznamenala. Pokud se Komise domnívá, že zachování agentury již není s ohledem na cíle, mandát a úkoly, které jí byly svěřeny, odůvodněné, může navrhnout, aby byla ustanovení tohoto nařízení týkající se agentury změněna.

1.  Nejpozději dva roky po dni uvedeném v článku 58 a poté každé dva roky Komise posoudí dopad, efektivitu a účinnost agentury a jejích pracovních postupů, jakož i případnou potřebu změnit mandát agentury a finanční důsledky této změny. Hodnocení zohledňuje veškerou zpětnou vazbu, kterou agentura v reakci na svou činnost zaznamenala. Pokud se Komise domnívá, že zachování agentury již není s ohledem na cíle, mandát a úkoly, které jí byly svěřeny, odůvodněné, může navrhnout, aby byla ustanovení tohoto nařízení týkající se agentury změněna.

Pozměňovací návrh    249

Návrh nařízení

Čl. 56 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Hodnocení rovněž posoudí dopad, efektivnost a účinnost ustanovení hlavy III s ohledem na cíle zajištění odpovídající úrovně kybernetické bezpečnosti produktů a služeb IKT v Unii a zlepšení fungování vnitřního trhu.

2.  Hodnocení rovněž posoudí dopad, efektivnost a účinnost ustanovení hlavy III s ohledem na cíle zajištění odpovídající úrovně kybernetické bezpečnosti produktů, procesů a služeb IKT v Unii a zlepšení fungování vnitřního trhu.

Pozměňovací návrh    250

Návrh nařízení

Čl. 56 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Hodnocení posoudí, zda jsou základní požadavky na kybernetickou bezpečnost pro přístup na vnitřní trh nezbytné k tomu, aby se zabránilo vstupu produktů, služeb a procesů na trh Unie, které nesplňují hlavní požadavky na kybernetickou bezpečnost.

Pozměňovací návrh    251

Návrh nařízení

Příloha -I (nová)

Znění navržené Komisí

Pozměňovací návrh

 

PŘÍLOHA -I

 

Po zavedení rámce EU pro certifikaci kybernetické bezpečnosti je pravděpodobné, že se pozornost soustředí na oblasti bezprostředního zájmu s cílem zvládnout výzvy, kterou s sebou nesou nejmodernější technologie. Zvláštní zájem vzbuzuje problematika internetu věcí, neboť této oblasti se týkají požadavky spotřebitelů i průmyslu. Navrhuje se, aby do rámce pro certifikaci byly zahrnuty priority uvedené v tomto seznamu:

 

1) certifikace poskytování cloudových služeb

 

2) certifikace zařízení internetu věcí, včetně:

 

a. zařízení na individuální úrovni, jako jsou inteligentní nositelná zařízení;

 

b. zařízení na úrovni komunity, jako jsou inteligentní automobily, inteligentní domy, zdravotnické pomůcky;

 

c. zařízení na úrovni společnosti, jako jsou inteligentní města a inteligentní sítě.

 

3) Průmyslové odvětví 4.0 zahrnující inteligentní propojené a kyberneticko-fyzikální systémy, které automatizují všechny fáze průmyslové činnosti, od návrhu a výroby po provoz, dodavatelský řetězec a servisní údržbu.

 

4) Certifikace technologií a produktů využívaných v každodenním životě. Příkladem by mohla být síťová zařízení, jako jsou domácí internetové routery.

Pozměňovací návrh    252

Návrh nařízení

Příloha I – odst. 1 – bod 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

5a.  Je-li subjekt posuzování shody vlastněn nebo provozován veřejným subjektem nebo institucí, musí být zajištěna a zdokumentována nezávislost a neexistence jakéhokoli střetu zájmů mezi vnitrostátním orgánem dozoru nad certifikací na jedné straně a subjektem posuzování shody na straně druhé.

Pozměňovací návrh    253

Návrh nařízení

Příloha I – odst. 1 – bod 8

Znění navržené Komisí

Pozměňovací návrh

8.  Subjekt posuzování shody musí být schopen provádět všechny úkoly v rámci posuzování shody, které tomuto subjektu ukládá toto nařízení, ať již tyto úkoly provádí subjekt posuzování shody sám, nebo jsou prováděny jeho jménem a na jeho odpovědnost.

8.  Subjekt posuzování shody musí být schopen provádět všechny úkoly v rámci posuzování shody, které tomuto subjektu ukládá toto nařízení, ať již tyto úkoly provádí subjekt posuzování shody sám, nebo jsou prováděny jeho jménem a na jeho odpovědnost. Veškeré subdodávky nebo konzultace s externími pracovníky musí být řádně zdokumentovány, nesmějí zahrnovat žádné zprostředkovatele a podléhají písemné dohodě týkající se mimo jiné důvěrnosti a střetu zájmů. Subjekt posuzování shody nese plnou odpovědnost za vykonávané úkoly.

Pozměňovací návrh    254

Návrh nařízení

Příloha I – odst. 1 – bod 12

Znění navržené Komisí

Pozměňovací návrh

12.  Musí být zaručena nestrannost subjektů posuzování shody, jejich nejvyššího vedení a pracovníků, kteří provádějí posuzování.

12.  Musí být zaručena nestrannost subjektů posuzování shody, jejich nejvyššího vedení a pracovníků, kteří provádějí posuzování, a subdodavatelů.

Pozměňovací návrh    255

Návrh nařízení

Příloha I – odst. 1 – bod 15

Znění navržené Komisí

Pozměňovací návrh

15.  Pracovníci subjektu posuzování shody jsou povinni zachovávat služební tajemství, s výjimkou styku s příslušnými orgány členských států, v nichž vykonávají svou činnost, pokud jde o veškeré informace, které obdrželi při plnění svých úkolů podle tohoto nařízení nebo podle jakéhokoli ustanovení vnitrostátních právních předpisů, kterým se uvedená směrnice provádí.

15.  Subjekt posuzování shody a jeho pracovníci, výbory, dceřiné společnosti, subdodavatelé a jakýkoli přidružený subjekt nebo zaměstnanci externích orgánů subjektu posuzování shody jsou povinni zachovávat mlčenlivost a služební tajemství, pokud jde o veškeré informace, které obdrželi při plnění svých úkolů podle tohoto nařízení nebo podle jakéhokoli ustanovení vnitrostátních právních předpisů, kterým se uvedená směrnice provádí, s výjimkou případů, kdy zveřejnění vyžadují právní předpisy Unie nebo členských států, které se na tyto osoby vztahují, kromě styku s příslušnými orgány členských států, v nichž vykonávají svou činnost. Vlastnická práva jsou chráněna. Pokud jde o požadavky tohoto oddílu 15, subjekt posuzování shody musí mít zavedené zdokumentované postupy.

Pozměňovací návrh    256

Návrh nařízení

Příloha I – odst. 1 – bod 15 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

15a.  S výjimkou oddílu 15 požadavky této přílohy v žádném případě nebrání výměně technických informací a regulačních pokynů mezi subjektem posuzování shody a osobou, která žádá o certifikaci, nebo toto požádání zvažuje.

Pozměňovací návrh    257

Návrh nařízení

Příloha I – odst. 1 – bod 15 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

15b.  Subjekty posuzování shody působí v souladu se souborem důsledných, spravedlivých a přiměřených podmínek s přihlédnutím k zájmům malých a středních podniků, jež jsou vymezeny v doporučení 2003/361 ES, pokud jde o poplatky.

  • [1]  Úř. věst. C xx ze dne ..., s. xx.

VYSVĚTLUJÍCÍ PROHLÁŠENÍ

Je skutečností, že celosvětová digitální revoluce vstoupila do našich hospodářství, společností a vlád a stále se šíří – všechny naše údaje jsou zranitelné. Spotřebitelé, průmyslová odvětví, orgány a demokracie na místní, vnitrostátní, evropské a celosvětové úrovni se stávají oběťmi kybernetických útoků, kybernetické špionáže a kybernetické sabotáže a všichni víme, že tyto jevy v příštích letech výrazně zesílí.

Miliardy zařízení jsou připojeny k internetu a jejich interakce probíhá na zcela nové úrovni a v nebývalém měřítku. Tato zařízení a s nimi související služby mohou zlepšit životy občanů i naše hospodářství. Lidé a organizace se však stanou plnou součástí digitálního světa nebo se do něj budou zapojovat, pouze pokud budou mít důvěru v digitální technologie. Důvěra předpokládá, aby zařízení, procesy a služby internetu věcí byly bezpečné a zabezpečené.

Aby bylo možné dosáhnout těchto cílů, navrhla Komise „akt o kybernetické bezpečnosti“. Toto nařízení je důležitou součástí a významným nástrojem nové strategie Evropské unie v oblasti kybernetické bezpečnosti, jejímž cílem je poskytnout Evropě dlouhodobou vizi v oblasti kybernetické bezpečnosti a zajistit důvěru v digitální technologie. Je třeba ji vnímat v kontextu platných právních předpisů: EU už vytvořila Agenturu Evropské unie pro bezpečnost sítí a informací (ENISA) a přijala směrnici o bezpečnosti sítí a informací, která je v současné době prováděna ve vnitrostátním právu členských států.

Akt o kybernetické bezpečnosti je tvořen dvěma částmi: v první části je stanovena úloha a mandát agentury ENISA s cílem posílit agenturu. Ve druhé části se zavádí evropský systém certifikace kybernetické bezpečnosti ve formě dobrovolného rámce pro zlepšení bezpečnosti připojených zařízení a digitálních produktů a služeb.

Zpravodajka v zásadě vítá návrh Komise týkající se evropského aktu o kybernetické bezpečnosti, protože má zásadní význam pro minimalizaci rizika a hrozeb pro bezpečnost informačních systémů a síťových systémů a umožňuje spotřebitelům získat důvěru v řešení IT, zejména s ohledem na internet věcí. Zpravodajka je pevně přesvědčena, že Evropa se může stát vůdčím hráčem na poli kybernetické bezpečnosti. Evropa má silnou průmyslovou základnu, takže úsilí o zlepšení kybernetické bezpečnosti v oblasti spotřebního zboží, průmyslových aplikací a kritické infrastruktury je v zájmu spotřebitelů i odvětví.

Návrh Komise vyžaduje určité změny jak v části týkající se agentury ENISA, tak v části týkající se certifikace.

Pokud jde o agenturu ENISA, zpravodajka je přesvědčena, že pokud chceme silnou a dobře fungující agenturu, je třeba stanovit správný rámec. Zpravodajka vítá posílenou úlohu agentury ENISA, která zahrnuje trvalý mandát a zvýšení rozpočtu i počtu zaměstnanců, ale je rovněž třeba přijmout realistický přístup s ohledem na stále malý počet odborníků zaměstnávaných agenturou ENISA ve srovnání s počtem zaměstnanců v některých vnitrostátních orgánech dozoru nad certifikací. Úkolem agentury ENISA by mělo být i nadále usilovat o operační spolupráci, a to prostřednictvím zvažování odborných znalostí získaných v rámci směrnice o bezpečnosti sítí a informací, pokračovat v podpoře budování kapacit v členských státech a být zdrojem informací. ENISA dále musí – společně s členskými státy a příslušnými zúčastněnými stranami – sehrát významnou úlohu při vytváření evropských systémů kybernetické bezpečnosti.

Pokud jde o certifikaci, zpravodajka se vyslovuje pro zřetelnější vymezení oblasti působnosti návrhu. Za prvé, toto nařízení by se nemělo vztahovat jen na výrobky a služby, ale i na celý životní cyklus. Do oblasti působnosti tak musí být zahrnuty procesy. Naopak by měly být z oblasti působnosti jednoznačně vyloučeny oblasti pravomocí členských států, zejména pokud jde o veřejnou bezpečnost, obranu, národní bezpečnost a oblast trestního práva.

Pokud jde o evropský systém certifikace kybernetické bezpečnosti, zpravodajka navrhuje podrobnější specifikaci přístupu zaměřeného na posouzení rizika, a nikoli nějakého univerzálního systému certifikace. Zpravodajka dále podporuje dobrovolný systém – ale pouze pro úrovně záruky „základní“ a „významná“. U produktů, postupů nebo služeb, které spadají do nejvyšší úrovně záruky, je podle zpravodajky vhodnější povinný systém. Pokud jde o hodnocení digitálních technologií, které spadají do základní úrovně záruky, zpravodajka dále navrhuje propojení s přístupem nového legislativního rámce. To umožní používání vlastního posouzení, levnějšího a méně zatěžujícího systému, který se osvědčil v různých konkrétních oblastech.

Zpravodajka je přesvědčena, že výrobce nebo poskytovatel produktů, procesů a služeb IKT by měl být povinen vydat závazné prohlášení o produktu obsahující strukturované informace o certifikaci, například s údaji o dostupnosti aktualizací nebo interoperabilitě certifikovaných produktů, procesů nebo služeb. Toto prohlášení poskytne spotřebiteli užitečné informace při výběru zařízení. Zpravodajka upřednostňuje prohlášení o výrobku před označením nebo značkou, které mohou být pro spotřebitele zavádějící.

Zpravodajka je pevně přesvědčena, že strukturu řízení, jak ji navrhuje Komise, je třeba zlepšit, aby byla pro všechny zúčastněné strany transparentnější. Zpravodajka proto navrhuje přijetí víceletého pracovního programu Unie, který by určoval společné postupy, jež by měly být prováděny na úrovni Unie, a který by uváděl výčet oblastí, v nichž by měly být prioritně stanoveny evropské systémy certifikace, a úroveň rovnocennosti know-how a odborných znalostí hodnotících orgánů a orgánů dozoru v členských státech. Posílené řízení rovněž znamená silnější účast členských států a odvětví v procesu certifikace: úloha členských států může být posílena, pokud má mít skupina zřízená podle článku 53 návrhu a složená z vnitrostátních orgánů dozoru nad certifikací stejné postavení při přípravě systému certifikace jako Komise. Skupina bude muset schválit návrh evropského systému. Zatřetí by také měla být posílena účast odvětví na certifikačním procesu. Toho lze dosáhnout vyjasněním složení stálé skupiny zúčastněných stran a zřízením ad hoc poradních skupin agenturou ENISA s cílem získat další odborné znalosti a know-how od odvětví a dalších příslušných zúčastněných stran v rámci procesů certifikace. Zpravodajka je přesvědčena, že všechna tato opatření pomohou malým a středním podnikům, aby se na tomto postupu mohly mnohem výrazněji podílet.

Kromě toho je třeba, aby se v rámci příprav nových systémů do evropského systému certifikace výrazněji zapojily evropské normalizační organizace, jako jsou CEN a CENELEC. To by umožnilo prosazení existujících a celosvětově přijímaných mezinárodních norem.

STANOVISKO Výboru pro vnitřní trh a ochranu spotřebitelů (22.5.2018)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu nařízení Evropského parlamentu a Rady o agentuře ENISA, Evropské agentuře pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)
(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Zpravodaj: (*) Nicola Danti

(*)  Přidružený výbor – článek 54 jednacího řádu

STRUČNÉ ODŮVODNĚNÍ

V digitální éře je kybernetická bezpečnost podstatným prvkem z hlediska hospodářské konkurenceschopnosti a bezpečnosti Evropské unie a z hlediska integrity našich svobodných a demokratických společností a procesů, které jsou jejich pilíři. Zajištění vysoké úrovně kybernetické odolnosti v celé EU má mimořádný význam pro dosažení důvěry spotřebitelů v jednotný digitální trh a pro další rozvoj inovativnější a konkurenceschopnější Evropy.

Není pochyb o tom, že kybernetické hrozby a globální kybernetické útoky, například „Wannacry“ a „Meltdown“, jsou v naší víc a víc digitalizované společnosti stále důležitějším tématem. Podle průzkumu Eurobarometr zveřejněného v červenci 2017 považovalo 87 % respondentů kyberkriminalitu za „důležitou hrozbu pro vnitřní bezpečnost EU“ a většina těchto respondentů se „obává toho, aby se nestali obětí různých forem kyberkriminality“. Navíc se od počátku roku 2016 objevilo každý den někde na světě více než 4 000 útoků ransomware, což je 300% nárůst od roku 2015, přičemž postiženo bylo 80 % společností v EU. Tyto skutečnosti a zjištění jednoznačně ukazují, že je nutné, aby EU byla odolnější a účinněji bojovala proti kybernetickým útokům a prohlubovala svou schopnost lépe chránit evropské občany, podniky a veřejné orgány.

Rok po vstupu směrnice o bezpečnosti sítí a informací v platnost Evropská komise v širším rámci strategie kybernetické bezpečnosti EU představila nařízení, jehož cílem je další posílení kybernetické odolnosti, odrazování od útoků a posilování obrany v EU. Komise dne 13. září 2017 předložila „akt o kybernetické bezpečnosti“, který je založen na dvou pilířích:

1) trvalý a silnější mandát pro Agenturu Evropské unie pro bezpečnost sítí a informací (agentura ENISA), pokud jde o pomoc členským státům v účinném předcházení kybernetickým útokům a reagování na ně, a 2) vytvoření rámce EU pro certifikaci kybernetické bezpečnosti s cílem zaručit, že produkty a služby IKT jsou kyberneticky bezpečné.

Obecně zpravodaj vítá přístup navrhovaný Evropskou komisí a zejména podporuje zavedení celoevropských systémů certifikace kybernetické bezpečnosti, jejichž cílem je zvýšení bezpečnosti produktů a služeb IKT a také zamezení nákladné roztříštěnosti jednotného trhu v této klíčové oblasti. Ačkoli by měl zpočátku zůstat dobrovolným nástrojem, zpravodaj věří, že rámec EU pro certifikaci kybernetické bezpečnosti a související postupy se stanou nástrojem nezbytným pro posílení důvěry našich občanů a uživatelů a pro zvýšení bezpečnosti produktů a služeb, které se pohybují na jednotném trhu.

Je však také přesvědčen, že řadu bodů v návrhu je potřeba vyjasnit a také zlepšit:

•  V prvé řadě je to zvýšení zapojení příslušných zúčastněných stran do různých fází systému řízení pro vypracovávání návrhů systému certifikace kybernetické bezpečnosti agenturou ENISA: zpravodaj je toho názoru, že je velmi důležité formálně zapojit většinu relevantních zúčastněných stran, jako jsou příslušná odvětví IKT, organizace spotřebitelů, malé a střední podniky, normalizační organizace EU a odvětvové agentury EU apod., a dát jim možnost předkládat nové návrhy systémů, poskytovat odbornou pomoc agentuře ENISA nebo s agenturou ENISA spolupracovat při vypracovávání jednotlivých návrhů systému.

•  Zadruhé je třeba posílit koordinační úlohu Evropské skupiny pro certifikaci kybernetické bezpečnosti (složené z vnitrostátních orgánů a podporované Komisí a agenturou ENISA) o další úkoly, které jí umožní poskytovat strategické vedení a sestavit pracovní program týkající se společných opatření, jež musí být přijata na unijní úrovni v oblasti certifikace, a rovněž vytvořit a pravidelně aktualizovat prioritní seznam produktů a služeb IKT, u nichž je podle názoru skupiny třeba navrhnout evropský systém certifikace kybernetické bezpečnosti.

•  Zpravodaj je pevně přesvědčen, že je potřeba se vyhnout praxi „nakupování“ osvědčení EU, které již bylo v jiných odvětvích zaznamenáno. Velmi posílena by měla být ustanovení agentury ENISA o sledování a dozoru, jakož i vnitrostátní orgány dozoru nad certifikací, s cílem zajistit, aby evropské osvědčení vydané v určitém členském státě splňovalo tytéž normy a požadavky, jako by bylo vydáno v jiném členském státě. Proto navrhuje:

1) posílit dozorové pravomoci agentury ENISA: ve spolupráci se skupinou pro certifikaci by ENISA měla provádět posouzení postupů zavedených orgány odpovědnými za vydávání osvědčení EU;

2) aby vnitrostátní orgány dozoru prováděly pravidelná posouzení (alespoň jednou za dva roky) týkající se osvědčení EU vydaných subjekty posuzování shody;

3) zavést společná závazná kritéria, která budou definována skupinou, pro stanovení rozsahu, působnosti a četnosti, s jakou by vnitrostátní orgány dozoru nad certifikací měly provádět posouzení uvedená v bodu 2.

•  Zpravodaj se domnívá, že by mělo dojít k zavedení povinného označení důvěry na úrovni EU pro produkty a služby IKT určené pro použití koncovými uživateli. Toto označení by mohlo přispět k posílení povědomí o kybernetické bezpečnosti a společnostem skýtat dobrý doklad kybernetické bezpečnosti a vytvářet u nich konkurenční výhodu.

•  Zpravodaj souhlasí s jednotným a harmonizovaným přístupem Komise, je však přesvědčen, že by měl být pružnější a lépe se přizpůsobovat specifickým rysům a slabým místům jednotlivých produktů nebo služeb – tento přístup by neměl uplatňovat zásadu „jedno řešení pro všechny“. Proto se zpravodaj domnívá, že by úrovně záruky měly být přejmenovány a že by měly být využívány s přihlédnutím mj. k zamýšlenému použití produktů a služeb IKT. Stejně tak trvání platnosti osvědčení by mělo být stanoveno systém od systému.

•  Každý systém certifikace by měl být navržen takovým způsobem, aby stimuloval a vybízel všechny zúčastněné subjekty dotyčného odvětví, aby rozvíjely a přijímaly bezpečnostní standardy a technické normy a aby uplatňovaly zásady bezpečnosti a ochrany soukromí již od fáze návrhu, a to ve všech fázích životního cyklu produktu nebo služby.

POZMĚŇOVACÍ NÁVRHY

Výbor pro vnitřní trh a ochranu spotřebitelů vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

Pozměňovací návrh    1

Návrh nařízení

Bod odůvodnění 1

Znění navržené Komisí

Pozměňovací návrh

(1)  Sítě, informační systémy a telekomunikační sítě a služby mají zásadní význam pro společnost a staly se páteří hospodářského růstu. Informační a komunikační technologie podporuje komplexní systémy, které podporují společenské činnosti, udržují v chodu naše ekonomiky v klíčových odvětvích jako například zdravotnictví, energetika, finančnictví a doprava, a zejména podporují fungování vnitřního trhu.

(1)  Sítě, informační systémy a telekomunikační sítě a služby mají zásadní význam pro společnost a staly se páteří hospodářského růstu. Informační a komunikační technologie (dále jen „IKT“) představují komplexní systémy, které podporují běžné společenské činnosti, udržují v chodu naše ekonomiky v klíčových odvětvích jako například zdravotnictví, energetika, finančnictví a doprava, a zejména podporují fungování vnitřního trhu.

Pozměňovací návrh    2

Návrh nařízení

Bod odůvodnění 2

Znění navržené Komisí

Pozměňovací návrh

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů a služeb IKT, což narušuje důvěru v digitální řešení.

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů a služeb IKT, což narušuje důvěru v digitální řešení, která je klíčová pro zavedení jednotného digitálního trhu.

Pozměňovací návrh    3

Návrh nařízení

Bod odůvodnění 3

Znění navržené Komisí

Pozměňovací návrh

(3)  Nárůst digitalizace a propojenosti vede k nárůstu kybernetických bezpečnostních rizik, což způsobuje, že společnost jako celek je zranitelnější vůči kybernetickým hrozbám a zhoršujícím se nebezpečím, s nimiž se setkávají jednotliví uživatelé včetně zranitelných osob, jako jsou děti. Za účelem zmírnění těchto rizik pro společnost je třeba přijmout veškerá opatření potřebná ke zlepšení kybernetické bezpečnosti v EU, aby byly sítě a informační systémy, telekomunikační sítě, digitální produkty, služby a zařízení používané občany, vládami a podniky – od malých a středních podniků až po provozovatele kritických infrastruktur – lépe chráněny před kybernetickými hrozbami.

(3)  Nárůst digitalizace a propojenosti vede ke značnému nárůstu kybernetických bezpečnostních rizik, což způsobuje, že společnost jako celek je zranitelnější vůči kybernetickým hrozbám a zhoršujícím se nebezpečím, s nimiž se setkávají jednotliví uživatelé včetně zranitelných osob, jako jsou děti. Transformativní síla umělé inteligence a strojového učení bude využita společností obecně, ale také pachateli kybernetické trestné činnosti. Za účelem zmírnění těchto rizik pro společnost je třeba přijmout veškerá opatření potřebná ke zlepšení ochrany před kybernetickými útoky v EU, aby byly sítě a informační systémy, telekomunikační sítě, digitální produkty, služby a zařízení používané občany, vládami a podniky – od malých a středních podniků až po provozovatele kritických infrastruktur – lépe chráněny před kybernetickými hrozbami.

Pozměňovací návrh    4

Návrh nařízení

Bod odůvodnění 4

Znění navržené Komisí

Pozměňovací návrh

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější a bezpečnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

Pozměňovací návrh    5

Návrh nařízení

Bod odůvodnění 5

Znění navržené Komisí

Pozměňovací návrh

(5)  S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci a koordinaci mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Je rovněž třeba další úsilí ke zvýšení informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti. Kromě toho důvěra v jednotný digitální trh by měla být dále posílena tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů a služeb IKT. Toto lze usnadnit celoevropskou certifikací, která bude poskytovat společné kybernetickobezpečnostní požadavky a hodnoticí kritéria napříč vnitrostátními trhy a odvětvími.

(5)  S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci a koordinaci mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Je rovněž třeba další úsilí ke zvýšení informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti. Kromě toho vzhledem k tomu, že kybernetické incidenty podrývají důvěruposkytovatele digitálních služeb a v jednotný digitální trh samotný, zejména mezi spotřebiteli, důvěra by měla být dále posílena tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů a služeb IKT. Toto lze usnadnit standardizovanou celoevropskou certifikací, která se bude opírat o evropské či mezinárodní normy a bude poskytovat společné kybernetickobezpečnostní požadavky a hodnoticí kritéria napříč vnitrostátními trhy a odvětvími. Vedle celounijní certifikace existuje množství dobrovolných opatření, která by měl přijmout sám soukromý sektor, aby posílil důvěru v bezpečnost produktů a služeb IKT, zejména s ohledem na vzrůstající dostupnost zařízení, která jsou součástí internetu věcí. Je například třeba účinněji využívat šifrovacích a dalších technologií, jakož i technologií k zabraňování kybernetickým útokům, za účelem zlepšení zabezpečení údajů koncových uživatelů a komunikací a celkové bezpečnosti sítí a informačních systémů v Unii.

Pozměňovací návrh    6

Návrh nařízení

Bod odůvodnění 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(5a)  Certifikace a jiné formy posouzení shody procesů, produktů a služeb IKT hrají důležitou úlohu a posílení kybernetické bezpečnosti vyžaduje mnohostranný přístup, jenž obsáhne osoby, procesy i technologie. Je však zapotřebí, aby EU dál pokračovala v důrazné podpoře a prosazování i dalších oblastí, včetně vzdělávání v kybernetické bezpečnosti, odborné přípravy a rozvíjení dovedností; prohlubování informovanosti na výkonné i správní úrovni firem; podporování dobrovolného sdílení informací o kybernetických hrozbách; a posunu EU od reaktivního k proaktivnímu přístupu, který by na hrozby odpověděl posílením prevence úspěšných kybernetických útoků;

Pozměňovací návrh    7

Návrh nařízení

Bod odůvodnění 7

Znění navržené Komisí

Pozměňovací návrh

(7)  Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na kybernetické bezpečnostní hrozby a rizika. Ve snaze lépe chránit Evropany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti kybernetické bezpečnosti, směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Směrnice o bezpečnosti sítí a informací zavedla požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i poskytovatelé klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho účinný boj proti kyberkriminalitě je důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli dosažení vysoké úrovně kybernetické bezpečnosti.

(7)  Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na kybernetické bezpečnostní hrozby a rizika. Ve snaze lépe chránit Evropany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti kybernetické bezpečnosti, směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Směrnice o bezpečnosti sítí a informací, jejíž úspěch bude velmi záviset na účinném provedení členskými státy, zavedla požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i poskytovatelé klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho účinný boj proti kyberkriminalitě je důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli dosažení vysoké úrovně kybernetické bezpečnosti.

Pozměňovací návrh    8

Návrh nařízení

Bod odůvodnění 11

Znění navržené Komisí

Pozměňovací návrh

(11)  Vzhledem k nárůstu kybernetických bezpečnostních hrozeb, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely posílení úlohy a úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém.

(11)  Vzhledem k nárůstu kybernetických bezpečnostních hrozeb a výzev, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely posílení úlohy a úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém.

Pozměňovací návrh    9

Návrh nařízení

Bod odůvodnění 28

Znění navržené Komisí

Pozměňovací návrh

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s kybernetickou bezpečností a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany a organizace. Agentura by rovněž měla přispívat k podpoře osvědčených postupů a řešení na úrovni jednotlivcůorganizací, a to shromažďovánímanalyzováním veřejně dostupných informací týkajících se závažných incidentů a sestavováním zpráv s cílem poskytnout podnikům a občanům pokyny a zlepšit celkovou úroveň připravenosti a odolnosti. Agentura by dále měla ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat informovanost o potenciálních hrozbách v kyberprostoru, včetně počítačové kriminality jako phishingové útoky, botnety a finanční a bankovní podvody, a podporovat základní nástroje ověřováníochrany údajů. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení.

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s kybernetickou bezpečností a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany a organizace. Agentura by měla rovněž přispívat k propagaci osvědčených postupů a řešení v oblasti kybernetické hygieny, tj. prostých, rutinních opatření, která mohou jednotlivciorganizace přijmout s cílem minimalizovat rizika spojená s kybernetickými hrozbami: jedná se např. o vícefaktorové ověřování, patching, šifrovánířízení přístupu. Agentura by tak měla činit prostřednictvím shromažďováníanalyzování veřejně dostupných informací týkajících se závažných incidentů a sestavování a zveřejňování zpráv a pokynů s cílem poskytnout podnikům a občanům obecné pokyny a zlepšit celkovou úroveň připravenosti a odolnosti. Agentura by dále měla ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat informovanost o opatřeních, která mohou být přijata s cílem bránit se potenciálním hrozbám v kyberprostoru, včetně počítačové kriminality, jako jsou phishingové útoky, útoky ransomwaru, hijacking, botnety a finanční a bankovní podvody, a podporovat poradenství, pokud jde o základní nástroje vícefaktorového ověřování, šifrování, patchingu, zásad řízení přístupu, ochrany údajů a další technologie posilující bezpečnost a ochranu soukromí a anonymizační nástroje. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení a bezpečném využívání služeb, podporovat začlenění bezpečnosti již ve fázi návrhu (security-by-design) na úrovni Unie, které je předpokladem pro zabezpečení připojených zařízení, zejména u zranitelných uživatelů, včetně dětí, a začlenění ochrany soukromí již ve fázi návrhu (privacy-by-design). Agentura by měla pobízet všechny koncové uživatele, aby přijímali vhodná opatření s cílem předcházet událostem, které by měly vliv na bezpečnost jejich sítí a informačních systémů, a minimalizovat jejich dopad. Měla by být navázána partnerství s akademickými institucemi, které vedou výzkumné iniciativy v relevantních oblastech kybernetické bezpečnosti.

Pozměňovací návrh    10

Návrh nařízení

Bod odůvodnění 35

Znění navržené Komisí

Pozměňovací návrh

(35)  Agentura by měla vybízet členské státy a poskytovatele služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní kybernetické bezpečnosti Poskytovatelé služeb a výrobci produktů by zejména měli stáhnout nebo recyklovat produkty a služby, které nesplňují normy kybernetické bezpečnosti. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili bezpečnost svých produktů a služeb, včetně kybernetické bezpečnosti.

(35)  Agentura by měla vybízet členské státy a poskytovatele služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní kybernetické bezpečnosti. Poskytovatelé služeb a výrobci produktů by zejména měli stáhnout nebo recyklovat produkty a služby, které nesplňují normy kybernetické bezpečnosti. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili bezpečnost svých produktů a služeb, včetně kybernetické bezpečnosti. Agentura ENISA by měla tato varování zveřejnit na internetových stránkách věnovaných informování o systémech certifikace. Agentura by měla vypracovat obecné pokyny ohledně minimálních bezpečnostních požadavků na bezpečnost IT pro všechna IT zařízení prodávaná v Unii nebo vyvážená z Unie. Tyto pokyny by mohly vyzvat výrobce k předkládání písemného prohlášení potvrzujícího, že dané zařízení neobsahuje hardwarové, softwarové či firmwarové složky s jakýmikoli známými a využitelnými zranitelnými místy ani žádné nezměnitelné či nešifrované heslo či přístupový kód, že je schopné přijímat důvěryhodné a řádně ověřené bezpečnostní aktualizace, že reakce prodejce na situaci, kdy je určité zařízení postiženo, zahrnuje odpovídající hierarchii nápravných opatření a že prodejce informuje koncové uživatele o tom, kdy přestane danému zařízení poskytovat bezpečnostní podporu.

Pozměňovací návrh    11

Návrh nařízení

Bod odůvodnění 36 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(36a)  Standardy představují dobrovolný nástroj stimulovaný trhem poskytující technické požadavky a pokyny a vycházející z otevřeného, transparentního a inkluzivního procesu. Používání standardů napomáhá tomu, aby zboží a služby splňovaly právní předpisy Unie, a podporuje evropské politiky v souladu s nařízením (EU) č. 1025/2012 o evropské normalizaci. Agentura by měla pravidelně provádět konzultace a spolupracovat s evropskými normalizačními organizacemi, zejména při vypracovávání evropských systémů certifikace kybernetické bezpečnosti.

Pozměňovací návrh    12

Návrh nařízení

Bod odůvodnění 44

Znění navržené Komisí

Pozměňovací návrh

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Složení stálé skupiny zúčastněných stran a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit dostatečnou účast zúčastněných stran na činnosti agentury.

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů, akademickým světem a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Za účelem zajištění řádného zapojení všech zúčastněných stran v rámci certifikace kybernetické bezpečnosti by stálá skupina zúčastněných stran měla rovněž poskytovat poradenství ohledně toho, na které produkty a služby IKT by se v budoucnu měly vztahovat evropské systémy certifikace kybernetické bezpečnosti, a měla by Komisi navrhovat, aby od agentury požadovala vypracování návrhu systému takových produktů a služeb IKT, a to buď z vlastního podnětu, nebo v návaznosti na předložené návrhy příslušných zúčastněných stran. Složení stálé skupiny zúčastněných stran a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit efektivní a spravedlivou účast zúčastněných stran na činnosti agentury.

Pozměňovací návrh    13

Návrh nařízení

Bod odůvodnění 46

Znění navržené Komisí

Pozměňovací návrh

(46)  Aby byla zaručena plná autonomie a nezávislost agentury a bylo jí umožněno vykonávat další nové úkoly, včetně nečekaných naléhavých úkolů, měla by mít k dispozici dostatečný a samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích zemí podílejících se na práci agentury. Většina zaměstnanců agentury by se měla přímo podílet na operativním plnění mandátu agentury. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky k příjmům agentury. Všechny subvence ze souhrnného rozpočtu Unie by měly podléhat rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví agentury s cílem zajistit transparentnost a odpovědnost.

(46)  Aby byla zaručena plná autonomie a nezávislost agentury a bylo jí umožněno vykonávat další nové úkoly, včetně nečekaných naléhavých úkolů, měla by mít k dispozici dostatečný a samostatný rozpočet, který je rozhodující měrou financován z příspěvků Unie a z příspěvků třetích zemí podílejících se na práci agentury. Většina zaměstnanců agentury by se měla přímo podílet na operativním plnění mandátu agentury. Hostitelský nebo jakýkoli jiný členský stát by měl mít možnost poskytnout dobrovolné příspěvky k příjmům agentury. Všechny subvence ze souhrnného rozpočtu Unie by měly podléhat rozpočtovému procesu Unie. Účetní dvůr by měl navíc provádět audit účetnictví agentury s cílem zajistit transparentnost, odpovědnost, efektivituúčelnost vynakládaných prostředků.

Pozměňovací návrh    14

Návrh nařízení

Bod odůvodnění 47

Znění navržené Komisí

Pozměňovací návrh

(47)  Posuzování shody je postup k prokázání, zda byly splněny konkrétní požadavky týkající se produktu, postupu, služby, systému, osoby nebo subjektu. Pro účely tohoto nařízení by certifikace měla být považována za typ posuzování shody, který se týká kybernetickobezpečnostních prvků produktů, procesů, služebsystémů nebo jejich kombinací („produkty a služby IKT“) a který je prováděn nezávislou třetí stranou jinou než výrobcem produktu nebo poskytovatelem služby. Certifikace nemůže sama o sobě zaručit, že certifikované produkty a služby IKT jsou kyberneticky bezpečné. Spíše se jedná o proces a technickou metodiku sloužící k potvrzení, že produkty a služby IKT byly testovány a že splňují určité stanovené kybernetickobezpečnostní požadavky, např. požadavky stanovené v technických normách.

(47)  Posuzování shody je postup k prokázání, zda byly splněny konkrétní požadavky týkající se produktu, postupu, služby, systému, osoby nebo subjektu. Pro účely tohoto nařízení by certifikace měla být považována za typ posuzování shody, který se týká kybernetickobezpečnostních prvků a postupů obsažených v produktech, procesech, službáchsystémech nebo jejich kombinacích („produkty a služby IKT“) a který je prováděn nezávislou třetí stranou nebo prostřednictvím postupu vlastního prohlášení o shodě. Certifikace nemůže sama o sobě zaručit, že certifikované produkty a služby IKT jsou kyberneticky bezpečné, a koncový uživatel by o tom měl být informován. Spíše se jedná o proces a technickou metodiku sloužící k potvrzení, že produkty a služby IKT, včetně podpůrných procesů a systémů, byly testovány a že splňují určité stanovené kybernetickobezpečnostní požadavky, např. požadavky stanovené v technických normách.

Pozměňovací návrh    15

Návrh nařízení

Bod odůvodnění 48

Znění navržené Komisí

Pozměňovací návrh

(48)  Certifikace kybernetické bezpečnosti hraje důležitou úlohu při zvyšování důvěry v produkty a služby a jejich bezpečnosti. Jednotný digitální trh a zejména ekonomika dat a internet věcí se mohou rozvíjet, pouze bude-li existovat obecná důvěra veřejnosti, že dané produkty a služby poskytují určitou úroveň záruky kybernetické bezpečnosti. Propojené a automatizované automobily, elektronická zdravotnická zařízení, průmyslové automatizační řídicí systémy nebo inteligentní sítě, to je pouze několik příkladů odvětví, v nichž je certifikace již široce využívána, nebo je pravděpodobné, že v blízké budoucnosti využívána bude. Odvětví regulovaná směrnicí o bezpečnosti sítí a informací jsou zároveň odvětvími, v nichž má certifikace kybernetické bezpečnosti zásadní význam.

(48)  Evropská certifikace kybernetické bezpečnosti hraje klíčovou úlohu při zvyšování důvěry v produkty a služby a jejich bezpečnosti. Jednotný digitální trh a zejména ekonomika dat a internet věcí se mohou rozvíjet, pouze bude-li existovat obecná důvěra veřejnosti, že dané produkty a služby poskytují vysokou úroveň záruky kybernetické bezpečnosti. Propojené a automatizované automobily, elektronická zdravotnická zařízení, průmyslové automatizační řídicí systémy nebo inteligentní sítě, to je pouze několik příkladů odvětví, v nichž je certifikace již široce využívána, nebo je pravděpodobné, že v blízké budoucnosti využívána bude. Odvětví regulovaná směrnicí o bezpečnosti sítí a informací jsou zároveň odvětvími, v nichž má certifikace kybernetické bezpečnosti zásadní význam.

Pozměňovací návrh    16

Návrh nařízení

Bod odůvodnění 50

Znění navržené Komisí

Pozměňovací návrh

(50)  Certifikace kybernetické bezpečnosti produktů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro kybernetickou bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií a skutečného využití.

(50)  Certifikace kybernetické bezpečnosti produktů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro kybernetickou bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení, a tím se zvyšují jejich náklady. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk založených na posouzení rizika, podstatných kritérií a skutečného využití.

Pozměňovací návrh    17

Návrh nařízení

Bod odůvodnění 52

Znění navržené Komisí

Pozměňovací návrh

(52)  S ohledem na výše uvedené je nezbytné zřídit evropský rámec pro certifikaci kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty a služby IKT uznávané a používané ve všech členských státech. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Systémy by měly být nediskriminační a měly by být založeny na mezinárodních normách a/nebo na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

(52)  S ohledem na výše uvedené je nezbytné zaujmout společný přístup a zřídit evropský rámec pro certifikaci kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty a služby IKT uznávané a používané ve všech členských státech. Zásadní přitom je stavět na stávajících vnitrostátních a mezinárodních systémech a rovněž na systémech vzájemného uznávání, zejména systému SOG-IS, a umožnit hladký přechod ze stávajících systémů v rámci těchto systémů na systémy podle tohoto nového evropského rámce. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Tam, kde evropská certifikace kybernetické bezpečnosti nahradila vnitrostátní systém, jsou certifikáty vydané v rámci evropského systému přijímány jako platné v případech, kdy byla vyžadována certifikace v rámci vnitrostátního systému. Systémy by měly být vedeny zásadou bezpečnosti již od fáze návrhu a zásadami uvedenými v nařízení (EU) 2016/679. Měly by také být nediskriminační a měly by být založeny na mezinárodních normách, příp. na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

Pozměňovací návrh    18

Návrh nařízení

Bod odůvodnění 52 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(52a)  Tento evropský rámec pro certifikaci kybernetické bezpečnosti by měl být jednotně zaveden ve všech členských státech, aby se zabránilo spekulativnímu výběru místa v závislosti na certifikaci v důsledku rozdílných nákladů nebo rozdílné přísnosti požadavků v jednotlivých členských státech.

Pozměňovací návrh    19

Návrh nařízení

Bod odůvodnění 55

Znění navržené Komisí

Pozměňovací návrh

(55)  Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být zajistit, aby produkty a služby IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni záruky odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto produktů, procesů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit kybernetickobezpečnostní požadavky týkající se veškerých produktů a služeb IKT. Produkty a služby IKT a související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné přijít s obecnými kybernetckobezpečnostními požadavky, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, doplněný souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů a služeb IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace.

(55)  Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být napomoci vysoké úrovni ochrany konečného uživatele, podpořit evropskou konkurenceschopnost a zvýšit úroveň bezpečnost na vnitřním trhu, a v konkrétnější rovině zajistit, aby produkty a služby IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni záruky odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto procesů, produktů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit kybernetickobezpečnostní požadavky týkající se veškerých produktů a služeb IKT. Produkty a služby IKT a související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné přijít s obecnými kybernetickobezpečnostními požadavky, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, doplněný souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů a služeb IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace. Prvořadý význam má, aby každý evropský systém certifikace kybernetické bezpečnosti byl navržen takovým způsobem, aby stimuloval a vybízel všechny zúčastněné subjekty dotyčného odvětví, aby rozvíjely a přijímaly bezpečnostní standardy a technické normy a aby uplatňovaly zásady bezpečnosti již od fáze návrhu, a to ve všech fázích životního cyklu produktu nebo služby. Stanoví-li systém certifikace známky nebo označení, musí být stanoveny podmínky používání těchto známek nebo označení. Takové označení, které by mohlo mít podobu digitálního loga nebo QR kódu, by mohlo uvádět rizika spojená s provozem a používáním produktů a služeb IKT a mělo by být jednoznačné a snadno srozumitelné pro konečného uživatele.

Pozměňovací návrh    20

Návrh nařízení

Bod odůvodnění 55 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(55a)  Ve světle inovačních trendů a rostoucí dostupnosti a setrvale vzrůstajícího počtu zařízení, která jsou součástí internetu věcí, ve všech oblastech společnosti, je třeba věnovat zvláštní pozornost bezpečnosti všech, i těch nejjednodušších, produktů, které jsou součástí internetu věcí. Certifikace je proto klíčovou metodou, jak prohloubit důvěru v trh a zvýšit bezpečnost a odolnost, přičemž nový rámec evropské certifikace kybernetické bezpečnosti by měl být klást důraz na produkty a služby, které jsou součástí internetu věcí, s cílem snížit jejich zranitelnost a zvýšit bezpečnost pro spotřebitele a podniky.

Pozměňovací návrh    21

Návrh nařízení

Bod odůvodnění 56

Znění navržené Komisí

Pozměňovací návrh

(56)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty nebo služby IKT. Komisi by poté měla být svěřena pravomoc, aby na základě návrhu systému předloženého agenturou ENISA přijala evropský systém certifikace kybernetické bezpečnosti prostřednictvím prováděcích aktů. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace kybernetické bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci kybernetickobezpečnostních požadavků, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení a úroveň záruky, kterou mají zajistit: základní, významnou a/nebo vysokou.

(56)  Agentura ENISA by měla provozovat specializované internetové stránky, na nichž by se nacházel snadno použitelný on-line nástroj s informacemi o přijatých systémech, návrzích systémů a systémech, o které Komise požádala. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace kybernetické bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci kybernetickobezpečnostních požadavků, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení související s provozem a používáním určitého produktu, procesu nebo služby IKT, riziko, které je s nimi spojeno, a úroveň záruky, kterou mají zajistit: funkčně bezpečná (kdy úrovně záruky dosahují funkčně bezpečné úrovně), „významně bezpečná“, „vysoce bezpečná“ nebo kombinace těchto úrovní. Tyto úrovně záruky by neměly vyvolávat dojem absolutní bezpečnosti, aby nebyly pro koncového uživatele zavádějící. Je rovněž třeba zohlednit celý životní cyklus produktu. Aby se vyjasnilo, jakým rizikům jsou na základě své konstrukce či koncepce daný produkt resp. služba schopny čelit, agentura ENISA by měla koordinovat sestavování kontrolního seznamu uvádějícího rizika, u nichž se očekává, že jim bude daný proces, produkt či služba IKT čelit, a to s ohledem na kategorii uživatelů v konkrétním prostředí.

Pozměňovací návrh    22

Návrh nařízení

Bod odůvodnění 56 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56 a)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty nebo služby IKT. Na Komisi by měla být přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie, pokud jde o zřizování evropských systémů certifikace kybernetické bezpečnosti pro produkty a služby IKT. Je obzvláště důležité, aby Komise vedla v rámci přípravné činnosti odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů. V zájmu zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci především obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států, přičemž odborníci těchto dvou orgánů mají systematicky přístup na zasedání odborných skupin Komise, jež se věnují přípravě aktů v přenesené pravomoci. Při přijímání těchto aktů v přenesené pravomoci by Komise měla založit systémy certifikace kybernetické bezpečnosti produktů a služeb IKT na případném relevantním návrhu systému navrženém agenturou ENISA. Jedná se o podpoření důvěry v rámec certifikace kybernetické bezpečnosti, zvýšení jeho předvídatelnosti a posílení povědomí o tomto rámci.

Pozměňovací návrh    23

Návrh nařízení

Bod odůvodnění 56 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(56b)  Mezi metodami hodnocení a postupy posuzování spojenými s jednotlivými evropskými systémy certifikace kybernetické bezpečnosti by měl být na úrovni Unie podporován etický hacking, jehož cílem je odhalit slabá a zranitelná místa přístrojů a informačních systémů tím, že jsou předjímány zamýšlené aktivity a dovednosti škodlivých hackerů.

Pozměňovací návrh    24

Návrh nařízení

Bod odůvodnění 58

Znění navržené Komisí

Pozměňovací návrh

(58)  Jakmile je přijat určitý evropský systém certifikace kybernetické bezpečnosti, výrobci produktů IKT nebo poskytovatelé služeb IKT by měli být schopni subjektu posuzování shody podlé své volby předložit žádost o certifikaci svých produktů nebo služeb. Subjekty posuzování shody by měly být akreditovány akreditačním orgánem, splňují-li určité konkrétní požadavky stanovené v tomto nařízení. Akreditace by měla být vydávána na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt posuzování shody splňuje příslušné požadavky. Akreditační orgány by měly zrušit akreditaci subjektu posuzování shody, pokud podmínky pro akreditaci nejsou nebo přestanou být splňovány, nebo pokud opatření přijatá subjektem posuzování shody porušují toto nařízení.

(58)  Jakmile je přijat určitý evropský systém certifikace kybernetické bezpečnosti, výrobci produktů IKT nebo poskytovatelé služeb IKT by měli být schopni subjektu posuzování shody podle své volby předložit žádost o certifikaci svých procesů, produktů nebo služeb, nebo sami prohlásit, že jsou jejich produkty či služby v souladu s příslušným evropským systémem certifikace kybernetické bezpečnosti. Subjekty posuzování shody by měly být akreditovány akreditačním orgánem, splňují-li určité konkrétní požadavky stanovené v tomto nařízení. Akreditace by měla být vydávána na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt posuzování shody splňuje příslušné požadavky. Akreditační orgány by měly zrušit akreditaci subjektu posuzování shody, pokud podmínky pro akreditaci nejsou nebo přestanou být splňovány, nebo pokud opatření přijatá subjektem posuzování shody porušují toto nařízení. Vnitrostátní orgány dohledu nad certifikací by měly podléhat systému vzájemného hodnocení, pokud se jedná o postupy ověřování souladu produktů, které podléhají certifikaci kybernetické bezpečnosti, s požadavky, aby bylo zajištěno, že bude akreditace poskytována jednotným způsobem napříč Evropskou unií.

Pozměňovací návrh    25

Návrh nařízení

Bod odůvodnění 59

Znění navržené Komisí

Pozměňovací návrh

(59)  Je nezbytné od všech členských států požadovat, aby určily jeden orgán dozoru nad certifikací kybernetické bezpečnosti, který bude dohlížet na to, aby subjekty posuzování shody a certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky tohoto nařízení a příslušných systémů certifikace kybernetické bezpečnosti. Vnitrostátní orgány dozoru nad certifikací by měly řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území, v přiměřeném rozsahu šetřit předmět stížnosti a v přiměřené lhůtě informovat stěžovatele o pokroku a výsledku šetření. Kromě toho by měly spolupracovat s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, a to i prostřednictvím sdílení informací o možných případech, kdy produkty a služby IKT nesplňují požadavky tohoto nařízení nebo konkrétních systémů kybernetické bezpečnosti.

(59)  Je nezbytné od všech členských států požadovat, aby určily jeden orgán dozoru nad certifikací kybernetické bezpečnosti, který bude dohlížet na to, aby subjekty posuzování shody a certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky tohoto nařízení a příslušných systémů certifikace kybernetické bezpečnosti. Vnitrostátní orgány dozoru nad certifikací by měly řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území, v přiměřeném rozsahu šetřit předmět stížnosti a v přiměřené lhůtě informovat stěžovatele o pokroku a výsledku šetření. Kromě toho by měly spolupracovat s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, a to i prostřednictvím sdílení informací o možných případech, kdy produkty a služby IKT nesplňují požadavky tohoto nařízení nebo konkrétních systémů kybernetické bezpečnosti. Dále by měly ověřovat shodu vlastních prohlášení o shodě, dohlížet na ni a kontrolovat, zda byly evropské certifikáty kybernetické bezpečnosti vydány subjekty posuzování shody v souladu s požadavky stanovenými v tomto nařízení, včetně pravidel, která přijala Evropská skupina pro certifikaci kybernetické bezpečnosti, a pravidel stanovených v příslušném evropském systému certifikace kybernetické bezpečnosti. Účinná spolupráce mezi vnitrostátními orgány dozoru nad certifikací má pro řádné provádění evropských systémů certifikace kybernetické bezpečnosti a pro technické otázky týkající se kybernetické bezpečnosti produktů a služeb IKT zásadní význam. Komise by měla tuto výměnu informací podporovat zpřístupněním obecného elektronického systému pro výměnu informací, například prostřednictvím systému pro výměnu informací v rámci dohledu nad trhem (ICSMS) a systému rychlého varování pro nebezpečné nepotravinářské výrobky (RAPEX), které již dnes využívají orgány dohledu nad trhem podle nařízení (ES) č. 765/2008.

Pozměňovací návrh    26

Návrh nařízení

Bod odůvodnění 63

Znění navržené Komisí

Pozměňovací návrh

(63)  Za účelem dalšího upřesnění kritérií pro akreditaci subjektů posuzování shody by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie. Komise by během přípravné činnosti měla provádět příslušné konzultace, včetně konzultací na úrovni odborníků. Tyto konzultace by měly být prováděny v souladu se zásadami stanovenými v interinstitucionální dohodě o zdokonalení tvorby právních předpisů ze dne 13. dubna 2016. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci by měly Evropský parlament a Rada obdržet veškeré dokumenty současně s odborníky z členských států a jejich odborníci by měly mít automaticky přístup na setkání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

vypouští se

Pozměňovací návrh    27

Návrh nařízení

Bod odůvodnění 65

Znění navržené Komisí

Pozměňovací návrh

(65)  Přezkumný postup by měl být použit pro přijímání prováděcích aktů týkajících se evropských systémů certifikace kybernetické bezpečnosti pro produkty a služby IKT; způsobů, jakými agentura provádí šetření; jakož i okolností, formátů a postupů oznamování akreditovaných subjektů posuzování shody podávaných vnitrostátními orgány dozoru nad certifikací Komisi.

(65)  Přezkumný postup by měl být použit pro přijímání prováděcích aktů týkajících se evropských systémů certifikace kybernetické bezpečnosti pro procesy, produkty a služby IKT; způsobů, jakými agentura provádí šetření; jakož i okolností, formátů a postupů oznamování akreditovaných subjektů posuzování shody podávaných vnitrostátními orgány dozoru nad certifikací Komisi, s přihlédnutím k prokázané účinnosti elektronického nástroje pro oznamování „oznámené a jmenované organizace podle nového přístupu“ (NANDO).

Pozměňovací návrh    28

Návrh nařízení

Bod odůvodnění 66

Znění navržené Komisí

Pozměňovací návrh

(66)  Činnosti agentury by měly být hodnoceny nezávisle. Hodnocení by se mělo týkat toho, jak agentura dosahuje svých cílů, jejích pracovních postupů a relevantnosti jejích úkolů. Hodnocení by rovněž mělo posuzovat dopad, účinnost a účelnost evropského rámce pro certifikaci kybernetické bezpečnosti.

(66)  Činnosti agentury by měly být hodnoceny nezávisle. Hodnocení by mělo zahrnovat správnost a účelnost agenturou vynakládaných prostředků, efektivnost při dosahování jejích cílů a popis pracovních postupů a relevantnosti jejích úkolů. Hodnocení by rovněž mělo posuzovat dopad, účinnost a účelnost evropského rámce pro certifikaci kybernetické bezpečnosti.

Pozměňovací návrh    29

Návrh nařízení

Čl. 2 – odst. 1 – bod 11

Znění navržené Komisí

Pozměňovací návrh

11.  „produktem a službou IKT“ jakýkoliv prvek nebo skupina prvků sítí a informačních systémů;

11.  „produktem a službou IKT“ produkt, služba, proces, systém nebo jejich kombinace, které představují určitý prvek sítí a informačních systémů;

 

(Tento pozměňovací návrh se vztahuje na celý text. Jeho přijetí si vyžádá odpovídající změny v celém textu.)

Pozměňovací návrh    30

Návrh nařízení

Čl. 2 – odst. 1 – bod 11 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

11a.  „vnitrostátním orgánem dozoru nad certifikací“ orgán členského státu odpovědný za provádění úkolů souvisejících se sledováním, vymáháním a dozorem ve vztahu k certifikaci kybernetické bezpečnosti na svém území;

Pozměňovací návrh    31

Návrh nařízení

Čl. 2 – odst. 1 – bod 16 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

16a.  „vlastním prohlášením o shodě“ vyjádření výrobce, jímž osvědčuje, že jeho proces, produkt nebo služba IKT vyhovují stanoveným evropským systémům certifikace kybernetické bezpečnosti;

Pozměňovací návrh    32

Návrh nařízení

Čl. 3 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura plní úkoly, které jsou jí uloženy tímto nařízením za účelem zajištění vysoké úrovně kybernetické bezpečnosti v Unii.

1.  Agentura plní úkoly, které jsou jí uloženy tímto nařízením za účelem přispění k dosažení vysoké jednotné úrovně kybernetické bezpečnosti v Unii s cílem předcházet kybernetickým útokům v Unii, snížit roztříštěnost na vnitřním trhu a zlepšení jeho fungování.

Pozměňovací návrh    33

Návrh nařízení

Čl. 4 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Agentura zvyšuje schopnosti v oblasti kybernetické bezpečnosti na úrovni Unie s cílem doplňovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce a ně, zejména v případě přeshraničních incidentů.

5.  Agentura přispívá ke zvýšení schopností v oblasti kybernetické bezpečnosti na úrovni Unie s cílem doplňovat a posilovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce na ně, zejména v případě přeshraničních incidentů.

Pozměňovací návrh    34

Návrh nařízení

Čl. 4 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Aby agentura zvýšila transparentnost záruk kybernetické bezpečnosti produktůslužeb IKT, a posílila tím důvěru v digitální vnitřní trh, prosazuje využívání certifikace, mimo jiné tím, že přispívá k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie v souladuhlavou III tohoto nařízení.

6.  Agentura prosazuje využívání certifikacezároveň brání roztříštěnosti vnitřního trhu způsobené nedostatečnou koordinací mezi stávajícími systémy certifikace v Unii. Agentura přispívá k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie,souladu s články 43 až 54 [hlava III], za účelem zvýšení transparentnosti záruk kybernetické bezpečnosti produktů a služeb IKT a s tím souvisejícího posílení důvěry v jednotný digitální trh.

Pozměňovací návrh    35

Návrh nařízení

Čl. 4 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7.  Agentura podporuje vysokou úroveň informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti.

7.  Agentura podporuje vysokou úroveň informovanosti občanů, orgánů a podniků o otázkách týkajících se kybernetické bezpečnosti.

Pozměňovací návrh    36

Návrh nařízení

Čl. 5 – odst. 1 – bod 1

Znění navržené Komisí

Pozměňovací návrh

1.  je nápomocna a poskytuje poradenství ohledně tvorby a přezkumu politiky a práva Unie v oblasti kybernetické bezpečnosti, jakož i ohledně odvětvových politik a iniciativ v oblasti práva, pokud se tyto politiky a iniciativy týkají záležitostí souvisejících s kybernetickou bezpečností, a to zejména poskytováním svých nezávislých stanovisek a zajišťováním přípravných činností;

1.  je nápomocna a poskytuje poradenství ohledně tvorby a přezkumu politiky a práva Unie v oblasti kybernetické bezpečnosti, jakož i ohledně odvětvových politik a iniciativ v oblasti práva, pokud se tyto politiky a iniciativy týkají záležitostí souvisejících s kybernetickou bezpečností;

Odůvodnění

Agentura by měla mít možnost svobodně si vybírat nástroje pro plnění svých úkolů.

Pozměňovací návrh    37

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  pomáhá Evropskému sboru pro ochranu osobních údajů zřízenému nařízením (EU) 2016/679 ve vypracovávání pokynů s cílem upřesnit na technické úrovni podmínky umožňující legální použití osobních údajů správci údajů pro účely IT bezpečnosti s cílem ochránit jejich infrastrukturu díky odhalování a blokování útoků na jejich informační systémy v rámci: i) nařízení (EU) 2016/6791a; ii) směrnice (EU) 2016/11481b; a iii) směrnice 2002/58/ES1c;

 

_________________

 

1a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

 

1b Směrnice Evropského parlamentu a Rady (EU) 2016/679 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1).

 

1c Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii) (Úř. věst. L 194, 19.7.2016, s. 1).

Odůvodnění

Zřizují se řádné mechanismy spolupráce.

Pozměňovací návrh    38

Návrh nařízení

Čl. 5 – odst. 1 – bod 4 – bod 2

Znění navržené Komisí

Pozměňovací návrh

(2)  prosazování vyšší úrovně bezpečnosti elektronických komunikací, mimo jiné poskytováním odborných poznatků a poradenství a usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

(2)  prosazování vyšší úrovně bezpečnosti elektronických komunikací, uchovávání a zpracování údajů, mimo jiné poskytováním odborných poznatků a poradenství a usnadňováním výměny osvědčených postupů mezi příslušnými orgány;

Pozměňovací návrh    39

Návrh nařízení

Čl. 6 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Agentura usnadňuje vytvoření a zahájení dlouhodobého evropského projektu bezpečnosti IT na podporu růstu nezávislého unijního odvětví bezpečnosti IT a začlenění bezpečnosti IT do vývoje informačních technologií v celé EU.

Odůvodnění

ENISA by měla poskytovat zákonodárcům poradenství, pokud jde o přípravu politik, které umožní EU dohnat odvětví bezpečnosti IT ve třetích zemích. Projekt by měl být co do rozsahu srovnatelný s tím, co již bylo dosaženo v leteckém průmyslu (např. u Airbusu). To je nezbytné pro rozvoj silnějšího, svrchovaného a důvěryhodného IKT odvětví v EU (viz studie oddělení vědeckých prognóz (STOA) PE 614.531).

Pozměňovací návrh    40

Návrh nařízení

Čl. 7 – odst. 5 – pododstavec 1

Znění navržené Komisí

Pozměňovací návrh

Na žádost jednoho nebo více dotčených členských států a výhradně pro účely poskytování poradenství ohledně předcházení budoucím incidentům agentura může provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. V případě, že tyto incidenty mají dopad na více než dva členské státy, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy.

Na žádost jednoho nebo více dotčených členských států a výhradně pro účely poskytování poradenství ohledně předcházení budoucím incidentům agentura může provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. V případě, že tyto incidenty mají dopad na více než dva členské státy, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy.

Pozměňovací návrh    41

Návrh nařízení

Čl. 7 – odst. 8 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  agreguje zprávy z vnitrostátních zdrojů, aby přispěla k vytvoření společného povědomí o situaci;

a)  agreguje zprávy z vnitrostátních a mezinárodních zdrojů, aby přispěla k vytvoření společného povědomí o situaci;

Pozměňovací návrh    42

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1a.  ve spolupráci s evropskou skupinou pro certifikaci kybernetické bezpečnosti provádí posouzení postupů pro vydávání evropských osvědčení kybernetické bezpečnosti zavedených subjekty posuzování shody podle článku 51 za účelem zajištění jednotného uplatňování tohoto nařízení subjekty posuzování shody při vydávání osvědčení;

Pozměňovací návrh    43

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1b.  provádí nezávislé pravidelné následné kontroly shody certifikovaných produktů a služeb IKT s evropskými systémy certifikace kybernetické bezpečnosti;

Pozměňovací návrh    44

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 3

Znění navržené Komisí

Pozměňovací návrh

3.  ve spolupráci s vnitrostátními orgány dozoru nad certifikací a odvětvím sestavuje a zveřejňuje pokyny a vypracovává osvědčené postupy týkající se požadavků na kybernetickou bezpečnost produktů a služeb IKT;

3.  ve spolupráci s vnitrostátními orgány dozoru nad certifikací a odvětvím prostřednictvím oficiálního, standardizovaného a transparentního procesu sestavuje a zveřejňuje pokyny a vypracovává osvědčené postupy, včetně zásad kybernetické hygieny a zásad umožňujících odradit vytváření tajných „zadních vrátek“ (backdoors), týkající se požadavků na kybernetickou bezpečnost produktů a služeb IKT;

Pozměňovací návrh    45

Návrh nařízení

Čl. 8 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  usnadňuje stanovení a zavádění evropských a mezinárodních norem pro řízení rizik a pro bezpečnost produktů a služeb IKT a ve spolupráci s členskými státy vydává podle čl. 19 odst. 2 směrnice (EU) 2016/1148 doporučení a pokyny týkající se technických oblastí souvisejících s bezpečnostními požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států;

b)  konzultuje mezinárodní normalizační orgány a evropské normalizační organizace ohledně vytváření evropských norem, a to za účelem zajištění vhodnosti norem použitých v evropských systémech certifikace kybernetické bezpečnosti, a usnadňuje stanovení a zavádění relevantních evropských a mezinárodních norem pro řízení rizik a pro bezpečnost produktů a služeb IKT a ve spolupráci s členskými státy vydává podle čl. 19 odst. 2 směrnice (EU) 2016/1148 doporučení a pokyny týkající se technických oblastí souvisejících s bezpečnostními požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států;

Pozměňovací návrh    46

Návrh nařízení

Čl. 8 – odst. 1 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  vypracovává obecné pokyny týkající se toho, jak a kdy se mají členské státy navzájem informovat v případě, že se dozví o zranitelnosti, která není veřejně známa, v procesu, produktu nebo službě IKT, které jsou certifikovány na základě hlavy III tohoto nařízení, včetně obecných pokynů ohledně koordinace politik pro zveřejňování případů zranitelnosti;

Pozměňovací návrh    47

Návrh nařízení

Čl. 8 – odst. 1 – písm. b b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

bb)  vypracovává obecné pokyny ohledně minimálních bezpečnostních požadavků u IT zařízení uváděných na trh v Unii nebo vyvážených z Unie;

Pozměňovací návrh    48

Návrh nařízení

Čl. 9 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  shromažďuje, uspořádává a prostřednictvím specializovaného portálu zpřístupňuje veřejnosti informace o kybernetické bezpečnosti poskytnuté orgány, institucemi a jinými subjekty Unie;

d)  shromažďuje, uspořádává a prostřednictvím specializovaného portálu zpřístupňuje veřejnosti informace o kybernetické bezpečnosti poskytnuté orgány, institucemi a jinými subjekty Unie, včetně informací o významných kybernetických bezpečnostních incidentech a o zásadních případech porušení ochrany údajů;

Pozměňovací návrh    49

Návrh nařízení

Čl. 9 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik a poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace;

e)  zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik, poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace a propaguje přijímání přísných preventivních opatření na posílení IT bezpečnosti a na zajištění spolehlivé ochrany údajů a soukromí;

Pozměňovací návrh    50

Návrh nařízení

Čl. 9 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  podporuje užší spolupráci a výměnu osvědčených postupů mezi členskými státy o vzdělávání v oblasti kybernetické bezpečnosti, kybernetické hygieně a informovanosti;

Pozměňovací návrh    51

Návrh nařízení

Čl. 10 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

a)  zajišťuje předběžnou konzultaci s příslušnými uživatelskými skupinami a poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

Pozměňovací návrh    52

Návrh nařízení

Čl. 13 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Správní radu tvoří jeden zástupce každého členského státu a dva zástupci jmenovaní Komisí. Všichni zástupci mají hlasovací právo.

1.  Správní radu tvoří jeden zástupce každého členského státu a dva zástupci jmenovaní Komisí a Evropským parlamentem. Všichni zástupci mají hlasovací právo.

Pozměňovací návrh    53

Návrh nařízení

Čl. 14 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  posuzuje a přijímá souhrnnou výroční zprávu o činnosti agentury a do 1. července následujícího roku zprávu a její posouzení zašle Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru. Výroční zpráva obsahuje účetní výkaz a popisuje, nakolik agentura naplnila ukazatele výkonnosti. Výroční zpráva se zveřejňuje;

e)  posuzuje a přijímá souhrnnou výroční zprávu o činnosti agentury a do 1. července následujícího roku zprávu a její posouzení zašle Evropskému parlamentu, Radě, Komisi a Účetnímu dvoru. Výroční zpráva obsahuje účetní výkaz, popisuje účelnost vynakládaných prostředků a zhodnocuje, nakolik byla agentura efektivní a do jaké míry naplnila ukazatele výkonnosti. Výroční zpráva se zveřejňuje;

Pozměňovací návrh    54

Návrh nařízení

Čl. 14 – odst. 1 – písm. m

Znění navržené Komisí

Pozměňovací návrh

m)  jmenuje výkonného ředitele a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

m)  jmenuje výkonného ředitele na základě výběru podle odborných kritérií a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

Pozměňovací návrh    55

Návrh nařízení

Čl. 14 – odst. 1 – písm. o

Znění navržené Komisí

Pozměňovací návrh

o)  přijímá veškerá rozhodnutí o zřízení vnitřních struktur agentury a o jejich případných změnách s ohledem na potřeby činností agentury a na řádné rozpočtové řízení;

o)  přijímá veškerá rozhodnutí o zřízení vnitřních struktur agentury a o jejich případných změnách s ohledem na potřeby činností agentury uvedených v tomto nařízení a na řádné rozpočtové řízení;

Pozměňovací návrh    56

Návrh nařízení

Čl. 19 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Výkonný ředitel předkládá Evropskému parlamentu na jeho žádost zprávu o plnění svých povinností. Rada může výkonného ředitele vyzvat, aby o plnění svých povinností předložil zprávu.

2.  Výkonný ředitel podává – nebo podává na jeho žádost – každoročně Evropskému parlamentu zprávy o plnění úkolů. Rada může výkonného ředitele vyzvat, aby o plnění svých povinností předložil zprávu

Pozměňovací návrh    57

Návrh nařízení

Čl. 20 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

1.  Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, a poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, zejména odvětví evropských informačních a komunikačních technologií a poskytovatelé, sdružení malých a středních podniků, organizace a sdružení spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti, evropské normalizační organizace, jak jsou vymezeny v čl. 2 bodu 8 nařízení (EU) č. 1025/2012, příslušné odvětvové agentury a instituce Unie a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

Pozměňovací návrh    58

Návrh nařízení

Čl. 20 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Funkční období členů stálé skupiny zúčastněných stran je dva a půl roku. Členy stálé skupiny zúčastněných stran nesmějí být členové správní rady. Odborníci z řad Komise a členských států jsou oprávněni účastnit se zasedání a podílet se na činnosti stálé skupiny zúčastněných stran. K účasti na zasedáních a na činnosti stálé skupiny zúčastněných stran mohou být přizváni zástupci dalších subjektů, kteří nejsou členy stálé skupiny zúčastněných stran a jejichž účast považuje výkonný ředitel za důležitou.

4.  Funkční období členů stálé skupiny zúčastněných stran je dva a půl roku. Členy stálé skupiny zúčastněných stran nesmějí být členové správní rady a výkonné rady, vyjma výkonného ředitele. Odborníci z řad Komise a členských států jsou oprávněni účastnit se zasedání a podílet se na činnosti stálé skupiny zúčastněných stran. K účasti na zasedáních a na činnosti stálé skupiny zúčastněných stran mohou být přizváni zástupci dalších subjektů, kteří nejsou členy stálé skupiny zúčastněných stran a jejichž účast považuje výkonný ředitel za důležitou.

Pozměňovací návrh    59

Návrh nařízení

Čl. 20 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Stálá skupina zúčastněných stran poskytuje agentuře poradenství při výkonu jejích činností. Radí zejména výkonnému řediteli při vypracovávání návrhu pracovního programu agentury a při zajišťování komunikace s příslušnými zúčastněnými stranami ve všech otázkách souvisejících s pracovním programem.

5.  Stálá skupina zúčastněných stran poskytuje agentuře poradenství při výkonu jejích činností. Radí zejména výkonnému řediteli při vypracovávání návrhu pracovního programu agentury a při zajišťování komunikace s příslušnými zúčastněnými stranami ve všech otázkách souvisejících s pracovním programem. Může také navrhnout, aby Komise požádala agenturu, aby vypracovala návrh evropského systému certifikace kybernetické bezpečnosti v souladu s článkem 44, a to buď z vlastního podnětu nebo v návaznosti na předložené návrhy příslušných zúčastněných stran.

Pozměňovací návrh    60

Návrh nařízení

Čl. 20 – odst. 5 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

5a.  Stálá skupina zúčastněných stran poskytuje agentuře poradenství při přípravě kandidátských evropských systémů certifikace kybernetické bezpečnosti.

Pozměňovací návrh    61

Návrh nařízení

Čl. 23 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Agentura zajistí, aby veřejnost a všechny zainteresované strany měly k dispozici náležité, objektivní, spolehlivé a snadno dostupné informace, zejména s ohledem na výsledky její činnosti. Zveřejní rovněž prohlášení o zájmech učiněná v souladu s článkem 22.

2.  Agentura zajistí, aby veřejnost a všechny zainteresované strany měly k dispozici náležité, objektivní, spolehlivé a snadno dostupné informace, zejména s ohledem na rozpravy a výsledky její činnosti. Zveřejní rovněž prohlášení o zájmech učiněná v souladu s článkem 22.

Odůvodnění

Je nutné, aby byla transparentnost vymahatelná, s přihlédnutím k uplatnění článku 24.

Pozměňovací návrh    62

Návrh nařízení

Čl. 43 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

Evropský systém certifikace kybernetické bezpečnosti osvědčuje, že produkty a služby IKT, které byly v souladu s tímto systémem certifikovány, splňují specifikované požadavky na jejich schopnost odolávat s příslušnou úrovní záruky činnostem, které ohrožují přístupnost, pravost, neporušenost nebo důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo funkcí či služeb, jež jsou prostřednictvím těchto produktů, procesů, služeb a systémů nabízené nebo přístupné.

Evropský systém certifikace kybernetické bezpečnosti má být zřízen proto, aby posílil úroveň bezpečnosti na jednotném digitálním trhu a zajistil harmonizovaný přístup na úrovni EU k evropské certifikaci s cílem zajistit produkty, služby a systémy IKT odolné vůči kybernetickým útokům.

Osvědčuje, že procesy, produkty a služby IKT, které byly v souladu s tímto systémem certifikovány, splňují společné specifikované požadavky a vlastnosti na jejich schopnost odolávat s příslušnou úrovní záruky činnostem, které ohrožují přístupnost, pravost, neporušenost nebo důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo funkcí či služeb, jež jsou prostřednictvím těchto procesů, produktů, služeb a systémů nabízené nebo přístupné.

Pozměňovací návrh    63

Návrh nařízení

Článek 43 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 43 a (nový)

 

Pracovní program

 

Agentura ENISA po konzultaci s Evropskou skupinou a Stálou skupinou zúčastněných stran a po schválení Komisí stanoví pracovní program s podrobným uvedením společných opatření, která mají být přijata na úrovni Unie, aby se zajistilo jednotné uplatňování této hlavy, který obsahuje prioritní seznam produktů a služeb, v případě nichž je podle agentury ENISA nutný evropský systém certifikace kybernetické bezpečnosti.

 

Pracovní program se stanoví nejpozději do [šest měsíců po vstupu tohoto nařízení v platnost] a nový pracovní program se stanoví každé dva roky. Pracovní program je veřejně přístupný.

Pozměňovací návrh    64

Návrh nařízení

Čl. 44 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Agentura ENISA na základě žádosti Komise vypracuje návrh evropského systému certifikace kybernetické bezpečnosti, který splňuje požadavky stanovené v článcích 45, 46 a 47 tohoto nařízení. Vypracování návrhu evropského systému certifikace kybernetické bezpečnosti mohou Komisi navrhnout členské státy nebo Evropská skupina pro certifikaci kybernetické bezpečnosti (dále jen „skupina“), zřízená podle článku 53.

1.  Agentura ENISA na základě žádosti Komise vypracuje návrh evropského systému certifikace kybernetické bezpečnosti, který splňuje požadavky stanovené v článcích 45, 46 a 47 tohoto nařízení. Vypracování návrhu evropského systému certifikace kybernetické bezpečnosti mohou Komisi navrhnout členské státy, Evropská skupina pro certifikaci kybernetické bezpečnosti (dále jen „skupina“), zřízená podle článku 53, nebo stálá skupina zúčastněných stran zřízená podle článku 20.

Pozměňovací návrh    65

Návrh nařízení

Čl. 44 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Při vypracovávání návrhu systému uvedeného v odstavci 1 tohoto článku agentura ENISA konzultuje všechny příslušné zúčastněné strany a úzce spolupracuje se skupinou. Skupina poskytne agentuře ENISA pomoc a odborné poradenství, které si agentura ENISA v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek.

2.  Při vypracovávání návrhu systému uvedeného v odstavci 1 tohoto článku agentura ENISA konzultuje stálou skupinu zúčastněných stran, zejména evropské normalizační organizace, a všechny další příslušné zúčastněné strany, včetně organizací spotřebitelů, prostřednictvím oficiálního, standardizovaného a transparentního procesu a úzce spolupracuje se skupinou, přičemž zohledňuje již existující vnitrostátní a mezinárodní normy. Při přípravě každého kandidátského systému ENISA sestaví seznam rizik a odpovídající prvky v oblasti kybernetické bezpečnosti.

 

Skupina poskytne agentuře ENISA pomoc a odborné poradenství, které si agentura ENISA v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek.

 

V relevantních případech může agentura ENISA ustavit také odbornou skupinu zúčastněných stran, složenou z členů stálé skupiny zúčastněných stran a jakýchkoli dalších příslušných zúčastněných stran se specifickou odborností v oblasti daného návrhu systému, která poskytne agentuře další pomoc a poradenství.

Pozměňovací návrh    66

Návrh nařízení

Čl. 44 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Agentura ENISA návrh evropského systému certifikace kybernetické bezpečnosti, vypracovaný v souladu s odstavcem 2 tohoto článku, předá Komisi.

3.  Agentura ENISA návrh evropského systému certifikace kybernetické bezpečnosti, vypracovaný v souladu s odstavcem 2 tohoto článku, předá Komisi, která posoudí jeho vhodnost pro dosažení cílů žádosti uvedené v odstavci 1.

Pozměňovací návrh    67

Návrh nařízení

Čl. 44 – odst. 3 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

3a.  Agentura ENISA bude dbát na dodržení profesního tajemství ve vztahu k veškerým informacím obdrženým při plnění úkolů dle tohoto nařízení.

Pozměňovací návrh    68

Návrh nařízení

Čl. 44 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  V souladu s čl. 55 odst. 1 může Komise na základě návrhu systému vypracovaného agenturou ENISA přijímat prováděcí akty, kterými stanoví evropské systémy certifikace kybernetické bezpečnosti produktů a služeb IKT splňující požadavky článků 45, 46 a 47 tohoto nařízení.

4.  V souladu s článkem 55a je Komise oprávněna přijímat akty v přenesené pravomoci, které se týkají zřízení evropských systémů certifikace kybernetické bezpečnosti produktů a služeb IKT splňujících požadavky článků 45, 46 a 47 tohoto nařízení. Při přijímání těchto aktů v přenesené pravomoci Komise založí systémy certifikace kybernetické bezpečnosti pro produkty a služby IKT na jakémkoli případném relevantním návrhu systému navrženém agenturou ENISA. Komise může před přijetím těchto aktů v přenesené pravomoci konzultovat Evropský sbor pro ochranu osobních údajů a vzít v úvahu jeho názor.

Pozměňovací návrh    69

Návrh nařízení

Čl. 44 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Agentura ENISA spravuje zvláštní internetové stránky poskytující informace o evropských systémech certifikace kybernetické bezpečnosti a zajišťující jejich propagaci.

5.  Agentura ENISA spravuje zvláštní internetové stránky poskytující informace o evropských systémech certifikace kybernetické bezpečnosti a zajišťující jejich propagaci, včetně informací o všech návrzích systémů, o jejichž vypracování Komise agenturu ENISA požádala.

Pozměňovací návrh    70

Návrh nařízení

Čl. 45 – odst. 1 – návětí

Znění navržené Komisí

Pozměňovací návrh

Evropský systém certifikace kybernetické bezpečnosti je navržen tak, aby zohledňoval tyto bezpečnostní cíle:

Každý evropský systém certifikace kybernetické bezpečnosti je navržen tak, aby zohledňoval alespoň tyto bezpečnostní cíle, pokud jsou relevantní:

Pozměňovací návrh    71

Návrh nařízení

Čl. 45 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  zajistit, aby produkty a služby IKT byly poskytovány s aktualizovaným softwarem, který neobsahuje známá slabá místa, a aby byly zavedeny mechanismy pro bezpečné aktualizace softwaru.

g)  zajistit, aby produkty a služby IKT byly poskytovány s aktualizovaným softwarem a hardwarem, který neobsahuje známá slabá místa, a aby byly zavedeny mechanismy pro bezpečné aktualizace softwaru; zajistit, aby tyto produkty byly navrženy a provedeny takovým způsobem, aby účinně omezily jejich náchylnost ke zranitelnosti, a zajistit, aby byly zavedeny mechanismy pro bezpečné aktualizace softwaru, včetně modernizace zařízení a automatické bezpečnostní aktualizace;

Pozměňovací návrh    72

Návrh nařízení

Čl. 45 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  zajišťují, že produkty a služby informačních a komunikačních technologií jsou vyvíjeny a provozovány takovým způsobem, že je vysoká úroveň kybernetické bezpečnosti a ochrany údajů předem nastavena v souladu se zásadou „bezpečnost už od návrhu“.

Pozměňovací návrh    73

Návrh nařízení

Čl. 46 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Evropský systém certifikace kybernetické bezpečnosti může u produktů a služeb IKT, jež jsou v rámci daného systému vydány, určit jednu nebo více těchto úrovní záruky:

1.  Každý evropský systém certifikace kybernetické bezpečnosti může určit jednu nebo více těchto úrovní záruky založených na riziku: „funkčně bezpečná“; „významně bezpečná“ a/nebo „vysoce bezpečná“ pro produkty a služby IKT certifikované v rámci daného systému.

 

Úroveň záruky pro návrh kandidátského evropského systému certifikace kybernetické bezpečnosti se stanoví na základě rizik identifikovaných v kontrolním seznamu stanoveném v čl. 44 odst. 2 a dostupnosti prvků kybernetické bezpečnosti pro boj proti těmto rizikům v produktech a službách IKT, jichž se systém týká.

Pozměňovací návrh    74

Návrh nařízení

Čl. 46 – odst. 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

1a.  Každý systém by měl uvádět metodiku posouzení nebo hodnoticí proces, který má být při vystavování certifikátů na jednotlivých úrovních záruk dodržován, a to v závislosti na zamýšleném užití a riziku, které je s produkty a službami IKT v rámci tohoto systému spjato.

Pozměňovací návrh    75

Návrh nařízení

Čl. 46 – odst. 2 – návětí

Znění navržené Komisí

Pozměňovací návrh

2.  základní, významnou a/nebo vysokou. Úrovně záruky „základní“, „významná“ a „vysoká“ splňují tato kritéria:

2.  Úrovně záruky „funkčně bezpečná“, „významně bezpečná“ a/nebo „vysoce bezpečná“ splňují tato kritéria:

Pozměňovací návrh    76

Návrh nařízení

Čl. 46 – odst. 2 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  základní úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje omezený stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je snížit riziko kybernetických bezpečnostních incidentů;

a)  základní úroveň záruky „funkčně bezpečný“ odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje přiměřený stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality procesu, produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je snížit riziko kybernetických bezpečnostních incidentů;

Pozměňovací návrh    77

Návrh nařízení

Čl. 46 – odst. 2 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  významná úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje významný stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je významně snížit riziko kybernetických bezpečnostních incidentů;

b)  úroveň záruky „podstatně bezpečný“ odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje významný stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality procesu, produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je významně snížit riziko kybernetických bezpečnostních incidentů;

Pozměňovací návrh    78

Návrh nařízení

Čl. 46 – odst. 2 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  vysoká úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje vyšší stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT než certifikáty s významnou úrovní záruky a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je předcházet kybernetickým bezpečnostním incidentům.

c)  úroveň záruky „vysoce bezpečný“ odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje vyšší stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality procesu, produktu nebo služby IKT než certifikáty s úrovní záruky významně bezpečnou a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je předcházet kybernetickým bezpečnostním incidentům. To se použije zejména pro výrobky a služby, které jsou určeny pro provozovatele základních služeb, jak je uvedeno v čl. 4 odst. 4 směrnice (EU) 2016/1148.

Pozměňovací návrh    79

Návrh nařízení

Čl. 47 – odst. 1 – návětí

Znění navržené Komisí

Pozměňovací návrh

1.  Evropský systém certifikace kybernetické bezpečnosti zahrnuje tyto prvky:

1.  Každý evropský systém certifikace kybernetické bezpečnosti zahrnuje v případě potřeby přinejmenším tyto prvky:

Pozměňovací návrh    80

Návrh nařízení

Čl. 47 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  předmět a rozsah certifikace včetně druhu nebo kategorií zahrnutých produktů a služeb IKT;

a)  předmět a rozsah systému certifikace včetně všech konkrétních pokrytých odvětví a druhu nebo kategorií zahrnutých produktů a služeb IKT;

Pozměňovací návrh    81

Návrh nařízení

Čl. 47 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  podrobnou specifikaci kybernetickobezpečnostních požadavků, na jejichž základě jsou konkrétní produkty a služby IKT hodnoceny, například prostřednictvím odkazu na unijní nebo mezinárodní normy nebo technické specifikace;

b)  podrobnou specifikaci kybernetickobezpečnostních požadavků, na jejichž základě jsou konkrétní produkty a služby IKT hodnoceny, zejména prostřednictvím odkazu na mezinárodní, evropské nebo vnitrostátní normy nebo technické specifikace;

Pozměňovací návrh    82

Návrh nařízení

Čl. 47 – odst. 1 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  podrobná specifikace toho, zda se udělená certifikace může vztahovat pouze na jednotlivé produkty nebo ji lze uplatnit na škálu produktů, např. různé verze nebo modely stejné základní produktové struktury;

Pozměňovací návrh    83

Návrh nařízení

Čl. 47 – odst. 1 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  údaj o tom, zda vlastní prohlášení o shodě je povoleno v rámci systému, a uplatnitelný postup, který se má použít pro posuzování shody nebo vlastního prohlášení o shodě nebo obojí;

Pozměňovací návrh    84

Návrh nařízení

Čl. 47 – odst. 1 – písm. c b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

cb)  požadavky certifikace stanovené tak, že certifikaci lze začlenit do systematických procesů kybernetické bezpečnosti výrobce, které jsou dodržovány při návrhu, vývoji a životním cyklu procesu, produktu nebo služby IKT, nebo ji na těchto procesech založit;

Pozměňovací návrh    85

Návrh nařízení

Čl. 47 – odst. 1 – písm. f

Znění navržené Komisí

Pozměňovací návrh

f)  stanoví-li systém známky nebo označení, podmínky používání těchto známek nebo označení;

f)  stanoví-li systém známky nebo označení, například označení shody s požadavky certifikace kybernetické bezpečnosti EU osvědčuje, že proces, produkt nebo služba IKT je v souladu s kritérii systému, podmínky používání těchto známek nebo označení;

Pozměňovací návrh    86

Návrh nařízení

Čl. 47 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  je-li součástí systému dozor, pravidla pro sledování souladu s požadavky uvedenými v certifikátech, včetně mechanismů pro prokázání trvalého souladu s uvedenými kybernetickobezpečnostními požadavky;

g)  pravidla pro sledování souladu s požadavky uvedenými v certifikátech, včetně mechanismů pro prokázání trvalého souladu s uvedenými kybernetickobezpečnostními požadavky, tam, kde je to relevantní a proveditelné, rovněž formou povinných aktualizací, vylepšení nebo záplat dotčeného procesu, produktu nebo služby IKT.

Pozměňovací návrh    87

Návrh nařízení

Čl. 47 – odst. 1 – písm. h

Znění navržené Komisí

Pozměňovací návrh

h)  podmínky pro udělení, zachování, prodloužení, rozšíření a omezení rozsahu certifikace;

h)  podmínky pro udělení, zachování, prodloužení, obnovení, rozšíření a omezení rozsahu certifikace;

Pozměňovací návrh    88

Návrh nařízení

Čl. 47 – odst. 1 – písm. i

Znění navržené Komisí

Pozměňovací návrh

i)  pravidla upravující důsledky nesouladu certifikovaných produktů a služeb IKT s požadavky certifikace;

i)  pravidla upravující důsledky nesouladu certifikovaných produktů a služeb IKT s požadavky certifikace a obecné informace týkající se sankcí, jak je stanoveno v článku 54 tohoto nařízení;

Pozměňovací návrh    89

Návrh nařízení

Čl. 47 – odst. 1 – písm. j

Znění navržené Komisí

Pozměňovací návrh

j)  pravidla upravující způsob oznamování a řešení dříve nezjištěných slabých míst v kybernetické bezpečnosti produktů a služeb IKT;

j)  pravidla upravující způsob oznamování a řešení dříve nezjištěných slabých míst v kybernetické bezpečnosti produktů a služeb IKT, za použití procesu koordinovaného odhalování zranitelnosti;

Pozměňovací návrh    90

Návrh nařízení

Čl. 47 – odst. 1 – písm. l

Znění navržené Komisí

Pozměňovací návrh

l)  označení vnitrostátních systémů certifikace kybernetické bezpečnosti pokrývajících stejný druh nebo kategorie produktů a služeb IKT;

l)  označení vnitrostátních nebo mezinárodních systémů certifikace kybernetické bezpečnosti nebo platných mezinárodních dohod o vzájemném uznání pokrývajících stejný druh nebo kategorie produktů a služeb IKT;

Pozměňovací návrh    91

Návrh nařízení

Čl. 47 – odst. 1 – písm. m a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ma)  maximální dobu platnosti certifikátů;

Pozměňovací návrh    92

Návrh nařízení

Čl. 47 – odst. 1 – písm. m b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

mb)  pravidla pro testování odolnosti a zkoušení odolnosti pro úroveň záruky „vysoce bezpečná“;

Pozměňovací návrh    93

Návrh nařízení

Čl. 47 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Pokud tak konkrétní akt Unie stanoví, lze certifikaci podle evropského systému certifikace kybernetické bezpečnosti použít k prokázání předpokladu shody s požadavky daného aktu.

3.  Pokud tak konkrétní budoucí akt Unie stanoví, lze certifikaci podle evropského systému certifikace kybernetické bezpečnosti použít k prokázání předpokladu shody s požadavky daného aktu.

Pozměňovací návrh    94

Návrh nařízení

Čl. 48 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Certifikace je dobrovolná, nestanoví-li právo Unie jinak.

2.  Certifikace v rámci evropského systému certifikace kybernetické bezpečnosti musí být povinná pro produkty a služby IKT, s nimiž je spjato vysoké riziko, které jsou specificky určeny pro provozovatele základních služeb, jak jsou vymezeny v čl. 4 odst. 4 směrnice (EU) 2016/1148. Pro všechny ostatní produkty a služby IKT je certifikace dobrovolná, nestanoví-li právo Unie jinak.

Pozměňovací návrh    95

Návrh nařízení

Čl. 48 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Evropský certifikát kybernetické bezpečnosti podle tohoto článku vydávají subjekty posuzování shody uvedené v článku 51 na základě kritérií obsažených v evropském systému certifikace kybernetické bezpečnosti přijatém podle článku 44.

3.  Evropské certifikáty kybernetické bezpečnosti podle tohoto článku vydávají subjekty posuzování shody uvedené v článku 51 na základě kritérií obsažených v evropském systému certifikace kybernetické bezpečnosti přijatém podle článku 44.

 

Jako alternativu k certifikaci subjektů posuzování shody, výrobci produktu a poskytovatelé služeb mohou, jestliže dotčený systém stanovuje tuto možnost – vytvořit vlastní prohlášení o shodě, v němž prohlašují, že proces, produkt nebo služba splňují kritéria systému certifikace. V takovém případě výrobce produktu nebo poskytovatele služeb na vyžádání předloží prohlášení o shodě dožadujícímu vnitrostátnímu certifikačnímu orgánu dohledu a agentuře ENISA.

Pozměňovací návrh    96

Návrh nařízení

Čl. 48 – odst. 4 – návětí

Znění navržené Komisí

Pozměňovací návrh

4.  Odchylně od odstavce 3 může konkrétní evropský systém certifikace kybernetické bezpečnosti v řádně odůvodněných případech stanovit, že evropský certifikát kybernetické bezpečnosti vyplývající z daného systému může být vydán pouze veřejným subjektem. Tímto veřejným subjektem je:

4.  Odchylně od odstavce 3 může konkrétní evropský systém certifikace kybernetické bezpečnosti v řádně odůvodněných případech, například z důvodů národní bezpečnosti, stanovit, že evropský systém certifikace kybernetické bezpečnosti vyplývající z daného systému může být vydán pouze veřejným subjektem. Tímto veřejným subjektem je:

Pozměňovací návrh    97

Návrh nařízení

Čl. 48 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Fyzická nebo právnická osoba, která předkládá své produkty nebo služby IKT certifikačnímu mechanismu, poskytne subjektu posuzování shody uvedenému v článku 51 veškeré informace nezbytné k provedení certifikačního postupu.

5.  Fyzická nebo právnická osoba, která předkládá své produkty nebo služby IKT certifikačnímu mechanismu, poskytne subjektu posuzování shody uvedenému v článku 51 veškeré informace nezbytné k provedení certifikačního postupu, včetně informací o veškerých známých zranitelných místech.

Pozměňovací návrh    98

Návrh nařízení

Čl. 48 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Certifikáty se vydávají na období nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou nadále splněny příslušné požadavky.

6.  Certifikáty se vydávají a zůstávají platné na maximální období stanovené každým certifikačním systémem a lze je obnovit za stejných podmínek, pokud jsou nadále splněny požadavky daného systému, a to včetně veškerých revidovaných a pozměněných požadavků.

Pozměňovací návrh    99

Návrh nařízení

Čl. 48 – odst. 6 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

6a.  Certifikát zůstává platný pro všechny nové verze procesu, produktu či služby, kdy hlavním důvodem pro vydání nové verze je opravit či jinak vyřešit známá či možná zranitelná místa či rizika.

Pozměňovací návrh    100

Návrh nařízení

Čl. 49 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Aniž je dotčen odstavec 3, vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti ztrácejí svou účinnost od data uvedeného v prováděcím aktu přijatém podle čl. 44 odst. 4. Stávající vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT, na něž se evropský systém certifikace kybernetické bezpečnosti nevztahuje, zůstávají v platnosti.

1.  Aniž je dotčen odstavec 3, vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti ztrácejí svou účinnost od data uvedeného v aktu v přenesené pravomoci přijatém podle čl. 44 odst. 4. Komise bude sledovat dodržování tohoto pododstavce, aby se zamezilo existenci souběžných systémů. Stávající vnitrostátní systémy certifikace kybernetické bezpečnosti a související postupy pro produkty a služby IKT, na něž se evropský systém certifikace kybernetické bezpečnosti nevztahuje, zůstávají v platnosti.

Pozměňovací návrh    101

Návrh nařízení

Čl. 49 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Stávající certifikáty vydané v rámci vnitrostátních systémů certifikace kybernetické bezpečnosti zůstávají platné až do data skončení své platnosti.

3.  Stávající certifikáty vydané v rámci vnitrostátních systémů certifikace kybernetické bezpečnosti, které jsou pokryté v rámci evropského systému certifikace kybernetické bezpečnosti, zůstávají platné až do data skončení své platnosti.

Pozměňovací návrh    102

Návrh nařízení

Čl. 50 – odst. 3

Znění navržené Komisí

Pozměňovací návrh

3.  Každý vnitrostátní orgán dozoru nad certifikací je z hlediska své organizace, finančních rozhodnutí, právní struktury a rozhodování nezávislý na subjektech, nad nimiž vykonává dozor.

3.  Každý vnitrostátní orgán dozoru nad certifikací je z hlediska své organizace, finančních rozhodnutí, právní struktury a rozhodování nezávislý na subjektech, nad nimiž vykonává dozor, a nebude subjektem posuzování shody ani vnitrostátním akreditačním orgánem.

Pozměňovací návrh    103

Návrh nařízení

Čl. 50 – odst. 6 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  sledují a vymáhají uplatňování ustanovení podle této hlavy na vnitrostátní úrovni a dohlížejí na to, aby certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky stanovené v této hlavě a v odpovídajícím evropském systému certifikace kybernetické bezpečnosti;

a)  sledují a vymáhají uplatňování ustanovení podle této hlavy na vnitrostátní úrovni a dohlížejí na to, aby byly v souladu s pravidly přijatými evropským systémem certifikace kybernetické bezpečnosti podle čl. 53 odst. 3 písm. da);

 

i)  certifikáty vydané subjekty posuzování shody usazenými na jejich území splňovaly požadavky stanovené v této hlavě a v odpovídajícím evropském systému certifikace kybernetické bezpečnosti; a

 

ii)  vlastní prohlášení o shodě stanoveného na základě systému pro procesy, produkty nebo služby IKT;

Pozměňovací návrh    104

Návrh nařízení

Čl. 50 – odst. 6 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  sledují a dohlížejí na činnosti subjektů posuzování shody pro účely tohoto nařízení, mimo jiné ve vztahu k oznámením subjektů posuzování shody a k souvisejícím úkolům stanoveným v článku 52 tohoto nařízení;

b)  sledují, dohlížejí a alespoň každé dva roky hodnotí činnosti subjektů posuzování shody pro účely tohoto nařízení, mimo jiné ve vztahu k oznámením subjektů posuzování shody a k souvisejícím úkolům stanoveným v článku 52 tohoto nařízení;

Pozměňovací návrh    105

Návrh nařízení

Čl. 50 – odst. 6 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  řeší stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území, v přiměřeném rozsahu šetří předmět stížnosti a v přiměřené lhůtě informují stěžovatele o průběhu a výsledku šetření;

c)  řeší stížnosti podané fyzickými nebo právnickými osobami v souvislosti s certifikáty vydanými subjekty posuzování shody usazenými na jejich území nebo vlastní prohlášení o shodě, v přiměřeném rozsahu šetří předmět stížnosti a v přiměřené lhůtě informují stěžovatele o průběhu a výsledku šetření;

Pozměňovací návrh    106

Návrh nařízení

Čl. 50 – odst. 6 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  informují Evropskou skupinu pro certifikaci kybernetické bezpečnosti a agenturu ENISA o výsledcích ověření prováděných podle písm. a) a posouzení prováděných podle písm. b);

Pozměňovací návrh    107

Návrh nařízení

Čl. 50 – odst. 6 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací, vnitrostátními akreditačními orgány nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací, včetně klamavých, nepravdivých nebo podvodných tvrzení o certifikaci, o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

Pozměňovací návrh    108

Návrh nařízení

Čl. 50 – odst. 7 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  odnímat akreditace subjektům pro posuzování shody, které nedodržují toto nařízení;

Pozměňovací návrh    109

Návrh nařízení

Čl. 50 – odst. 7 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  v souladu s vnitrostátním právem odnímat certifikáty, které nejsou v souladu s tímto nařízením nebo evropským systémem certifikace kybernetické bezpečnosti;

e)  v souladu s vnitrostátním právem odnímat certifikáty, které nejsou v souladu s tímto nařízením nebo evropským systémem certifikace kybernetické bezpečnosti a odpovídajícím způsobem informovat vnitrostátní akreditační orgány;

Pozměňovací návrh    110

Návrh nařízení

Čl. 50 – odst. 7 – písm. f a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fa)  navrhovat odborníky ENISA do skupiny nezávislých odborníků podle čl. 44 odst. 2;

Pozměňovací návrh    111

Návrh nařízení

Čl. 50 – odst. 8 – pododstavec 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Komise pro účely této výměny zpřístupní obecný elektronický systém pro výměnu informací.

Pozměňovací návrh    112

Návrh nařízení

Článek 50 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 50 a

 

Vzájemná hodnocení

 

1.  Vnitrostátní certifikační orgány dozoru musí podléhat vzájemnému hodnocení, pokud jde o jakoukoli činnost, kterou vykonávají v souladu s článkem 50 tohoto nařízení.

 

2.  Vzájemné hodnocení se vztahuje na hodnocení postupů zavedených vnitrostátními orgány dozoru nad trhem, zejména pokud jde o postupy ověřování souladu produktů certifikace kybernetické bezpečnosti, odbornou způsobilost zaměstnanců, správnost kontrol a inspekční metodiky a rovněž správnost výsledků. V rámci vzájemného hodnocení se rovněž hodnotí, zda dotčené vnitrostátní orgány dohledu nad certifikací disponují dostatečnými zdroji pro řádné plnění povinností stanovených v čl. 50 odst. 4.

 

3.  Vzájemné hodnocení orgánů dohledu nad certifikací provádí dva vnitrostátní orgány dohledu nad certifikací jiných členských států a Komise alespoň jednou za pět let. Agentura ENISA se může vzájemného hodnocení účastnit a o své účasti rozhoduje na základě analýzy posouzení rizik.

 

4.  Komise má v souladu s článkem 55a pravomoc přijímat prováděcí akty, jimiž stanoví plán vzájemných hodnocení na období alespoň pěti let a určí kritéria týkající se složení týmu vzájemného hodnocení, metodiku používanou při vzájemném hodnocení, časový rozvrh, periodicitu a jiné úkoly související se vzájemným hodnocením. Při přijímání těchto aktů v přenesené pravomoci Komise řádně zohlední zájem skupiny.

 

5.  Výsledky vzájemných hodnocení se zabývá skupina. Agentura ENISA vypracuje shrnutí výsledků a zveřejní jej.

Pozměňovací návrh    113

Návrh nařízení

Čl. 51 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Pokud se výrobci v souladu s čl. 48 odst. 3 rozhodnou pro „vlastní prohlášení o shodě“, subjekty posuzování shody podniknou další kroky, aby ověřily vnitřní postupy, které výrobce učinil s cílem zajistit shodu produktů a/nebo služeb s požadavky evropského systému certifikace kybernetické bezpečnosti.

Pozměňovací návrh    114

Návrh nařízení

Čl. 53 – odst. 3 – písm. d a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

da)  přijmout závazná pravidla, která stanoví, v jakých časových intervalech vnitrostátní orgány dozoru nad certifikací a vlastní prohlášení o shodě ověřují certifikáty a kritéria, rozsah a hloubku těchto ověření, a přijmout společná pravidla a normy pro podávání zpráv podle čl. 50 odst. 6;

Pozměňovací návrh    115

Návrh nařízení

Čl. 53 – odst. 3 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a vyměňovat osvědčené postupy týkající se systémů certifikace kybernetické bezpečnosti;

e)  zkoumat relevantní vývoj v oblasti certifikace kybernetické bezpečnosti a vyměňovat informace a osvědčené postupy týkající se systémů certifikace kybernetické bezpečnosti;

Pozměňovací návrh    116

Návrh nařízení

Čl. 53 – odst. 3 – písm. f a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fa)  vyměňovat osvědčené postupy, pokud jde o oblast vyšetřování orgánů posuzování shody, držitelů evropských certifikátů kybernetické bezpečnosti, výrobců a poskytovatelů služeb, kteří vytvořili vlastní prohlášení o shodě;

Pozměňovací návrh    117

Návrh nařízení

Čl. 53 – odst. 3 – písm. f b (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fb)  s cílem usnadnit sladění evropských systémů certifikace kybernetické bezpečnosti v souladu s mezinárodně uznávanými normami a případně doporučí agentuře ENISA, ve kterých oblastech by měla spolupracovat s příslušnými mezinárodními a evropskými normalizačními organizacemi s cílem řešit nedostatky nebo mezery v mezinárodně uznávaných normách;

Pozměňovací návrh    118

Návrh nařízení

Čl. 53 – odst. 3 – písm. f c (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fc)  poskytnout poradenství agentuře ENISA při vytváření pracovního programu, na nějž je odkazováno v článku 43a, ohledně prioritního seznamu produktů a služeb IKT, u nichž je podle jejího názoru třeba evropského systému certifikace kybernetické bezpečnosti;

Pozměňovací návrh    119

Návrh nařízení

Čl. 53 – odst. 4 – pododstavec 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Agentura ENISA zajistí, aby byly program jednání, zápis z jednání i záznam učiněných rozhodnutí zaznamenány a aby byly po každém jednání skupiny na webových stránkách agentury veřejnosti dostupné veřejné verze těchto dokumentů.

Pozměňovací návrh    120

Návrh nařízení

Článek 55 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 55 a

 

Výkon přenesené pravomoci

 

Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

 

Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 44 odst. 4 a čl. 50a odst. 4 se propůjčuje Komisi na období 5 let od [data vstupu základního legislativního aktu v platnost]. Komise vypracuje zprávu týkající se přenesení pravomoci nejpozději devět měsíců před uplynutím tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament nebo Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

 

Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 44 odst. 4 a čl. 50a odst. 4 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm uveden. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

 

Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

 

Jakmile Komise přijme akt v přenesené pravomoci, oznámí jej současně Evropskému parlamentu a Radě.

 

Akt v přenesené pravomoci přijatý podle čl. 44 odst. 4 a čl. 50a odst. 4 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitku ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o [dva měsíce].

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název

Nařízení o agentuře ENISA, „Agentuře EU pro kybernetickou bezpečnost“, kterým se zrušuje nařízení (EU) 526/2013, a o certifikaci bezpečnosti informačních a komunikačních technologií („zákon o kybernetické bezpečnosti“)

Referenční údaje

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Věcně příslušný výbor

       Datum oznámení na zasedání

ITRE

23.10.2017

 

 

 

Výbor, který vypracoval stanovisko

       Datum oznámení na zasedání

IMCO

23.10.2017

Přidružené výbory - datum oznámení na zasedání

18.1.2018

Zpravodaj(ka)

       Datum jmenování

Nicola Danti

25.9.2017

Projednání ve výboru

21.2.2018

21.3.2018

 

 

Datum přijetí

17.5.2018

 

 

 

Výsledek konečného hlasování

+:

–:

0:

31

2

1

Členové přítomní při konečném hlasování

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Náhradníci přítomní při konečném hlasování

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Náhradníci (čl. 200 odst. 2) přítomní při konečném hlasování

Inés Ayala Sender, Flavio Zanonato

JMENOVITÉ KONEČNÉ HLASOVÁNÍVE VÝBORU POŽÁDANÉM O STANOVISKO

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Význam zkratek:

+  :  pro

-  :  proti

0  :  zdrželi se

STANOVISKO Rozpočtového výboru (16.5.2018)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu nařízení Evropského parlamentu a Rady o agentuře ENISA, Evropské agentuře pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Zpravodaj: Jens Geier

STRUČNÉ ODŮVODNĚNÍ

Zpravodaj v obecné rovině vítá návrh Komise týkající se kybernetické bezpečnosti usilující o další posílení úlohy Agentury Evropské unie pro bezpečnost sítí a informací (ENISA), neboť kybernetická bezpečnost je jednoznačně přeshraniční problém a je vhodné zaujmout přístup na celoevropské úrovni. Zpravodaj obzvláště vítá návrh Komise svěřit agentuře ENISA kvůli její posílené úloze stálý mandát a poskytnout jejím zaměstnancům větší jistotu. Komise navrhuje zvýšit počet pracovníků tříd AD/AST o 41 do roku 2022[1] a zvýšit roční rozpočet agentury na 23 milionů EUR do téhož roku[2].

Zpravodaj se domnívá, že stávající dohoda o sídle, tj. několik míst v Heraklionu a Athénách, snižují účinnost fungování, a tedy i plnění mandátu agentury. Interinstitucionální pracovní skupina pro zdroje decentralizovaných agentur, která byla zřízena po dohodě o rozpočtu v roce 2014, doporučuje „Komisi, aby provedla hodnocení agentur působících na více místech (dvojí sídla, existence technických zařízení mimo sídla, místní kanceláře nebo vysílání zaměstnanců mimo ústředí) na základě konsistentního přístupu a pomocí jasných a transparentních kritérií, zejména s cílem posoudit jejich přidanou hodnotu, a to i s ohledem na vzniklé náklady“. Všechny orgány EU s tímto doporučením souhlasily a zpravodaj je přesvědčen, že toto hodnocení by mělo být urychleně provedeno. Na základě tohoto hodnocení by potom orgány měly bez dalšího odkladu učinit nezbytné závěry.

Zpravodaj je dále přesvědčen, že mandát agentury, pokud jde o poskytování odborného poradenství, by mohl být dále posílen tím, že by jí byl poskytnut vlastní rozpočet na zadávání aktivit v oblasti výzkumu a vývoje. Agentuře by pro tyto účely měly být poskytnuty nezbytné zdroje.

Dalších úspor by bylo dosaženo, pokud bychom agentuře umožnili využívat překladatelské služby od jiných poskytovatelů služeb. Demokratické dohled nad agenturou by mohl být posílen jmenováním zástupce Evropského parlamentu do její správní rady v souladu se společným přístupem k agenturám.

POZMĚŇOVACÍ NÁVRHY

Rozpočtový výbor vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

Pozměňovací návrh    1

Návrh nařízení

Bod odůvodnění 3 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(3a)  Agentura ENISA by měla podnikům EU v oblasti kybernetické bezpečnosti, zejména malým a středním podnikům a začínajícím inovativním podnikům, které jsou klíčovým zdrojem inovativních řešení v oblasti kybernetické obrany, poskytovat větší praktickou a informovanou podporu a měla by prosazovat užší spolupráci s vysokoškolskými výzkumnými organizacemi a významnými aktéry, tak aby došlo k omezení závislosti na produktech v oblasti kybernetické bezpečnosti z vnějších zdrojů a k vytvoření strategického dodavatelského řetězce v rámci Unie.

Pozměňovací návrh    2

Návrh nařízení

Bod odůvodnění 4

Znění navržené Komisí

Pozměňovací návrh

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Potřeba odborné přípravy v oblasti kybernetické obrany je značná a dále roste a lze ji neúčinněji zajistit díky spolupráci na unijní úrovni. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

Pozměňovací návrh    3

Návrh nařízení

Bod odůvodnění 10

Znění navržené Komisí

Pozměňovací návrh

(10)  Zástupci členských států v rámci rozhodnutí 2004/97/ES, Euratom, přijatém na zasedání Evropské rady dne 13. prosince 2003, rozhodli, že agentura ENISA bude mít sídlo v Řecku ve městě, které určí řecká vláda. Hostitelský členský stát agentury by měl zajistit co nejlepší podmínky pro bezproblémové a účinné fungování agentury. V zájmu zajištění řádného a účinného plnění úkolů agentury, přijímání a udržení zaměstnanců a v zájmu zvýšení účinnosti v oblasti vytváření sítí je naprosto nezbytné, aby bylo sídlo agentury vhodně umístěno, přičemž by mimo jiné mělo být zajištěno odpovídající dopravní spojení a zařízení pro manžely/manželky a děti zaměstnanců agentury. Nezbytná opatření by měla být stanovena v dohodě mezi agenturou a daným hostitelským členským státem, která bude uzavřena poté, co ji schválí správní rada agentury.

(10)  Zástupci členských států v rámci rozhodnutí 2004/97/ES, Euratom, přijatém na zasedání Evropské rady dne 13. prosince 2003, rozhodli, že agentura ENISA bude mít sídlo v Řecku ve městě, které určí řecká vláda. Hostitelský členský stát agentury by měl zajistit co nejlepší podmínky pro bezproblémové a účinné fungování agentury. V zájmu zajištění řádného a účinného plnění úkolů agentury, přijímání a udržení zaměstnanců a v zájmu zvýšení účinnosti v oblasti vytváření sítí je naprosto nezbytné, aby bylo sídlo agentury vhodně umístěno, přičemž by mimo jiné mělo být zajištěno odpovídající dopravní spojení a zařízení pro manžely/manželky a děti zaměstnanců agentury. Nezbytná opatření by měla být stanovena v dohodě mezi agenturou a daným hostitelským členským státem, která bude uzavřena poté, co ji schválí správní rada agentury. Tato dohoda by měla být revidována na základě hodnocení provedeného Komisí v souladu s doporučeními interinstitucionální pracovní skupiny pro zdroje agentur s cílem zvýšit účinnost agentury a měla by být revidována otázka umístění agentury.

Pozměňovací návrh    4

Návrh nařízení

Bod odůvodnění 12

Znění navržené Komisí

Pozměňovací návrh

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k vnitrostátnímu úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy. Kromě toho by agentura měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Měl by být určen soubor úkolů, jenž by stanovil, jak má agentura plnit své cíle, a současně umožňoval flexibilitu jejích činností.

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k vnitrostátnímu úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy, přičemž se vyhne zdvojování práce a podpoří součinnost a doplňkovost, čímž dosáhne koordinace a fiskálních úspor. Kromě toho by agentura měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Měl by být určen soubor úkolů, jenž by stanovil, jak má agentura plnit své cíle, a současně umožňoval flexibilitu jejích činností.

Pozměňovací návrh    5

Návrh nařízení

Bod odůvodnění 15 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(15a)  Na kybernetický prostor se vztahuje mezinárodní právo a zprávy skupiny vládních odborníků na oblast informační bezpečnosti fungující při OSN (UNGGE) z let 2013 a 2015 poskytují příslušné pokyny, zejména pokud jde o zákaz toho, aby státy prováděly kybernetickou činnost v rozporu se svými závazky podle mezinárodních předpisů. V této souvislosti představuje vynikající základ pro diskusi o tom, jak se mezinárodní právo uplatňuje v kyberprostoru, relevantní „Tallinnská příručka 2.0" a přišel čas, aby členské státy začaly analyzovat a uplatňovat tuto příručku.

Pozměňovací návrh    6

Návrh nařízení

Bod odůvodnění 36

Znění navržené Komisí

Pozměňovací návrh

(36)  Agentura by měla plně zohlednit činnosti probíhající v oblasti výzkumu, vývoje a technologického hodnocení, zejména činnosti prováděné v rámci různých výzkumných iniciativ Unie, aby mohla orgánům, institucím a jiným subjektům Unie a případně členským státům, které o to požádají, poskytovat poradenství ohledně potřeb výzkumu v oblasti bezpečnosti sítí a informací, zejména pak kybernetické bezpečnosti.

(36)  Agentura by měla plně zohlednit činnosti probíhající v oblasti výzkumu, vývoje a technologického hodnocení, zejména činnosti prováděné v rámci různých výzkumných iniciativ Unie, aby mohla orgánům, institucím a jiným subjektům Unie a případně členským státům, které o to požádají, poskytovat poradenství ohledně potřeb výzkumu v oblasti bezpečnosti sítí a informací, zejména pak kybernetické bezpečnosti. Agentuře by měl být vyčleněn dodatečný rozpočet určený na aktivity v oblasti výzkumu a vývoje, které by doplňovaly stávající výzkumné programy Unie.

Pozměňovací návrh    7

Návrh nařízení

Bod odůvodnění 46 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(46a)  Rozpočet agentury by měl být připravován v souladu se zásadou sestavování rozpočtu podle výkonnosti, přičemž by měly být zohledňovány cíle agentury a očekávané výsledky její činnosti.

Pozměňovací návrh    8

Návrh nařízení

Čl. 4 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  Agentura podporuje spolupráci a koordinaci na úrovni Unie mezi členskými státy, orgány, institucemi a jinými subjekty Unie a příslušnými zúčastněnými stranami včetně soukromého sektoru v záležitostech týkajících se kybernetické bezpečnosti.

4.  Agentura podporuje spolupráci a koordinaci na úrovni Unie mezi členskými státy, orgány, institucemi a jinými subjekty Unie a příslušnými zúčastněnými stranami včetně soukromého sektoru v záležitostech týkajících se kybernetické bezpečnosti, a to s cílem dosáhnout koordinace a finančních úspor, zabránit zdvojování činností a podporovat součinnost a doplňkovost, pokud se jedná o jejich činnosti.

Pozměňovací návrh    9

Návrh nařízení

Čl. 1 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  zveřejňuje a propaguje své aktivity a výsledky své práce s cílem posílit svou viditelnost a zvýšit povědomí mezi občany.

Pozměňovací návrh    10

Návrh nařízení

Čl. 10 – písm. b a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ba)  zadává vlastní výzkumné činnosti v oblastech zájmu, jimiž se prozatím nezabývají stávající výzkumné programy Unie, pokud existuje v těchto oblastech jednoznačně vymezená evropská přidaná hodnota;

Pozměňovací návrh    11

Návrh nařízení

Čl. 13 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Správní radu tvoří jeden zástupce každého členského státu a dva zástupci jmenovaní Komisí. Všichni zástupci mají hlasovací právo.

1.  Správní radu tvoří jeden zástupce každého členského státu, jeden zástupce jmenovaný Evropským parlamentem a dva zástupci jmenovaní Komisí. Všichni zástupci mají hlasovací právo.

Pozměňovací návrh    12

Návrh nařízení

Čl. 26 – odst. 1 – pododstavec 1 (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Předběžný návrh odhadu příjmů a výdajů se zakládá na cílech a očekávaných výsledcích obsažených v jednotném programovém dokumentu uvedeném v čl. 21 odst. 1 a bere v úvahu finanční prostředky nutné pro dosažení těchto cílů a očekávaných výsledků v souladu se zásadou sestavování rozpočtu podle výkonnosti.

Pozměňovací návrh    13

Návrh nařízení

Čl. 36 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Osobní odpovědnost zaměstnanců vůči agentuře se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury.

5.  Osobní odpovědnost zaměstnanců vůči agentuře se řídí odpovídajícími předpisy vztahujícími se na zaměstnance agentury. Zajistí se účinný nábor zaměstnanců.

Pozměňovací návrh    14

Návrh nařízení

Čl. 37 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Překladatelské služby potřebné pro činnost agentury poskytuje Překladatelské středisko pro instituce Evropské unie.

2.  Překladatelské služby potřebné pro činnost agentury poskytuje Překladatelské středisko pro instituce Evropské unie nebo jiní poskytovatelé překladatelských služeb v souladu s pravidly zadávání zakázek a v rámci stropů stanovených v příslušných finančních předpisech.

Pozměňovací návrh    15

Návrh nařízení

Čl. 41 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Hostitelský členský stát agentury poskytne nejlepší možné podmínky pro zajištění řádného fungování agentury, včetně přístupnosti lokality, existence vhodných vzdělávacích zařízení pro děti zaměstnanců, patřičného přístupu na pracovní trh, sociálního zabezpečení a zdravotní péče pro děti i pro manžely a manželky zaměstnanců.

2.  Hostitelský členský stát agentury poskytne nejlepší možné podmínky pro zajištění řádného fungování agentury, včetně jediného sídla celé agentury, přístupnosti příslušné lokality, existence vhodných vzdělávacích zařízení pro děti zaměstnanců, patřičného přístupu na pracovní trh, sociálního zabezpečení a zdravotní péče pro děti i pro manžely a manželky zaměstnanců.

Odůvodnění

Stávající struktura agentury se správním sídlem v Heraklionu a hlavními útvary v Aténách se ukázala jako neúčinná a nákladná. Všichni zaměstnanci agentury ENISA by proto měli pracovat ve stejném městě. Vzhledem ke kritériím uvedeným v tomto odstavci by tímto místem měly být Atény.

Pozměňovací návrh    16

Návrh nařízení

Čl. 41 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  V návaznosti na hodnocení, které vypracuje Komise v souladu s doporučeními interinstitucionální pracovní skupiny pro zdroje agentur, se reviduje dohoda o sídle agentury a její umístění se odpovídajícím způsobem změní.

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název

Nařízení o agentuře ENISA, „Agentuře EU pro kybernetickou bezpečnost“, kterým se zrušuje nařízení (EU) 526/2013, a o certifikaci bezpečnosti informačních a komunikačních technologií („zákon o kybernetické bezpečnosti“)

Referenční údaje

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Věcně příslušný výbor

       Datum oznámení na zasedání

ITRE

23.10.2017

 

 

 

Výbor, který vypracoval stanovisko

       Datum oznámení na zasedání

BUDG

23.10.2017

Zpravodaj(ka)

       Datum jmenování

Jens Geier

26.9.2017

Projednání ve výboru

21.3.2018

 

 

 

Datum přijetí

16.5.2018

 

 

 

Výsledek konečného hlasování

+:

–:

0:

22

4

0

Členové přítomní při konečném hlasování

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Náhradníci přítomní při konečném hlasování

Ivana Maletić, Andrey Novakov

JMENOVITÉ KONEČNÉ HLASOVÁNÍVE VÝBORU POŽÁDANÉM O STANOVISKO

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Význam zkratek:

+  :  pro

-  :  proti

0  :  zdrželi se

  • [1]  Tato čísla zahrnují 26 pracovníků třídy AD, 6 třídy AST a 9 vyslaných národních odborníků. Nezahrnují odhadované potřeby mateřského generálního ředitelství, smluvní zaměstnance a externí dodavatele.
  • [2]  Jedná se o odhad, kterým není dotčeno financování EU po roce 2020.

STANOVISKO Výboru pro občanské svobody, spravedlnost a vnitřní věci (16.3.2018)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu nařízení Evropského parlamentu a Rady o agentuře ENISA, Agentuře EU pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Zpravodaj: Jan Philipp Albrecht

STRUČNÉ ODŮVODNĚNÍ

Zpravodaj vítá návrh „aktu o kybernetické bezpečnosti“[1], který předložila Komise, neboť lépe definuje úlohu agentury ENISA v měnícím se ekosystému IT bezpečnosti a rozvíjí opatření v oblasti norem IT bezpečnosti, certifikace a označování v zájmu lepší bezpečnosti systémů IKT včetně propojených objektů.

Zpravodaj se nicméně domnívá, že by bylo možné dosáhnout dalších zlepšení. Je pevně přesvědčen, že informační bezpečnost je zásadním předpokladem pro ochranu základních práv občanů zakotvených v Listině základních práv EU, pro boj proti kyberkriminalitě a pro ochranu demokracie a právního státu.

Základní práva: Nezabezpečené systémy mohou vést k narušení bezpečnosti osobních údajů nebo podvodnému zneužití totožnosti, které by mohly způsobit jednotlivcům skutečnou újmu a nesnáze, včetně ohrožení jejich života, soukromí, důstojnosti či majetku. Například svědkům může hrozit zastrašování nebo fyzická újma, ženy mohou být v případě odhalení jejich domovské adresy vystaveny domácímu násilí. V případě internetu věcí, které jsou vybaveny spouštěči a ne pouze senzory, může jednotlivcům hrozit fyzická újma nebo mohou být ohroženi na životě v důsledku napadení informačních systémů. Pozměňovací návrhy, které zpravodaj předkládá, se zaměřují zejména na ochranu článků 1, 2, 3, 6, 7, 8, 11 a 17 Listiny základních práv EU. Existuje dokonce i nová ústavní judikatura, která odvozuje  zvláštní „základní právo na důvěrnost a integritu IT systémů“[2] od obecných osobnostních práv přizpůsobených současnému digitálnímu světu.

Boj proti kyberkriminalitě: Některé formy trestné činnosti páchané prostřednictvím internetu, jako jsou phishingové útoky či finanční a bankovní podvody, spočívají ve zneužití důvěry, kterému nemohou zabránit opatření v oblasti IT bezpečnosti – v boji proti těmto formám trestné činnosti zpravodaj vítá navrhované pravidelné informační a veřejně vzdělávací kampaně agentury ENISA zaměřené na koncové uživatele. Jiné formy online trestné činnosti zahrnují napadení informačních systémů, jako je neoprávněné proniknutí nebo distribuované odepření služby (DDoS) – podle zpravodaje je v boji proti takové trestné činnosti potřeba posílit IT bezpečnost, což účinně posílí boj proti kyberkriminalitě a především prevenci.

Demokracie a právní stát: Útoky na informační systémy ze strany vlád a nestátních subjektů představují jasnou a rostoucí hrozbu pro demokracii prostřednictvím jejich zásahů do svobodných a spravedlivých voleb, například manipulací s fakty a názory ovlivňujícími, jak budou občané hlasovat, zasahováním do volebního procesu a měněním výsledků hlasování či podkopáváním důvěry v řádný průběh voleb.

Zpravodaj proto navrhuje ve svém návrhu stanoviska výboru LIBE změnit návrh Komise se zaměřením na následující hlavní oblasti působnosti výboru LIBE:

•  agentura by měla hrát významnější úlohu při prosazování přijetí preventivních technologií zvyšujících ochranu soukromí a opatření v oblasti IT bezpečnosti všemi aktéry evropské informační společnosti;

•  agentura by měla navrhnout politiky zavádějící jasnou odpovědnost a povinnosti všech subjektů účastnících se ekosystémů IKT, v nichž by opomenutí povinnosti jednat s náležitou péčí v oblasti IT bezpečnosti mohlo mít za následek vážné bezpečnostní dopady, masivní ničení životního prostředí, vyvolat systémové finanční nebo hospodářské krize;

•  agentura by měla na základě konzultací s odborníky na IT bezpečnost navrhnout jasné a povinné základní požadavky v oblasti IT bezpečnosti;

•  agentura by měla navrhnout systém certifikace IT bezpečnosti umožňující prodejcům IKT zvýšit transparentnost pro spotřebitele, pokud jde o schopnost přijímat aktualizace a dobu podpory softwaru. Takový systém certifikace musí být dynamický, neboť bezpečnost je proces, který vyžaduje neustálé zlepšování;

•  agentura by měla zveřejněním pokynů a osvědčených postupů usnadnit a zlevnit výrobcům produktů IKT provádění zásad „bezpečnosti již od fáze návrhu“;

•  agentura by měla na základě výzvy orgánů, subjektů, úřadů a agentur Unie a členských států provádět pravidelné preventivní audity IT bezpečnosti jejich kritických infrastruktur (právo provést audit);

•  agentura by měla neprodleně oznámit zranitelnosti v oblasti IT bezpečnosti, které nejsou dosud výrobcům veřejně známy. Agentura by neměla zastírat nebo využívat nezveřejněné zranitelnosti ve společnostech a produktech pro své vlastní účely. Vývojem, nákupem a využíváním tzv. zadních vrátek informačních systémů za peníze daňových poplatníků orgány státní správy ohrožují bezpečnost občanů. Za účelem ochrany ostatních zúčastněných subjektů, které k těmto zranitelnostem přistupují odpovědně, by agentura měla navrhnout politiky odpovědné výměny informací o nulové ochranné lhůtě a jiných typech zranitelností v oblasti bezpečnosti, které dosud nejsou veřejně známé a které usnadňují uzavírání zranitelností;

•  aby EU dohnala IT bezpečnostní průmysl ve třetích zemích, měla by agentura určit a iniciovat zahájení dlouhodobého projektu IT bezpečnosti EU, jehož rozsah by byl srovnatelný s tím, co bylo učiněno pro letecký průmysl v případě společnosti Airbus.

Návrh Komise by neměl používat pojem „kybernetická bezpečnost“, neboť je z právního hlediska vágní a mohl by vést k nejistotě. Namísto tohoto zpravodaj navrhuje nahradit termín „kybernetická bezpečnost“ výrazem „IT bezpečnost“ s cílem zlepšit právní jistotu.

POZMĚŇOVACÍ NÁVRHY

Výbor pro občanské svobody, spravedlnost a vnitřní věci vyzývá Výbor pro průmysl, výzkum a energetiku jako věcně příslušný výbor, aby zohlednil následující pozměňovací návrhy:

Pozměňovací návrh    1

Návrh nařízení

Název

Znění navržené Komisí

Pozměňovací návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

o agentuře ENISA, Agentuře EU pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“)

o agentuře ENISA, Evropské agentuře pro bezpečnost sítí a informací, a zrušení nařízení (EU) č. 526/2013 a o certifikaci IT bezpečnosti informačních a komunikačních technologií („akt o IT bezpečnosti“)

 

(Tento pozměňovací návrh se vztahuje na celý text.

Odůvodnění

Přídavné jméno „kybernetická“ pochází z vědeckofantastických děl 60. let minulého století a je stále více používáno k popisu negativních aspektů internetu (kybernetický útok, kyberkriminalita atd.). Právně je však velmi vágní. Zpravodaj navrhuje pro zvýšení právní jistoty nahradit termín „kybernetická bezpečnost“ výrazem „IT bezpečnost“.

Pozměňovací návrh    2

Návrh nařízení

Bod odůvodnění 2

Znění navržené Komisí

Pozměňovací návrh

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné kybernetické bezpečnosti. Omezené využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích kybernetické bezpečnosti produktů a služeb IKT, což narušuje důvěru v digitální řešení.

(2)  Využívání sítí a informačních systémů občany, podniky a vládami v celé Unii je v současné době všudypřítomné. Digitalizace a konektivita se stávají hlavními prvky stále rostoucího počtu produktů a služeb a očekává se, že s nástupem internetu věcí budou v celé EU během příštího desetiletí připojeny miliony, ne-li miliardy, nových digitálních zařízení. I když je k internetu připojen rostoucí počet zařízení, tato zařízení nejsou konstruována s dostatečnými bezpečnostními prvky a odolností, což vede k nedostatečné IT bezpečnosti. Omezené a roztříštěné využívání certifikace v této souvislosti vede k tomu, že organizace a soukromí uživatelé nemají dostatečné informace o prvcích IT bezpečnosti produktů a služeb IKT, což narušuje důvěru v digitální řešení. Sítě IKT jsou páteří digitálních produktů a služeb, které mohou podpořit všechny aspekty našeho života a být hnací silou hospodářského růstu v Evropě. Aby se zajistilo plné dosažení cílů jednotného digitálního trhu, je třeba položit základní technologické stavební kameny, na nichž spočívají důležité oblasti, jako je elektronické zdravotnictví, IoT, umělá inteligence, kvantová technologie, inteligentní dopravní systémy a pokročilá výroba.

Pozměňovací návrh    3

Návrh nařízení

Bod odůvodnění 4

Znění navržené Komisí

Pozměňovací návrh

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se kybernetickou bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu kybernetické bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

(4)  Počet kybernetických útoků roste a propojená ekonomika a společnost, která je zranitelnější vůči kybernetickým hrozbám a útokům, vyžaduje silnější a spolehlivější ochranu. I když kybernetické útoky jsou často přeshraniční povahy, reakce orgánů zabývajících se IT bezpečností na úrovni opatření politiky a kompetence k vymáhání právních předpisů jsou převážně vnitrostátní. Rozsáhlé kybernetické incidenty by mohly narušit poskytování základních služeb v celé EU. To vyžaduje účinnou reakci a řešení krizí na úrovni EU, které budou vycházet ze speciálních politik a širších nástrojů pro evropskou solidaritu a vzájemnou pomoc. Kromě toho je proto pro tvůrce politik, odvětví a uživatele důležité provádět pravidelné posuzování stavu IT bezpečnosti a odolnosti v Unii, na základě spolehlivých unijních údajů, a také systematické předpovědi budoucího vývoje, výzev a hrozeb, a to jak na úrovni Unie, tak na celosvětové úrovni.

Pozměňovací návrh    4

Návrh nařízení

Bod odůvodnění 5

Znění navržené Komisí

Pozměňovací návrh

(5)  S ohledem na nárůst kybernetických bezpečnostních hrozeb, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci a koordinaci mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Je rovněž třeba další úsilí ke zvýšení informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti. Kromě toho důvěra v jednotný digitální trh by měla být dále posílena tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů a služeb IKT. Toto lze usnadnit celoevropskou certifikací, která bude poskytovat společné kybernetickobezpečnostní požadavky a hodnoticí kritéria napříč vnitrostátními trhy a odvětvími.

(5)  S ohledem na nárůst hrozeb pro IT bezpečnost, kterým Unie čelí, existuje potřeba komplexního souboru opatření, která by vycházela z předchozích opatření Unie a podporovala vzájemně se posilující cíle. Mezi tato opatření patří nutnost dále zvýšit schopnosti a připravenost členských států a podniků a rovněž zlepšit spolupráci a koordinaci mezi členskými státy a orgány, agenturami a institucemi EU. Kromě toho vzhledem k bezhraniční povaze kybernetických hrozeb existuje potřeba zvýšit schopnosti na úrovni Unie, které by mohly doplňovat opatření členských států, zejména v případě rozsáhlých přeshraničních kybernetických incidentů a krizí. Je rovněž třeba další úsilí k poskytnutí koordinované reakce EU a ke zvýšení informovanosti občanů a podniků o otázkách týkajících se IT bezpečnosti. Kromě toho důvěra v jednotný digitální trh by měla být dále posílena tím, že budou poskytovány transparentní informace o úrovni bezpečnosti produktů a služeb IKT. Toto lze usnadnit celoevropskou certifikací, která stanoví společné požadavky v oblasti IT bezpečnostiposkytne hodnoticí kritéria pro všechny vnitrostátní trhy a všechna odvětví. Vedle celounijní certifikace existuje řada dobrovolných opatření, která se liší podle toho, o jaký produkt, službu, použití nebo normu se jedná, a jsou trhem obecně přijímána. Tato opatření a přístup zdola nahoru, včetně začlenění bezpečnosti již do návrhu (security-by-design), použití mezinárodních norem a jejich zlepšování, by měla být podporována.

Pozměňovací návrh    5

Návrh nařízení

Bod odůvodnění 7

Znění navržené Komisí

Pozměňovací návrh

(7)  Unie již podnikla důležité kroky k zajištění kybernetické bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na kybernetické bezpečnostní hrozby a rizika. Ve snaze lépe chránit Evropany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti kybernetické bezpečnosti, směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Směrnice o bezpečnosti sítí a informací zavedla požadavky týkající se vnitrostátních kapacit v oblasti kybernetické bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech napříč odvětvími, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i poskytovatelé klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho účinný boj proti kyberkriminalitě je důležitou prioritou Evropského programu pro bezpečnost, a přispívá tak k celkovému cíli dosažení vysoké úrovně kybernetické bezpečnosti.

(7)  Unie již podnikla důležité kroky k zajištění IT bezpečnosti a zvýšení důvěry v digitální technologie. V roce 2013 byla přijata strategie kybernetické bezpečnosti EU jako základ pro politickou reakci Unie na hrozby a rizika týkající se IT bezpečnosti. Ve snaze lépe chránit Evropany v on-line prostředí Unie v roce 2016 přijala první legislativní akt v oblasti IT bezpečnosti, směrnici (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii („směrnice o bezpečnosti sítí a informací“). Směrnice o bezpečnosti sítí a informací, která je v souladu se strategií digitálního jednotného trhu a společně s dalšími nástroji, jako je směrnice .../..., [kterou se stanoví evropský kodex pro elektronické komunikace], nařízení Evropského parlamentu a Rady (EU) 2016/6791a a směrnice Evropského parlamentu a Rady 2002/58/ES1b, zavedla požadavky týkající se vnitrostátních kapacit v oblasti IT bezpečnosti, zřídila první mechanismy pro posílení strategické a operativní spolupráce mezi členskými státy a zavedla povinnosti týkající se bezpečnostních opatření a hlášení o incidentech ve všech odvětvích, která jsou zásadní pro hospodářství a pro společnost, jako například energetika, doprava, vodohospodářství, bankovnictví, infrastruktura finančního trhu, zdravotní péče a digitální infrastruktura, jakož i pro poskytovatele klíčových digitálních služeb (tj. internetové vyhledávače, služby cloud computingu a on-line tržiště). Klíčová role při podpoře provádění této směrnice byla přisouzena agentuře ENISA. Kromě toho je účinný boj proti kyberkriminalitě důležitou prioritou Evropského programu pro bezpečnost, a přispívá k celkovému cíli dosažení vysoké úrovně IT bezpečnosti.

 

_______________

 

1a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

 

1b Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických telekomunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

Pozměňovací návrh    6

Návrh nařízení

Bod odůvodnění 8

Znění navržené Komisí

Pozměňovací návrh

(8)  Je třeba poznamenat, že od přijetí strategie kybernetické bezpečnosti EU v roce 2013 a od poslední revize mandátu agentury se celkový politický kontext významně změnil, mimo jiné s ohledem na více nejisté a méně bezpečné globální prostředí. V této souvislosti a v rámci nové politiky Unie v oblasti kybernetické bezpečnosti je nezbytné přezkoumat mandát agentury ENISA, aby bylo možné vymezit její roli v měnícím se ekosystému kybernetické bezpečnosti a zajistit, že účinně přispívá k reakci Unie na kybernetické bezpečnostní výzvy plynoucí z radikálně transformovaných hrozeb, k čemuž, jak bylo uznáno při hodnocení agentury, není stávající mandát dostatečný.

(8)  Je třeba poznamenat, že od přijetí strategie kybernetické bezpečnosti EU v roce 2013 a od poslední revize mandátu agentury se celkový politický kontext významně změnil, mimo jiné s ohledem na více nejisté a méně bezpečné globální prostředí. V této souvislosti a v rámci nové politiky Unie v oblasti IT bezpečnosti je nezbytné přezkoumat mandát agentury ENISA, aby bylo možné vymezit její roli v měnícím se ekosystému IT bezpečnosti a zajistit, aby plnila vedoucí úlohu, čímž účinně zlepší reakci Unie na výzvy v oblasti IT bezpečnosti plynoucí z radikálně transformovaných hrozeb, k čemuž, jak bylo uznáno při hodnocení agentury, není stávající mandát dostatečný.

Pozměňovací návrh    7

Návrh nařízení

Bod odůvodnění 11

Znění navržené Komisí

Pozměňovací návrh

(11)  Vzhledem k nárůstu kybernetických bezpečnostních hrozeb, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely posílení úlohy a úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém.

(11)  Vzhledem k nárůstu hrozeb v oblasti IT bezpečnosti, kterým Unie čelí, by měly být navýšeny finanční a lidské zdroje přidělené agentuře, aby odrážely posílení úlohy a úkolů agentury a její zásadní postavení v ekosystému organizací bránících evropský digitální ekosystém. Je třeba věnovat náležitou pozornost dalšímu posilování kapacit agentury.

Odůvodnění

Je třeba řešit nedostatečnou kapacitu agentury. Vzhledem k tomu, jaký má kybernetická bezpečnost v dnešní době mimořádný význam a, co je důležitější, jaký bude mít význam v budoucnosti, je rovněž nezbytné usilovat o další rozvoj agentury. Je třeba vzít na vědomí ruské zásahy do voleb, zvyšování kapacit supervelmocí a států na celém světě a blížící se digitalizaci hlavních odvětví.

Pozměňovací návrh    8

Návrh nařízení

Bod odůvodnění 11 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(11a)  Výzvy v oblasti IT bezpečnosti jsou v digitálním věku často úzce propojeny s výzvami spojenými s ochranou údajů, ochranou soukromého života a ochranou elektronických komunikací. Aby byla agentura schopna na tyto výzvy odpovídajícím způsobem reagovat, je nezbytné, aby úzce spolupracovala a často tyto záležitosti konzultovala s orgány zřízenými podle nařízení Evropského parlamentu a Rady (ES) č. 45/20011a, nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (ES) č. 1211/2009 a s příslušným odvětvím a občanskou společností.

 

________________

 

1a Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

Pozměňovací návrh    9

Návrh nařízení

Bod odůvodnění 12

Znění navržené Komisí

Pozměňovací návrh

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k vnitrostátnímu úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy. Kromě toho by agentura měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Měl by být určen soubor úkolů, jenž by stanovil, jak má agentura plnit své cíle, a současně umožňoval flexibilitu jejích činností.

(12)  Agentura by měla rozvíjet a udržovat vysokou úroveň odborných znalostí a působit jako referenční bod, který díky své nezávislosti, kvalitě poskytovaného poradenství a informací, transparentnosti svých postupů a metod práce a pečlivosti, s níž plní svěřené úkoly, vytváří důvěru v jednotný trh. Agentura by měla aktivně přispívat k vnitrostátnímu úsilí a úsilí Unie a plnit své úkoly v plné spolupráci s orgány, institucemi a jinými subjekty Unie a s členskými státy. Kromě toho by agentura měla reagovat na podněty od soukromého sektoru a jiných příslušných zúčastněných stran a spolupracovat s nimi. Je třeba jasně určit konkrétní program, soubor úkolů a cíle, které má agentura plnit, přičemž by se patřičná pozornost měla věnovat potřebné flexibilitě její činnosti. Podle možností by měl být zachován nejvyšší stupeň transparentnosti a šíření informací.

Pozměňovací návrh    10

Návrh nařízení

Bod odůvodnění 14

Znění navržené Komisí

Pozměňovací návrh

(14)  Hlavním úkolem agentury je prosazovat jednotné provádění příslušného právního rámce, zejména účinné provádění směrnice o bezpečnosti sítí a informací, která je zásadní pro zvýšení kybernetické odolnosti. S ohledem na rychle se vyvíjející oblast kybernetických bezpečnostních hrozeb je zřejmé, že se členské státy musí opírat o komplexnější přístup k budování kybernetické odolnosti přesahující jednotlivé politiky.

(14)  Hlavním úkolem agentury je prosazovat jednotné provádění příslušného právního rámce, zejména účinné provádění směrnice o bezpečnosti sítí a informací, směrnice .../..., [kterou se stanoví evropský kodex pro elektronické komunikace], nařízení (EU) 2016/679 a směrnice 2002/58/ES, které jsou zásadní pro zvýšení kybernetické odolnosti. S ohledem na rychle se vyvíjející oblast hrozeb, pokud jde o IT bezpečnost, je zřejmé, že se členské státy musí opírat o komplexnější přístup k budování kybernetické odolnosti přesahující jednotlivé politiky.

Pozměňovací návrh    11

Návrh nařízení

Bod odůvodnění 21 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(21a)  Komise by v oblasti ochrany kritické informační infrastruktury měla navrhnout zavedení povinné spolupráce mezi členskými státy.

Pozměňovací návrh    12

Návrh nařízení

Bod odůvodnění 26

Znění navržené Komisí

Pozměňovací návrh

(26)  K lepšímu pochopení výzev v oblasti kybernetické bezpečnosti a s cílem poskytovat členským státům a orgánům Unie dlouhodobé strategické poradenství je třeba, aby agentura analyzovala současná a nově se objevující rizika. Za tímto účelem by agentura měla, ve spolupráci s členskými státy a případně statistickými orgány a dalšími subjekty, shromažďovat příslušné informace, provádět analýzy nově vznikajících technologií a poskytovat konkrétně zaměřená posouzení společenských, právních, hospodářských a regulačních dopadů technologických inovací na bezpečnost sítí a informací, zejména na kybernetickou bezpečnost. Agentura by měla také podporovat členské státy a orgány, instituce a jiné subjekty Unie při určování nových trendů a při předcházení problémům souvisejícím s kybernetickou bezpečností tak, že bude provádět analýzy hrozeb a incidentů.

(26)  K lepšímu pochopení výzev v oblasti IT bezpečnosti a s cílem poskytovat členským státům a orgánům Unie dlouhodobé strategické poradenství je třeba, aby agentura analyzovala současná a nově se objevující rizika, incidenty a zranitelnosti. Za tímto účelem by agentura měla, ve spolupráci s členskými státy a případně statistickými orgány a dalšími subjekty, shromažďovat příslušné informace, provádět analýzy nově vznikajících technologií a poskytovat konkrétně zaměřená posouzení společenských, právních, hospodářských a regulačních dopadů technologických inovací na bezpečnost sítí a informací, zejména na IT bezpečnost. Agentura by měla také podporovat členské státy a orgány, instituce a jiné subjekty Unie při určování nových trendů a při předcházení problémům souvisejícím s IT bezpečností tak, že bude provádět analýzy hrozeb, incidentůzranitelností.

Pozměňovací návrh    13

Návrh nařízení

Bod odůvodnění 28

Znění navržené Komisí

Pozměňovací návrh

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s kybernetickou bezpečností a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany a organizace. Agentura by rovněž měla přispívat k podpoře osvědčených postupů a řešení na úrovni jednotlivců a organizací, a to shromažďováním a analyzováním veřejně dostupných informací týkajících se závažných incidentů a sestavováním zpráv s cílem poskytnout podnikůmobčanům pokyny a zlepšit celkovou úroveň připravenostiodolnosti. Agentura by dále měla ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele s cílem podporovat bezpečnější chování jednotlivců na internetu a zvyšovat informovanost o potenciálních hrozbách v kyberprostoru, včetně počítačové kriminality jako phishingové útoky, botnety a finanční a bankovní podvody, a podporovat základní nástroje ověřování a ochrany údajů. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení.

(28)  Agentura by měla přispívat ke zvyšování informovanosti veřejnosti ohledně rizik souvisejících s IT bezpečností a poskytovat pokyny a osvědčené postupy pro jednotlivé uživatele zaměřené na občany a organizace. Za účelem zlepšení celkové úrovně připravenosti a odolnosti by agentura rovněž měla přispívat k podpoře osvědčených postupů a řešení na úrovni jednotlivců a organizací, a to shromažďováním a analyzováním dostupných informací týkajících se závažných incidentů a sestavováním zpráv s cílem poskytnout pokyny podnikům, občanům a příslušným orgánům na unijnívnitrostátní úrovni. Agentura by dále měla ve spolupráci s členskými státy a orgány, institucemi a jinými subjekty Unie organizovat pravidelné veřejné vzdělávací kampaně pro koncové uživatele. Tyto kampaně by měly podporovat vzdělávání v oblasti IT bezpečnosti a bezpečnější chování jednotlivců na internetu a zvyšovat informovanost o potenciálních hrozbách v kyberprostoru, včetně počítačové kriminality jako jsou phishingové útoky, botnety a finanční a bankovní podvody, padělání a nezákonný obsah, a také podporovat ochranu údajů a základní ověřování, aby se zamezilo krádeži údajů a totožnosti. Agentura by rovněž měla hrát ústřední úlohu při urychlování informovanosti koncových uživatelů o bezpečnosti zařízení.

Pozměňovací návrh    14

Návrh nařízení

Bod odůvodnění 28 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(28a)  Agentura by měla zvyšovat informovanost veřejnosti ohledně rizika falšování nebo odcizení údajů, které mohou vážný dopad na základní práva jednotlivců, představovat hrozbu pro právní stát a ohrožovat stabilitu demokratických společností, včetně demokratických procesů v členských státech.

Pozměňovací návrh    15

Návrh nařízení

Bod odůvodnění 30

Znění navržené Komisí

Pozměňovací návrh

(30)  Aby bylo zajištěno, že agentura plně dosahuje svých cílů, měla by spolupracovat s příslušnými orgány, institucemi a jinými subjekty, včetně skupiny CERT-EU, Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu, Evropské agentury pro provozní řízení rozsáhlých informačních systémů (eu-LISA), Evropské agentury pro bezpečnost letectví (EASA) a dalších agentur EU zapojených do kybernetické bezpečnosti. Měla by rovněž spolupracovat s orgány zabývajícími se ochranou údajů, a to za účelem výměny know-how a osvědčených postupů a poskytování poradenství ohledně aspektů kybernetické bezpečnosti, které mohou mít dopad na práci těchto orgánů. Zástupcům vnitrostátních a unijních donucovacích orgánů a orgánů na ochranu údajů by měla být umožněna účast ve stálé skupině zúčastněných stran agentury. Při spolupráci s donucovacími orgány týkající se aspektů bezpečnosti sítí a informací, které by mohly mít dopad na jejich práci, by agentura měla respektovat stávající informační kanály a zavedené sítě.

(30)  Aby bylo zajištěno, že agentura plně dosahuje svých cílů, měla by spolupracovat s příslušnými orgány, institucemi a jinými subjekty, včetně skupiny CERT-EU, Evropského centra pro boj proti kyberkriminalitě (EC3) při Europolu, Evropské agentury pro provozní řízení rozsáhlých informačních systémů (eu-LISA), Evropské agentury pro bezpečnost letectví (EASA), Agentury pro evropský globální navigační družicový systém a dalších agentur EU zapojených do IT bezpečnosti. Měla by rovněž spolupracovat s unijními a vnitrostátními orgány zabývajícími se ochranou údajů, a to za účelem výměny know-how a osvědčených postupů a poskytování poradenství ohledně aspektů IT bezpečnosti, které mohou mít dopad na práci těchto orgánů. Zástupcům vnitrostátních a unijních donucovacích orgánů a orgánů na ochranu údajů by měla být umožněna účast ve stálé skupině zúčastněných stran agentury. Při spolupráci s donucovacími orgány týkající se aspektů bezpečnosti sítí a informací, které by mohly mít dopad na jejich práci, by agentura měla respektovat stávající informační kanály a zavedené sítě.

Odůvodnění

S ohledem na problémy týkající se kybernetické bezpečnosti programu Galileo, zejména u pozemních segmentů, posílí spolupráce s Agenturou pro globální navigační družicové systémy úlohu agentury ENISA a současně zvýší důvěryhodnost tohoto programu.

Pozměňovací návrh    16

Návrh nařízení

Bod odůvodnění 35

Znění navržené Komisí

Pozměňovací návrh

(35)  Agentura by měla vybízet členské státy a poskytovatele služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní kybernetické bezpečnosti Poskytovatelé služeb a výrobci produktů by zejména měli stáhnout nebo recyklovat produkty a služby, které nesplňují normy kybernetické bezpečnosti. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně kybernetické bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili bezpečnost svých produktů a služeb, včetně kybernetické bezpečnosti.

(35)  Agentura by měla vybízet členské státy, výrobce hardwarusoftwaru a také poskytovatele IKT a online služeb, aby zvýšili své obecné standardy v oblasti bezpečnosti, a umožnili tak všem uživatelům internetu podniknout potřebné kroky k zajištění své vlastní IT bezpečnosti Poskytovatelé služeb a výrobci produktů by zejména měli stáhnout nebo recyklovat produkty a služby, které nesplňují normy IT bezpečnosti. Agentura ENISA může ve spolupráci s příslušnými orgány šířit informace týkající se úrovně IT bezpečnosti produktů a služeb nabízených na vnitřním trhu a vydávat varování, která jsou určená poskytovatelům a výrobcům a která od nich požadují, aby zvýšili IT bezpečnost svých produktů a služeb. Agentura by měla spolupracovat se zainteresovanými stranami na rozvoji celounijního přístupu k zodpovědnému zveřejňování zranitelností a měla by podporovat osvědčené postupy v této oblasti.

Pozměňovací návrh    17

Návrh nařízení

Bod odůvodnění 44

Znění navržené Komisí

Pozměňovací návrh

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Složení stálé skupiny zúčastněných stran a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit dostatečnou účast zúčastněných stran na činnosti agentury.

(44)  Pro pravidelný dialog se soukromým sektorem, organizacemi spotřebitelů a ostatními dotčenými zúčastněnými stranami by agentura měla mít stálou skupinu zúčastněných stran. Stálá skupina zúčastněných stran ustavená správní radou na návrh výkonného ředitele by se měla věnovat otázkám, které mají význam pro zúčastněné strany, a měla by je předkládat agentuře. Složení stálé skupiny zúčastněných stran a úkoly, jimiž je pověřena, které je třeba konzultovat zejména v rámci návrhu pracovního programu, by měly zajistit dostatečnou účast zúčastněných stran na činnosti agentury. Vzhledem k významu požadavků na certifikaci pro zajištění důvěryhodnosti internetu věcí by Komise měla zvážit zejména možnost přijmout prováděcí opatření, která by zajistila harmonizaci bezpečnostních norem pro zařízení pro internet věcí v celé Unii.

Pozměňovací návrh    18

Návrh nařízení

Bod odůvodnění 50

Znění navržené Komisí

Pozměňovací návrh

(50)  Certifikace kybernetické bezpečnosti produktů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro kybernetickou bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky kybernetické bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií a skutečného využití.

(50)  Certifikace IT bezpečnosti produktů a služeb IKT je v současné době využívána pouze v omezené míře. Pokud existuje, pak převážně na úrovni členských států nebo v rámci systémů podporovaných potřebami průmyslu. Certifikát vydaný jedním vnitrostátním orgánem pro IT bezpečnost v této souvislosti v zásadě není uznáván jinými členskými státy. Společnosti proto musí své produkty a služby certifikovat v několika členských státech, v nichž působí, například s cílem účastnit se vnitrostátních zadávacích řízení, přičemž tyto postupy pro ně mohou znamenat další náklady. Kromě toho, i když se objevují nové systémy, zdá se, že pokud jde o horizontální otázky IT bezpečnosti, např. v oblasti internetu věcí, neexistuje žádný jednotný a ucelený přístup. Stávající systémy vykazují významné nedostatky a rozdíly z hlediska pokrytí produktů, úrovní záruk, podstatných kritérií a skutečného využití. Kazuistický přístup by měl zajistit, aby se na služby a produkty vztahovaly odpovídající systémy certifikace. K účinnému zjišťování a omezování rizik, a aby se zabránilo zvýšení nákladů pro výrobce, je kromě toho nezbytné zaujmout přístup založený na analýze rizik.

Pozměňovací návrh    19

Návrh nařízení

Bod odůvodnění 52

Znění navržené Komisí

Pozměňovací návrh

(52)  S ohledem na výše uvedené je nezbytné zřídit evropský rámec pro certifikaci kybernetické bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace kybernetické bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty a služby IKT uznávané a používané ve všech členských státech. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací kybernetické bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Systémy by měly být nediskriminační a měly by být založeny na mezinárodních normách a/nebo na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

(52)  S ohledem na výše uvedené je nezbytné zřídit harmonizovaný evropský rámec pro certifikaci IT bezpečnosti, který stanoví hlavní horizontální požadavky pro evropské systémy certifikace IT bezpečnosti, které mají být vypracovány, a umožní, aby byly certifikáty pro produkty a služby IKT uznávané a používané ve všech členských státech. Evropský rámec by měl mít dvojí účel: na straně jedné by měl pomoci zvýšit důvěru v produkty a služby IKT, které byly certifikovány podle takových systémů. Na straně druhé by měl zabránit násobení protichůdných nebo odporujících si vnitrostátních certifikací IT bezpečnosti, a tím snížit náklady podniků působících na jednotném digitálním trhu. Systémy by měly být nediskriminační a měly by být založeny na mezinárodních normách nebo na normách Unie, pokud tyto normy nejsou neúčinné nebo nevhodné k dosažení cílů, které jsou v tomto ohledu oprávněné.

Pozměňovací návrh    20

Návrh nařízení

Bod odůvodnění 55

Znění navržené Komisí

Pozměňovací návrh

(55)  Účelem evropských systémů certifikace kybernetické bezpečnosti by mělo být zajistit, aby produkty a služby IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni záruky odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto produktů, procesů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit kybernetickobezpečnostní požadavky týkající se veškerých produktů a služeb IKT. Produkty a služby IKT a související potřeby v oblasti kybernetické bezpečnosti jsou natolik rozmanité, že je velmi obtížné přijít s obecnými kybernetickobezpečnostními požadavky, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu kybernetická bezpečnost, doplněný souborem konkrétních cílů v oblasti kybernetické bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace kybernetické bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů a služeb IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí, například prostřednictvím odkazu na normy nebo technické specifikace.

(55)  Účelem evropských systémů certifikace IT bezpečnosti by mělo být zajistit, aby produkty a služby IKT certifikované podle takového systému splňovaly konkrétní požadavky. Tyto požadavky se týkají schopnosti na dané úrovni záruky odolávat činnostem, které ohrožují přístupnost, autentičnost, neporušenost a důvěrnost ukládaných, předávaných nebo zpracovávaných údajů nebo souvisejících funkcí či služeb nabízených nebo dostupných prostřednictvím těchto produktů, procesů, služeb a systémů ve smyslu tohoto nařízení. V tomto nařízení není možné podrobně stanovit požadavky v oblasti IT bezpečnosti týkající se veškerých produktů a služeb IKT. Produkty a služby IKT a související potřeby v oblasti IT bezpečnosti jsou stejně jako jejich životní cyklus natolik rozmanité, že je velmi obtížné přijít s obecnými požadavky v oblasti IT bezpečnosti, které by byly všeobecně platné. Proto je pro účely certifikace nutné přijmout obecný a široký obsah pojmu IT bezpečnost, doplněný souborem konkrétních cílů v oblasti IT bezpečnosti, které je třeba zohlednit při navrhování evropských systémů certifikace IT bezpečnosti. Způsoby, jimiž bude těchto cílů u konkrétních produktů a služeb IKT dosaženo, by poté měly být dále podrobně specifikovány na úrovni jednotlivých systémů certifikace přijatých Komisí v úzké spolupráci s členskými státy a zúčastněnými průmyslovými subjekty, například prostřednictvím odkazu na normy nebo technické specifikace. Jednotlivé certifikační systémy by se měly navrhovat tak, aby byly všechny subjekty zapojené do vývoje příslušných produktů a služeb v oblasti IT motivovány k vypracování a přijetí standardů, norem a zásad, které by zajistily nejvyšší možnou míru bezpečnosti v průběhu celého jejich životního cyklu.

Pozměňovací návrh    21

Návrh nařízení

Bod odůvodnění 55 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(55a)  Aby se v budoucnu zabránilo vytváření obchodních bariér, měla by agentura ENISA vypracovat certifikační systém s celosvětovým dosahem. Při vypracovávání kritérií pro systém certifikace by měla tato agentura vést dialog s příslušnými partnery v daném odvětví, aby se zajistila proveditelnost na trhu.

Pozměňovací návrh    22

Návrh nařízení

Bod odůvodnění 56

Znění navržené Komisí

Pozměňovací návrh

(56)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty nebo služby IKT. Komisi by poté měla být svěřena pravomoc, aby na základě návrhu systému předloženého agenturou ENISA přijala evropský systém certifikace kybernetické bezpečnosti prostřednictvím prováděcích aktů. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace kybernetické bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace kybernetické bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci kybernetickobezpečnostních požadavků, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení a úroveň záruky, kterou mají zajistit: základní, významnou a/nebo vysokou.

(56)  Komisi by měla být svěřena pravomoc požádat agenturu ENISA, aby vypracovala návrhy systémů pro konkrétní produkty nebo služby IKT. Komisi by poté měla být svěřena pravomoc, aby na základě návrhu systému předloženého agenturou ENISA přijala evropský systém certifikace IT bezpečnosti prostřednictvím prováděcích aktů. S ohledem na obecný účel a bezpečnostní cíle stanovené v tomto nařízení by evropské systémy certifikace IT bezpečnosti přijaté Komisí měly určovat minimální soubor prvků týkajících se předmětu, rozsahu a fungování konkrétního systému. Ty by měly mimo jiné zahrnovat rozsah a předmět certifikace IT bezpečnosti včetně kategorií produktů a služeb IKT, na které se certifikace vztahuje, podrobnou specifikaci požadavků v oblasti IT bezpečnosti, například prostřednictvím odkazu na příslušnou normu nebo technickou specifikaci, konkrétní kritéria a metody hodnocení a úroveň záruky, kterou mají zajistit: základní, významnou nebo vysokou. Úroveň záruky by měla být stanovena na základě jednotlivých případů, aby se zajistilo, že na služby a výrobky IKT se vztahují odpovídající systémy certifikace, a měla by zohledňovat různé případy individuálního použití a vlastní odpovědnost a vzdělání uživatelů.

Pozměňovací návrh    23

Návrh nařízení

Bod odůvodnění 57

Znění navržené Komisí

Pozměňovací návrh

(57)  Využití evropské certifikace kybernetické bezpečnosti by mělo zůstat dobrovolné, pokud unijní nebo vnitrostátní právní předpisy nestanoví jinak. Avšak s cílem dosažení cílů tohoto nařízení a zabránění roztříštěnosti vnitřního trhu by vnitrostátní systémy nebo postupy certifikace kybernetické bezpečnosti pro produkty a služby IKT zahrnuté do evropského systému certifikace kybernetické bezpečnosti měly ode dne stanoveného Komisí prostřednictvím prováděcího aktu pozbýt účinnosti. Členské státy by navíc neměly zavádět nové vnitrostátní systémy stanovující systémy certifikace kybernetické bezpečnosti pro produkty a služby IKT, které jsou již zahrnuty do určitého evropského systému certifikace kybernetické bezpečnosti.

(57)  Využití evropské certifikace IT bezpečnosti by mělo zůstat dobrovolné, pokud unijní nebo vnitrostátní právní předpisy nestanovují jinak. Po této počáteční fázi a v závislosti na tom, jak dalece je členské státy uplatňují a nakolik je daný produkt nebo služba důležitá, je možné pro budoucí generace technologií a v reakci na politické cíle budoucnosti postupně zavést povinné systémy certifikace pro určité výrobky a služby IKT . Avšak s cílem dosažení cílů tohoto nařízení a zabránění roztříštěnosti vnitřního trhu by vnitrostátní systémy nebo postupy certifikace IT bezpečnosti pro produkty a služby IKT zahrnuté do evropského systému certifikace IT bezpečnosti měly ode dne stanoveného Komisí prostřednictvím prováděcího aktu pozbýt účinnosti. Členské státy by navíc neměly zavádět nové vnitrostátní systémy stanovující systémy certifikace IT bezpečnosti pro produkty a služby IKT, které jsou již zahrnuty do určitého evropského systému certifikace IT bezpečnosti.

Pozměňovací návrh    24

Návrh nařízení

Bod odůvodnění 58 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

(58a)  Agentura by měla navrhnout jasné základní požadavky v oblasti IT bezpečnosti. Tyto požadavky by měly být předloženy Komisi případně ve formě prováděcích aktů, a to pro všechna IT zařízení prodávaná nebo vyvážená z Unie. Tyto požadavky by se měly dále každé dva roky revidovat, aby se zajistilo jejich soustavné zlepšování. Tyto základní požadavky v oblasti IT bezpečnosti by měly zejména vyžadovat, aby zařízení neobsahovala žádné známé využitelné bezpečnostní zranitelnosti, aby byla schopná přijímat důvěryhodné bezpečnostní aktualizace, aby prodejce oznámil příslušným orgánům známé zranitelnosti a opravil nebo nahradil dotčená zařízení, a to do doby, než výrobce oznámí, že bezpečnostní podpora pro toto zařízení bude ukončena.

Pozměňovací návrh    25

Návrh nařízení

Čl. 1 – odst. 1 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  stanoví rámec pro zavedení evropského systému certifikace kybernetické bezpečnosti za účelem zajištění odpovídající úrovně kybernetické bezpečnosti produktů a služeb IKT v Unii. Tento rámec se použije, aniž jsou dotčena zvláštní ustanovení týkající se dobrovolné nebo povinné certifikace stanovená v jiných právních předpisech Unie.

b)  stanoví rámec pro zavedení evropského systému certifikace IT bezpečnosti za účelem zajištění odpovídající úrovně IT bezpečnosti produktů a služeb IKT v Unii. Tento rámec se použije, aniž jsou dotčena zvláštní ustanovení týkající se dobrovolné nebo povinné certifikace stanovená v jiných právních předpisech Unie.

Odůvodnění

Jedná se čistě o jazykovou úpravu k odstranění pleonasmu v návrhu Komise.

Pozměňovací návrh    26

Návrh nařízení

Čl. 2 – odst. 1 – bod 8

Znění navržené Komisí

Pozměňovací návrh

8)  „kybernetickou hrozbou“ jakákoliv potenciální okolnost nebo událost, která může nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a dotčené osoby;

8)  „kybernetickou hrozbou“ jakákoliv potenciální okolnost, schopnost nebo událost, která může nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a dotčené osoby;

Odůvodnění

Jedná se o přidání důležitého aspektu, zejména pokud jde o posuzování hrozeb.

Pozměňovací návrh    27

Návrh nařízení

Čl. 4 – odst. 3 – pododstavec 1 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Agentura se snaží zjišťovat zásadní slabiny unijní sítě zajišťující bezpečnost IT jako celku i slabiny sítí jednotlivých členských států. V případě, že to agentura považuje za nezbytné, je nutné o těchto slabinách informovat Evropský parlament.

Pozměňovací návrh    28

Návrh nařízení

Čl. 4 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Agentura zvyšuje schopnosti v oblasti kybernetické bezpečnosti na úrovni Unie s cílem doplňovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce na ně, zejména v případě přeshraničních incidentů.

5.  Agentura zvyšuje schopnosti v oblasti bezpečnosti IT na úrovni Unie s cílem doplňovat a podporovat opatření členských států v oblasti předcházení kybernetickým hrozbám a reakce na ně, zejména v případě přeshraničních incidentů.

Pozměňovací návrh    29

Návrh nařízení

Čl. 4 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Aby agentura zvýšila transparentnost záruk kybernetické bezpečnosti produktů a služeb IKT, a posílila tím důvěru v digitální vnitřní trh, prosazuje využívání certifikace, mimo jiné tím, že přispívá k zavedení a správě rámce pro certifikaci kybernetické bezpečnosti na úrovni Unie v souladu s hlavou III tohoto nařízení.

6.  Aby agentura zvýšila transparentnost záruk informačně-technologické bezpečnosti produktů a služeb IKT, a posílila tím důvěru v digitální vnitřní trh, prosazuje využívání certifikace, mimo jiné tím, že přispívá k vypracovávání unijních a mezinárodních norem v oblasti bezpečnosti IT, k zavedení a správě rámce pro certifikaci bezpečnosti IT na úrovni Unie v souladu s hlavou III tohoto nařízení.

Pozměňovací návrh    30

Návrh nařízení

Čl. 4 – odst. 7

Znění navržené Komisí

Pozměňovací návrh

7.  Agentura podporuje vysokou úroveň informovanosti občanů a podniků o otázkách týkajících se kybernetické bezpečnosti.

7.  Agentura podporuje vysokou úroveň informovanosti o otázkách týkajících se bezpečnosti v oblasti IT.

Odůvodnění

Je nutné zvyšovat informovanost nejen občanů a podniků, ale také všech příslušných aktérů v rámci společnosti, včetně orgánů a tvůrců právních předpisů. Tento pozměňovací návrh úmyslně nejmenuje subjekty, na něž je tato činnost zaměřena.

Pozměňovací návrh    31

Návrh nařízení

Čl. 5 – odst. 1 – bod 2

Znění navržené Komisí

Pozměňovací návrh

2.  je nápomocna členským státům při jednotném uplatňování politiky a práva Unie v oblasti kybernetické bezpečnosti, zejména pokud jde o směrnici (EU) 2016/1148, mimo jiné formou stanovisek, pokynů, poradenství a osvědčených postupů týkajících se témat jako řízení rizik, hlášení incidentů a sdílení informací, jakož i usnadňováním výměny souvisejících osvědčených postupů mezi příslušnými orgány;

2.  je nápomocna členským státům při jednotném uplatňování politiky a práva Unie v oblasti bezpečnosti IT, zejména pokud jde o směrnici (EU) 2016/1148, směrnici .../... [kterou se stanoví evropský kodex pro elektronické komunikace], nařízení (EU) 2016/679 a směrnici 2002/58/ES, mimo jiné formou stanovisek, pokynů, poradenství a osvědčených postupů týkajících se témat jako řízení rizik, hlášení incidentů a sdílení informací, jakož i usnadňováním výměny souvisejících osvědčených postupů mezi příslušnými orgány;

Pozměňovací návrh    32

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  pomáhá Evropskému sboru pro ochranu osobních údajů zřízenému nařízením (EU) 2016/679 ve vypracovávání pokynů s cílem upřesnit na technické úrovni podmínky umožňující správcům údajů legální použití osobních údajů pro účely bezpečnosti IT za účelem ochrany jejich infrastruktury, odhalování a blokování útoků na jejich informační systémy v rámci:

 

i) nařízení (EU) 2016/679;

 

ii) směrnice (EU) 2016/1148 a

 

iii) směrnice 2002/58/ES;

Pozměňovací návrh    33

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 b (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2b.  navrhuje pokyny s cílem zajistit, aby prodejci informačních a komunikačních technologií jednali s náležitou péčí za účelem včasného odstranění bezpečnostních slabin v oblasti IT u jejich produktů a služeb, aby jejich uživatelé nebyli nepřiměřeně vystaveni kyberkriminalitě;

Pozměňovací návrh    34

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 c (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2c.  navrhuje pokyny zavádějící značnou míru odpovědnosti a povinností všech zúčastněných stran (včetně koncových uživatelů), kteří jsou zapojeni do IKT ekosystémů;

Pozměňovací návrh    35

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 d (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2d.  v souladu s vnitrostátními právními předpisy navrhuje pokyny týkající se povinností provozovatelů kritických síťových infrastruktur v případě napadení jejich informačních systémů s dopadem na jejich uživatele v důsledku nedostatečné náležité péče ze strany některých uživatelů nebo samotného provozovatele, pokud provozovatel nepřijal přiměřená opatření k zabránění incidentu nebo ke zmírnění jeho dopadů na všechny uživatele;

Pozměňovací návrh    36

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 e (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2e.  navrhuje pokyny, které omezí nákup a používání nulové ochranné lhůty veřejnými orgány s cílem napadení informačních systémů; podporuje audity softwaru a financování odborných pracovníků;

Pozměňovací návrh    37

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 f (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2f.  navrhuje pokyny pro veřejné orgány, soukromé společnosti, výzkumníky, univerzity a jiné zúčastněné strany s cílem zveřejnit v rámci zodpovědného zveřejňování všechny kritické bezpečnostní slabiny, které nejsou dosud veřejně známy;

Pozměňovací návrh    38

Návrh nařízení

Čl. 5 – odst. 1 – bod 2 g (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2g.  navrhuje pokyny pro rozšíření používání „ověřitelného otevřeného kódu“ IT řešení ve veřejném sektoru, jakož i pro související využití automatických nástrojů s cílem usnadnit přezkum zdrojového kódu a snadno ověřit neexistenci zadních vrátek a dalších možných bezpečnostních slabin;

Pozměňovací návrh    39

Návrh nařízení

Čl. 6 – odst. 1 – písm. f a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

fa)  a v případě nutnosti spolupracovat s vnitrostátními orgány dozoru nad ochranou údajů;

Pozměňovací návrh    40

Návrh nařízení

Čl. 6 – odst. 2 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

2a.  Agentura usnadňuje zřízení a zahájení dlouhodobého evropského projektu bezpečnosti IT na podporu růstu nezávislého unijního odvětví bezpečnosti IT a začlenění bezpečnosti IT do vývoje informačních technologií v celé EU.

Odůvodnění

ENISA by měla poskytovat zákonodárcům poradenství, pokud jde o přípravu politik, které umožní EU dohnat odvětví bezpečnosti IT ve třetích zemích. Projekt by měl být co do rozsahu srovnatelný s tím, co již bylo dosaženo v leteckém průmyslu (např. u Airbusu). To je nezbytné pro rozvoj silnějšího, svrchovaného a důvěryhodného IKT odvětví v EU (viz studie oddělení vědeckých prognóz (STOA) PE 614.531).

Pozměňovací návrh    41

Návrh nařízení

Čl. 7 – odst. 5

Znění navržené Komisí

Pozměňovací návrh

5.  Na žádost jednoho nebo více dotčených členských států a výhradně pro účely poskytování poradenství ohledně předcházení budoucím incidentům agentura může provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. V případě, že tyto incidenty mají dopad na více než dva členské státy, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy.

5.  Na žádost jednoho členského státu a výhradně pro účely poskytování poradenství ohledně předcházení budoucím incidentům může agentura provádět technická šetření ex post, nebo k nim poskytovat podporu, a to v návaznosti na oznámení dotčených podniků o incidentech se závažným nebo významným dopadem podle směrnice (EU) 2016/1148. V případě, že tyto incidenty mají dopad na více než dva členské státy, agentura toto šetření provede rovněž na řádně odůvodněnou žádost Komise po dohodě s dotčenými členskými státy.

Rozsah šetření a postupy, jež se při provádění tohoto šetření použijí, schválí dotčené členské státy a agentura, přičemž tímto šetřením není dotčeno žádné probíhající trestní vyšetřování týkající se téhož incidentu. Šetření se uzavře závěrečnou technickou zprávou, kterou vypracuje agentura zejména na základě informací a připomínek, jež dotčené členské státy a podnik či podniky poskytly a s nimiž dotčené členské státy souhlasily. Shrnutí zprávy zaměřené na doporučení k předcházení budoucím incidentům je sdíleno se sítí CSIRT.

Rozsah šetření a postupy, jež se při provádění tohoto šetření použijí, schválí dotčené členské státy a agentura, přičemž tímto šetřením není dotčeno žádné probíhající trestní vyšetřování týkající se téhož incidentu, ani žádná vnitrostátní bezpečnostní opatření členských států. Šetření se uzavře závěrečnou technickou zprávou, kterou vypracuje agentura zejména na základě informací a připomínek, jež dotčené členské státy a podnik či podniky poskytly a s nimiž dotčené členské státy souhlasily. Shrnutí zprávy zaměřené na doporučení k předcházení budoucím incidentům je sdíleno se sítí CSIRT.

Pozměňovací návrh    42

Návrh nařízení

Čl. 7 – odst. 8 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

8a.  Agentura provádí na žádost orgánu, subjektu, úřadu nebo agentury Unie nebo některého členského státu pravidelné nezávislé audity bezpečnosti IT kritických infrastruktur s cílem zjistit případná doporučení k posílení jejich odolnosti.

Odůvodnění

ENISA by měla mít pravomoc provádět preventivní audit bezpečnosti IT jakékoli kritické infrastruktury orgánů členských států nebo orgánů a agentur EU.

Pozměňovací návrh    43

Návrh nařízení

Čl. 8 – odst. 1 – písm. a – bod 1

Znění navržené Komisí

Pozměňovací návrh

1)  vypracovává návrhy evropských systémů certifikace kybernetické bezpečnosti pro produkty a služby IKT v souladu s článkem 44 tohoto nařízení;

1)  vypracovává návrhy evropských systémů certifikace bezpečnosti IT pro produkty a služby IKT ve spolupráci s průmyslovými podniky a v souladu s článkem 44 tohoto nařízení;

Odůvodnění

V této oblasti je spolupráce s průmyslem důležitá.

Pozměňovací návrh    44

Návrh nařízení

Čl. 8 – odst. 1 – písm. c a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ca)  zavede systémy certifikace zabraňující prodejcům IKT a poskytovatelům služeb používat tajná zadní vrátka, jejichž cílem je úmyslně oslabit bezpečnost IT komerčních produktů a služeb a negativně ovlivnit globální bezpečnost internetu.

Odůvodnění

Tento prvek by mělo být jeden z hlavních cílů systémů certifikace.

Pozměňovací návrh    45

Návrh nařízení

Čl. 9 – odst. 1 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  shromažďuje, uspořádává a prostřednictvím specializovaného portálu zpřístupňuje veřejnosti informace o kybernetické bezpečnosti poskytnuté orgány, institucemi a jinými subjekty Unie;

d)  shromažďuje, uspořádává a prostřednictvím specializovaného portálu zpřístupňuje veřejnosti informace o bezpečnosti IT poskytnuté orgány, institucemi a jinými subjekty Unie a zpřístupněné členskými státy a veřejnými a soukromými zúčastněnými stranami;

Pozměňovací návrh    46

Návrh nařízení

Čl. 9 – odst. 1 – písm. e

Znění navržené Komisí

Pozměňovací návrh

e)  zvyšuje informovanost veřejnosti ohledně kybernetických bezpečnostních rizik a poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace;

e)  zvyšuje informovanost veřejnosti ohledně rizik ohrožujících bezpečnost IT, šíří příslušná opatření zaměřená na prevenci incidentů a poskytuje pokyny týkající se osvědčených postupů pro jednotlivé uživatele zaměřené na občany a organizace;

Pozměňovací návrh    47

Návrh nařízení

Čl. 9 – odst. 1 – písm. e a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ea)  vytváří síť vnitrostátních kontaktních míst v oblasti vzdělávání na podporu lepší koordinace a výměny osvědčených postupů mezi členskými státy používaných při vzdělávání a zvyšování informovanosti v oblasti bezpečnosti IT;

Pozměňovací návrh    48

Návrh nařízení

Čl. 9 – odst. 1 – písm. g

Znění navržené Komisí

Pozměňovací návrh

g)  ve spolupráci s členskými státy a orgány, institucemijinými subjekty Unie organizuje pravidelné informační kampaně za účelem zvýšení kybernetické bezpečnosti a jejího zviditelnění v Unii.

g)  ve spolupráci s členskými státy a orgány, institucemi, jinými subjekty Unie a jinými příslušnými zúčastněnými stranami organizuje pravidelné informační kampaně za účelem zvýšení bezpečnosti IT a jejího zviditelnění v Unii;

Pozměňovací návrh    49

Návrh nařízení

Čl. 9 – odst. 1 – písm. g a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

ga)  podporuje všeobecné přijetí přísných preventivních opatření týkajících se bezpečnosti IT a spolehlivých technologií zvyšujících ochranu soukromí všemi aktéry jednotného digitálního trhu EU jakožto první linii ochrany proti napadení informačních systémů.

Odůvodnění

Na základě stanoviska evropského inspektora ochrany údajů (k technologiím zvyšujícím ochranu soukromí). Úloha agentury ENISA by měla jít jednoznačně nad rámec podpory členských států, Evropské komise a agentur EU, ale měla by být viditelnější také v průmyslu a u široké veřejnosti.

Pozměňovací návrh    50

Návrh nařízení

Čl. 10 – odst. 1 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti kybernetické bezpečnosti s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

a)  poskytuje Unii a členským státům poradenství ohledně potřeb a priorit výzkumu v oblasti bezpečnosti IT a ochrany údajů a soukromí s cílem umožnit účinnou reakci na současná a nově vznikající rizika a hrozby, a to i pokud jde o nové a nově vznikající informační a komunikační technologie, a efektivně využívat technologie pro prevenci rizik;

Pozměňovací návrh    51

Návrh nařízení

Čl. 14 – odst. 1 – písm. m

Znění navržené Komisí

Pozměňovací návrh

m)  jmenuje výkonného ředitele a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

m)  jmenuje na základě výběru podle profesionálních kritérií výkonného ředitele a případně prodlužuje jeho funkční období nebo jej odvolává z funkce v souladu s článkem 33 tohoto nařízení;

Pozměňovací návrh    52

Návrh nařízení

Čl. 20 – odst. 1

Znění navržené Komisí

Pozměňovací návrh

1.  Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, akademičtí odborníci v oblasti kybernetické bezpečnosti a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

1.  Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z uznávaných odborníků zastupujících příslušné zúčastněné strany, jako jsou odvětví informačních a komunikačních technologií, poskytovatelé veřejně dostupných sítí nebo služeb elektronických komunikací, organizace spotřebitelů, evropské normalizační organizace, akademičtí odborníci v oblasti bezpečnosti IT a zástupci příslušných orgánů oznámených podle [směrnice, kterou se stanoví evropský kodex pro elektronické komunikace] i donucovacích orgánů a orgánů dozoru pro ochranu údajů.

Pozměňovací návrh    53

Návrh nařízení

Čl. 30 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Účetní dvůr má pravomoc provádět na základě kontroly dokumentů a inspekce na místě audit u všech příjemců grantů, zhotovitelů, dodavatelů nebo poskytovatelů a subdodavatelů, kteří od agentury obdrželi finanční prostředky Unie.

2.  Účetní dvůr má pravomoc provádět na základě kontroly dokumentů a inspekcí na místě audit u všech příjemců grantů, zhotovitelů, dodavatelů nebo poskytovatelů a subdodavatelů, kteří od agentury obdrželi finanční prostředky Unie.

Pozměňovací návrh    54

Návrh nařízení

Čl. 44 – odst. 2

Znění navržené Komisí

Pozměňovací návrh

2.  Při vypracovávání návrhu systému uvedeného v odstavci 1 tohoto článku agentura ENISA konzultuje všechny příslušné zúčastněné strany a úzce spolupracuje se skupinou. Skupina poskytne agentuře ENISA pomoc a odborné poradenství, které si agentura ENISA v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek.

2.  Při vypracovávání návrhu systému uvedeného v odstavci 1 tohoto článku agentura ENISA konzultuje všechny příslušné zúčastněné strany a úzce spolupracuje se skupinou a stálou skupinou zúčastněných stran. Skupina a stálá skupina zúčastněných stran poskytnou agentuře ENISA pomoc a odborné poradenství, které si agentura ENISA v souvislosti s vypracováním návrhu systému vyžádá, mimo jiné případným poskytováním stanovisek. Agentura ENISA může případně rovněž vytvořit pracovní skupinu zúčastněných stran pro certifikaci, která bude sestávat z členů stálé skupiny zúčastněných stran a dalších příslušných zúčastněných stran a bude poskytovat odborné poradenství v oblastech, jichž se bude týkat konkrétní návrh systému.

Odůvodnění

Průmyslové podniky by měly být do procesu vypracovávání a přípravy návrhů systému zapojeny prostřednictvím konzultačního procesu, v jehož rámci by poskytovaly odborné poradenství v zájmu účinné přípravy návrhů.

Pozměňovací návrh    55

Návrh nařízení

Čl. 44 – odst. 4

Znění navržené Komisí

Pozměňovací návrh

4.  V souladu s čl. 55 odst. 1 může Komise na základě návrhu systému vypracovaného agenturou ENISA přijímat prováděcí akty, kterými stanoví evropské systémy certifikace kybernetické bezpečnosti produktů a služeb IKT splňující požadavky článků 45, 46 a 47 tohoto nařízení.

4.  V souladu s čl. 55 odst. 1 může Komise na základě návrhu systému vypracovaného agenturou ENISA přijímat prováděcí akty, kterými stanoví evropské systémy certifikace informačně-technologické bezpečnosti produktů a služeb IKT splňující požadavky článků 45, 46 a 47 tohoto nařízení. Komise může před přijetím těchto prováděcích aktů konzultovat Evropský sbor pro ochranu osobních údajů a vzít v úvahu jeho názor.

Odůvodnění

Na základě stanoviska evropského inspektora ochrany údajů. Tento pozměňovací návrh zajišťuje soulad certifikací v rámci evropského rámce pro certifikaci kybernetické bezpečnosti a certifikací na základě obecného nařízení o ochraně osobních údajů.

Pozměňovací návrh    56

Návrh nařízení

Čl. 46 – odst. 2 – návětí

Znění navržené Komisí

Pozměňovací návrh

2.  Úrovně záruky „základní“, „významná“ a „vysoká“ splňují tato kritéria:

2.  Úrovně záruky „základní“, „významná“ a „vysoká” odkazují na certifikát vydaný v rámci evropského systému certifikace bezpečnosti IT, který poskytuje odpovídající stupeň důvěry v deklarované nebo uváděné informačně-technologické bezpečnostní vlastnosti produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je snížit riziko informačně-technologických bezpečnostních incidentů.

Pozměňovací návrh    57

Návrh nařízení

Čl. 46 – odst. 2 – písm. a

Znění navržené Komisí

Pozměňovací návrh

a)  základní úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje omezený stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je snížit riziko kybernetických bezpečnostních incidentů;

vypouští se

Pozměňovací návrh    58

Návrh nařízení

Čl. 46 – odst. 2 – písm. b

Znění navržené Komisí

Pozměňovací návrh

b)  významná úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje významný stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je významně snížit riziko kybernetických bezpečnostních incidentů;

vypouští se

Pozměňovací návrh    59

Návrh nařízení

Čl. 46 – odst. 2 – písm. c

Znění navržené Komisí

Pozměňovací návrh

c)  vysoká úroveň záruky odkazuje na certifikát vydaný v rámci evropského systému certifikace kybernetické bezpečnosti, který poskytuje vyšší stupeň důvěry v deklarované nebo uváděné kybernetickobezpečnostní kvality produktu nebo služby IKT než certifikáty s významnou úrovní záruky a je charakterizován odkazem na související technické specifikace, normy a postupy, včetně technických kontrol, jejichž účelem je předcházet kybernetickým bezpečnostním incidentům.

vypouští se

Pozměňovací návrh    60

Návrh nařízení

Čl. 47 – odst. 1 – písm. a a (nové)

Znění navržené Komisí

Pozměňovací návrh

 

aa)  subjekty posuzování shody a provádění auditů;

Pozměňovací návrh    61

Návrh nařízení

Čl. 47 – odst. 1 – písm. l

Znění navržené Komisí

Pozměňovací návrh

l)  označení vnitrostátních systémů certifikace kybernetické bezpečnosti pokrývajících stejný druh nebo kategorie produktů a služeb IKT;

l)  označení vnitrostátních systémů certifikace bezpečnosti IT podle článku 49 pokrývajících stejný druh nebo kategorie produktů a služeb IKT;

Pozměňovací návrh    62

Návrh nařízení

Čl. 48 – odst. 6

Znění navržené Komisí

Pozměňovací návrh

6.  Certifikáty se vydávají na období nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou nadále splněny příslušné požadavky.

6.  Certifikáty se vydávají na období, jehož maximální délka se stanoví pro každý systém na základě individuálního posouzení, které však nepřekročí pět let a lze je obnovit, pokud jsou nadále splněny příslušné požadavky.

Pozměňovací návrh    63

Návrh nařízení

Článek 48 a (nový)

Znění navržené Komisí

Pozměňovací návrh

 

Článek 48a

 

Základní požadavky v oblasti bezpečnosti IT

 

1.   Na základě svých zkušeností s rámcem pro certifikaci bezpečnosti IT navrhne agentura Komisi jasné minimální požadavky v oblasti bezpečnosti IT pro všechna IT zařízení prodávaná v Unii nebo vyvážená z Unie, jako jsou:

 

a)  povinnost výrobce poskytnout písemné potvrzení, že zařízení neobsahuje složky hardwaru, softwaru nebo firmwaru s jakýmikoli známými a využitelnými bezpečnostními slabinami;

 

b)  zařízení závisí na složkách softwaru nebo firmwaru, které mohou přijmout řádné ověřené a důvěryhodné aktualizace výrobce;

 

c)   součástí zařízení není žádné nešifrované heslo nebo přístupový kód; výrobce doloží funkce zařízení umožňující dálkový přístup a zabezpečí jej proti neoprávněnému přístupu nejpozději při instalaci; výrobce předem v zařízení nenastaví žádná pevně kódovaná standardní hesla; prodejce doloží možnosti uživatele týkající se aktualizace zařízení, přičemž jasně stanoví zodpovědnost v případě, že uživatel aktualizaci zařízení neprovede;

 

d)  povinnost výrobce, distributora a dovozce zařízení s připojením na internet a složek softwaru nebo firmwaru informovat příslušné orgány o všech známých bezpečnostních slabinách;

 

e)  povinnost výrobců zařízení s připojením na internet a složek softwaru nebo firmwaru poskytovat opravu nebo výměnu, pokud jde o jakékoli nově zjištěné bezpečnostní slabiny;

 

f)  povinnost výrobců zařízení s připojením na internet a složek softwaru nebo firmwaru poskytovat informace o tom, jak zařízení přijímá aktualizace bezpečnosti IT, o očekávaném harmonogramu ukončení informačně-technologické bezpečnostní podpory a o postupu pro informování uživatele;

 

2.   Agentura může navrhnout, aby se minimální požadavky na bezpečnost IT uvedené v odstavci 1 vztahovaly na zařízení IT z jednoho či několika konkrétních odvětví.

 

3.  Agentura každé dva roky přezkoumá a v případě potřeby změní požadavky na bezpečnost IT uvedené v odstavci 1 a předloží všechny změny v podobě návrhů Komisi.

 

4.  Komise může prostřednictvím prováděcích aktů a na základě posouzení dopadu rozhodnout, že navržené nebo změněné požadavky na bezpečnost IT uvedené v odstavcích 1 a 2 mají obecnou platnost v celé Unii. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 55 odst. 2.

 

5.  Komise zajistí odpovídající zviditelnění požadavků na bezpečnost IT, u nichž bylo rozhodnuto, že jsou obecně platné podle odstavce 3.

 

6.  Agentura všechny navržené požadavky na bezpečnost IT a jejich úpravy shromáždí v rejstříku a vhodným způsobem je zpřístupní veřejnosti.

Odůvodnění

Nahrazuje z důvodu jasnosti PN 19 písm. c) k návrhu stanoviska. Je důležité vytvořit odolné IT prostředí, které bude bránit kyberkriminalitě a chránit základní práva uživatelů informačních technologií. V tomto nařízení by proto měly být v rámci povinných základních prvků IT bezpečnosti v Unii stanoveny ambiciózní cíle v oblasti IT bezpečnosti.

Pozměňovací návrh    64

Návrh nařízení

Čl. 50 – odst. 6 – písm. d

Znění navržené Komisí

Pozměňovací návrh

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace kybernetické bezpečnosti;

d)  spolupracují s dalšími vnitrostátními orgány dozoru nad certifikací nebo jinými veřejnými orgány, jako jsou vnitrostátní orgány dozoru nad ochranou údajů, mimo jiné prostřednictvím sdílení informací o možných případech nesouladu produktů a služeb IKT s požadavky tohoto nařízení nebo konkrétních evropských systémů certifikace bezpečnosti IT;

Odůvodnění

Ze stanoviska evropského inspektora ochrany údajů.

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název

Nařízení o agentuře ENISA, „Agentuře EU pro kybernetickou bezpečnost“, kterým se zrušuje nařízení (EU) 526/2013, a o certifikaci bezpečnosti informačních a komunikačních technologií („zákon o kybernetické bezpečnosti“)

Referenční údaje

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Věcně příslušný výbor

       Datum oznámení na zasedání

ITRE

23.10.2017

 

 

 

Výbor, který vypracoval stanovisko

       Datum oznámení na zasedání

LIBE

23.10.2017

Zpravodaj(ka)

       Datum jmenování

Jan Philipp Albrecht

20.11.2017

Projednání ve výboru

25.1.2018

8.3.2018

 

 

Datum přijetí

8.3.2018

 

 

 

Výsledek konečného hlasování

+:

–:

0:

35

2

4

Členové přítomní při konečném hlasování

Asim Ademov, Jan Philipp Albrecht, Heinz K. Becker, Caterina Chinnici, Rachida Dati, Cornelia Ernst, Kinga Gál, Sylvie Guillaume, Monika Hohlmeier, Filiz Hyusmenova, Dietmar Köster, Barbara Kudrycka, Monica Macovei, Péter Niedermüller, Ivari Padar, Judith Sargentini, Birgit Sippel, Branislav Škripek, Sergei Stanishev, Traian Ungureanu, Josef Weidenholzer, Cecilia Wikström, Kristina Winberg, Auke Zijlstra

Náhradníci přítomní při konečném hlasování

Maria Grapini, Sylvia-Yvonne Kaufmann, Jeroen Lenaers, Andrejs Mamikins, Maite Pagazaurtundúa Ruiz, John Procter, Jaromír Štětina, Josep-Maria Terricabras, Axel Voss, Elissavet Vozemberg-Vrionidi

Náhradníci (čl. 200 odst. 2) přítomní při konečném hlasování

Andrea Bocskor, Reimer Böge, André Elissen, Ramón Jáuregui Atondo, Julia Reda, Rainer Wieland, Patricija Šulin

JMENOVITÉ KONEČNÉ HLASOVÁNÍVE VÝBORU POŽÁDANÉM O STANOVISKO

35

+

ALDE

Filiz Hyusmenova, Maite Pagazaurtundúa Ruiz, Cecilia Wikström

ECR

Monica Macovei, John Procter, Branislav Škripek

GUE/NGL

Cornelia Ernst

PPE

Asim Ademov, Heinz K. Becker, Andrea Bocskor, Rachida Dati, Kinga Gál, Barbara Kudrycka, Jeroen Lenaers, Jaromír Štětina, Patricija Šulin, Traian Ungureanu, Elissavet Vozemberg-Vrionidi, Rainer Wieland

S&D

Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Ramón Jáuregui Atondo, Sylvia-Yvonne Kaufmann, Dietmar Köster, Andrejs Mamikins, Péter Niedermüller, Ivari Padar, Birgit Sippel, Sergei Stanishev, Josef Weidenholzer

VERTS/ALE

Jan Philipp Albrecht, Julia Reda, Judith Sargentini, Josep-Maria Terricabras

2

-

ENF

André Elissen, Auke Zijlstra

4

0

EFDD

Kristina Winberg

PPE

Reimer Böge, Monika Hohlmeier, Axel Voss

Význam zkratek:

+  :  pro

-  :  proti

0  :  zdrželi se

  • [1]  Návrh nařízení Evropského parlamentu a Rady o agentuře ENISA, Agentuře EU pro kybernetickou bezpečnost, a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („akt o kybernetické bezpečnosti“) předložený Evropskou komisí, COM(2017) 477 final/2.
  • [2]  Německý ústavní soud, rozsudek ze dne 27. února 2008, věci 1 BvR 370/07, 1 BvR 595/07.

POSTUP V PŘÍSLUŠNÉM VÝBORU

Název

Nařízení o agentuře ENISA, „Agentuře EU pro kybernetickou bezpečnost“, kterým se zrušuje nařízení (EU) 526/2013, a o certifikaci bezpečnosti informačních a komunikačních technologií („zákon o kybernetické bezpečnosti“)

Referenční údaje

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Datum předložení EP

13.9.2017

 

 

 

Věcně příslušný výbor

       Datum oznámení na zasedání

ITRE

23.10.2017

 

 

 

Výbory požádané o stanovisko

       Datum oznámení na zasedání

AFET

8.2.2018

BUDG

23.10.2017

IMCO

23.10.2017

LIBE

23.10.2017

Nezaujetí stanoviska

       Datum rozhodnutí

AFET

4.12.2017

 

 

 

Přidružené výbory

       Datum oznámení na zasedání

IMCO

18.1.2018

 

 

 

Zpravodajové

       Datum jmenování

Angelika Niebler

27.10.2017

 

 

 

Projednání ve výboru

21.3.2018

23.4.2018

 

 

Datum přijetí

10.7.2018

 

 

 

Výsledek konečného hlasování

+:

–:

0:

56

5

1

Členové přítomní při konečném hlasování

Zigmantas Balčytis, Bendt Bendtsen, Xabier Benito Ziluaga, José Blanco López, David Borrelli, Jonathan Bullock, Cristian-Silviu Buşoi, Jerzy Buzek, Angelo Ciocca, Edward Czesak, Jakop Dalunde, Pilar del Castillo Vera, Christian Ehler, Fredrick Federley, Ashley Fox, Adam Gierek, Theresa Griffin, Rebecca Harms, Barbara Kappel, Krišjānis Kariņš, Jeppe Kofod, Jaromír Kohlíček, Peter Kouroumbashev, Zdzisław Krasnodębski, Christelle Lechevalier, Janusz Lewandowski, Edouard Martin, Tilly Metz, Csaba Molnár, Nadine Morano, Angelika Niebler, Morten Helveg Petersen, Miroslav Poche, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Neoklis Sylikiotis, Dario Tamburrano, Patrizia Toia, Evžen Tošenovský, Vladimir Urutchev, Kathleen Van Brempt, Henna Virkkunen, Lieve Wierinck, Hermann Winkler, Anna Záborská, Flavio Zanonato, Carlos Zorrinho

Náhradníci přítomní při konečném hlasování

Michał Boni, Rosa D’Amato, Eugen Freund, Gunnar Hökmark, Benedek Jávor, Werner Langen, Olle Ludvigsson, Marisa Matias, Gesine Meissner, Pavel Telička

Náhradníci (čl. 200 odst. 2) přítomní při konečném hlasování

Romeo Franz, Emilian Pavel, Ulrike Rodust

Datum předložení

30.7.2018

JMENOVITÉ KONEČNÉ HLASOVÁNÍV PŘÍSLUŠNÉM VÝBORU

56

+

ALDE

Fredrick Federley, Gesine Meissner, Morten Helveg Petersen, Pavel Telička, Lieve Wierinck

ECR

Edward Czesak, Ashley Fox, Zdzisław Krasnodębski, Evžen Tošenovský

EFDD

Rosa D'Amato, Dario Tamburrano

ENF

Barbara Kappel, Christelle Lechevalier

NI

David Borrelli

PPE

Bendt Bendtsen, Michał Boni, Cristian-Silviu Buşoi, Jerzy Buzek, Pilar del Castillo Vera, Christian Ehler, Gunnar Hökmark, Krišjānis Kariņš, Werner Langen, Janusz Lewandowski, Nadine Morano, Angelika Niebler, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Vladimir Urutchev, Henna Virkkunen, Hermann Winkler, Anna Záborská

S&D

Zigmantas Balčytis, José Blanco López, Eugen Freund, Adam Gierek, Theresa Griffin, Jeppe Kofod, Peter Kouroumbashev, Olle Ludvigsson, Edouard Martin, Csaba Molnár, Emilian Pavel, Miroslav Poche, Ulrike Rodust, Patrizia Toia, Kathleen Van Brempt, Flavio Zanonato, Carlos Zorrinho

VERTS/ALE

Jakop Dalunde, Romeo Franz, Rebecca Harms, Benedek Jávor, Tilly Metz

5

-

EFDD

Jonathan Bullock

GUE/NGL

Xabier Benito Ziluaga, Jaromír Kohlíček, Marisa Matias, Neoklis Sylikiotis

1

0

ENF

Angelo Ciocca

Význam zkratek:

+  :  pro

-  :  proti

0  :  zdrželi se

Poslední aktualizace: 29. srpna 2018
Právní upozornění - Ochrana soukromí