Verfahren : 2017/0225(COD)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : A8-0264/2018

Eingereichte Texte :

A8-0264/2018

Aussprachen :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Abstimmungen :

PV 12/03/2019 - 9.17
Erklärungen zur Abstimmung

Angenommene Texte :

P8_TA(2019)0151

BERICHT     ***I
PDF 2034kWORD 264k
30.7.2018
PE 619.373v03-00 A8-0264/2018

über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Ausschuss für Industrie, Forschung und Energie

Berichterstatterin: Angelika Niebler

Verfasser der Stellungnahme (*):

Nicola Danti, Ausschuss für Binnenmarkt und Verbraucherschutz

(*) Assoziierter Ausschuss – Artikel 54 der Geschäftsordnung

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS
 BEGRÜNDUNG
 STELLUNGNAHME des Ausschusses für Binnenmarkt und Verbraucherschutz
 STELLUNGNAHME des Haushaltsausschusses
 STELLUNGNAHME des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres
 VERFAHREN DES FEDERFÜHRENDEN AUSSCHUSSES
 NAMENTLICHE SCHLUSSABSTIMMUNG IM FEDERFÜHRENDEN AUSSCHUSS

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS

zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

–  unter Hinweis auf den Vorschlag der Kommission an das Europäische Parlament und den Rat (COM(2017)0477),

–  gestützt auf Artikel 294 Absatz 2 und Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C8-0310/2017),

–  gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–  unter Hinweis auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 14. Februar 2018(1),

–  gestützt auf Artikel 59 seiner Geschäftsordnung,

–   unter Hinweis auf die vom französischen Senat im Rahmen des Protokolls Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vorgelegte begründete Stellungnahme, in der geltend gemacht wird, dass der Entwurf eines Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,

–  unter Hinweis auf den Bericht des Ausschusses für Industrie, Forschung und Energie sowie die Stellungnahmen des Ausschusses für Binnenmarkt und Verbraucherschutz, des Haushaltsausschusses sowie des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (A8-0264/2018),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie ihren Vorschlag durch einen anderen Text ersetzt, entscheidend ändert oder beabsichtigt, ihn entscheidend zu ändern;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

Änderungsantrag    1

Vorschlag für eine Verordnung

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1)  Netz- und Informationssysteme sowie Telekommunikationsnetze und ‑dienste spielen eine lebenswichtige Rolle für die Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnik bildet das Rückgrat der komplexen Systeme, die gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

(1)  Netz- und Informationssysteme sowie Telekommunikationsnetze und ‑dienste spielen eine lebenswichtige Rolle für die Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnik (im Folgenden „IKT“) bildet das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und die Volkswirtschaften der EU in Schlüsselbereichen der Wirtschaft wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

Änderungsantrag    2

Vorschlag für eine Verordnung

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2)  Die Nutzung von Netz- und Informationssystemen durch Bürger, Unternehmen und Behörden ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten Millionen, wenn nicht Milliarden vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. Vor diesem Hintergrund führt die geringe Zertifizierung dazu, dass Personen, die IKT-Produkte und -Dienste für unternehmerische oder private Zwecke nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird.

(2)  Die Nutzung von Netz- und Informationssystemen durch Bürger, Unternehmen und Behörden ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten Millionen, wenn nicht Milliarden vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte nicht schon bei der Konzeption ausreichend berücksichtigt wurden. Vor diesem Hintergrund führt die geringe Verbreitung von Zertifizierung dazu, dass Personen, die IKT-Produkte, -Prozesse und -Dienste für unternehmerische oder private Zwecke nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird. Das Ziel, diese Aspekte zu stärken, ist das Herzstück der Reformagenda der Kommission, die auf die Schaffung eines digitalen Binnenmarkts abzielt, zumal IKT-Netze das Rückgrat digitaler Produkte und Dienste bilden, die das Potenzial haben, das Leben in jeder Hinsicht zu erleichtern und die wirtschaftliche Entwicklung Europas voranzutreiben. Damit die Zielsetzungen des digitalen Binnenmarkts umfassend verwirklicht werden, müssen die technologischen Grundsteine gelegt worden sein, auf denen wichtige Bereiche wie elektronische Gesundheitsdienste (eHealth), das Internet der Dinge, künstliche Intelligenz, Quantentechnologie, intelligente Verkehrssysteme und fortschrittliche Fertigung aufbauen.

Änderungsantrag    3

Vorschlag für eine Verordnung

Erwägung 3

Vorschlag der Kommission

Geänderter Text

(3)  Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personengruppen wie Kinder ausgesetzt sind. Um dieser Gefahr für die Gesellschaft zu begegnen, gilt es alle für die Erhöhung der Cybersicherheit in der EU notwendigen Maßnahmen zu ergreifen, um die Netz- und Informationssysteme, die Telekommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Privatpersonen, Behörden und Unternehmen – von KMU bis zu Betreibern kritischer Infrastrukturen – genutzt werden, vor Cyberbedrohungen zu schützen.

(3)  Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personengruppen wie Kinder ausgesetzt sind. Um dieser Gefahr für die Gesellschaft zu begegnen, gilt es alle für die Erhöhung der Cybersicherheit in der EU notwendigen Maßnahmen zu ergreifen, um die Netz- und Informationssysteme, die Telekommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Privatpersonen, Behörden und Unternehmen – von KMU bis zu Betreibern kritischer Infrastrukturen – genutzt werden, vor Cyberbedrohungen zu schützen. In dieser Hinsicht ist der von der Kommission am 17. Januar 2018 veröffentlichte Aktionsplan für digitale Bildung ein Schritt in die richtige Richtung, um Menschen bei der sicheren und verantwortungsbewussten Nutzung von Technologie zu unterstützen, insbesondere mit seiner EU-weiten, an Lehrkräfte, Eltern und Lernende gerichteten Sensibilisierungskampagne zur Förderung der sicheren Nutzung des Internets, von Cyberhygiene und Medienkompetenz, sowie mit der Initiative zur schulischen Vermittlung von Cybersicherheit auf der Grundlage des Referenzrahmens für digitale Kompetenzen der Bürger.

Änderungsantrag    4

Vorschlag für eine Verordnung

Erwägung 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(3a)  Die Ziele und Aufgaben der ENISA sollten weiter an die in der Gemeinsamen Mitteilung enthaltenen Hinweise in Bezug auf die Förderung von Cyberhygiene und Sensibilisierung angepasst werden. Die Fähigkeit zur Abwehr von Cyberangriffen kann durch die Umsetzung grundlegender Prinzipien der Cyberhygiene erworben werden.

Änderungsantrag    5

Vorschlag für eine Verordnung

Erwägung 3 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(3b)  Die ENISA sollte der Cybersicherheitsbranche der Union und insbesondere KMU und Start-up-Unternehmen, die bei der Entwicklung innovativer Lösungen im Bereich der Cyberabwehr eine Schlüsselrolle spielen, verstärkt praktische und informationsbasierte Unterstützung anbieten und eine engere Zusammenarbeit mit universitären Forschungseinrichtungen und großen Akteuren fördern, um im Bereich der Cybersicherheit die Abhängigkeit von Fremdprodukten zu reduzieren und eine strategische Lieferkette in der Union aufzubauen.

Änderungsantrag    6

Vorschlag für eine Verordnung

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4)  Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

(4)  Cyberangriffe nehmen zu, und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz mit stärkeren Sicherheitsvorkehrungen. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Im Bereich der Cyberabwehr besteht ein großer und ständig wachsender Ausbildungsbedarf, der am effizientesten durch Zusammenarbeit auf Unionsebene gedeckt werden kann. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

Änderungsantrag    7

Vorschlag für eine Verordnung

Erwägung 5

Vorschlag der Kommission

Geänderter Text

(5)  Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbaut und sich wechselseitig verstärkende Ziele unterstützt. Dies beinhaltet eine weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Stellen der EU. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die einzelstaatliche Maßnahmen vor allem dann ergänzen könnten, wenn es sich um grenzüberschreitende Cybersicherheitsvorfälle und ‑krisen von großem Ausmaß handelt. Darüber hinaus sind weitere Anstrengungen notwendig, um die Bürgerinnen und Bürger sowie die Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Ferner ließe sich das Vertrauen in den digitalen Binnenmarkt weiter erhöhen, wenn transparente Informationen über das Niveau der Sicherheit von IKT-Produkten und ‑Diensten zur Verfügung stünden. Erleichtert werden kann dies durch eine Zertifizierung, für die über nationale Märkte und Sektoren hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden.

(5)  Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbaut und sich wechselseitig verstärkende Ziele unterstützt. Dies umfasst die weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit und Koordinierung und einen besseren Informationsaustausch zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die einzelstaatliche Maßnahmen vor allem dann ergänzen könnten, wenn es sich um grenzüberschreitende Cybersicherheitsvorfälle und ‑krisen von großem Ausmaß handelt, während betont werden muss, dass die nationalen Fähigkeiten zur Reaktion auf Cyberbedrohungen jeglichen Umfangs unbedingt bewahrt und verbessert werden müssen. Darüber hinaus sind weitere Anstrengungen notwendig, um ein koordiniertes Vorgehen der EU zu erreichen und die Bürgerinnen und Bürger sowie die Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Ferner ließe sich das Vertrauen in Anbieter digitaler Dienste und in den digitalen Binnenmarkt als solchen, das durch Cybersicherheitsvorfälle insbesondere unter den Verbrauchern untergraben wird, weiter erhöhen, wenn transparente Informationen über das Niveau der Sicherheit von IKT-Produkten, Prozessen und ‑Diensten zur Verfügung stünden, mit denen vor allem darauf aufmerksam gemacht wird, dass auch durch eine Cybersicherheitszertifizierung auf hohem Niveau eine hundertprozentige Sicherheit eines IKT-Produkts oder Dienstes nicht garantiert werden kann. Erleichtert werden kann dies durch eine Zertifizierung, für die über nationale Märkte und Branchen hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden, sowie durch die Förderung von Cyberkompetenz. Neben der unionsweiten Zertifizierung gibt es angesichts der zunehmenden Verbreitung von IoT-Geräten zahlreiche freiwillige Maßnahmen, die die Privatwirtschaft ergreifen sollte, um das Vertrauen in die Sicherheit von IKT-Produkten, ‑Prozessen und ‑Diensten zu verbessern, wie etwa Verschlüsselungsverfahren und die Blockketten-Technologie. Die der Agentur zur Verfügung gestellten Haushaltsmittel sollten im Verhältnis zu den Herausforderungen stehen, damit die Agentur unter den derzeitigen Gegebenheiten optimal tätig sein kann.

Änderungsantrag    8

Vorschlag für eine Verordnung

Erwägung 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(5a)  Um die europäischen Sicherheitssysteme und Cyberverteidigungssysteme auszubauen, müssen die Fähigkeiten der Mitgliedstaaten, umfassend auf Cyberbedrohungen und grenzüberschreitende Sicherheitsvorfälle zu reagieren, erhalten und ausgebaut werden, während eine Koordinierung auf EU-Ebene durch die Agentur nicht zu einer Verringerung der Fähigkeiten oder Anstrengungen der Mitgliedstaaten führen sollte.

Änderungsantrag    9

Vorschlag für eine Verordnung

Erwägung 5 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(5b)  Unternehmen und die einzelnen Verbraucher sollten über präzise Informationen über das Sicherheitsniveau ihrer IKT-Produkte verfügen. Gleichzeitig muss klar sein, dass kein Produkt hundertprozentige Cybersicherheit bietet und dass die grundlegenden Prinzipien der Cyberhygiene verbreitet werden sollten und ihnen Vorrang eingeräumt werden sollte.

Änderungsantrag    10

Vorschlag für eine Verordnung

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7)  Europa hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde eine EU-Cybersicherheitsstrategie verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dienen soll. Im Zuge ihrer Bemühungen, den Online-Schutz der Europäerinnen und Europäer zu erhöhen, verabschiedete die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union den ersten Rechtsakt auf dem Gebiet der Cybersicherheit (im Folgenden die „NIS-Richtlinie“). Mit der NIS-Richtlinie wurden Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt sowie Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Sektoren, die für die Wirtschaft und Gesellschaft lebenswichtig sind (Energie, Verkehr, Wasserwirtschaft, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastrukturen) sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt. Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als ein Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda.

(7)  Die Union hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde eine EU-Cybersicherheitsstrategie verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dienen soll. Im Zuge ihrer Bemühungen, den Online-Schutz der Europäerinnen und Europäer zu erhöhen, verabschiedete die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union den ersten Rechtsakt auf dem Gebiet der Cybersicherheit (im Folgenden die „NIS-Richtlinie“). Mit der NIS-Richtlinie, deren Erfolg stark von der wirksamen Umsetzung durch die Mitgliedstaaten abhängt, wird die Strategie für einen digitalen Binnenmarkt umgesetzt, und es werden gemeinsam mit anderen Instrumenten, etwa der Richtlinie über den europäischen Kodex für die elektronische Kommunikation, der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG, Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt sowie Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Branchen, die für die Wirtschaft und Gesellschaft lebenswichtig sind (Energie, Verkehr, Wasserwirtschaft, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastrukturen), sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt. Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda.

Änderungsantrag    11

Vorschlag für eine Verordnung

Erwägung 8

Vorschlag der Kommission

Geänderter Text

(8)  Seit der Verabschiedung der EU-Cybersicherheitsstrategie im Jahr 2013 und der letzten Überarbeitung des Mandats der Agentur hat sich der gesamtpolitische Rahmen deutlich verändert, auch in Bezug auf die größeren Unwägbarkeiten und die geringere Sicherheit im globalen Umfeld. Vor diesem Hintergrund und angesichts der neuen Unionspolitik im Bereich der Cybersicherheit muss das Mandat der ENISA im Hinblick auf ihre neue Rolle in dem veränderten Cybersicherheitsökosystem überarbeitet werden, damit sie die Union wirksam darin unterstützen kann, auf die Herausforderungen im Bereich der Cybersicherheit zu reagieren, die sich aus dieser grundlegend veränderten Bedrohungslandschaft ergeben und für die, wie in der Bewertung der Agentur bestätigt, das laufende Mandat nicht ausreicht.

(8)  Seit der Verabschiedung der EU-Cybersicherheitsstrategie im Jahr 2013 und der letzten Überarbeitung des Mandats der Agentur hat sich der gesamtpolitische Rahmen deutlich verändert, auch in Bezug auf die größeren Unwägbarkeiten und die geringere Sicherheit im globalen Umfeld. Vor diesem Hintergrund und im Zusammenhang mit der positiven Rolle, die die Agentur in den vergangenen Jahren bei der Bündelung von Fachwissen, der Koordinierung und dem Aufbau von Fähigkeiten gespielt hat, sowie angesichts der neuen Unionspolitik im Bereich der Cybersicherheit muss das Mandat der ENISA im Hinblick auf ihre neue Rolle im veränderten Cybersicherheitsumfeld überarbeitet werden, damit sie die Union wirksam dabei unterstützen kann, auf die Herausforderungen im Bereich der Cybersicherheit zu reagieren, die sich aus dieser grundlegend veränderten Bedrohungslandschaft ergeben und für die, wie in der Bewertung der Agentur bestätigt, das laufende Mandat nicht ausreicht.

Änderungsantrag    12

Vorschlag für eine Verordnung

Erwägung 11

Vorschlag der Kommission

Geänderter Text

(11)  Angesichts der zunehmenden Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die Agentur erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Kreise der Organisationen gerecht werden kann, die das digitale Ökosystem der EU verteidigen.

(11)  Angesichts der zunehmenden Bedrohungen und Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die Agentur erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Kreise der Organisationen gerecht werden kann, die das digitale Umfeld der EU verteidigen, sodass die ENISA die ihr mit der vorliegenden Verordnung übertragenen Aufgaben wirksam erfüllen kann.

Änderungsantrag    13

Vorschlag für eine Verordnung

Erwägung 12

Vorschlag der Kommission

Geänderter Text

(12)  Die Agentur sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren und Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, als Bezugspunkt Vertrauen in den Binnenmarkt schaffen. Die Agentur sollte die Bemühungen der Mitgliedstaaten und der Union proaktiv unterstützen und ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen. Außerdem sollte sich die Agentur auf die Beiträge des Privatsektors sowie auf die Zusammenarbeit mit diesem und anderen einschlägigen Interessenträgern stützen. Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die Agentur ihre Ziele erreichen soll.

(12)  Die Agentur sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren und Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, als Bezugspunkt Vertrauen in den Binnenmarkt schaffen. Die Agentur sollte die Bemühungen der Mitgliedstaaten und der Union proaktiv unterstützen, ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen und dabei jedwede Doppelarbeit vermeiden, Synergien und Komplementarität fördern und somit für Koordinierung sorgen und finanzielle Einsparungen erzielen. Außerdem sollte sich die Agentur auf die Beiträge des Privatsektors und des öffentlichen Sektors sowie auf die Zusammenarbeit mit diesen und mit anderen einschlägigen Interessenträgern stützen. Durch die Festlegung einer klaren Agenda sowie klar definierter Aufgaben und Zielsetzungen sollte vorgegeben werden, wie die Agentur ihre Ziele erreichen soll, wobei der für ihre Tätigkeit erforderlichen Flexibilität gebührend Rechnung zu tragen ist. Soweit wie möglich sollten größtmögliche Transparenz und eine möglichst umfassende Verbreitung von Informationen gesichert werden.

Änderungsantrag    14

Vorschlag für eine Verordnung

Erwägung 12 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(12a)  Die Rolle der Agentur und insbesondere ihre koordinierende Rolle gegenüber den Mitgliedstaaten und deren einzelstaatlichen Behörden und die Möglichkeit, dass die Agentur als zentrale Anlaufstelle für die Mitgliedstaaten und die Organe und Einrichtungen der EU dient, sollten laufend bewertet und rechtzeitig überprüft werden. Die Rolle der Agentur bei der Verhinderung einer Fragmentierung des Binnenmarkts und der möglichen Einführung von verpflichtenden Systemen für die Cybersicherheitszertifizierung, falls die zukünftige Lage eine derartige Veränderung erforderlich macht, sollte ebenfalls bewertet werden, genauso wie die Rolle der Agentur bei der Bewertung von Produkten aus Drittstaaten, die auf den EU-Markt gelangen, und der möglichen Erstellung von schwarzen Listen von Unternehmen, die gegen die EU-Kriterien verstoßen.

Änderungsantrag    15

Vorschlag für eine Verordnung

Erwägung 12 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(12b)  Damit sie die operative Zusammenarbeit mit den Mitgliedstaaten angemessen unterstützen kann, sollte die ENISA ihre eigenen technischen Fähigkeiten und Fachkenntnisse weiter ausbauen. Zu diesem Zweck sollte die Agentur ihren Bestand an Personal, das sich dieser Aufgabe widmet, schrittweise erhöhen, um in der Lage zu sein, die verschiedenen Arten von Cybersicherheitsbedrohungen und Schadprogrammen unabhängig voneinander zu erfassen und zu analysieren, forensische Analysen durchzuführen und die Mitgliedstaaten bei der Reaktion auf massive Sicherheitsvorfälle zu unterstützen. Damit keine Doppelstrukturen zu den bestehenden Kapazitäten in den Mitgliedstaaten entstehen, sollte die ENISA ihr Know-how und ihre Kapazitäten auf der Grundlage der in den Mitgliedstaaten vorhandenen Ressourcen ausbauen, insbesondere indem nationale Sachverständige an die Agentur entsandt werden, Pools von Sachverständigen gebildet werden, Personalaustauschprogramme durchgeführt werden usw. Bei der Auswahl der in diesem Bereich tätigen Mitarbeiter sollte die Agentur schrittweise sicherstellen, dass sie die geeigneten Kriterien für eine angemessene Unterstützung erfüllen.

Änderungsantrag    16

Vorschlag für eine Verordnung

Erwägung 13

Vorschlag der Kommission

Geänderter Text

(13)  Die Agentur sollte die Kommission, auch in Bezug auf den Schutz kritischer Infrastrukturen und die Fähigkeit zur Abwehr von Cyberangriffen, mit Beratung, Stellungnahmen und Analysen zu allen Angelegenheiten der Union, die mit der Ausarbeitung, Aktualisierung und Überprüfung von Strategien und Rechtsvorschriften im Bereich der Cybersicherheit zusammenhängen, unterstützen. Für sektorspezifische Strategien und Rechtsetzungsinitiativen der Union im Zusammenhang mit der Cybersicherheit sollte die Agentur als Bezugspunkt für Beratung und Sachkenntnis dienen.

(13)  Die Agentur sollte die Kommission, auch in Bezug auf den Schutz kritischer Infrastrukturen und die Fähigkeit zur Abwehr von Cyberangriffen, mit Beratung, Stellungnahmen und Analysen zu allen Angelegenheiten der Union, die mit der Ausarbeitung, Aktualisierung und Überprüfung von Strategien und Rechtsvorschriften im Bereich der Cybersicherheit zusammenhängen, unterstützen. Für branchenspezifische Strategien und Legislativinitiativen der Union im Zusammenhang mit der Cybersicherheit sollte die Agentur als Bezugspunkt für Beratung und Sachkenntnis dienen. Ihre Sachkenntnis wird insbesondere bei der Ausarbeitung des mehrjährigen Arbeitsprogramms der Union für europäische Systeme für die Cybersicherheitszertifizierung benötigt werden. Die Agentur sollte das Parlament regelmäßig über den aktuellen Stand im Bereich Cybersicherheit und hinsichtlich der Entwicklung ihres Aufgabenbereichs informieren und Analysen und Bewertungen zu diesen Themen vorlegen.

Änderungsantrag    17

Vorschlag für eine Verordnung

Erwägung 14

Vorschlag der Kommission

Geänderter Text

(14)  Die Agentur hat grundsätzlich die Aufgabe, die einheitliche Umsetzung des einschlägigen Rechtsrahmens, vor allem die wirksame Umsetzung der NIS-Richtlinie, zu unterstützen, was für die Stärkung der Abwehrfähigkeit gegen Cyberangriffe unerlässlich ist. Angesichts der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit müssen die Mitgliedstaaten beim Aufbau der Abwehrfähigkeit gegen Cyberangriffe natürlich mit einem umfassenderen und ressortübergreifenden Konzept unterstützt werden.

(14)  Die Agentur hat grundsätzlich die Aufgabe, die einheitliche Umsetzung des einschlägigen Rechtsrahmens, vor allem die wirksame Umsetzung der NIS-Richtlinie, der Richtlinie über den europäischen Kodex für die elektronische Kommunikation, der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG zu unterstützen, was für die Stärkung der Abwehrfähigkeit gegen Cyberangriffe unerlässlich ist. Angesichts der sich rasch weiterentwickelnden Bedrohungen für die Cybersicherheit müssen die Mitgliedstaaten beim Aufbau der Abwehrfähigkeit gegen Cyberangriffe natürlich mit einem umfassenderen und ressortübergreifenden Konzept unterstützt werden.

Änderungsantrag    18

Vorschlag für eine Verordnung

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15)  Die Agentur sollte die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten in ihrem Bemühen um den Auf- und Ausbau der Fähigkeiten und der Bereitschaft zur Verhütung, Erkennung und Bewältigung von Cybersicherheitsproblemen und von Sicherheitsvorfällen im Zusammenhang mit der Netz- und Informationssicherheit unterstützen. So sollte die Agentur den Auf- und Ausbau der nationalen CSIRTs unterstützen, damit sie ein unionsweit hohes Maß an Ausgereiftheit erreichen. Zudem sollte die Agentur die Ausarbeitung und Aktualisierung von Strategien der Union und der Mitgliedstaaten im Bereich der Netz- und Informationssysteme, insbesondere der Cybersicherheit, unterstützen, deren Verbreitung fördern und deren Umsetzung verfolgen. Die Agentur sollte öffentlichen Stellen auch Ausbildungsmaßnahmen und Ausbildungsmaterial anbieten und gegebenenfalls Ausbilder weiterbilden, um die Mitgliedstaaten darin zu unterstützen, eigene Ausbildungskapazitäten aufzubauen.

(15)  Die Agentur sollte die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten in ihrem Bemühen um den Auf- und Ausbau der Fähigkeiten und der Bereitschaft zur Verhütung, Erkennung und Bewältigung von Cybersicherheitsproblemen und von Sicherheitsvorfällen im Zusammenhang mit der Netz- und Informationssicherheit unterstützen. So sollte die Agentur den Auf- und Ausbau der nationalen CSIRTs unterstützen, damit sie ein unionsweit hohes Maß an Ausgereiftheit erreichen. Zudem sollte die Agentur die Ausarbeitung und Aktualisierung von Strategien der Union und der Mitgliedstaaten im Bereich der Sicherheit der Netz- und Informationssysteme, insbesondere der Cybersicherheit, unterstützen, deren Verbreitung fördern und deren Umsetzung verfolgen. Da menschliches Versagen eines der wichtigsten Risiken für die Cybersicherheit ist, sollte die Agentur öffentlichen Stellen auch Ausbildungsmaßnahmen und Ausbildungsmaterial anbieten und Ausbilder möglichst umfassend weiterbilden, um die Mitgliedstaaten und die Organe und Einrichtungen der Union dabei zu unterstützen, eigene Ausbildungskapazitäten aufzubauen. Die Agentur sollte zudem als Anlaufstelle für die Mitgliedstaaten und die Organe der Union dienen, die die Möglichkeit haben sollten, die Agentur im Rahmen ihrer Zuständigkeiten und Aufgaben um Unterstützung zu ersuchen.

Änderungsantrag    19

Vorschlag für eine Verordnung

Erwägung 18

Vorschlag der Kommission

Geänderter Text

(18)  Die Agentur sollte die nationalen Berichte der CSIRTs und des CERT-EU zusammenstellen und auswerten und darüber hinaus für den Informationsaustausch gemeinsame Regeln aufstellen, die Sprache festlegen und terminologische Vereinbarungen treffen. Im Rahmen der NIS-Richtlinie, die mit der Errichtung des CSIRTs-Netzes die Grundlage für den freiwilligen Austausch technischer Informationen auf operativer Ebene geschaffen hat, sollte die Agentur auch den Privatsektor einbeziehen.

(18)  Die Agentur sollte die nationalen Berichte der CSIRTs und des CERT-EU zusammenstellen und auswerten und darüber hinaus für den Informationsaustausch gemeinsame Regeln aufstellen, die Sprache festlegen und terminologische Vereinbarungen treffen. Im Rahmen der NIS-Richtlinie, die mit der Errichtung des CSIRTs-Netzes die Grundlage für den freiwilligen Austausch technischer Informationen auf operativer Ebene geschaffen hat, sollte die Agentur auch den Privatsektor und den öffentlichen Sektor einbeziehen.

Änderungsantrag    20

Vorschlag für eine Verordnung

Erwägung 19

Vorschlag der Kommission

Geänderter Text

(19)  Die Agentur sollte dazu beitragen, dass bei massiven grenzüberschreitenden Cybersicherheitsvorfällen und -krisen eine Reaktion auf EU-Ebene erfolgt. Hierzu sollte sie u. a. relevante Informationen zusammenstellen und den Kontakt zwischen dem CSIRTs-Netz und den Fachkreisen sowie den für das Krisenmanagement zuständigen Entscheidungsträgern erleichtern. Zudem könnte die Agentur die Bewältigung von Sicherheitsvorfällen aus technischer Sicht unterstützen, indem sie den Austausch entsprechender technischer Lösungen zwischen den Mitgliedstaaten erleichtert und Beiträge für die Öffentlichkeitsarbeit liefert. Die Agentur sollte den Prozess unterstützen, indem sie die Modalitäten einer solchen Zusammenarbeit im Rahmen jährlich stattfindender Cybersicherheitsübungen testet.

(19)  Die Agentur sollte dazu beitragen, dass bei massiven grenzüberschreitenden Cybersicherheitsvorfällen und -krisen eine Reaktion auf EU-Ebene erfolgt. Hierzu sollte sie u. a. staatliche Stellen der Mitgliedstaaten zusammenbringen und sie bei der Koordinierung ihrer Reaktion unterstützen, relevante Informationen zusammenstellen und den Kontakt zwischen dem CSIRTs-Netz und den Fachkreisen sowie den für das Krisenmanagement zuständigen Entscheidungsträgern erleichtern. Zudem könnte die Agentur die Bewältigung von Sicherheitsvorfällen aus technischer Sicht unterstützen, indem sie etwa den Austausch entsprechender technischer Lösungen zwischen den Mitgliedstaaten erleichtert und Beiträge für die Öffentlichkeitsarbeit liefert. Die Agentur sollte den Prozess unterstützen, indem sie die Modalitäten einer solchen Zusammenarbeit im Rahmen jährlich stattfindender Cybersicherheitsübungen testet. Die Agentur sollte die Zuständigkeiten der Mitgliedstaaten im Bereich der Cybersicherheit, insbesondere in Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich, achten.

Änderungsantrag    21

Vorschlag für eine Verordnung

Erwägung 25

Vorschlag der Kommission

Geänderter Text

(25)  Die Mitgliedstaaten können die von dem Sicherheitsvorfall betroffenen Unternehmen auffordern, mit der Agentur zusammenzuarbeiten und dieser unbeschadet ihres Rechts, sensible Geschäftsinformationen zu schützen, die notwendigen Informationen und Hilfen zur Verfügung stellen.

(25)  Die Mitgliedstaaten können die von dem Sicherheitsvorfall betroffenen Unternehmen auffordern, mit der Agentur zusammenzuarbeiten und dieser unbeschadet ihres Rechts, sensible Geschäftsinformationen und Informationen, die für die öffentliche Sicherheit von Bedeutung sind, zu schützen, die notwendigen Informationen und Hilfen zur Verfügung stellen.

Änderungsantrag    22

Vorschlag für eine Verordnung

Erwägung 26

Vorschlag der Kommission

Geänderter Text

(26)  Um die Herausforderungen im Bereich der Cybersicherheit besser verstehen und den Mitgliedstaaten und EU-Organen langfristige strategische Beratung anbieten zu können, muss die Agentur aktuelle und neu auftretende Risiken analysieren. Hierzu sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls Statistikämtern und anderen Stellen einschlägige Informationen sammeln und Analysen neu entstehender Technik sowie themenspezifische Bewertungen dazu durchführen, welche gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Folgen technische Innovationen auf die Netz- und Informationssicherheit, insbesondere die Cybersicherheit, haben. Die Agentur sollte die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der EU darüber hinaus bei der Ermittlung sich abzeichnender Trends und bei der Vermeidung von Problemen im Zusammenhang mit der Cybersicherheit unterstützen, indem sie Analysen der Bedrohungen und Sicherheitsvorfälle durchführt.

(26)  Um die Herausforderungen im Bereich der Cybersicherheit besser verstehen und den Mitgliedstaaten und EU-Organen langfristige strategische Beratung anbieten zu können, muss die Agentur aktuelle und neu auftretende Risiken, Sicherheitsvorfälle, Bedrohungen und Sicherheitslücken analysieren. Hierzu sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und, falls angemessen, Statistikämtern und anderen Stellen einschlägige Informationen sammeln und Analysen neu entstehender Technik sowie themenspezifische Bewertungen dazu durchführen, welche gesellschaftlichen, rechtlichen, wirtschaftlichen und regulatorischen Folgen technische Innovationen auf die Netz- und Informationssicherheit, insbesondere die Cybersicherheit, haben. Die Agentur sollte die Mitgliedstaaten sowie die Organe, Einrichtungen und sonstigen Stellen der EU darüber hinaus bei der Ermittlung sich abzeichnender Trends und bei der Vermeidung von Problemen im Zusammenhang mit der Cybersicherheit unterstützen, indem sie Analysen der Bedrohungen, Sicherheitsvorfälle und Sicherheitslücken durchführt.

Änderungsantrag    23

Vorschlag für eine Verordnung

Erwägung 27

Vorschlag der Kommission

Geänderter Text

(27)  Um die Abwehrfähigkeit der Union zu stärken, sollte die Agentur Spitzenkompetenzen im Bereich der Sicherheit der Internetinfrastruktur und kritischer Infrastrukturen aufbauen, um so Beratung, Leitlinien und bewährte Verfahren zur Verfügung stellen zu können. Um den Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen zu erleichtern, sollte die Agentur das Informationsportal der Union aufbauen und pflegen, über das der Öffentlichkeit Informationen der Organe, Einrichtungen und sonstigen Stellen der EU und der Mitgliedstaaten zur Cybersicherheit gegeben werden.

(27)  Um die Abwehrfähigkeit der Union zu stärken, sollte die Agentur Spitzenkompetenzen im Bereich der Sicherheit der Internetinfrastruktur und kritischer Infrastrukturen aufbauen, um so Beratung, Leitlinien und bewährte Verfahren zur Verfügung stellen zu können. Um den Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und mögliche Abhilfemaßnahmen zu erleichtern, sollte die Agentur das Informationsportal der Union aufbauen und pflegen, über das der Öffentlichkeit Informationen der Organe, Einrichtungen und sonstigen Stellen der EU und der Mitgliedstaaten zur Cybersicherheit gegeben werden. Ein leichterer Zugang zu besser strukturierten Informationen über Cybersicherheitsrisiken und potenzielle Problemlösungen dürfte den Mitgliedstaaten dabei helfen, ihre Kapazitäten auszubauen und ihre Verfahren aufeinander abzustimmen, sodass die Abwehrfähigkeit gegenüber Cyberangriffen insgesamt gestärkt wird.

Änderungsantrag    24

Vorschlag für eine Verordnung

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28)  Die Agentur sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, und Leitlinien für bewährte Verfahren zur Verfügung stellen, die sich an Bürger sowie an Organisationen wenden. Darüber hinaus sollte die Agentur einen Beitrag dazu leisten, bewährte Verfahren und Lösungen auf der Ebene von Einzelpersonen und Organisationen zu fördern, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte hierüber erstellt, die Unternehmen und Bürgern als Leitfaden dienen können und die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit insgesamt erhöhen. Ferner sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten und zum Ziel haben, sicherere Verhaltensweisen der Nutzer im Internet zu fördern, die Nutzer für potenzielle Bedrohungen im Internet – auch für die Cyberkriminalität wie das Abgreifen von Daten (Phishing), Botnets, Finanz- und Bankenbetrug – stärker zu sensibilisieren und einfache Empfehlungen in Bezug auf Authentifizierung und Datenschutz zu geben. Die Agentur sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten zu forcieren.

(28)  Die Agentur sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, unter anderem durch die Förderung von Schulungen, und Leitlinien für bewährte Verfahren zur Verfügung stellen, die sich an Bürger, Organisationen und Unternehmen wenden. Darüber hinaus sollte die Agentur einen Beitrag dazu leisten, bewährte Verfahren im Bereich Cyberhygiene, darunter verschiedene Verfahren, die zum Schutz von Nutzern und Unternehmen im Internet regelmäßig umgesetzt und durchgeführt werden sollten, und Lösungen auf der Ebene von Einzelpersonen, Organisationen und Unternehmen zu fördern, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte und Ratgeber hierüber erstellt und veröffentlicht, die Unternehmen und Bürgern als Leitfaden dienen können und die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit insgesamt erhöhen. Die ENISA sollte sich außerdem bemühen, Verbrauchern relevante Informationen über anwendbare Zertifizierungssysteme zur Verfügung zu stellen, indem sie beispielsweise Online- und Offline-Marktplätzen Leitlinien und Empfehlungen zur Verfügung stellt. Ferner sollte die Agentur gemäß dem Aktionsplan für digitale Bildung in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten und zum Ziel haben, sicherere Verhaltensweisen der Nutzer im Internet und digitale Kompetenzen zu fördern, die Nutzer stärker für potenzielle Bedrohungen im Internet – auch für die Cyberkriminalität wie das Abgreifen von Daten (Phishing), Botnets, Finanz- und Bankenbetrug – zu sensibilisieren und einfache Empfehlungen in Bezug auf mehrstufige Authentifizierung, Patching, Verschlüsselung, Anonymisierung und Datenschutz zu geben. Die Agentur sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten und die sichere Nutzung von Diensten zu forcieren und auf EU-Ebene für Sicherheit und Privatsphäre durch Technikgestaltung zu werben sowie die Sicherheitsvorfälle und deren Lösungen bekannt zu machen. Dabei muss die Agentur die verfügbaren bewährten Verfahren und die vorhandene Erfahrung insbesondere von Forschungseinrichtungen und Wissenschaftlern im Bereich IT-Sicherheit optimal nutzen. Da individuelle Fehler und fehlende Kenntnisse über Cyberrisiken einen entscheidenden Unsicherheitsfaktor im Bereich Cybersicherheit darstellen, sollte die Agentur mit angemessenen Ressourcen ausgestattet werden, um diese Funktion möglichst weitgehend auszuüben.

Änderungsantrag    25

Vorschlag für eine Verordnung

Erwägung 28 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(28a)  Die Agentur sollte die Öffentlichkeit für die Risiken des Datenbetrugs und -diebstahls sensibilisieren, die die Grundrechte natürlicher Personen erheblich beeinträchtigen, die Rechtsstaatlichkeit gefährden und die Stabilität demokratischer Gesellschaften sowie der demokratischen Prozesse in den Mitgliedstaaten erschüttern könnten.

Änderungsantrag    26

Vorschlag für eine Verordnung

Erwägung 30

Vorschlag der Kommission

Geänderter Text

(30)  Damit die Agentur ihre Ziele in vollem Umfang verwirklichen kann, sollte sie zu den einschlägigen Organen, Einrichtungen und sonstigen Stellen der EU Kontakt halten – etwa zum CERT-EU, zum Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol, zur Europäischen Verteidigungsagentur (EDA), zur Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA), zur Europäischen Agentur für Flugsicherheit (EASA) und zu sonstigen EU-Agenturen, die sich mit Fragen der Cybersicherheit beschäftigen. Für den Austausch von Know-how und bewährten Verfahren und für die Beratung zu Aspekten der Cybersicherheit, die sich auf die Arbeit von Datenschutzbehörden auswirken können, sollte die Agentur auch mit diesen in Verbindung stehen. Vertreter der Strafverfolgungs- und der Datenschutzbehörden auf nationaler Ebene und auf Unionsebene sollten als Vertreter für eine Mitwirkung in der Ständigen Gruppe der Interessenträger der Agentur in Frage kommen. Bei ihren Kontakten mit Strafverfolgungsbehörden in Bezug auf Netz- und Informationssicherheitsaspekte, die sich möglicherweise auf deren Arbeit auswirken, sollte die Agentur vorhandene Informationskanäle und bestehende Netze beachten.

(30)  Damit die Agentur ihre Ziele in vollem Umfang verwirklichen kann, sollte sie zu den einschlägigen Organen, Aufsichtsbehörden und anderen zuständigen Behörden, Einrichtungen und sonstigen Stellen der EU Kontakt halten – etwa zum CERT-EU, zum Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol, zur Europäischen Verteidigungsagentur (EDA), zur Agentur für das Europäische GNSS (GSA), zum Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK), zur Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA), zur Europäischen Zentralbank (EZB), zur Europäischen Bankenaufsichtsbehörde (EBA), zum Europäischen Datenschutzausschuss, zur Europäischen Agentur für Flugsicherheit (EASA) und zu sonstigen EU-Agenturen, die sich mit Fragen der Cybersicherheit beschäftigen. Für den Austausch von Know-how und bewährten Verfahren und für die Beratung zu Aspekten der Cybersicherheit, die sich auf deren Arbeit auswirken können, sollte die Agentur auch mit europäischen Normungsorganisationen, einschlägigen Interessenträgern und Datenschutzbehörden in Verbindung stehen. Vertreter der Strafverfolgungs- und der Datenschutzbehörden auf nationaler Ebene und auf Unionsebene sollten als Vertreter für eine Mitwirkung in der ENISA-Beratungsgruppe in Frage kommen. Bei ihren Kontakten mit Strafverfolgungsbehörden in Bezug auf Netz- und Informationssicherheitsaspekte, die sich möglicherweise auf deren Arbeit auswirken, sollte die Agentur vorhandene Informationskanäle und bestehende Netze beachten. Es sollten Partnerschaften mit Hochschulen eingerichtet werden, die in den einschlägigen Bereichen Forschungsinitiativen betreiben, und auch für Beiträge von Verbraucherschutzverbänden und anderen Organisationen, die stets analysiert werden sollten, sollten geeignete Kanäle zur Verfügung stehen.

Änderungsantrag    27

Vorschlag für eine Verordnung

Erwägung 31

Vorschlag der Kommission

Geänderter Text

(31)  Als Mitglied des CSIRTs-Netzes sollte die Agentur, die zudem das Sekretariat des Netzes stellt, über die in der NIS-Richtlinie festgelegten einschlägigen Aufgaben hinaus die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit unterstützen. Zudem sollte sie unter gebührender Berücksichtigung der Standardbetriebsverfahren des CSIRTs-Netzes die Zusammenarbeit zwischen den jeweiligen CSIRTs bei Sicherheitsvorfällen, Angriffen oder Störungen der von den CSIRTs verwalteten oder geschützten Netze oder Infrastrukturen, die mindestens zwei CERTs betreffen oder betreffen können, fördern und unterstützen.

(31)  Als Mitglied des CSIRTs-Netzes sollte die Agentur, die zudem das Sekretariat des Netzes stellt, über die in der NIS-Richtlinie festgelegten einschlägigen Aufgaben hinaus die CSIRTs der Mitgliedstaaten und das CERT-EU bei der operativen Zusammenarbeit unterstützen. Zudem sollte sie unter gebührender Berücksichtigung der Standardbetriebsverfahren des CSIRTs-Netzes die Zusammenarbeit zwischen den jeweiligen CSIRTs bei Sicherheitsvorfällen, Angriffen oder Störungen der von den CSIRTs verwalteten oder geschützten Netze oder Infrastrukturen, die mindestens zwei CERTs betreffen oder betreffen können, fördern und unterstützen. Auf Ersuchen der Kommission oder eines Mitgliedstaats kann die Agentur regelmäßige Audits der IT-Sicherheit kritischer grenzüberschreitender Infrastrukturen durchführen, um mögliche Cybersicherheitsrisiken sowie Empfehlungen zur Stärkung ihrer Widerstandsfähigkeit zu ermitteln.

Änderungsantrag    28

Vorschlag für eine Verordnung

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33)  Die Agentur sollte ihre Sachkenntnis im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, damit sie die Unionspolitik auf diesem Gebiet unterstützen kann. Die Agentur sollte die Nutzung der Cybersicherheitszertifizierung in der Union fördern, auch indem sie zum Aufbau und zur Pflege eines Cybersicherheitszertifizierungsrahmens auf Unionsebene beiträgt, um so die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten und -Diensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken.

(33)  Die Agentur sollte ihre Sachkenntnis im Bereich der Cybersicherheitszertifizierung weiter ausbauen und pflegen, damit sie die Unionspolitik auf diesem Gebiet unterstützen kann. Die Agentur sollte auf bestehenden bewährten Verfahren aufbauen und die Nutzung der Cybersicherheitszertifizierung in der Union fördern, auch indem sie zum Aufbau und zur Pflege eines Rahmens für die Cybersicherheitszertifizierung auf Unionsebene beiträgt, um so die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten und -Diensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken.

Änderungsantrag    29

Vorschlag für eine Verordnung

Erwägung 35

Vorschlag der Kommission

Geänderter Text

(35)  Die Agentur sollte die Mitgliedstaaten und die Diensteanbieter dazu anspornen, ihre allgemeinen Sicherheitsstandards zu heben, damit alle Internetnutzer die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit treffen können. So sollten Diensteanbieter und Produkthersteller diese Dienste und Produkte vom Markt nehmen oder umrüsten, wenn sie den Cybersicherheitsstandards nicht genügen. In Zusammenarbeit mit den zuständigen Behörden kann die ENISA Informationen über das Niveau der Cybersicherheit von Produkten und Diensten verbreiten, die auf dem Binnenmarkt angeboten werden, Anbieter und Hersteller verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer Produkte und Dienste zu verbessern.

(35)  Die Agentur sollte die Mitgliedstaaten, die Hersteller und die Diensteanbieter dazu anspornen, die allgemeinen Sicherheitsstandards ihrer IKT-Produkte, ‑Prozesse, ‑Dienste und ‑Systeme anzuheben, die den grundlegenden Sicherheitsanforderungen gemäß dem Grundsatz von Sicherheit durch Technikgestaltung und durch Voreinstellungen entsprechen sollten, insbesondere indem regelmäßig die notwendigen Aktualisierungen bereitgestellt werden, damit alle Internetnutzer geschützt werden können und Anreize erhalten, die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit zu treffen. So sollten Diensteanbieter und Produkthersteller diese Dienste und Produkte zurückrufen, vom Markt nehmen oder umrüsten, wenn sie den grundlegenden Anforderungen an die Cybersicherheit nicht genügen, während Importeure und Händler sicherstellen sollten, dass IKT-Produkte, Prozesse, Dienste und Systeme, die sie in der EU vermarkten, den geltenden Anforderungen genügen und kein Risiko für die europäischen Verbraucher darstellen. In Zusammenarbeit mit den zuständigen Behörden kann die ENISA Informationen über das Niveau der Cybersicherheit von Produkten und Diensten verbreiten, die auf dem Binnenmarkt angeboten werden, Anbieter und Hersteller verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer Produkte, Prozesse, Dienste und Systeme zu verbessern. Die Agentur sollte mit Interessenträgern zusammenarbeiten, um ein unionsweites Konzept zur verantwortungsvollen Offenlegung von Sicherheitslücken zu erstellen, und bewährte Verfahren auf diesem Gebiet fördern.

Änderungsantrag    30

Vorschlag für eine Verordnung

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36)  Die Agentur sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung – insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten – umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie gegebenenfalls die Mitgliedstaaten – auf deren Ersuchen – in Bezug auf den Forschungsbedarf im Bereich der Netz- und Informationssicherheit, insbesondere der Cybersicherheit, zu beraten.

(36)  Die Agentur sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung – insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten – umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten – auf deren bedarfsgestütztes Ersuchen – in Bezug auf den Forschungsbedarf im Bereich der Netz- und Informationssicherheit, insbesondere der Cybersicherheit, zu beraten. Insbesondere sollte eine Zusammenarbeit mit dem Europäischen Forschungsrat (ERC) und dem Europäischen Innovations- und Technologieinstitut (EIT) eingerichtet werden, und Sicherheitsforschung sollte in das 9. Forschungsrahmenprogramm (FP9) und Horizont 2020 aufgenommen werden.

Änderungsantrag    31

Vorschlag für eine Verordnung

Erwägung 36 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(36a)  Normen sind ein freiwilliges, marktgesteuertes Instrument, mit dem technische Anforderungen und Leitlinien bereitgestellt werden und das auf einem offenen, transparenten und alle Beteiligten einbeziehenden Verfahren beruht. Die Agentur sollte die Normungsgremien regelmäßig konsultieren und eng mit ihnen zusammenarbeiten, insbesondere bei der Ausarbeitung von europäischen Systemen für die Cybersicherheitszertifizierung.

Änderungsantrag    32

Vorschlag für eine Verordnung

Erwägung 37

Vorschlag der Kommission

Geänderter Text

(37)  Die Probleme der Cybersicherheit stellen sich weltweit. Um die Sicherheitsstandards, einschließlich der Festlegung gemeinsamer Verhaltensnormen, und den Informationsaustausch zu verbessern sowie eine zügigere internationale Zusammenarbeit bei der Abwehr und einen weltweiten gemeinsamen Ansatz für Probleme der Netz- und Informationssicherheit zu fördern, bedarf es einer engeren internationalen Zusammenarbeit. In dieser Hinsicht sollte die Agentur ein stärkeres Engagement der Union und die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen, indem sie den einschlägigen Organen, Einrichtungen und sonstigen Stellen der Union gegebenenfalls die erforderlichen Sachkenntnisse und Analysen zur Verfügung stellt.

(37)  Die Probleme der Cybersicherheit stellen sich weltweit. Um die Sicherheitsstandards, einschließlich der Festlegung gemeinsamer Verhaltensnormen und Verhaltenskodizes, die Verwendung internationaler Normen und den Informationsaustausch zu verbessern sowie eine zügigere internationale Zusammenarbeit bei der Abwehr und einen weltweiten gemeinsamen Ansatz für Probleme der Netz- und Informationssicherheit zu fördern, bedarf es einer engeren internationalen Zusammenarbeit. In dieser Hinsicht sollte die Agentur ein stärkeres Engagement der Union und die Zusammenarbeit mit Drittländern und internationalen Organisationen unterstützen, indem sie den einschlägigen Organen, Einrichtungen und sonstigen Stellen der Union erforderlichenfalls die erforderlichen Sachkenntnisse und Analysen zur Verfügung stellt.

Änderungsantrag    33

Vorschlag für eine Verordnung

Erwägung 40

Vorschlag der Kommission

Geänderter Text

(40)  Der Verwaltungsrat, der sich aus Vertretern der Mitgliedstaaten und der Kommission zusammensetzt, sollte die allgemeine Ausrichtung der Tätigkeit der Agentur festlegen und dafür sorgen, dass sie ihre Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte über die erforderlichen Befugnisse verfügen, um den Haushaltsplan zu erstellen und dessen Ausführung zu überprüfen, angemessene Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der Agentur festzulegen, das einheitliche Programmplanungsdokument der Agentur anzunehmen, sich eine Geschäftsordnung zu geben, den Exekutivdirektor zu ernennen und über die Verlängerung sowie die Beendigung der Amtszeit des Exekutivdirektors zu beschließen.

(40)  Der Verwaltungsrat, in dem die Mitgliedstaaten und die Kommission sowie Interessenträger der für die Ziele der Agentur wichtigen Bereiche vertreten sind, sollte die allgemeine Ausrichtung der Tätigkeit der Agentur festlegen und dafür sorgen, dass sie ihre Aufgaben im Einklang mit dieser Verordnung wahrnimmt. Der Verwaltungsrat sollte über die erforderlichen Befugnisse verfügen, um den Haushaltsplan zu erstellen und dessen Ausführung zu überprüfen, angemessene Finanzvorschriften und transparente Verfahren für die Entscheidungsfindung der Agentur festzulegen, das einheitliche Programmplanungsdokument der Agentur anzunehmen, sich eine Geschäftsordnung zu geben, den Exekutivdirektor zu ernennen und über die Verlängerung sowie die Beendigung der Amtszeit des Exekutivdirektors zu beschließen. Angesichts der hochgradig fachlichen und wissenschaftlichen Aufgaben der Agentur sollten die Mitglieder des Verwaltungsrats über angemessene Erfahrungen und gute Fachkenntnisse in den Bereichen verfügen, die zum Aufgabenbereich der Agentur gehören.

Änderungsantrag    34

Vorschlag für eine Verordnung

Erwägung 41

Vorschlag der Kommission

Geänderter Text

(41)  Damit die Agentur ihre Aufgaben ordnungsgemäß und effizient wahrnehmen kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die Personen, die als Mitglieder des Verwaltungsrats ernannt werden, über angemessenes Fachwissen und Erfahrung in Funktionsbereichen verfügen. Die Kommission und die Mitgliedstaaten sollten sich auch darum bemühen, die Fluktuation bei ihren jeweiligen Vertretern im Verwaltungsrat zu verringern, um die Kontinuität seiner Arbeit sicherzustellen.

(41)  Damit die Agentur ihre Aufgaben ordnungsgemäß und effizient wahrnehmen kann, sollten die Kommission und die Mitgliedstaaten sicherstellen, dass die Personen, die zu Mitgliedern des Verwaltungsrats ernannt werden, über angemessenes Fachwissen und Erfahrung in Funktionsbereichen verfügen. Die Kommission und die Mitgliedstaaten sollten sich auch darum bemühen, die Fluktuation bei ihren jeweiligen Vertretern im Verwaltungsrat zu verringern, um die Kontinuität seiner Arbeit sicherzustellen. Aufgrund des hohen Marktwerts der für die Arbeit der Agentur erforderlichen Fertigkeiten muss dafür gesorgt werden, dass die Gehälter und die sozialen Bedingungen für alle Mitarbeiter der Agentur wettbewerbsfähig sind, damit sichergestellt ist, dass die besten Sachverständigen sich für eine Stelle bei der Agentur entscheiden können.

Begründung

Um ein angemessenes Niveau an Fachkenntnissen zu erhalten, muss die ENISA auf einem hart umkämpften Markt ein wettbewerbsfähiger Arbeitgeber sein.

Änderungsantrag    35

Vorschlag für eine Verordnung

Erwägung 42

Vorschlag der Kommission

Geänderter Text

(42)  Damit die Agentur reibungslos funktioniert, ist es erforderlich, dass ihr Exekutivdirektor aufgrund seiner Verdienste und nachgewiesenen Verwaltungs- und Managementfähigkeiten ernannt wird, über einschlägige Sachkenntnis und Erfahrungen auf dem Gebiet der Cybersicherheit verfügt und seine Aufgaben völlig unabhängig wahrnimmt. Der Exekutivdirektor sollte nach Anhörung der Kommission einen Vorschlag für das Arbeitsprogramm der Agentur ausarbeiten und alle erforderlichen Maßnahmen zu dessen ordnungsgemäßer Durchführung ergreifen. Der Exekutivdirektor sollte einen Jahresbericht ausarbeiten, der dem Verwaltungsrat vorgelegt wird, den Entwurf eines Voranschlags für die Einnahmen und Ausgaben der Agentur erstellen und den Haushaltsplan ausführen. Der Exekutivdirektor sollte zudem die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich mit wissenschaftlichen, technischen, rechtlichen oder wirtschaftlichen Einzelfragen befassen. Der Exekutivdirektor sollte dafür sorgen, dass die Mitglieder der Ad-hoc-Arbeitsgruppen höchsten fachlichen Ansprüchen genügen und dass je nach Einzelfrage gegebenenfalls ein repräsentatives Gleichgewicht zwischen öffentlichen Verwaltungen der Mitgliedstaaten, den Organen der Union und dem Privatsektor einschließlich der Wirtschaft, der Nutzer und wissenschaftlicher Sachverständiger für Netz- und Informationssicherheit gewahrt wird.

(42)  Damit die Agentur reibungslos funktioniert, ist es erforderlich, dass ihr Exekutivdirektor aufgrund seiner Verdienste und nachgewiesenen Verwaltungs- und Managementfähigkeiten ernannt wird, über einschlägige Sachkenntnis und Erfahrungen auf dem Gebiet der Cybersicherheit verfügt und seine Aufgaben völlig unabhängig wahrnimmt. Der Exekutivdirektor sollte nach Anhörung der Kommission einen Vorschlag für das Arbeitsprogramm der Agentur ausarbeiten und alle erforderlichen Maßnahmen zu dessen ordnungsgemäßer Durchführung ergreifen. Der Exekutivdirektor sollte einen Jahresbericht ausarbeiten, der dem Verwaltungsrat vorgelegt wird, den Entwurf eines Voranschlags für die Einnahmen und Ausgaben der Agentur erstellen und den Haushaltsplan ausführen. Der Exekutivdirektor sollte zudem die Möglichkeit haben, Ad-hoc-Arbeitsgruppen einzusetzen, die sich mit wissenschaftlichen, technischen, rechtlichen oder sozioökonomischen Einzelfragen befassen. Der Exekutivdirektor sollte dafür sorgen, dass die Mitglieder der Ad-hoc-Arbeitsgruppen höchsten fachlichen Ansprüchen genügen und dass je nach Einzelfrage gegebenenfalls ein repräsentatives Gleichgewicht zwischen öffentlichen Verwaltungen der Mitgliedstaaten, den Organen der Union und dem Privatsektor einschließlich der Wirtschaft, der Nutzer und wissenschaftlicher Sachverständiger für Netz- und Informationssicherheit sowie ein ausgewogenes Verhältnis von Frauen und Männern gewahrt wird.

Änderungsantrag    36

Vorschlag für eine Verordnung

Erwägung 44

Vorschlag der Kommission

Geänderter Text

(44)  Die Agentur sollte über eine Ständige Gruppe der Interessenträger als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen und sonstigen Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte Ständige Gruppe der Interessenträger sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der Agentur zur Kenntnis bringen. Die Zusammensetzung der Ständigen Gruppe der Interessenträger und die dieser Gruppe übertragenen Aufgaben, die vor allem aus dem Entwurf des Arbeitsprogramms hervorgehen, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der Agentur ausreichend vertreten sind.

(44)  Die Agentur sollte über eine ENISA-Beratungsgruppe als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen, der Wissenschaft und sonstigen Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte ENISA-Beratungsgruppe sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der Agentur zur Kenntnis bringen. Die Zusammensetzung der Ständigen Gruppe der Interessenträger und die dieser Gruppe übertragenen Aufgaben, die vor allem aus dem Entwurf des Arbeitsprogramms hervorgehen, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der Agentur ausreichend vertreten sind. Da den Zertifizierungsanforderungen große Bedeutung dabei zukommt, für Vertrauen in das Internet der Dinge zu sorgen, sollte die Kommission insbesondere Maßnahmen in Betracht ziehen, die der unionsweiten Harmonisierung der Sicherheitsnormen für Geräte des Internets der Dinge dienen.

Änderungsantrag    37

Vorschlag für eine Verordnung

Erwägung 44 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(44a)  Die Agentur sollte über eine Zertifizierungsgruppe der Interessenträger als Beratungsgremium verfügen, um regelmäßig mit dem Privatsektor, Verbraucherorganisationen, der Wissenschaft und sonstigen Interessenträgern in Dialog zu treten. Die vom Exekutivdirektor eingesetzte Zertifizierungsgruppe der Interessenträger sollte sich aus einem allgemeinen beratenden Ausschuss, der Beiträge dazu liefert, welche IKT-Produkte und -Dienste durch künftige europäische IT-Sicherheitszertifizierungssysteme abgedeckt werden sollen, sowie Ad-hoc-Ausschüssen, die Beiträge für den Vorschlag, die Entwicklung und die Annahme der in Auftrag gegebenen möglichen europäischen Cybersicherheitssysteme liefern, zusammensetzen.

Änderungsantrag    38

Vorschlag für eine Verordnung

Erwägung 46

Vorschlag der Kommission

Geänderter Text

(46)  Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist und sie zusätzliche und neue Aufgaben – auch nicht vorhergesehene Aufgaben in Notfällen – erfüllen kann, sollte die Agentur über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der Agentur beteiligen, finanziert wird. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der Agentur befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zu den Einnahmen der Agentur zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der Agentur durch den Rechnungshof geprüft werden, um Transparenz und Rechenschaftspflicht sicherzustellen.

(46)  Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist und sie zusätzliche und neue Aufgaben – auch nicht vorhergesehene Aufgaben in Notfällen – erfüllen kann, sollte die Agentur über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der Agentur beteiligen, finanziert wird. Eine angemessene Finanzierung ist von entscheidender Bedeutung dafür, dass die Agentur ausreichende Kapazitäten hat, um ihren wachsenden Aufgaben und Zielen gerecht zu werden. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der Agentur befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zu den Einnahmen der Agentur zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der Agentur durch den Rechnungshof geprüft werden, um Transparenz, Rechenschaftspflicht und Ausgabeneffizienz sicherzustellen.

Änderungsantrag    39

Vorschlag für eine Verordnung

Erwägung 47

Vorschlag der Kommission

Geänderter Text

(47)  Die Konformitätsbewertung ist ein Verfahren, mit dem festgestellt wird, ob bestimmte Anforderungen an ein Produkt, einen Prozess, einen Dienst, ein System, eine Person oder ein Gremium erfüllt werden. Für die Zwecke dieser Verordnung ist unter Zertifizierung eine Art der Konformitätsbewertung zu verstehen, die sich auf die Cybersicherheitsmerkmale eines Produkts, eines Prozesses, eines Dienstes, eines Systems oder deren Kombination bezieht („IKT-Produkte und ‑Dienste“) und die von einem unabhängigen Dritten, bei dem es sich nicht um den Hersteller des Produkts oder den Diensteanbieter handelt, durchgeführt wird. Die Zertifizierung von IKT-Produkten und ‑Diensten an sich garantiert nicht, dass diese die Kriterien der Cybersicherheit erfüllen. Es handelt sich vielmehr um ein Verfahren und eine technische Methodik, um zu bescheinigen, dass die IKT-Produkte und ‑Dienste geprüft wurden und bestimmte, z. B. in technischen Normen festgelegte Anforderungen an die Cybersicherheit erfüllen.

(47)  Die Konformitätsbewertung ist ein Verfahren, mit dem festgestellt wird, ob bestimmte Anforderungen an ein Produkt, einen Prozess, einen Dienst, ein System, eine Person oder ein Gremium erfüllt werden. Für die Zwecke dieser Verordnung ist unter Zertifizierung eine Art der Konformitätsbewertung zu verstehen, die sich auf die Cybersicherheitsmerkmale eines Produkts, eines Prozesses, eines Dienstes, eines Systems oder deren Kombination bezieht („IKT-Produkte, Prozesse und ‑Dienste“) und die von einem unabhängigen Dritten oder, sofern zulässig, durch Selbstbewertung des Herstellers des Produkts oder des Diensteanbieters durchgeführt wird. Gemäß der Festlegung in dieser Verordnung und eventuell im neuen Rechtsrahmen kann die Selbstbewertung vom Produkthersteller, von KMU oder von einem Diensteanbieter vorgenommen werden. Außerdem kann sie vom Hersteller oder Betreiber des Produkts durchgeführt werden, sofern im Hinblick auf die beabsichtigte Verwendung des jeweiligen Produkts oder Dienstes durch den Hersteller oder Diensteanbieter die Wahrscheinlichkeit nicht als mittel oder hoch eingeschätzt wird, dass es zu einem Cybersicherheitsvorfall kommt bzw. dass durch einen solchen Vorfall der Gesellschaft oder einem großen Teil der Gesellschaft wesentlicher Schaden zugefügt würde. Durch die Zertifizierung von IKT-Produkten, Prozessen und ‑Diensten an sich ist nicht garantiert, dass diese die Kriterien der Cybersicherheit erfüllen, und dies muss den Verbrauchern und Unternehmen ordnungsgemäß vermittelt werden. Es handelt sich vielmehr um ein Verfahren und eine technische Methodik, um zu bescheinigen, dass die IKT-Produkte, Prozesse und ‑Dienste geprüft wurden und bestimmte z. B. in technischen Normen festgelegte Anforderungen an die Cybersicherheit erfüllen. Diese technischen Normen enthalten einen Hinweis, ob ein IKT-Produkt, ‑Prozess oder ‑Dienst seine gängigen Funktionen auch ohne Verbindung zum Internet durchführen kann.

Änderungsantrag    40

Vorschlag für eine Verordnung

Erwägung 48

Vorschlag der Kommission

Geänderter Text

(48)  Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte und ‑Dienste zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der breiten Öffentlichkeit das Vertrauen vorhanden ist, dass diese Produkte und Dienste ein gewisses Maß an Cybersicherheit gewährleisten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie oder intelligente Netze sind, um nur einige Beispiele zu nennen, Sektoren, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die NIS-Richtlinie fallenden Sektoren sind zudem Sektoren, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

(48)  Die europäische Cybersicherheitszertifizierung spielt eine wesentliche Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte, Prozesse und ‑Dienste zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der Öffentlichkeit das Vertrauen vorhanden ist, dass durch diese Produkte und Dienste ein hohes Maß an Cybersicherheit sichergestellt ist. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie oder intelligente Netze sind, um nur einige Beispiele zu nennen, Bereiche, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die NIS-Richtlinie fallenden Bereiche sind zudem Bereiche, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

Änderungsantrag    41

Vorschlag für eine Verordnung

Erwägung 49

Vorschlag der Kommission

Geänderter Text

(49)  In ihrer Mitteilung aus dem Jahr 2016 „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ unterstrich die Kommission die Notwendigkeit hochwertiger, erschwinglicher und interoperabler Produkte und Lösungen für die Cybersicherheit. Allerdings ist das Angebot an IKT-Produkten und ‑diensten im Binnenmarkt nach wie vor geografisch stark zersplittert. Das liegt daran, dass sich die Cybersicherheitsbranche in Europa überwiegend aufgrund der Nachfrage der nationalen Regierungen entwickelt hat. Zudem gehört der Mangel an interoperablen Lösungen (technischen Normen), Verfahrensweisen und EU-weiten Zertifizierungsmechanismen zu den Defiziten, die den Binnenmarkt im Bereich der Cybersicherheit beeinträchtigen. Dies macht es zum einen für europäische Unternehmen schwerer, im nationalen, europäischen und weltweiten Wettbewerb zu bestehen. Zum anderen verringert sich dadurch das Angebot an tragfähiger und einsetzbarer Cybersicherheitstechnik, auf die Privatpersonen und Unternehmen zugreifen könnten. Auch in der Halbzeitbewertung der Umsetzung der Strategie für den digitalen Binnenmarkt unterstrich die Kommission die Bedeutung sicherer vernetzter Produkte und Systeme und verwies darauf, dass die Schaffung eines europäischen Rahmens für die IKT-Sicherheit, auf dessen Grundlage Vorschriften für die Organisation der IKT-Sicherheitszertifizierung in der Union festgelegt werden, dafür sorgen kann, dass das Vertrauen in den Binnenmarkt erhalten bleibt und die derzeitige Fragmentierung des Cybersicherheitsmarkts eingedämmt wird.

(49)  In ihrer Mitteilung aus dem Jahr 2016 „Stärkung der Abwehrfähigkeit Europas im Bereich der Cybersicherheit und Förderung einer wettbewerbsfähigen und innovativen Cybersicherheitsbranche“ betonte die Kommission, es seien hochwertige, erschwingliche und interoperable Produkte und Lösungen für die Cybersicherheit erforderlich. Allerdings ist das Angebot an IKT-Produkten, Prozessen und ‑Diensten im Binnenmarkt nach wie vor geografisch stark zersplittert. Das liegt daran, dass sich die Cybersicherheitsbranche in Europa überwiegend aufgrund der Nachfrage der nationalen Regierungen entwickelt hat. Zudem gehört der Mangel an interoperablen Lösungen (technischen Normen), Verfahrensweisen und EU-weiten Zertifizierungsmechanismen zu den Defiziten, die den Binnenmarkt im Bereich der Cybersicherheit beeinträchtigen. Dies macht es zum einen für Unternehmen aus der EU schwerer, im nationalen, europäischen und weltweiten Wettbewerb zu bestehen. Zum anderen verringert sich dadurch das Angebot an funktionsfähiger und einsetzbarer Cybersicherheitstechnik, auf die Privatpersonen und Unternehmen zugreifen könnten. Auch in der Halbzeitbewertung der Umsetzung der Strategie für den digitalen Binnenmarkt betonte die Kommission die Bedeutung sicherer vernetzter Produkte und Systeme und wies darauf hin, dass die Schaffung eines europäischen Rahmens für die IKT-Sicherheit, auf dessen Grundlage Vorschriften für die Organisation der IKT-Sicherheitszertifizierung in der Union festgelegt werden, dafür sorgen kann, dass das Vertrauen in den Binnenmarkt erhalten bleibt und die derzeitige Fragmentierung des Cybersicherheitsmarkts eingedämmt wird.

Änderungsantrag    42

Vorschlag für eine Verordnung

Erwägung 50

Vorschlag der Kommission

Geänderter Text

(50)  Derzeit werden IKT-Produkte und ‑Dienste im Hinblick auf ihre Cybersicherheit kaum zertifiziert, und wenn doch, geschieht dies meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Cybersicherheitsbehörde ausgestelltes Zertifikat nicht grundsätzlich auch von anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre Produkte und Dienste möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf.

(50)  Derzeit werden IKT-Produkte, ‑Prozesse und ‑Dienste im Hinblick auf ihre Cybersicherheit kaum zertifiziert, und wenn doch, geschieht dies meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Cybersicherheitsbehörde ausgestelltes Zertifikat nicht grundsätzlich auch von anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre Produkte, Prozesse und Dienste möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen, sodass diese Ausschreibungen die Unternehmen finanziell zusätzlich belasten. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, risikobasierte Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf. Gegenseitige Anerkennung und gegenseitiges Vertrauen zwischen den Mitgliedstaaten sind dabei ein wesentliches Element. Die ENISA spielt eine wichtige Rolle dabei, die Mitgliedstaaten beim Aufbau einer soliden institutionellen Struktur und beim Aufbau von Fachwissen zum Schutz vor potenziellen Cyberangriffen zu unterstützen. Es wird ein Einzelfallansatz benötigt, damit Dienste, Prozesse und Produkte geeigneten Zertifizierungssystemen unterworfen werden. Überdies bedarf es eines risikobasierten Ansatzes, mit dem Risiken erfolgreich ermittelt und eingedämmt werden, wobei zu berücksichtigen ist, dass es kein für alle Fälle geeignetes einheitliches System gibt.

Änderungsantrag    43

Vorschlag für eine Verordnung

Erwägung 52

Vorschlag der Kommission

Geänderter Text

(52)  Vor diesem Hintergrund gilt es, einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Systeme zur Zertifizierung der Cybersicherheit festgelegt werden, damit die Zertifikate für die IKT-Produkte und ‑Dienste in allen Mitgliedstaaten anerkannt und verwendet werden können. Mit einem europäischen Rahmen werden zwei Ziele verfolgt: einerseits dürfte er dazu beitragen, das Vertrauen in IKT-Produkte und ‑Dienste zu erhöhen, die nach solchen Systemen zertifiziert wurden, und andererseits dürften sich so vielfältige, sich widersprechende oder überlappende nationale System für die Cybersicherheitszertifizierung vermeiden lassen, was die Kosten für auf dem digitalen Binnenmarkt tätige Unternehmen senkt. Die Systeme sollten nichtdiskriminierend sein und sich auf internationale bzw. europäische Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der EU in diesem Bereich sind.

(52)  Vor diesem Hintergrund gilt es, einen gemeinsamen Ansatz zu verfolgen und einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Systeme zur Zertifizierung der Cybersicherheit festgelegt werden, damit die Zertifikate für die IKT-Produkte, Prozesse und ‑Dienste in allen Mitgliedstaaten anerkannt und verwendet werden können. Dabei ist es wichtig, auf vorhandenen nationalen und internationalen Systemen sowie auf Systemen der gegenseitigen Anerkennung, insbesondere der SOG-IS, aufzubauen und einen reibungslosen Übergang von vorhandenen Systemen im Rahmen solcher Ansätze zu Systemen im Rahmen des neuen europäischen Rahmens zu ermöglichen. Mit einem europäischen Rahmen werden zwei Ziele verfolgt: einerseits dürfte er dazu beitragen, das Vertrauen in IKT-Produkte, Prozesse und ‑Dienste zu erhöhen, die nach solchen Systemen zertifiziert wurden, und andererseits dürfte sich so verhindern lassen, dass vielfältige, einander widersprechende oder überlappende nationale Systeme für die Cybersicherheitszertifizierung entstehen, wodurch die Kosten der auf dem digitalen Binnenmarkt tätigen Unternehmen sinken. Wenn ein nationales System durch ein europäisches System für die Cybersicherheitszertifizierung ersetzt wurde, sollten Zertifikate, die im Rahmen des europäischen Systems ausgestellt wurden, in den Fällen als gültig anerkannt werden, in denen eine Zertifizierung auf der Grundlage eines nationalen Systems gefordert war. Diese Systeme sollten sich an dem Prinzip der Sicherheit durch Technikgestaltung und an den in der Verordnung (EU) 2016/679 genannten Grundsätzen orientieren. Außerdem sollten sie diskriminierungsfrei sein und sich auf internationale bzw. europäische Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der EU in diesem Bereich sind.

Änderungsantrag    44

Vorschlag für eine Verordnung

Erwägung 52 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(52a)  Dieser europäische Rahmen für die Cybersicherheitszertifizierung muss in einheitlicher Weise in allen Mitgliedstaaten eingeführt werden, damit es nicht aufgrund unterschiedlich hoher Kosten oder Anforderungsniveaus zwischen den Mitgliedstaaten zu einem „Zertifikate-Shopping“ kommt.

Änderungsantrag    45

Vorschlag für eine Verordnung

Erwägung 52 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(52b)  Zertifizierungssysteme sollten auf dem aufbauen, was auf nationaler und internationaler Ebene bereits vorhanden ist, wobei die derzeitigen Stärken aufgegriffen und Schwachstellen bewertet und behoben werden sollten.

Änderungsantrag    46

Vorschlag für eine Verordnung

Erwägung 52 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(52c)  Es bedarf flexibler Cybersicherheitslösungen, damit die Branche den böswilligen Angriffen und Bedrohungen immer einen Schritt voraus ist, daher sollte bei jedem Zertifizierungssystem das Risiko eines schnellen Veraltens vermieden werden.

Änderungsantrag    47

Vorschlag für eine Verordnung

Erwägung 53

Vorschlag der Kommission

Geänderter Text

(53)  Die Kommission sollte befugt sein, für bestimmte Gruppen von IKT-Produkten und ‑Diensten europäische Systeme für die Cybersicherheitszertifizierung anzunehmen. Diese Systeme sollten von nationalen Aufsichtsbehörden für die Zertifizierung umgesetzt und überwacht werden, und die im Rahmen dieser Systeme erteilten Zertifikate sollten unionsweit gültig sein und anerkannt werden. Die von der Industrie oder sonstigen privaten Organisationen betriebenen Zertifizierungssysteme fallen nicht in den Anwendungsbereich dieser Verordnung. Die Stellen, die solche Systeme betreiben, können der Kommission jedoch vorschlagen, ihre Systeme als Grundlage für ein europäisches System in Betracht zu ziehen und sie als ein solches zu genehmigen.

(53)  Die Kommission sollte befugt sein, für bestimmte Gruppen von IKT-Produkten, ‑Prozessen und ‑Diensten europäische Systeme für die Cybersicherheitszertifizierung anzunehmen. Diese Systeme sollten von nationalen Aufsichtsbehörden für die Zertifizierung umgesetzt und überwacht werden, und die im Rahmen dieser Systeme erteilten Zertifikate sollten unionsweit gültig sein und anerkannt werden. Die von der Industrie oder sonstigen privaten Organisationen betriebenen Zertifizierungssysteme fallen nicht in den Anwendungsbereich dieser Verordnung. Die Stellen, die solche Systeme betreiben, können der Kommission jedoch vorschlagen, ihre Systeme als Grundlage für ein europäisches System in Betracht zu ziehen und sie als solches zu genehmigen. Die Agentur sollte die Systeme, die bereits von der Industrie oder privaten Organisationen betrieben werden, ermitteln und bewerten, um bewährte Verfahren auszuwählen, die Teil eines europäischen Systems werden könnten. Branchenakteure können vor der Zertifizierung eine Selbstbewertung ihrer Produkte oder Dienstleistungen durchführen und dadurch signalisieren, dass ihr Produkt oder ihre Dienstleistung bereit ist, den Zertifizierungsprozess zu durchlaufen, sofern dies vorgeschrieben oder erforderlich ist.

Änderungsantrag    48

Vorschlag für eine Verordnung

Erwägung 53 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(53a)  Die Agentur und die Kommission sollten die bereits bestehenden Zertifizierungssysteme auf Ebene der EU und/oder internationaler Ebene optimal nutzen. Die ENISA sollte in der Lage sein, zu beurteilen, welche der bereits im Einsatz befindlichen Systeme zweckdienlich sind und in Zusammenarbeit mit den EU-Normungsorganisationen in das Unionsrecht aufgenommen und, soweit möglich, international anerkannt werden können. Bestehende bewährte Verfahren sollten erfasst und zwischen den Mitgliedstaaten ausgetauscht werden.

Änderungsantrag    49

Vorschlag für eine Verordnung

Erwägung 54

Vorschlag der Kommission

Geänderter Text

(54)  Das Unionsrecht, in dem bestimmte Vorschriften zur Zertifizierung von IKT-Produkten und -Diensten festgelegt sind, bleibt von den Bestimmungen dieser Verordnung unberührt. So enthält die Datenschutz-Grundverordnung Festlegungen für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen, die dem Nachweis dienen, dass die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbeitung von Daten die Bestimmungen der Verordnung einhalten. Solche Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen sollten den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen. Die Zertifizierung von Datenverarbeitungsvorgängen, die unter die Datenschutz-Grundverordnung fallen, auch wenn solche Vorgänge in Produkte und Dienste eingebettet sind, bleibt von dieser Verordnung unberührt.

(54)  Das Unionsrecht, in dem bestimmte Vorschriften zur Zertifizierung von IKT-Produkten, ‑Prozessen und ‑Diensten festgelegt sind, bleibt von den Bestimmungen dieser Verordnung unberührt. So enthält die Datenschutz-Grundverordnung Festlegungen für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen, die dem Nachweis dienen, dass die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter bei der Verarbeitung von Daten die Bestimmungen der Verordnung einhalten. Solche Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen sollten den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen. Die Zertifizierung von Datenverarbeitungsvorgängen, die unter die Datenschutz-Grundverordnung fallen, auch wenn solche Vorgänge in Produkte und Dienste eingebettet sind, bleibt von dieser Verordnung unberührt.

Änderungsantrag    50

Vorschlag für eine Verordnung

Erwägung 55

Vorschlag der Kommission

Geänderter Text

(55)  Mit den europäischen Systemen für die Cybersicherheitszertifizierung sollte gewährleistet werden, dass die nach solchen Systemen zertifizierten IKT-Produkte und ‑Dienste bestimmten Anforderungen genügen. Diese Anforderungen beziehen sich auf die Fähigkeit, auf einer bestimmten Vertrauenswürdigkeitsstufe Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte und ‑Dienste im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte und ‑Dienste und die damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit für alle Eventualitäten festzulegen. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, ergänzt durch besondere Cybersicherheitsziele, die bei der Konzeption der europäischen Systeme für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte und ‑Dienste erreicht werden, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungssystems festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen.

(55)  Mit den europäischen Systemen für die Cybersicherheitszertifizierung sollte gewährleistet werden, dass die nach solchen Systemen zertifizierten IKT-Produkte, ‑Dienste und ‑Prozesse bestimmten Anforderungen genügen. Diese Anforderungen beziehen sich auf die Fähigkeit, bei einem bestimmten Risiko Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte, ‑Dienste und ‑Prozesse im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte, ‑Dienste und ‑Prozesse und der damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit für alle Eventualitäten festzulegen. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, ergänzt durch besondere Cybersicherheitsziele, die bei der Konzeption der europäischen Systeme für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte, ‑Dienste und ‑Prozesse erreicht werden, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungssystems festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen. Alle an einer Lieferkette beteiligten Akteure sollten dazu angehalten werden, Sicherheitsstandards, technische Normen und Grundsätze der Sicherheit durch Technikgestaltung in allen Phasen des Lebenszyklus von Produkten, Diensten oder Prozessen zu entwickeln und anzuwenden. Jedes europäische System für die Cybersicherheitszertifizierung sollte so konzipiert sein, dass dieses Ziel erreicht wird.

Änderungsantrag    51

Vorschlag für eine Verordnung

Erwägung 56

Vorschlag der Kommission

Geänderter Text

(56)  Die Kommission sollte befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungssysteme für bestimmte IKT-Produkte und -Dienste zu beauftragen. Die Kommission sollte dann befugt sein, auf der Grundlage des von der ENISA vorgeschlagenen möglichen Systems das europäische System für die Cybersicherheitszertifizierung mittels eines Durchführungsrechtsakts anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollte in den von der Kommission angenommenen europäischen Systemen für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Systems festgelegt werden. Hierunter fallen u. a. Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten und -Diensten, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe: „niedrig“, „mittel“ bzw. „hoch“.

(56)  Die Kommission sollte befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungssysteme für bestimmte IKT-Produkte, Prozesse und ‑Dienste zu beauftragen, sofern es berechtigte Gründe dafür gibt, etwa weil der Binnenmarkt durch bestehende nationale Systeme für die Cybersicherheitszertifizierung fragmentiert wird, weil aktueller oder vorhersehbarer Bedarf zur Unterstützung der Rechtsvorschriften der Union besteht oder weil eine Stellungnahme der Zertifizierungsgruppe der Mitgliedstaaten oder der Zertifizierungsgruppe der Interessenträger vorliegt. Nach der Beurteilung der von der ENISA auf der Grundlage des Antrags der Kommission vorgeschlagenen möglichen Systeme sollte die Kommission dann befugt sein, die europäischen Systeme für die Cybersicherheitszertifizierung mittels delegierter Rechtsakte anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollten in diesen europäischen Systemen für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Systems festgelegt werden. Hierunter fallen u. a. Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten und -Diensten, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe: „niedrig“, „mittel“ bzw. „hoch“.

Änderungsantrag    52

Vorschlag für eine Verordnung

Erwägung 56 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(56a)  Die Agentur sollte als Bezugspunkt für Informationen über europäische Cybersicherheitssysteme dienen. Sie sollte eine Website mit allen relevanten Informationen pflegen, auch in Bezug auf widerrufene und abgelaufene Zertifikate und nationale Zertifizierungen. Die Agentur sollte sicherstellen, dass ein angemessener Teil des Inhalts ihrer Website für gewöhnliche Verbraucher verständlich ist.

Änderungsantrag    53

Vorschlag für eine Verordnung

Erwägung 56 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(56b)  Die Festlegung von Vertrauenswürdigkeitsstufen für Zertifikate ist erforderlich, um Endnutzern einen Hinweis auf die zu erwartende Art der Cyberbedrohungen, die durch die Cybersicherheitsmaßnahmen des Produkts, Prozesses oder Dienstes verhindert werden sollen, zu geben. Cyberbedrohungen müssen unter Berücksichtigung des zu erwartenden Risikos und der Fähigkeiten des Urhebers oder der Urheber des Angriffs im Zusammenhang mit dem erwarteten Einsatz des abgedeckten IKT-Produkts, ‑Prozesses oder ‑Dienstes definiert werden. Die Vertrauenswürdigkeitsstufe „niedrig“ bezieht sich auf die Widerstandsfähigkeit gegen Angriffe, die mit grundlegenden Cybersicherheitsmaßnahmen verhindert werden können und die durch Einsicht der technischen Unterlagen leicht überprüft werden können. Die Vertrauenswürdigkeitsstufe „mittel“ bezieht sich auf die Fähigkeit, bekannten Arten von Angriffen von einem Angreifer mit einem gewissen Grad an Komplexität, aber mit begrenzten Ressourcen standzuhalten. Die Vertrauenswürdigkeitsstufe „hoch“ bezieht sich auf die Fähigkeit, unbekannten Sicherheitslücken und komplexen Angriffen mit modernsten Techniken und beträchtlichen Ressourcen, z. B. für ihre Arbeit bezahlten multidisziplinären Teams, standzuhalten.

Änderungsantrag    54

Vorschlag für eine Verordnung

Erwägung 56 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(56c)  Um eine Fragmentierung des Binnenmarkts aufgrund nationaler Cybersicherheitssysteme zu verhindern, künftige Rechtsvorschriften zu unterstützen und das Vertrauen und die Sicherheit zu erhöhen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte hinsichtlich der Festlegung der Prioritäten für die europäische Cybersicherheitszertifizierung, der Annahme des fortlaufenden Programms und der Annahme europäischer Zertifizierungssysteme zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung über bessere Rechtsetzung vom 13. April 2016 niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

Änderungsantrag    55

Vorschlag für eine Verordnung

Erwägung 56 d (neu)

Vorschlag der Kommission

Geänderter Text

 

(56d)  Unter den Bewertungsmethoden und -verfahren für jedes europäische System für die Cybersicherheitszertifizierung sollte ethisches Hacking – bei dem Schwachstellen und Sicherheitslücken von Geräten und Informationssystemen durch das Antizipieren der möglichen Handlungen und Fertigkeiten von Hackern mit böswilligen Absichten aufgespürt werden sollen – auf Unionsebene gefördert werden.

Änderungsantrag    56

Vorschlag für eine Verordnung

Erwägung 57

Vorschlag der Kommission

Geänderter Text

(57)  Der Rückgriff auf eine europäische Cybersicherheitszertifizierung sollte freiwillig bleiben, sofern im Unionsrecht oder im einzelstaatlichen Recht nichts anderes festgelegt ist. Mit Blick auf die Ziele dieser Verordnung und zur Vermeidung einer Fragmentierung des Binnenmarkts sollten nationale Systeme oder Verfahren für die Cybersicherheitszertifizierung für die IKT-Produkte und ‑Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, jedoch ab dem Zeitpunkt unwirksam werden, den die Kommission in einem Durchführungsrechtsakt festlegt. Zudem sollten die Mitgliedstaaten keine neuen nationalen Systeme für die Cybersicherheitszertifizierung der IKT-Produkte und ‑Dienste einführen, die bereits unter ein geltendes europäisches System für die Cybersicherheitszertifizierung fallen.

(57)  Der Rückgriff auf eine europäische Cybersicherheitszertifizierung sollte freiwillig bleiben, sofern im Unionsrecht oder im einzelstaatlichen Recht nichts anderes festgelegt ist. Mit Blick auf die Ziele dieser Verordnung und zur Verhinderung der Fragmentierung des Binnenmarkts sollten nationale Systeme oder Verfahren für die Cybersicherheitszertifizierung für die IKT-Produkte, Prozesse und ‑Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, jedoch ab dem Zeitpunkt unwirksam werden, den die Kommission in einem delegierten Rechtsakt festlegt. Zudem sollten die Mitgliedstaaten keine neuen nationalen Systeme für die Cybersicherheitszertifizierung der IKT-Produkte und ‑Dienste einführen, die bereits unter ein geltendes europäisches System für die Cybersicherheitszertifizierung fallen. Diese Verordnung sollte jedoch die nationalen Systeme unberührt lassen, die die Mitgliedstaaten für IKT-Produkte, ‑Prozesse und ‑Dienste, die für ihren staatlichen Bereich verwendet werden, auch künftig eigenverantwortlich verwalten.

Änderungsantrag    57

Vorschlag für eine Verordnung

Erwägung 57 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(57a)  Es wird eine Verpflichtung zur Ausstellung einer Produkterklärung eingeführt, die strukturierte Informationen in Bezug auf die Zertifizierung des Produkts, Prozesses oder Dienstes enthält, damit Verbraucher mehr Information erhalten und eine begründete Entscheidung treffen können.

Änderungsantrag    58

Vorschlag für eine Verordnung

Erwägung 57 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(57b)  Bei Vorschlägen für neue europäische Cybersicherheitssysteme sollten die ENISA und andere einschlägige Stellen der Wettbewerbsdynamik des Vorschlags gebührend Rechnung tragen und insbesondere sicherstellen, dass in Branchen mit vielen kleinen und mittleren Unternehmen, z. B. im Bereich der Softwareentwicklung, Zertifizierungssysteme kein Hindernis für den Zugang neuer Unternehmen und für Innovationen darstellen.

Änderungsantrag    59

Vorschlag für eine Verordnung

Erwägung 57 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(57c)  Europäische Cybersicherheitssysteme werden dabei helfen, die Cybersicherheitsverfahren in der EU zu harmonisieren und zu vereinheitlichen. Sie dürfen jedoch nicht zum Mindestmaß an Cybersicherheit werden. Bei der Gestaltung der europäischen Cybersicherheitssysteme sollten auch weitere Innovationen im Bereich der Cybersicherheit berücksichtigt und ermöglicht werden.

Änderungsantrag    60

Vorschlag für eine Verordnung

Erwägung 58

Vorschlag der Kommission

Geänderter Text

(58)  Sobald ein europäisches System für die Cybersicherheitszertifizierung verabschiedet worden ist, sollten Hersteller von IKT-Produkten und Anbieter von IKT-Diensten die Zertifizierung ihrer Produkte oder Dienste bei einer Konformitätsbewertungsstelle ihrer Wahl beantragen können. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen erfüllt. Die Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt werden oder wenn eine Konformitätsbewertungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.

(58)  Sobald ein europäisches System für die Cybersicherheitszertifizierung verabschiedet worden ist, sollten Hersteller von IKT-Produkten und Anbieter von IKT-Prozessen oder ‑Diensten die Zertifizierung ihrer Produkte oder Dienste bei einer Konformitätsbewertungsstelle ihrer Wahl einem beliebigen Ort in der Union beantragen können. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen erfüllt. Die Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt werden oder wenn eine Konformitätsbewertungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. Bei Audits durch die Agentur sollte ein gleichwertiges Qualitäts- und Sorgfaltsniveau der Konformitätsbewertungsstellen sichergestellt werden, um Aufsichtsarbitrage zu verhindern. Die Ergebnisse sollten der Agentur, der Kommission und dem Parlament mitgeteilt und der Öffentlichkeit zugänglich gemacht werden.

Änderungsantrag    61

Vorschlag für eine Verordnung

Erwägung 58 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(58a)  Die obligatorische Verwendung der europäischen Cybersicherheitszertifizierung sollte auf Fälle beschränkt werden, in denen die Kosten für die Wirtschaft, die Bürger und die Verbraucher einer Risikoanalyse zufolge gerechtfertigt sind. Durch Sicherheitsvorfälle, die wesentliche Dienste beeinträchtigen, können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigt, beträchtliche finanzielle Verluste verursacht, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zugefügt werden. Die obligatorische Verwendung der europäischen Cybersicherheitszertifizierung durch die Betreiber wesentlicher Dienste sollte auf diejenigen Elemente beschränkt werden, die für ihre Tätigkeit von entscheidender Bedeutung sind, und nicht umfassend für universelle Produkte, Prozesse und Dienste gelten, was zu ungerechtfertigten Kosten für die Wirtschaft und die Verbraucher führen würde. Die Kommission sollte mit der gemäß Artikel 11 der Richtlinie (EU) 2016/1148 eingesetzten Kooperationsgruppe zusammenarbeiten, um eine Liste der Kategorien von Produkten, Prozessen und Diensten zu erstellen, die speziell für die Nutzung durch Betreiber wesentlicher Dienste bestimmt sind und deren Fehlfunktion bei einem Sicherheitsvorfall den wesentlichen Dienst erheblich beeinträchtigen könnte. Diese Liste sollte nach und nach erstellt und bei Bedarf aktualisiert werden. Für die Betreiber wesentlicher Dienste sollte nur die Zertifizierung der Produkte, Prozesse und Dienste auf dieser Liste obligatorisch sein.

Änderungsantrag    62

Vorschlag für eine Verordnung

Erwägung 58 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(58b)  Verweise in den nationalen Rechtsvorschriften, die sich auf eine nationale Norm beziehen, die aufgrund des Inkrafttretens eines europäischen Zertifizierungssystems keine Rechtswirkung mehr hat, können für die Hersteller und Endnutzer zu Verwirrung führen. Damit die Hersteller Spezifikationen, die nationalen Zertifikaten entsprechen, die nicht mehr in Kraft sind, nicht mehr anwenden, sollten die Mitgliedstaaten im Einklang mit ihren Verpflichtungen aus den Verträgen ihre nationalen Rechtsvorschriften anpassen, um der Annahme eines europäischen Zertifizierungssystems Rechnung zu tragen.

Änderungsantrag    63

Vorschlag für eine Verordnung

Erwägung 59

Vorschlag der Kommission

Geänderter Text

(59)  Es ist notwendig, alle Mitgliedstaaten zur Benennung einer Aufsichtsbehörde für die Cybersicherheitszertifizierung zu verpflichten, die die in ihrem Hoheitsgebiet ansässigen Konformitätsbewertungsstellen und die von diesen ausgestellten Zertifikate im Hinblick auf die Einhaltung der Anforderungen beaufsichtigt, die in dieser Verordnung und in den jeweiligen Cybersicherheitszertifizierungssystemen festgelegt sind. Die nationalen Aufsichtsbehörden für die Zertifizierung sollten Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellten Zertifikate eingereicht werden, bearbeiten, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten sie mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung austauschen.

(59)  Es ist notwendig, alle Mitgliedstaaten dazu zu verpflichten, eine Aufsichtsbehörde für die Cybersicherheitszertifizierung zu benennen, die die in ihrem Hoheitsgebiet ansässigen Konformitätsbewertungsstellen und die von diesen ausgestellten Zertifikate im Hinblick auf die Einhaltung der Anforderungen beaufsichtigt, die in dieser Verordnung und in den jeweiligen Cybersicherheitszertifizierungssystemen festgelegt sind, und sicherzustellen, dass die europäischen Cybersicherheitszertifikate in ihrem Hoheitsgebiet anerkannt werden. Die nationalen Aufsichtsbehörden für die Zertifizierung sollten Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellten Zertifikate oder im Zusammenhang mit der angeblich fehlenden Anerkennung von Zertifikaten in ihrem Hoheitsgebiet eingereicht werden, bearbeiten, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten sie mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten, Prozessen und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung oder über die ausgebliebene Anerkennung europäischer Cybersicherheitszertifikate austauschen. Des Weiteren sollten sie kontrollieren und überprüfen, ob die Konformitäts-Eigenerklärungen ordnungsmäßig sind und ob europäische Cybersicherheitszertifikate von Konformitätsbewertungsstellen im Einklang mit den in dieser Verordnung festgelegten Anforderungen ausgestellt werden, darunter die von der Europäischen Gruppe für die Cybersicherheitszertifizierung aufgestellten Regeln und die im entsprechenden europäischen System für die Cybersicherheitszertifizierung festgelegten Anforderungen. Die wirksame Zusammenarbeit der nationalen Aufsichtsbehörden für die Zertifizierung ist für die angemessene Umsetzung der europäischen Systeme für die Cybersicherheitszertifizierung und von technischen Aspekten im Hinblick auf die Cybersicherheit von IKT-Produkten und ‑Diensten entscheidend. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Unterstützung bereitstellt, zum Beispiel das internetgestützte Informations- und Kommunikationssystem zur europaweiten Marktüberwachung (Information and Communication System on Market Surveillance – ICSMS) und das gemeinschaftliche System zum raschen Austausch von Informationen über die Gefahren bei der Verwendung von Konsumgütern (Community system for the rapid exchange of information on dangers arising from the use of consumer products – RAPEX), die in Übereinstimmung mit Verordnung (EG) Nr. 765/2008 bereits von Marktüberwachungsbehörden genutzt werden.

Änderungsantrag    64

Vorschlag für eine Verordnung

Erwägung 60

Vorschlag der Kommission

Geänderter Text

(60)  Für eine einheitliche Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung sollte eine europäische Gruppe für die Cybersicherheitszertifizierung (im Folgenden die „Gruppe“) eingesetzt werden, die sich aus den nationalen Aufsichtsbehörden für die Zertifizierung zusammensetzt. Die Gruppe sollte vor allem die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung beraten und unterstützen, die Agentur bei der Ausarbeitung der möglichen Cybersicherheitszertifizierungssysteme unterstützen und mit ihr eng zusammenarbeiten, der Kommission empfehlen, die Agentur mit der Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung zu beauftragen sowie an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Systeme für die Cybersicherheitszertifizierung abzugeben.

(60)  Für eine einheitliche Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung sollte eine Zertifizierungsgruppe der Mitgliedstaaten eingesetzt werden, die sich aus den nationalen Aufsichtsbehörden für die Zertifizierung zusammensetzt. Die Zertifizierungsgruppe der Mitgliedstaaten sollte vor allem die Kommission bei ihren Tätigkeiten zur Gewährleistung einer einheitlichen Umsetzung und Anwendung des europäischen Rahmens für die Cybersicherheitszertifizierung beraten und unterstützen, die Agentur bei der Ausarbeitung der möglichen Cybersicherheitszertifizierungssysteme unterstützen und mit ihr eng zusammenarbeiten, der Kommission empfehlen, die Agentur mit der Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung zu beauftragen sowie an die Kommission gerichtete Stellungnahmen zur Pflege und Überprüfung vorhandener europäischer Systeme für die Cybersicherheitszertifizierung abgeben.

Änderungsantrag    65

Vorschlag für eine Verordnung

Erwägung 60 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(60a)  Um ein gleichwertiges Kompetenzniveau der Konformitätsbewertungsstellen sicherzustellen, die gegenseitige Anerkennung zu erleichtern und die allgemeine Akzeptanz von Zertifikaten und Konformitätsbewertungsergebnissen, die von Konformitätsbewertungsstellen ausgestellt werden, zu fördern, müssen die nationalen Aufsichtsbehörden für die Zertifizierung ein strenges und transparentes System zur Beurteilung unter Gleichrangigen unterhalten und regelmäßig eine derartige Beurteilung durchlaufen.

Änderungsantrag    66

Vorschlag für eine Verordnung

Erwägung 60 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(60b)  Eine wirksame Zusammenarbeit zwischen den nationalen Aufsichtsbehörden für die Zertifizierung ist für die ordnungsgemäße Durchführung der Beurteilung unter Gleichrangigen sowie für die grenzüberschreitende Akkreditierung von wesentlicher Bedeutung. Im Interesse der Transparenz ist es daher erforderlich, die nationalen Aufsichtsbehörden für die Zertifizierung zu verpflichten, untereinander Informationen auszutauschen sowie den nationalen Behörden und der Kommission die relevanten Informationen bereitzustellen. Daher sollten außerdem aktualisierte und präzise Informationen darüber, welche Akkreditierungstätigkeiten nationale Akkreditierungsstellen ausführen, veröffentlicht und insbesondere den Konformitätsbewertungsstellen zugänglich gemacht werden.

Änderungsantrag    67

Vorschlag für eine Verordnung

Erwägung 61

Vorschlag der Kommission

Geänderter Text

(61)  Zur Sensibilisierung und um die Akzeptanz künftiger EU-Cybersicherheitssysteme zu erhöhen, kann die Europäische Kommission allgemeine und sektorspezifische Cybersicherheitsleitlinien herausgeben, die sich beispielsweise auf bewährte Verfahren oder verantwortungsvolles Verhalten im Bereich der Cybersicherheit beziehen, und dabei die Vorteile der Verwendung zertifizierter IKT-Produkte und -Dienste hervorheben.

(61)  Um zur Sensibilisierung beizutragen und um die Akzeptanz künftiger EU-Cybersicherheitssysteme zu erhöhen, kann die Kommission allgemeine und branchenspezifische Cybersicherheitsleitlinien herausgeben, die sich beispielsweise auf bewährte Verfahren oder verantwortungsvolles Verhalten im Bereich der Cybersicherheit beziehen, und dabei die Vorteile der Verwendung zertifizierter IKT-Produkte, Prozesse und -Dienste hervorheben.

Änderungsantrag    68

Vorschlag für eine Verordnung

Erwägung 63

Vorschlag der Kommission

Geänderter Text

(63)  Um die Kriterien für die Akkreditierung von Konformitätsbewertungsstellen genauer festzulegen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte zu erlassen. Die Kommission sollte im Rahmen ihrer Vorarbeiten – auch auf Sachverständigenebene – geeignete Konsultationen durchführen. Diese Konsultationen sollten im Einklang mit den Grundsätzen durchgeführt werden, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über die bessere Rechtsetzung niedergelegt wurden. Um insbesondere eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, sollten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten erhalten, und ihre Sachverständigen sollten systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission haben, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(63)  Um die Kriterien für die Akkreditierung von Konformitätsbewertungsstellen genauer festzulegen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte zu erlassen. Die Kommission sollte im Zuge ihrer Vorbereitungsarbeit auch auf der Ebene von Sachverständigen und, falls erforderlich, mit einschlägigen Interessenträgern angemessene Konsultationen durchführen. Diese Konsultationen sollten mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, sollten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten erhalten, und ihre Sachverständigen sollten systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission haben, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

Änderungsantrag    69

Vorschlag für eine Verordnung

Erwägung 65

Vorschlag der Kommission

Geänderter Text

(65)  Die Durchführungsrechtsakte über die europäischen Systeme für die Cybersicherheitszertifizierung von IKT-Produkten und -Diensten, die Modalitäten für die Durchführung von Umfragen durch die Agentur sowie die Umstände, Formate und Verfahren der Notifizierung akkreditierter Konformitätsbewertungsstellen durch die nationalen Aufsichtsbehörden für die Zertifizierung bei der Kommission sollten nach dem Prüfverfahren erlassen werden.

(65)  Außerdem könnten delegierte Rechtsakte über die europäischen Systeme für die Cybersicherheitszertifizierung von IKT-Produkten, Prozessen und -Diensten, die Modalitäten für die Durchführung von Umfragen durch die Agentur sowie die Umstände, Formate und Verfahren der Notifizierung akkreditierter Konformitätsbewertungsstellen durch die nationalen Aufsichtsbehörden für die Zertifizierung bei der Kommission erlassen werden.

Änderungsantrag    70

Vorschlag für eine Verordnung

Erwägung 66

Vorschlag der Kommission

Geänderter Text

(66)  Die Tätigkeit der Agentur sollte unabhängig bewertet werden. Die Bewertung sollte sich darauf beziehen, inwieweit die Agentur ihre Ziele erreicht, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind. Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für Cybersicherheitszertifizierung bewertet werden.

(66)  Die Tätigkeit der Agentur sollte kontinuierlich und unabhängig bewertet werden. Die Bewertung sollte sich darauf beziehen, inwieweit die Agentur ihre Ziele erreicht, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind, insbesondere bezüglich ihrer koordinierenden Rolle gegenüber den Mitgliedstaaten und deren nationalen Behörden. Im Falle einer Überprüfung sollte die Kommission beurteilen, ob die Agentur als zentrale Anlaufstelle für die Mitgliedstaaten und die Organe und Einrichtungen der Union fungieren kann.

Änderungsantrag    71

Vorschlag für eine Verordnung

Erwägung 66 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(66a)  Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für die Cybersicherheitszertifizierung bewertet werden. Im Falle einer Überprüfung könnte die Kommission beurteilen, welche Rolle die Agentur bei der Bewertung von Produkten und Dienstleistungen aus Drittländern, die auf den Unionsmarkt gelangen, sowie bei der möglichen Erstellung einer schwarzen Liste mit Unternehmen, die gegen die Unionsvorschriften verstoßen, spielen könnte.

Änderungsantrag    72

Vorschlag für eine Verordnung

Erwägung 66 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(66b)  Bei der Bewertung sollte das Niveau der Cybersicherheit von in der Union verkauften Produkten und Dienstleistungen analysiert werden. Im Falle einer Überprüfung sollte die Kommission beurteilen, ob die wesentlichen Anforderungen an die Cybersicherheit in die Voraussetzungen für den Zugang zum Binnenmarkt aufgenommen werden sollten.

Änderungsantrag    73

Vorschlag für eine Verordnung

Artikel 1 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  die Ziele, Aufgaben und organisatorischen Aspekte der „EU-Cybersicherheitsagentur“ (ENISA), im Folgenden die „Agentur“ und

(a)  die Ziele, Aufgaben und organisatorischen Aspekte der „Agentur der Europäischen Union für Netz- und Informationssicherheit“ (ENISA), im Folgenden die „Agentur“, und

Änderungsantrag    74

Vorschlag für eine Verordnung

Artikel 1 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  ein Rahmen für die Festlegung europäischer Zertifizierungssysteme für die Cybersicherheit, mit dem für IKT-Produkte und Dienste in der Union ein angemessenes Maß an Cybersicherheit gewährleistet werden soll. Dieser Rahmen gilt unbeschadet der in anderen Rechtsakten der Union festgelegten Bestimmungen in Bezug auf eine freiwillige oder verbindliche Zertifizierung.

(b)  ein Rahmen für die Festlegung europäischer Zertifizierungssysteme für die Cybersicherheit, mit dem die Fragmentierung der Zertifizierungssysteme in der Union verhindert werden soll und für IKT-Produkte, Prozesse und ‑Dienste in der Union ein angemessenes Maß an Cybersicherheit gewährleistet werden soll und der unbeschadet der in dieser Verordnung oder in anderen Rechtsakten der Union festgelegten Bestimmungen in Bezug auf eine freiwillige oder etwaige verbindliche Zertifizierung gilt.

Änderungsantrag    75

Vorschlag für eine Verordnung

Artikel 1 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Die Agentur nimmt ihre Aufgaben unbeschadet der Befugnisse der Mitgliedstaaten im Bereich der Cybersicherheit und insbesondere der Befugnisse der Mitgliedstaaten in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht wahr.

Änderungsantrag    76

Vorschlag für eine Verordnung

Artikel 2 – Nummer 1

Vorschlag der Kommission

Geänderter Text

(1)  „Cybersicherheit“ umfasst alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, deren Nutzer und betroffene Personen vor Cyberbedrohungen zu schützen;

(1)  „Cybersicherheit“ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, deren Nutzer und betroffene Personen vor Cyberbedrohungen zu schützen;

Änderungsantrag    77

Vorschlag für eine Verordnung

Artikel 2 – Nummer 2

Vorschlag der Kommission

Geänderter Text

(2)  „Netz- und Informationssystem“ bezeichnet ein System im Sinne von Artikel 4 Nummer 1 der Richtlinie (EU) 2016/1148;

(2)  „Netz- und Informationssystem“ bezeichnet ein Netz- und Informationssystem im Sinne von Artikel 4 Nummer 1 der Richtlinie (EU) 2016/1148;

Änderungsantrag    78

Vorschlag für eine Verordnung

Artikel 2 – Nummer 3

Vorschlag der Kommission

Geänderter Text

(3)  „nationale Strategie für die Sicherheit von Netz- und Informationssystemen“ bezeichnet einen Rahmen im Sinne von Artikel 4 Nummer 3 der Richtlinie (EU) 2016/1148;

(3)  „nationale Strategie für die Sicherheit von Netz- und Informationssystemen“ bezeichnet eine nationale Strategie für die Sicherheit von Netz- und Informationssystemen im Sinne von Artikel 4 Nummer 3 der Richtlinie (EU) 2016/1148;

Änderungsantrag    79

Vorschlag für eine Verordnung

Artikel 2 – Nummer 4

Vorschlag der Kommission

Geänderter Text

(4)  „Betreiber wesentlicher Dienste“ bezeichnet eine öffentliche oder private Einrichtung im Sinne von Artikel 4 Nummer 4 der Richtlinie (EU) 2016/1148;

(4)  „Betreiber wesentlicher Dienste“ bezeichnet einen Betreiber wesentlicher Dienste im Sinne von Artikel 4 Nummer 4 der Richtlinie (EU) 2016/1148;

Änderungsantrag    80

Vorschlag für eine Verordnung

Artikel 2 – Nummer 5

Vorschlag der Kommission

Geänderter Text

(5)  „Anbieter digitaler Dienste“ bezeichnet eine juristische Person, die einen digitalen Dienst im Sinne von Artikel 4 Nummer 6 der Richtlinie (EU) 2016/1148 anbietet;

(5)  „Anbieter digitaler Dienste“ bezeichnet einen Anbieter digitaler Dienste im Sinne von Artikel 4 Nummer 6 der Richtlinie (EU) 2016/1148;

Änderungsantrag    81

Vorschlag für eine Verordnung

Artikel 2 – Nummer 6

Vorschlag der Kommission

Geänderter Text

(6)  „Sicherheitsvorfall“ bezeichnet ein Ereignis im Sinne von Artikel 4 Nummer 7 der Richtlinie (EU) 2016/1148;

(6)  „Sicherheitsvorfall“ bezeichnet einen Sicherheitsvorfall im Sinne von Artikel 4 Nummer 7 der Richtlinie (EU) 2016/1148;

Änderungsantrag    82

Vorschlag für eine Verordnung

Artikel 2 – Nummer 7

Vorschlag der Kommission

Geänderter Text

(7)  „Bewältigung von Sicherheitsvorfällen“ bezeichnet alle Verfahren im Sinne von Artikel 4 Nummer 8 der Richtlinie (EU) 2016/1148;

(7)  „Bewältigung von Sicherheitsvorfällen“ bezeichnet die Bewältigung von Sicherheitsvorfällen im Sinne von Artikel 4 Nummer 8 der Richtlinie (EU) 2016/1148;

Änderungsantrag    83

Vorschlag für eine Verordnung

Artikel 2 – Nummer 8

Vorschlag der Kommission

Geänderter Text

(8)  „Cyberbedrohung“ bezeichnet einen möglichen Umstand oder ein mögliches Ereignis, der bzw. das Netz- und Informationssysteme, deren Nutzer und betroffene Personen beeinträchtigen könnte;

(8)  „Cyberbedrohung“ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine absichtliche Handlung, einschließlich eines automatisierten Befehls, wodurch Netz- und Informationssysteme, deren Nutzer und betroffene Personen geschädigt, gestört oder anderweitig beeinträchtigt werden könnten;

Änderungsantrag    84

Vorschlag für eine Verordnung

Artikel 2 – Nummer 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(8a)  „Cyberhygiene“ bezeichnet einfache Routinemaßnahmen, durch die, wenn sie von Nutzern und Unternehmen regelmäßig online umgesetzt und durchgeführt werden, die Risiken von Cyberbedrohungen so gering wie möglich gehalten werden;

Änderungsantrag    85

Vorschlag für eine Verordnung

Artikel 2 – Nummer 9

Vorschlag der Kommission

Geänderter Text

(9)  „europäisches System für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes, auf Unionsebene festgelegtes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Zertifizierung von Produkten und Diensten der Informations- und Kommunikationstechnik (IKT), die von diesem System erfasst werden;

(9)  „europäisches System für die Cybersicherheitszertifizierung“ bezeichnet ein umfassendes, auf Unionsebene und gemäß von der Agentur ermittelten internationalen und europäischen Normen und IKT-Spezifikationen festgelegtes Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren für die Zertifizierung von Produkten, Diensten und Prozessen der Informations- und Kommunikationstechnik (IKT), die von diesem System erfasst werden;

Änderungsantrag    86

Vorschlag für eine Verordnung

Artikel 2 – Nummer 10

Vorschlag der Kommission

Geänderter Text

(10)  „europäisches Cybersicherheitszertifikat“ bezeichnet ein von einer Konformitätsbewertungsstelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein bestimmtes IKT-Produkt oder ein bestimmter IKT-Dienst die in einem europäischen System für die Cybersicherheitszertifizierung festgelegten besonderen Anforderungen erfüllt;

(10)  „europäisches Cybersicherheitszertifikat“ bezeichnet ein von einer Konformitätsbewertungsstelle ausgestelltes Dokument, in dem bescheinigt wird, dass ein bestimmtes IKT-Produkt oder ein bestimmter IKT-Dienst oder -Prozess die in einem europäischen System für die Cybersicherheitszertifizierung festgelegten besonderen Anforderungen erfüllt;

Änderungsantrag    87

Vorschlag für eine Verordnung

Artikel 2 – Nummer 11 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(11a)  „IKT-Prozess“ bezeichnet Tätigkeiten, mit denen ein IKT-Produkt oder ‑Dienst konzipiert, entwickelt, gepflegt oder bereitgestellt werden soll;

Änderungsantrag    88

Vorschlag für eine Verordnung

Artikel 2 – Nummer 11 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(11b)  „Unterhaltungselektronikgerät“ bezeichnet Geräte, die aus Hard- und Software bestehen und personenbezogene Daten verarbeiten oder für den Betrieb von Heimelektronik und Heimsteuerungsgeräten, Bürogeräten, Leitwegeinrichtungen und Geräten, die mit einem Netzwerk verbunden sind – z. B. Smart-TV, Spielzeug und Spielkonsolen, virtuelle oder persönliche Assistenten, vernetzte Streaming-Geräte, am Körper getragene Geräte (Wearables), Sprachsteuerung und Systeme der virtuellen Realität – eine Verbindung zum Internet aufbauen;

Änderungsantrag    89

Vorschlag für eine Verordnung

Artikel 2 – Nummer 16

Vorschlag der Kommission

Geänderter Text

(16)  „Norm“ bezeichnet eine Norm im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012.

(16)  „Norm‚ technische Spezifikation und technische IKT-Spezifikation“ bezeichnet eine Norm, technische Spezifikation oder technische IKT-Spezifikation im Sinne von Artikel 2 Nummern 1, 4 und 5 der Verordnung (EU) Nr. 1025/2012;

Änderungsantrag    90

Vorschlag für eine Verordnung

Artikel 2 – Nummer 16 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(16a)  „nationale Aufsichtsbehörde für die Zertifizierung“ bezeichnet eine von jedem Mitgliedstaat gemäß Artikel 50 dieser Verordnung benannte Behörde;

Änderungsantrag    91

Vorschlag für eine Verordnung

Artikel 2 – Nummer 16 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(16b)  „Selbstbewertung“ bezeichnet die Konformitätserklärung, durch die der Hersteller erklärt, dass bestimmte in einem Zertifizierungssystem festgelegte Anforderungen in Bezug auf Produkte, Prozesse oder Dienste erfüllt wurden;

Änderungsantrag    92

Vorschlag für eine Verordnung

Artikel 2 – Nummer 16 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(16c)  „Sicherheit durch Voreinstellungen“ bezeichnet eine Situation, in der ein Produkt, eine Software oder ein Prozess so eingerichtet werden kann, dass für ein höheres Maß an Sicherheit gesorgt ist, wobei der Erstnutzer die Standardkonfiguration mit den sichersten Einstellungen erhalten sollte; ist im Einzelfall im Ergebnis einer Risiko- und Nutzbarkeitsanalyse eine solche Einstellung nicht machbar, so sollten die Nutzer aufgefordert werden, die sicherste Einstellung zu wählen;

Änderungsantrag    93

Vorschlag für eine Verordnung

Artikel 2 – Nummer 16 d (neu)

Vorschlag der Kommission

Geänderter Text

 

(16d)  „Betreiber wesentlicher Dienste“ bezeichnet Betreiber wesentlicher Dienste im Sinne von Artikel 4 Nummer 4 der Richtlinie (EU) 2016/1148;

Änderungsantrag    94

Vorschlag für eine Verordnung

Artikel 3 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Agentur nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, zu einem hohen Maß an Cybersicherheit innerhalb der Union beizutragen.

1.  Die Agentur nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben wahr und wird mit dem Ziel gestärkt, zur Verwirklichung eines hohen gemeinsamen Maßes an Cybersicherheit beizutragen, um Cyberangriffe in der Union zu verhindern, die Fragmentierung des Binnenmarkts zu reduzieren und seine Funktionsweise zu verbessern und für Kohärenz zu sorgen, indem die Ergebnisse der Zusammenarbeit der Mitgliedstaaten im Rahmen der NIS-Richtlinie berücksichtigt werden.

Änderungsantrag    95

Vorschlag für eine Verordnung

Artikel 4 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Agentur soll aufgrund ihrer Unabhängigkeit, der wissenschaftlichen und technischen Qualität ihrer Beratung und Unterstützung, der von ihr bereitgestellten Informationen, der Transparenz ihrer operativen Verfahren und Arbeitsmethoden sowie der Sorgfalt bei der Wahrnehmung ihrer Aufgaben als Kompetenzzentrum in Fragen der Cybersicherheit dienen.

1.  Die Agentur dient aufgrund ihrer Unabhängigkeit, der wissenschaftlichen und technischen Qualität ihrer Beratung und Unterstützung, der von ihr bereitgestellten Informationen, der Transparenz ihrer operativen Verfahren und Arbeitsmethoden sowie der Sorgfalt bei der Wahrnehmung ihrer Aufgaben als Zentrum für theoretische und praktische Kompetenz in Fragen der Cybersicherheit.

Änderungsantrag    96

Vorschlag für eine Verordnung

Artikel 4 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Agentur unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten bei der Ausarbeitung und Umsetzung von Strategien im Zusammenhang mit der Cybersicherheit.

2.  Die Agentur unterstützt die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten bei der Ausarbeitung und Umsetzung von Strategien im Zusammenhang mit der Cybersicherheit und bei der Sensibilisierung der Bürger und Unternehmen.

Änderungsantrag    97

Vorschlag für eine Verordnung

Artikel 4 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Die Agentur fördert unionsweit den Kapazitätsaufbau und die Abwehrbereitschaft, indem sie die Union, die Mitgliedstaaten sowie öffentliche und private Interessenträger dabei unterstützt, den Schutz ihrer Netz- und Informationssysteme zu verbessern, Fähigkeiten und Kompetenzen auf dem Gebiet der Cybersicherheit aufzubauen und sich gegen Cyberangriffe zu wappnen.

3.  Die Agentur fördert den Kapazitätsaufbau und die Abwehrbereitschaft der Organe, Einrichtungen und sonstigen Stellen der Union, indem sie die Union, die Mitgliedstaaten sowie öffentliche und private Interessenträger dabei unterstützt, den Schutz ihrer Netz- und Informationssysteme zu verbessern, Fähigkeiten zur Abwehr von Cyberangriffen und Reaktionskapazitäten aufzubauen und zu verbessern, für das Thema zu sensibilisieren, Fähigkeiten und Kompetenzen auf dem Gebiet der Cybersicherheit aufzubauen und sich gegen Cyberangriffe zu wappnen.

Änderungsantrag    98

Vorschlag für eine Verordnung

Artikel 4 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Die Agentur fördert auf Unionsebene die Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen Interessenträgern, auch des Privatsektors, in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.

4.  Die Agentur fördert auf Unionsebene die Zusammenarbeit und Koordinierung sowie den Informationsaustausch zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen Interessenträgern in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.

Änderungsantrag    99

Vorschlag für eine Verordnung

Artikel 4 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die Agentur baut die Cybersicherheitskapazitäten auf Unionsebene aus, um – vor allem bei grenzüberschreitenden Sicherheitsvorfällen – die Maßnahmen zu ergänzen, die die Mitgliedstaaten zur Vermeidung von Bedrohungen oder als Reaktion darauf ergreifen.

5.  Die Agentur trägt zum Ausbau der Cybersicherheitskapazitäten auf Unionsebene bei, um – vor allem bei grenzüberschreitenden Sicherheitsvorfällen – die Maßnahmen zu ergänzen, die die Mitgliedstaaten zur Verhinderung von Bedrohungen oder als Reaktion darauf ergreifen, und um ihrer Aufgabe nachzukommen, die Organe der Union bei der Entwicklung von Strategien im Bereich der Cybersicherheit zu unterstützen.

Änderungsantrag    100

Vorschlag für eine Verordnung

Artikel 4 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6.  Die Agentur fördert die Nutzung der Zertifizierung, auch indem sie zum Aufbau und zur Pflege eines Cybersicherheitszertifizierungsrahmens auf Unionsebene im Sinne des Titels III dieser Verordnung beiträgt, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten und ‑Diensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken.

6.  Die Agentur fördert die Nutzung der Zertifizierung im Hinblick darauf, die Fragmentierung des Binnenmarkts zu verhindern und sein Funktionieren zu verbessern, auch indem sie zum Aufbau und zur Pflege eines Rahmens für die Cybersicherheitszertifizierung auf Unionsebene im Sinne des Titels III dieser Verordnung beiträgt, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten, ‑Diensten und ‑Prozessen zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken sowie um die Kompatibilität zwischen bestehenden nationalen und internationalen Zertifizierungssystemen zu erhöhen.

Änderungsantrag    101

Vorschlag für eine Verordnung

Artikel 4 – Absatz 7

Vorschlag der Kommission

Geänderter Text

7.  Die Agentur fördert ein hohes Problembewusstsein der Bürger und Unternehmen in Fragen der Cybersicherheit.

7.  Die Agentur fördert und unterstützt Projekte, die zu einem hohen Problembewusstsein und einem hohen Maß an Cyberhygiene und Cyberkompetenz der Bürger und Unternehmen in Fragen der Cybersicherheit beitragen.

Änderungsantrag    102

Vorschlag für eine Verordnung

Artikel 5 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  insbesondere durch unabhängige Stellungnahmen und durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt;

1.  insbesondere durch unabhängige Stellungnahmen und die Analyse einschlägiger Aktivitäten im Cyberraum sowie durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie branchenspezifische Strategien und Legislativinitiativen im Bereich der Cybersicherheit vorlegt;

Änderungsantrag    103

Vorschlag für eine Verordnung

Artikel 5 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  die Mitgliedstaaten darin unterstützt, die Unionspolitik und das Unionsrecht auf dem Gebiet der Cybersicherheit, vor allem im Zusammenhang mit der Richtlinie (EU) 2016/1148, kohärent umzusetzen, auch durch Stellungnahmen, Leitlinien, Beratung und bewährte Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsweitergabe, und indem sie den Austausch bewährter Verfahren in diesem Bereich zwischen den zuständigen Behörden erleichtert;

2.  die Mitgliedstaaten dabei unterstützt, die Unionspolitik und das Unionsrecht auf dem Gebiet der Cybersicherheit, vor allem im Zusammenhang mit der Richtlinie (EU) 2016/1148, der Richtlinie … über den Europäischen Kodex für elektronische Kommunikation, der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG kohärent umzusetzen, auch durch Stellungnahmen, Leitlinien, Beratung und bewährte Verfahren zu Themen wie Entwicklung sicherer Software und Systeme, Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsweitergabe, technische und organisatorische Maßnahmen, insbesondere die Aufstellung von Programmen zur koordinierten Offenlegung von Sicherheitslücken, und indem sie den Austausch bewährter Verfahren in diesem Bereich zwischen den zuständigen Behörden erleichtert;

Änderungsantrag    104

Vorschlag für eine Verordnung

Artikel 5 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  die Entwicklung und Förderung von Strategien, die die allgemeine Verfügbarkeit oder Integrität des öffentlichen Kerns des offenen Internets bewahren, der die wesentlichen Funktionen des Internets insgesamt bereitstellt und seinen normalen Betrieb stützt, darunter u. a. die Sicherheit und Stabilität der wichtigsten Protokolle (insbesondere DNS, BGP und IPv6), den Betrieb des „Domain Name System“ (einschließlich aller Domänen der obersten Ebene) und den Betrieb der Stammzone.

Änderungsantrag    105

Vorschlag für eine Verordnung

Artikel 5 – Absatz 4 – Nummer 2

Vorschlag der Kommission

Geänderter Text

(2)  die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, auch indem sie ihre Sachkenntnis und Beratung anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

(2)  die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, der Speicherung und Verarbeitung von Daten, auch indem sie ihre Sachkenntnis und Beratung anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

Änderungsantrag    106

Vorschlag für eine Verordnung

Artikel 5 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a.  die Mitgliedstaaten dabei unterstützt, die Politik und das Recht der Union im Bereich des Datenschutzes, insbesondere die Verordnung (EU) 2016/679, konsequent umzusetzen, sowie den Europäischen Datenschutzausschuss dabei unterstützt, Leitlinien für die Umsetzung der Verordnung (EU) 2016/679 für Zwecke der Cybersicherheit zu entwickeln; dabei konsultiert der Europäische Datenschutzausschuss die Agentur jedes Mal, wenn er eine Stellungnahme abgibt oder eine Entscheidung bezüglich der Umsetzung der Datenschutz-Grundverordnung und der Cybersicherheit trifft, insbesondere, aber nicht ausschließlich bei Fragen im Zusammenhang mit Datenschutz-Folgenabschätzungen, der Meldung von Datenschutzverletzungen, der Sicherheitsabwicklung, den Sicherheitsanforderungen und dem Datenschutz durch Technikgestaltung.

Änderungsantrag    107

Vorschlag für eine Verordnung

Artikel 6 – Absatz 1 – Buchstabe a a (neu)

Vorschlag der Kommission

Geänderter Text

 

(aa)  die Mitgliedstaaten und die Organe der Union bei der Aufstellung und Umsetzung von Strategien für eine koordinierte Offenlegung von Sicherheitslücken und für Überprüfungsprozesse für die Offenlegung von Sicherheitslücken in staatlichen Systemen, wobei die Verfahren und Bestimmungen dieser Strategien und Prozesse transparent sein und einer unabhängigen Kontrolle unterliegen sollten;

Änderungsantrag    108

Vorschlag für eine Verordnung

Artikel 6 – Absatz 1 – Buchstabe a b (neu)

Vorschlag der Kommission

Geänderter Text

 

(ab)  und erleichtert in Zusammenarbeit mit dem Europäischen Forschungsrat (ERC) und dem Europäischen Innovations- und Technologieinstitut (EIT) und unter Berücksichtigung der Forschungsprogramme der Union die Ausarbeitung und Einleitung eines langfristigen EU-Projekts im Bereich der IT-Sicherheit, um die Forschung im Bereich Cybersicherheit in der Union und in den Mitgliedstaaten zu fördern;

Änderungsantrag    109

Vorschlag für eine Verordnung

Artikel 6 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  die Mitgliedstaaten durch die Organisation jährlicher groß angelegter Cybersicherheitsübungen auf Unionsebene nach Artikel 7 Absatz 6 und durch die Abgabe von Empfehlungen, die sie aus der Auswertung der Übungen und der bei diesen gemachten Erfahrungen ableitet;

(g)  die Mitgliedstaaten durch die Organisation regelmäßiger und zumindest jährlicher groß angelegter Cybersicherheitsübungen auf Unionsebene nach Artikel 7 Absatz 6 und durch die Abgabe von Empfehlungen und den Austausch bewährter Verfahren, die sie aus der Auswertung der Übungen und der bei diesen gemachten Erfahrungen ableitet;

Änderungsantrag    110

Vorschlag für eine Verordnung

Artikel 6 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Agentur erleichtert die Einrichtung sektorbezogener Informationsaustausch- und ‑analysezentren (Information Sharing and Analysis Centres – ISACs) und unterstützt diese dauerhaft, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Sektoren, indem sie bewährte Verfahren und Leitlinien zu den verfügbaren Instrumenten und Verfahren sowie zur Bewältigung rechtlicher Fragen im Zusammenhang mit der Informationsweitergabe bereitstellt.

2.  Die Agentur erleichtert die Einrichtung branchenbezogener Informationsaustausch- und ‑analysezentren (Information Sharing and Analysis Centres – ISACs) und unterstützt diese dauerhaft, vor allem in den in Anhang II der Richtlinie (EU) 2016/1148 genannten Branchen, indem sie bewährte Verfahren und Leitlinien zu den verfügbaren Instrumenten und Verfahren, zu den Grundsätzen der Cyberhygiene sowie zur Bewältigung rechtlicher Fragen im Zusammenhang mit der Informationsweitergabe bereitstellt.

Änderungsantrag    111

Vorschlag für eine Verordnung

Artikel 7 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Agentur unterstützt die operative Zusammenarbeit zwischen den zuständigen öffentlichen Stellen untereinander und zwischen den Interessenträgern.

1.  Die Agentur unterstützt die operative Zusammenarbeit zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union und zwischen den Interessenträgern, um eine Zusammenarbeit zu erreichen, indem sie die bestehenden nationalen Systeme analysiert und bewertet, einen Plan ausarbeitet und umsetzt und mit den geeigneten Instrumenten das höchste Niveau an Cybersicherheitszertifizierung in der Union und den Mitgliedstaaten erreicht.

Änderungsantrag    112

Vorschlag für eine Verordnung

Artikel 7 – Absatz 4 – Unterabsatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  auf deren Ersuchen bei Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen technische Hilfe zur Verfügung stellt;

(b)  auf deren Ersuchen bei Sicherheitsvorfällen mit beträchtlichen oder erheblichen Auswirkungen technische Hilfe in Form der Weitergabe von Informationen oder Sachkenntnissen zur Verfügung stellt;

Änderungsantrag    113

Vorschlag für eine Verordnung

Artikel 7 – Absatz 4 – Unterabsatz 1 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  zur Beurteilung der Lage dem etwaigen Ersuchen eines Mitgliedstaats um Untersuchung durch Sachverständige der Kommission nachkommt, wenn dringendes Handeln erforderlich ist, weil ein Sicherheitsvorfall eine erhebliche Beeinträchtigung bewirkt hat, wobei dieses Ersuchen eine Beschreibung der Lage, die möglichen Ziele und den voraussichtlichen Bedarf umfassen muss;

Änderungsantrag    114

Vorschlag für eine Verordnung

Artikel 7 – Absatz 5 – Unterabsatz 1

Vorschlag der Kommission

Geänderter Text

Auf Ersuchen von zwei oder mehreren betroffenen Mitgliedstaaten und zu dem alleinigen Zweck, Beratung im Hinblick auf die Vermeidung künftiger Sicherheitsvorfälle anzubieten, unterstützt die Agentur, nachdem Unternehmen gemäß der Richtlinie (EU) 2016/1148 Sicherheitsvorfälle mit beträchtlichen oder erheblichen Auswirkungen gemeldet hatten, eine technische Ex-post-Untersuchung oder führt diese selbst durch. Eine derartige Untersuchung führt die Agentur auch dann durch, wenn sie bei solchen Sicherheitsvorfällen, von denen mindestens zwei Mitgliedstaaten betroffen sind, von der Kommission im Einvernehmen mit den betroffenen Mitgliedstaaten in einem hinreichend begründeten Ersuchen dazu aufgefordert wurde.

Auf Ersuchen eines oder mehrerer betroffener Mitgliedstaaten und zu dem alleinigen Zweck, Hilfe in Form von Beratung im Hinblick auf die Verhinderung künftiger Sicherheitsvorfälle oder in Form von Unterstützung bei der Reaktion auf aktuelle massive Sicherheitsvorfälle anzubieten, unterstützt die Agentur, nachdem Unternehmen gemäß der Richtlinie (EU) 2016/1148 Sicherheitsvorfälle mit beträchtlichen oder erheblichen Auswirkungen gemeldet hatten, eine technische Ex-post-Untersuchung oder führt diese selbst durch. Die Agentur führt die genannten Maßnahmen durch, indem sie von den betroffenen Mitgliedstaaten einschlägige Informationen einholt und für die Analyse der Bedrohungslage ihre eigenen Ressourcen sowie für die Reaktion auf Sicherheitsvorfälle zur Verfügung gestellte Ressourcen nutzt. Eine derartige Untersuchung führt die Agentur auch dann durch, wenn sie bei solchen Sicherheitsvorfällen, von denen mehr als ein Mitgliedstaat betroffen ist, von der Kommission im Einvernehmen mit den betroffenen Mitgliedstaaten in einem hinreichend begründeten Ersuchen dazu aufgefordert wurde. Dabei stellt die Agentur sicher, dass sie die von den Mitgliedstaaten zur Wahrung ihrer grundlegenden Funktionen des Staates, insbesondere in Bezug auf die nationale Sicherheit, ergriffenen Maßnahmen nicht offenlegt.

Änderungsantrag    115

Vorschlag für eine Verordnung

Artikel 7 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6.  Die Agentur organisiert auf Unionsebene jährliche Cybersicherheitsübungen und unterstützt die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der EU auf deren Ersuchen hin bei der Organisation solcher Übungen. Die jährlichen Übungen auf Unionsebene umfassen technische, operative und strategische Elemente und dienen der Vorbereitung der gemeinsamen Reaktion der Union auf massive, grenzüberschreitende Cybersicherheitsvorfälle. Die Agentur unterstützt gemeinsam mit den jeweiligen ISACs gegebenenfalls auch die Organisation sektorspezifischer Cybersicherheitsübungen und genehmigt den ISACs die Teilnahme an Cybersicherheitsübungen auf Unionsebene.

6.  Die Agentur organisiert auf Unionsebene regelmäßige, auf jeden Fall mindestens jährliche Cybersicherheitsübungen und unterstützt die Mitgliedstaaten und die Organe, Einrichtungen und sonstigen Stellen der EU auf deren Ersuchen hin bei der Organisation solcher Übungen. Die jährlichen Übungen auf Unionsebene umfassen technische, operative und strategische Elemente und dienen der Vorbereitung der gemeinsamen Reaktion der Union auf massive, grenzüberschreitende Cybersicherheitsvorfälle. Die Agentur unterstützt gemeinsam mit den jeweiligen ISACs gegebenenfalls auch die Organisation branchenspezifischer Cybersicherheitsübungen und genehmigt den ISACs die Teilnahme an Cybersicherheitsübungen auf Unionsebene.

Änderungsantrag    116

Vorschlag für eine Verordnung

Artikel 7 – Absatz 7

Vorschlag der Kommission

Geänderter Text

7.  Die Agentur erstellt regelmäßig einen technischen Lagebericht über die Cybersicherheit in der EU auf der Grundlage von frei zugänglichen Informationen, eigenen Analysen und Berichten, die ihr u. a. übermittelt werden von den CSIRTs der Mitgliedstaaten (auf freiwilliger Basis) oder den zentralen Anlaufstellen im Sinne der NIS-Richtlinie (Artikel 14 Absatz 5) sowie dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) und dem CERT-EU.

7.  Die Agentur erstellt regelmäßig einen detaillierten technischen Lagebericht über Vorfälle und Bedrohungen der Cybersicherheit in der EU auf der Grundlage von frei zugänglichen Informationen, eigenen Analysen und Berichten, die ihr u. a. übermittelt werden von den CSIRTs der Mitgliedstaaten (auf freiwilliger Basis) oder den zentralen Anlaufstellen im Sinne der NIS-Richtlinie (Artikel 14 Absatz 5) sowie dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) und dem CERT-EU. Der Exekutivdirektor stellt die öffentlichen Ergebnisse erforderlichenfalls dem Europäischen Parlament vor.

Änderungsantrag    117

Vorschlag für eine Verordnung

Artikel 7 – Absatz 7 a (neu)

Vorschlag der Kommission

Geänderter Text

 

7a.  Die Agentur leistet erforderlichenfalls und vorbehaltlich der vorherigen Zustimmung der Kommission einen Beitrag zur Zusammenarbeit im Bereich der Cybersicherheit mit dem Kompetenzzentrum der NATO für kooperativen Schutz vor Computerangriffen und mit der Kommunikations- und Informationsakademie der NATO.

Änderungsantrag    118

Vorschlag für eine Verordnung

Artikel 7 – Absatz 8 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Berichte aus nationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung zusammenstellt;

(a)  Berichte aus nationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung analysiert und zusammenstellt;

Änderungsantrag    119

Vorschlag für eine Verordnung

Artikel 7 – Absatz 8 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  die technische Bewältigung eines Sicherheitsvorfalls oder einer Krise unterstützt, auch durch die Erleichterung der Weitergabe technischer Lösungen zwischen den Mitgliedstaaten;

(c)  auf der Grundlage ihrer eigenen unabhängigen Fachkenntnisse und ihrer Ressourcen die technische Bewältigung eines Sicherheitsvorfalls oder einer Krise unterstützt, auch durch die Erleichterung der freiwilligen Weitergabe technischer Lösungen zwischen den Mitgliedstaaten;

Änderungsantrag    120

Vorschlag für eine Verordnung

Artikel 7 – Absatz 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

8a.  Die Agentur organisiert bei Bedarf einen Meinungsaustausch und unterstützt die Behörden der Mitgliedstaaten bei der Koordinierung ihrer Antworten im Einklang mit den Grundsätzen der Subsidiarität und der Verhältnismäßigkeit.

Änderungsantrag    121

Vorschlag für eine Verordnung

Artikel 7 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 7a

 

Technische Fähigkeiten der Agentur

 

1. Zur Erreichung der in Artikel 7 genannten Ziele und im Einklang mit dem Arbeitsprogramm der Agentur entwickelt die Agentur unter anderem die folgenden technischen Fähigkeiten und Fertigkeiten:

 

(a) die Fähigkeit, Informationen über Cybersicherheitsbedrohungen durch quelloffene Software zu sammeln, und

 

(b) die Fähigkeit, technische Ausrüstung, Werkzeuge und Fachkenntnisse aus der Ferne einzusetzen.

 

2. Um die in Absatz 1 beschriebenen technischen Fähigkeiten bereitzustellen und die notwendigen Fertigkeiten zu entwickeln,

 

(a) stellt die Agentur sicher, dass ihre Einstellungsverfahren auf die verschiedenen erforderlichen technischen Fertigkeiten ausgerichtet sind, und

 

(b) arbeitet gemäß Artikel 7 Absatz 2 dieser Verordnung mit dem CERT EU und Europol zusammen.

Änderungsantrag    122

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Einleitung

Vorschlag der Kommission

Geänderter Text

(a)  unterstützt und fördert die Entwicklung und Umsetzung der Unionspolitik auf dem Gebiet der Cybersicherheitszertifizierung von IKT-Produkten und ‑Diensten, wie in Titel III dieser Verordnung festgelegt, indem sie

(a)  unterstützt und fördert die Entwicklung und Umsetzung der Unionspolitik auf dem Gebiet der Cybersicherheitszertifizierung von IKT-Produkten, ‑Diensten und ‑Prozessen, wie in Titel III dieser Verordnung festgelegt, indem sie

Änderungsantrag    123

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer -1 (neu)

Vorschlag der Kommission

Geänderter Text

 

(-1)  kontinuierlich Normen, technische Spezifikationen und technische IKT-Spezifikationen ermittelt;

Änderungsantrag    124

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer 1

Vorschlag der Kommission

Geänderter Text

(1)  mögliche europäische Systeme für die Cybersicherheitszertifizierung von IKT-Produkten und -Diensten nach Artikel 44 dieser Verordnung ausarbeitet;

(1)  in Absprache mit den Interessenträgern der Wirtschaft und Normungsorganisationen in einem formalen, standardisierten und transparenten Verfahren mögliche europäische Systeme für die Cybersicherheitszertifizierung von IKT-Produkten, ‑Diensten und ‑Prozessen nach Artikel 44 dieser Verordnung ausarbeitet;

Änderungsantrag    125

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(1a)  in Zusammenarbeit mit der Zertifizierungsgruppe der Mitgliedstaaten gemäß Artikel 53 dieser Verordnung Bewertungen der Verfahren zur Ausstellung von europäischen Cybersicherheitszertifikaten vornimmt, die von den in Artikel 51 genannten Konformitätsbewertungsstellen eingerichtet wurden, um für eine einheitliche Anwendung dieser Verordnung bei der Ausstellung von Zertifikaten durch Konformitätsbewertungsstellen zu sorgen;

Änderungsantrag    126

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer 1 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(1b)  regelmäßig unabhängige nachträgliche Kontrollen bezüglich der Konformität der zertifizierten IKT-Produkte, ‑Prozesse und ‑Dienste mit den europäischen Systemen für die Cybersicherheitszertifizierung durchführt;

Änderungsantrag    127

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer 2

Vorschlag der Kommission

Geänderter Text

(2)  die Kommission bei der Wahrnehmung der Sekretariatsgeschäfte der nach Artikel 53 eingesetzten Gruppe für die Cybersicherheitszertifizierung unterstützt;

(2)  die Kommission bei der Wahrnehmung der Sekretariatsgeschäfte der nach Artikel 53 eingesetzten Zertifizierungsgruppe der Mitgliedstaaten unterstützt;

Änderungsantrag    128

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe a – Nummer 3

Vorschlag der Kommission

Geänderter Text

(3)  in Zusammenarbeit mit nationalen Aufsichtsbehörden für die Zertifizierung Leitlinien zusammenstellt und veröffentlicht sowie bewährte Verfahren im Zusammenhang mit den Anforderungen an die Cybersicherheit von IKT-Produkten und -Diensten entwickelt;

(3)  in Zusammenarbeit mit nationalen Aufsichtsbehörden für die Zertifizierung und der Wirtschaft in einem formalen, standardisierten und transparenten Verfahren Leitlinien zusammenstellt und veröffentlicht sowie bewährte Verfahren im Zusammenhang mit den Anforderungen an die Cybersicherheit von IKT-Produkten, ‑Prozessen und -Diensten, einschließlich Grundsätzen der Cyberhygiene, entwickelt;

Änderungsantrag    129

Vorschlag für eine Verordnung

Artikel 8 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und die Sicherheit von IKT-Produkten und ‑Diensten, bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten Beratung an und erlässt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten;

(b)  erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und die Sicherheit von IKT-Produkten, ‑Prozessen und ‑Diensten, bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten und der Wirtschaft Beratung an und erlässt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten, und gibt diese Informationen an die Mitgliedstaaten weiter;

Änderungsantrag    130

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  stellt in Zusammenarbeit mit den Sachverständigen der Behörden der Mitgliedstaaten Beratung, Leitlinien und bewährte Verfahren für die Sicherheit der Netz- und Informationssysteme zur Verfügung, vor allem für die Sicherheit der Internet-Infrastruktur und der Infrastrukturen, die die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren unterstützen;

(c)  stellt in Zusammenarbeit mit den Sachverständigen der Behörden der Mitgliedstaaten und einschlägigen Interessenträgern Beratung, Leitlinien und bewährte Verfahren für die Sicherheit der Netz- und Informationssysteme zur Verfügung, vor allem für die Sicherheit der Internet-Infrastruktur und der Infrastrukturen, die die in Anhang II der Richtlinie (EU) 2016/1148 aufgeführten Sektoren unterstützen;

Änderungsantrag    131

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sensibilisiert die Öffentlichkeit für Cybersicherheitsrisiken und stellt Leitlinien für bewährte Verfahren zur Verfügung, die sich an Bürger und Organisationen wenden;

(e)  sensibilisiert die Öffentlichkeit kontinuierlich für Cybersicherheitsrisiken, stellt Schulungen und Leitlinien zu bewährten Verfahren zur Verfügung, die sich an Bürger und Organisationen wenden, und fördert die Einführung präventiver, wirkungsvoller IT-Sicherheitsmaßnahmen und eines zuverlässigen Datenschutzes und Schutzes der Privatsphäre;

Änderungsantrag    132

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  organisiert in Zusammenarbeit mit den Mitgliedstaaten sowie den Organen, Einrichtungen und sonstigen Stellen der Union regelmäßige Aufklärungskampagnen, um die Cybersicherheit und ihre Sichtbarkeit in der Union zu erhöhen.

(g)  organisiert in Zusammenarbeit mit den Mitgliedstaaten sowie den Organen, Einrichtungen und sonstigen Stellen der Union regelmäßige Informationskampagnen, um eine umfassende öffentliche Debatte anzuregen;

Änderungsantrag    133

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe g a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ga)  unterstützt die engere Koordinierung und den Austausch bewährter Verfahren zwischen den Mitgliedstaaten in Bezug auf Ausbildung und Kompetenz im Bereich Cybersicherheit, Cyberhygiene und die Sensibilisierung für das Thema.

Änderungsantrag    134

Vorschlag für eine Verordnung

Artikel 10 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  berät die Agentur die Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich der Cybersicherheit, damit die Voraussetzung für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Bedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnik (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

(a)  sorgt die Agentur für vorhergehende Konsultationen der einschlägigen Nutzergruppen und berät die Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten in den Bereichen Cybersicherheit, Datenschutz und Schutz der Privatsphäre, damit die Voraussetzungen für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Bedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnik (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

Änderungsantrag    135

Vorschlag für eine Verordnung

Artikel 10 – Absatz 1 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  gibt die Agentur selbst Forschungstätigkeiten in Bereichen in Auftrag, die noch nicht durch bestehende Forschungsprogramme der Kommission abgedeckt werden, wenn es einen konkreten europäischen Mehrwert gibt;

Änderungsantrag    136

Vorschlag für eine Verordnung

Artikel 11 – Absatz 1 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  die Kommission in Zusammenarbeit mit der gemäß Artikel 53 eingerichteten Zertifizierungsgruppe der Mitgliedstaaten zu Fragen in Bezug auf Vereinbarungen mit Drittländern über die gegenseitige Anerkennung von Cybersicherheitszertifikaten berät und unterstützt.

Änderungsantrag    137

Vorschlag für eine Verordnung

Artikel 12 – Absatz 1 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  einer Ständigen Gruppe der Interessenträger, die die in Artikel 20 genannten Funktionen ausübt.

(d)  einer EINSA-Beratungsgruppe, die die in Artikel 20 genannten Funktionen ausübt.

Änderungsantrag    138

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der Agentur und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof. Der Jahresbericht enthält den Jahresabschluss und Ausführungen darüber, inwiefern die Agentur die vorgegebenen Leistungsindikatoren erfüllt hat. Der Jahresbericht wird veröffentlicht;

(e)  bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der Agentur und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof; der Jahresbericht enthält den Jahresabschluss, Ausführungen über die Wirksamkeit der eingesetzten Mittel und eine Bewertung der Frage, inwiefern die Agentur effizient war und die vorgegebenen Leistungsindikatoren erfüllt hat, und der Jahresbericht wird veröffentlicht;

Änderungsantrag    139

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe m

Vorschlag der Kommission

Geänderter Text

(m)  ernennt den Exekutivdirektor und verlängert gegebenenfalls dessen Amtszeit oder enthebt ihn nach Artikel 33 seines Amtes;

(m)  ernennt den Exekutivdirektor im Rahmen einer Auswahl auf der Grundlage beruflicher Kriterien; falls angezeigt, verlängert er dessen Amtszeit oder enthebt ihn nach Artikel 33 seines Amtes;

Änderungsantrag    140

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe o

Vorschlag der Kommission

Geänderter Text

(o)  fasst unter Berücksichtigung der Tätigkeitserfordernisse der Agentur und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

(o)  fasst unter Berücksichtigung der in dieser Verordnung aufgeführten Tätigkeitserfordernisse der Agentur und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

Änderungsantrag    141

Vorschlag für eine Verordnung

Artikel 16 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Mitglieder der Ständigen Gruppe der Interessenträger können auf Einladung des Vorsitzes an den Sitzungen des Verwaltungsrats ohne Stimmrecht teilnehmen.

4.  Die Mitglieder der ENISA-Beratungsgruppe können auf Einladung des Vorsitzes ohne Stimmrecht an den Sitzungen des Verwaltungsrats teilnehmen.

Änderungsantrag    142

Vorschlag für eine Verordnung

Artikel 18 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Der Exekutivrat besteht aus fünf Mitgliedern, die aus den Reihen der Mitglieder des Verwaltungsrats ernannt werden; darunter befinden sich der Vorsitzende des Verwaltungsrats, der zugleich auch Vorsitzender des Exekutivrats sein kann, und einer der Vertreter der Kommission. Der Exekutivdirektor nimmt an den Sitzungen des Exekutivrats ohne Stimmrecht teil.

3.  Der Exekutivrat besteht aus fünf Mitgliedern, die aus den Reihen der Mitglieder des Verwaltungsrats ernannt werden; darunter befinden sich der Vorsitzende des Verwaltungsrats, der zugleich auch Vorsitzender des Exekutivrats sein kann, und einer der Vertreter der Kommission. Der Exekutivdirektor nimmt ohne Stimmrecht an den Sitzungen des Exekutivrats teil. Bei den Ernennungen wird eine ausgewogene Vertretung der Geschlechter im Exekutivrat angestrebt.

Begründung

Bei der Besetzung des Exekutivrates ist zudem ein ausgewogenes Verhältnis zwischen den Geschlechtern anzustreben, so wie es auch in den Bestimmungen für den Verwaltungsrat in Artikel 13 Absatz 3 vorgesehen ist.

Änderungsantrag    143

Vorschlag für eine Verordnung

Artikel 19 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird. Der Rat kann den Exekutivdirektor auffordern, über seine Tätigkeit Bericht zu erstatten.

2.  Der Exekutivdirektor erstattet dem Europäischen Parlament über seine Tätigkeit jährlich, oder wenn er dazu aufgefordert wird, Bericht. Der Rat kann den Exekutivdirektor auffordern, über seine Tätigkeit Bericht zu erstatten.

Änderungsantrag    144

Vorschlag für eine Verordnung

Artikel 19 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a.  Der Exekutivdirektor ist zudem berechtigt, als institutioneller Sonderberater für die Cybersicherheitspolitik des Präsidenten der Kommission mit einem in dem Beschluss C(2014) 541 der Kommission vom 6. Februar 2014 festgelegten Mandat zu fungieren.

Änderungsantrag    145

Vorschlag für eine Verordnung

Artikel 20 – Überschrift

Vorschlag der Kommission

Geänderter Text

Ständige Gruppe der Interessenträger

ENISA-Beratungsgruppe

 

(Diese Änderung betrifft den gesamten Text; eine Annahme würde technische Anpassungen im gesamten Text erforderlich machen.)

Änderungsantrag    146

Vorschlag für eine Verordnung

Artikel 20 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors eine Ständige Gruppe der Interessenträger ein, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, Verbrauchergruppen, wissenschaftliche Sachverständige für die Cybersicherheit sowie Vertreter der zuständigen Behörden, die gemäß der [Richtlinie über den Europäischen Kodex für elektronische Kommunikation] notifiziert wurden, sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden.

1.  Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors auf transparente Weise eine ENISA-Beratungsgruppe ein, die sich aus anerkannten Sachverständigen im Bereich Sicherheit als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche einschließlich KMU, Betreiber wesentlicher Dienste im Sinne der NIS-Richtlinie, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, Verbrauchergruppen, wissenschaftliche Sachverständige für die Cybersicherheit, europäische Normungsorganisationen, EU-Agenturen sowie Vertreter der zuständigen Behörden, die gemäß der [Richtlinie über den Europäischen Kodex für elektronische Kommunikation] notifiziert wurden, sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden. Der Verwaltungsrat sorgt für ein angemessenes Gleichgewicht zwischen den verschiedenen Interessengruppen.

Änderungsantrag    147

Vorschlag für eine Verordnung

Artikel 20 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Verfahren für die Ständige Gruppe der Interessenträger, die insbesondere die Anzahl, die Zusammensetzung, die Ernennung der Mitglieder durch den Verwaltungsrat, den Vorschlag des Exekutivdirektors und die Arbeitsweise der Gruppe betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt und öffentlich bekannt gemacht.

2.  Die Verfahren für die ENISA-Beratungsgruppe, die insbesondere die Anzahl, die Zusammensetzung, die Ernennung der Mitglieder durch den Verwaltungsrat, den Vorschlag des Exekutivdirektors und die Arbeitsweise der Gruppe betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt und öffentlich bekannt gemacht.

Änderungsantrag    148

Vorschlag für eine Verordnung

Artikel 20 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Den Vorsitz der Ständigen Gruppe der Interessenträger führt der Exekutivdirektor oder eine vom Exekutivdirektor jeweils ernannte Person.

3.  Den Vorsitz der ENISA-Beratungsgruppe führt der Exekutivdirektor oder eine vom Exekutivdirektor jeweils ernannte Person.

Änderungsantrag    149

Vorschlag für eine Verordnung

Artikel 20 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Die Amtszeit der Mitglieder der Ständigen Gruppe der Interessenträger beträgt zweieinhalb Jahre. Die Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der Ständigen Gruppe der Interessenträger sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der Ständigen Gruppe der Interessenträger teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der Ständigen Gruppe der Interessenträger nicht angehören, können zur Teilnahme an den Sitzungen der Ständigen Gruppe der Interessenträger und zur Mitarbeit an ihrer Arbeit eingeladen werden.

4.  Die Amtszeit der Mitglieder der ENISA-Beratungsgruppe beträgt zweieinhalb Jahre. Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der ENISA-Beratungsgruppe sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der ENISA-Beratungsgruppe teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der ENISA-Beratungsgruppe nicht angehören, können zur Teilnahme an den Sitzungen der ENISA-Beratungsgruppe und zur Mitarbeit an ihrer Arbeit eingeladen werden.

Änderungsantrag    150

Vorschlag für eine Verordnung

Artikel 20 – Absatz 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

4a.  Die ENISA-Beratungsgruppe berichtet das ganze Jahr über regelmäßig über ihre Planung und legt ihre Ziele in ihrem Arbeitsprogramm dar, das zur Wahrung der Transparenz alle sechs Monate veröffentlicht wird.

Änderungsantrag    151

Vorschlag für eine Verordnung

Artikel 20 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die Ständige Gruppe der Interessenträger berät die Agentur bei der Durchführung ihrer Tätigkeiten. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur und bei der Gewährleistung der Kommunikation mit den einschlägigen Interessenträgern bezüglich aller Fragen im Zusammenhang mit dem Arbeitsprogramm.

5.  Die ENISA-Beratungsgruppe berät die Agentur bei der Durchführung ihrer Tätigkeiten, ausgenommen in Bezug auf Titel III dieser Verordnung. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur und bei der Sicherstellung der Kommunikation mit den einschlägigen Interessenträgern bezüglich Fragen im Zusammenhang mit dem Arbeitsprogramm.

Änderungsantrag    152

Vorschlag für eine Verordnung

Artikel 20 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 20a

 

Zertifizierungsgruppe der Interessenträger

 

1.   Der Exekutivdirektor setzt eine Zertifizierungsgruppe der Interessenträger ein, die sich aus einem allgemeinen beratenden Ausschuss zusammensetzt, der allgemeine Beratung zur Anwendung von Titel III dieser Verordnung leistet, sowie Ad-hoc-Ausschüsse, deren Aufgabe es ist, infrage kommende Systeme vorzuschlagen, auszuarbeiten und anzunehmen. Die Mitglieder dieser Gruppe werden unter anerkannten Sachverständigen im Bereich Sicherheit als Vertreter der einschlägigen Interessenträger ausgewählt, darunter die IKT-Branche einschließlich KMU, Betreiber wesentlicher Dienste im Sinne der NIS-Richtlinie, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, Verbrauchergruppen, wissenschaftliche Sachverständige für die Cybersicherheit, europäische Normungsorganisationen sowie Vertreter der zuständigen Behörden, die gemäß der [Richtlinie über den Europäischen Kodex für elektronische Kommunikation] notifiziert wurden, sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden.

 

2.   Die Verfahren für die Zertifizierungsgruppe der Interessenträger, die insbesondere die Anzahl, die Zusammensetzung und die Ernennung der Mitglieder durch den Exekutivdirektor betreffen, werden in den internen Verfahrensvorschriften der Agentur festgelegt, entsprechen bewährten Verfahren, um eine ausgewogene Vertretung und gleiche Rechte für alle Interessenträger sicherzustellen, und werden öffentlich bekannt gemacht.

 

3.   Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der Zertifizierungsgruppe der Interessenträger sein. Mitglieder der ENISA-Beratungsgruppe dürfen auch Mitglieder der Zertifizierungsgruppe der Interessenträger sein. Sachverständige der Kommission und aus den Mitgliedstaaten können auf Einladung an den Sitzungen der Zertifizierungsgruppe der Interessenträger teilnehmen. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden, können zur Teilnahme an den Sitzungen der Zertifizierungsgruppe der Interessenträger und zur Mitwirkung an ihrer Arbeit eingeladen werden.

 

4.   Die Zertifizierungsgruppe der Interessenträger berät die Agentur bei der Durchführung ihrer Tätigkeiten in Bezug auf Titel III dieser Verordnung. Insbesondere kann sie der Kommission gemäß Artikel 44 der vorliegenden Verordnung die Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung vorschlagen und sich an den in den Artikeln 43 bis 48 und Artikel 53 der vorliegenden Verordnung genannten Verfahren für die Annahme solcher Systeme beteiligen.

Änderungsantrag    153

Vorschlag für eine Verordnung

Artikel 21 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 21a

 

Ersuchen an die Agentur

 

1. Die Agentur sollte eine zentrale Anlaufstelle einrichten und verwalten, über die Ersuchen um Beratung und Unterstützung, soweit sie unter die Ziele und Aufgaben der Agentur fallen, bearbeitet werden. Diesen Ersuchen werden Hintergrundinformationen zu dem zu prüfenden Sachverhalt beigefügt. Die Agentur sollte die möglichen Auswirkungen auf die Ressourcen ermitteln und zu gegebener Zeit Folgemaßnahmen zu den Ersuchen treffen. Lehnt die Agentur ein Ersuchen ab, so sollte sie dies begründen.

 

2. Ersuchen gemäß Absatz 1 können

 

(a) vom Europäischen Parlament,

 

(b) vom Rat,

 

(c) von der Kommission und

 

(d) von einer von einem Mitgliedstaat benannten zuständigen Stelle, zum Beispiel von einer nationalen Regulierungsbehörde im Sinne von Artikel 2 der Richtlinie 2002/21/EG, gestellt werden.

 

3. Die praktischen Einzelheiten für die Anwendung der Absätze 1 und 2, insbesondere für die Übermittlung von Ersuchen, ihre Rangfolge, die weitere Bearbeitung und die Unterrichtung, sollten vom Verwaltungsrat in den internen Verfahrensvorschriften der Agentur festgelegt werden.

Änderungsantrag    154

Vorschlag für eine Verordnung

Artikel 24 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Mitglieder des Verwaltungsrats, der Exekutivdirektor, die Mitglieder der Ständigen Gruppe der Interessenträger, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der Agentur, einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten, unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen des Artikels 339 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).

2.  Die Mitglieder des Verwaltungsrats, der Exekutivdirektor, die Mitglieder der ENISA-Beratungsgruppe, die externen Sachverständigen der Ad-hoc-Arbeitsgruppen sowie das Personal der Agentur, einschließlich der von den Mitgliedstaaten auf Zeit abgeordneten Beamten, unterliegen auch nach Beendigung ihrer Tätigkeit den Vertraulichkeitsbestimmungen des Artikels 339 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV).

Änderungsantrag    155

Vorschlag für eine Verordnung

Artikel 26 – Absatz 1 – Unterabsatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Der vorläufige Entwurf des Voranschlags beruht auf den in dem einheitlichen Programmplanungsdokument gemäß Artikel 21 Absatz 1 dieser Verordnung niedergelegten Zielen und beabsichtigten Ergebnissen und trägt den finanziellen Ressourcen, die für die Verwirklichung dieser Ziele und beabsichtigten Ergebnisse benötigt werden, Rechnung, wobei dem Grundsatz der ergebnisorientierten Haushaltsplanung entsprochen wird.

Änderungsantrag    156

Vorschlag für eine Verordnung

Artikel 30 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Der Rechnungshof ist befugt, bei allen Empfängern von Finanzhilfen sowie bei Auftragnehmern und Unterauftragnehmern, die Unionsmittel von der Agentur erhalten haben, Rechnungsprüfungen anhand von Unterlagen und vor Ort durchzuführen.

2.  Der Rechnungshof ist befugt, bei allen Empfängern von Finanzhilfen sowie bei Auftragnehmern und Unterauftragnehmern, die Unionsmittel von der Agentur erhalten haben, Rechnungsprüfungen anhand von Unterlagen und Inspektionen vor Ort durchzuführen.

Änderungsantrag    157

Vorschlag für eine Verordnung

Artikel 36 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen.

5.  Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen. Es wird für die ordnungsgemäße Einstellung von Bediensteten Sorge getragen.

Änderungsantrag    158

Vorschlag für eine Verordnung

Artikel 37 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die für die Arbeit der Agentur erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.

2.  Die für die Arbeit der Agentur erforderlichen Übersetzungsleistungen werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union oder von anderen Übersetzungsdienstleistern im Einklang mit den Vorschriften über die Auftragsvergabe und im Rahmen der in den einschlägigen Finanzvorschriften vorgegebenen Obergrenzen erbracht.

Änderungsantrag    159

Vorschlag für eine Verordnung

Artikel 39 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Agentur kann mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen zusammenarbeiten, soweit dies zur Verwirklichung der Ziele dieser Verordnung erforderlich ist. Zu diesem Zweck kann die Agentur, nach vorheriger Genehmigung durch die Kommission, Arbeitsvereinbarungen mit den Behörden von Drittländern und internationalen Organisationen treffen. Diese Vereinbarungen begründen keine rechtlichen Verpflichtungen für die Union und ihre Mitgliedstaaten.

1.  Die Agentur kann mit den zuständigen Behörden von Drittländern und mit internationalen Organisationen zusammenarbeiten, soweit dies zur Verwirklichung der Ziele dieser Verordnung erforderlich ist. Zu diesem Zweck kann die Agentur, nach vorheriger Genehmigung durch die Kommission, Arbeitsvereinbarungen mit den Behörden von Drittländern und internationalen Organisationen treffen. Falls eine Zusammenarbeit mit der NATO stattfindet, kann diese Zusammenarbeit gemeinsame Cybersicherheitsübungen und eine gemeinsame Koordinierung der Reaktion auf Cybersicherheitsvorfälle umfassen. Diese Vereinbarungen begründen keine rechtlichen Verpflichtungen für die Union und ihre Mitgliedstaaten.

Begründung

Angesichts des grenzüberschreitenden Charakters von Cybersicherheitsvorfällen sollte die ENISA mit Akteuren im Bereich der Cybersicherheit in Europa wie etwa der NATO zusammenarbeiten, wo dies angebracht ist. Dies ist insofern besonders wichtig, als die NATO möglicherweise über Cyberfähigkeiten verfügt, über die die ENISA nicht verfügt, und umgekehrt. Vor dem Hintergrund zunehmender Cyberangriffe gegen Staaten insgesamt ist es für die Sicherheit Europas unerlässlich, dass die ENISA auf internationaler Ebene mit internationalen Organisationen wie der NATO zusammenarbeitet.

Änderungsantrag    160

Vorschlag für eine Verordnung

Artikel 41 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Der Sitzmitgliedstaat der Agentur gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der Agentur, einschließlich der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten.

2.  Der Sitzmitgliedstaat der Agentur gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der Agentur, einschließlich eines einzigen Standortes für die gesamte Agentur, der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten.

Begründung

Die gegenwärtige Struktur der Agentur mit dem Verwaltungssitz in Heraklion und dem Kerngeschäft in Athen hat sich als ineffizient und teuer erwiesen. Alle Bediensteten der ENISA sollten daher in derselben Stadt tätig sein. Aufgrund der in diesem Absatz genannten Kriterien sollte dieser Standort Athen sein.

Änderungsantrag    161

Vorschlag für eine Verordnung

Artikel 43 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Ein europäisches System für die Cybersicherheitszertifizierung dient der Bescheinigung, dass die nach einem solchen System zertifizierten IKT-Produkte und ‑Dienste auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten Anforderungen an ihre Fähigkeit genügen, Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden.

Ein europäisches System für die Cybersicherheitszertifizierung dient der Bescheinigung, dass die davon abgedeckten IKT-Produkte, ‑Prozesse und ‑Dienste zum Zeitpunkt der Zertifizierung keine bekannten Schwachstellen aufweisen und auf einer bestimmten Vertrauenswürdigkeitsstufe festgelegten Anforderungen, die sich auf europäische oder internationale Normen, technische Spezifikationen oder technische IKT-Spezifikationen beziehen können, an ihre Fähigkeit genügen, während ihres gesamten Lebenszyklus Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen und Diensten angeboten oder über diese zugänglich gemacht werden, und die festgelegten Sicherheitsziele erfüllen.

Änderungsantrag    162

Vorschlag für eine Verordnung

Artikel 44 – Absatz -1 (neu)

Vorschlag der Kommission

Geänderter Text

 

-1.  Die Kommission erlässt im Einklang mit Artikel 55a delegierte Rechtsakte, um diese Verordnung durch die Festlegung eines fortlaufenden Arbeitsprogramms der Union für europäische Systeme für die Cybersicherheitszertifizierung zu ergänzen. In diesen delegierten Rechtsakten werden gemeinsame Maßnahmen, die auf Unionsebene durchzuführen sind, und strategische Prioritäten festgelegt. Das fortlaufende Arbeitsprogramm umfasst insbesondere eine Prioritätsliste der ermittelten IKT-Produkte, ‑Prozesse und ‑Dienste, die sich als Gegenstand eines europäischen Systems für die Cybersicherheitszertifizierung eignen, sowie eine Analyse dazu, ob es unter den Konformitätsbewertungsstellen und den nationalen Aufsichtsbehörden für die Zertifizierung ein gleichwertiges Niveau an Qualität, Know-how und Fachwissen gibt, sowie erforderlichenfalls einen Vorschlag dazu, mit welchen Maßnahmen ein solches gleichwertiges Niveau erreicht werden kann.

 

Das erste fortlaufende Arbeitsprogramm der Union wird bis spätestens … [sechs Monate nach Inkrafttreten dieser Verordnung] erstellt und anschließend bei Bedarf, mindestens aber alle zwei Jahre, aktualisiert. Das fortlaufende Arbeitsprogramm der Union wird öffentlich zugänglich gemacht.

 

Vor der Annahme oder Aktualisierung des fortlaufenden Arbeitsprogramms der Union konsultiert die Kommission die Zertifizierungsgruppe der Mitgliedstaaten, die Agentur und die Zertifizierungsgruppe der Interessenträger im Wege einer offenen, transparenten und umfassenden Konsultation.

Änderungsantrag    163

Vorschlag für eine Verordnung

Artikel 44 – Absatz -1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

-1a.  Sofern dies gerechtfertigt ist, kann die Kommission die Agentur ersuchen, ein mögliches europäisches System für die Cybersicherheitszertifizierung auszuarbeiten. Dieses Ersuchen stützt sich auf das fortlaufende Arbeitsprogramm der Union.

Änderungsantrag    164

Vorschlag für eine Verordnung

Artikel 44 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Im Auftrag der Kommission arbeitet die ENISA ein mögliches europäisches System für die Cybersicherheitszertifizierung aus, das den in den Artikeln 45, 46 und 47 genannten Anforderungen genügt. Die Mitgliedstaaten oder die nach Artikel 53 eingesetzte Europäische Gruppe für die Cybersicherheitszertifizierung (im Folgenden die „Gruppe“) kann der Kommission die Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung vorschlagen.

1.  Das Ersuchen um ein mögliches europäisches System für die Cybersicherheitszertifizierung umfasst den Geltungsbereich, die anwendbaren Sicherheitsziele gemäß Artikel 45, die anwendbaren Elemente gemäß Artikel 47 und eine Frist, bis wann dieses mögliche System in Kraft treten soll. Bei der Ausarbeitung des Ersuchens kann die Kommission die Agentur, die Zertifizierungsgruppe der Mitgliedstaaten und die Zertifizierungsgruppe der Interessenträger konsultieren.

Änderungsantrag    165

Vorschlag für eine Verordnung

Artikel 44 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Bei der Ausarbeitung der möglichen Systeme nach Absatz 1 konsultiert die ENISA alle in Frage kommenden Interessenträger und arbeitet eng mit der Gruppe zusammen. Die Gruppe leistet die von der ENISA für die Ausarbeitung des möglichen Systems geforderte Unterstützung und fachliche Beratung und gibt nötigenfalls auch eine Stellungnahme hierzu ab.

2.  Bei der Ausarbeitung der möglichen Systeme nach Absatz 1 (neu) konsultiert die Agentur alle infrage kommenden Interessenträger mittels eines offiziellen, offenen, transparenten und umfassenden Konsultationsverfahrens und arbeitet eng mit der Zertifizierungsgruppe der Mitgliedstaaten, der Zertifizierungsgruppe der Interessenträger, Ad-hoc-Ausschüssen gemäß Artikel 20a dieser Verordnung und den europäischen Normungsgremien zusammen. Sie leisten die von der Agentur für die Ausarbeitung des möglichen Systems geforderte Unterstützung und fachliche Beratung und geben nötigenfalls auch eine Stellungnahme hierzu ab.

Änderungsantrag    166

Vorschlag für eine Verordnung

Artikel 44 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Die ENISA legt der Kommission das nach Absatz 2 ausgearbeitete mögliche europäische System für die Cybersicherheitszertifizierung vor.

3.  Die Agentur legt der Kommission das nach Absatz 1 und 2 ausgearbeitete mögliche System vor.

Änderungsantrag    167

Vorschlag für eine Verordnung

Artikel 44 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Auf der Grundlage des von der ENISA ausgearbeiteten möglichen Systems kann die Kommission nach Artikel 55 Absatz 1 Durchführungsrechtsakte erlassen, in denen für IKT-Produkte und ‑Dienste, die die Anforderungen der Artikel 45, 46 und 47 erfüllen, europäische Systeme für die Cybersicherheitszertifizierung festgelegt werden.

4.  Auf der Grundlage des von der Agentur ausgearbeiteten möglichen Systems kann die Kommission nach Artikel 55a delegierte Rechtsakte zur Ergänzung dieser Verordnung erlassen, in denen für IKT-Produkte, ‑Prozesse und ‑Dienste, die die Anforderungen der Artikel 45, 46 und 47 erfüllen, europäische Systeme für die Cybersicherheitszertifizierung festgelegt werden.

Änderungsantrag    168

Vorschlag für eine Verordnung

Artikel 44 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die ENISA unterhält eine eigene Website, auf der sie über die europäischen Systeme für die Cybersicherheitszertifizierung informiert und für diese wirbt.

5.  Die Agentur unterhält eine eigene Website, auf der sie über die europäischen Systeme für die Cybersicherheitszertifizierung, auch in Bezug auf zurückgezogene oder abgelaufene Zertifikate und abgedeckte nationale Systeme, informiert und für diese wirbt.

 

Genügt ein europäisches System für die Cybersicherheitszertifizierung den Anforderungen, denen es den entsprechenden Harmonisierungsrechtsvorschriften der Union zufolge genügen soll, so veröffentlicht die Kommission unverzüglich eine Fundstelle eines solchen Systems, entweder im Amtsblatt der Europäischen Union oder durch andere Mittel nach Maßgabe der Bedingungen in dem entsprechenden Harmonisierungsrechtsakt der Union.

Änderungsantrag    169

Vorschlag für eine Verordnung

Artikel 44 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a.  Die Agentur überprüft die erlassenen Systeme im Einklang mit der gemäß dieser Verordnung geschaffenen Struktur am Ende ihrer Gültigkeitsdauer nach Artikel 47 Absatz 1 Buchstabe ac oder auf Ersuchen der Kommission unter Berücksichtigung der Rückmeldungen der einschlägigen Interessenträger.

Änderungsantrag    170

Vorschlag für eine Verordnung

Artikel 45 – Einleitung

Vorschlag der Kommission

Geänderter Text

Für die Cybersicherheitszertifizierung wird ein europäisches System konzipiert, das – soweit zutreffend – den folgenden Sicherheitszielen Rechnung trägt:

Für die Cybersicherheitszertifizierung wird ein europäisches System konzipiert, das – soweit zutreffend – Sicherheitszielen Rechnung trägt, wodurch Folgendes sichergestellt wird:

Änderungsantrag    171

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden gegen eine zufällige oder unbefugte Speicherung, Verarbeitung oder Preisgabe sowie gegen einen zufälligen oder unbefugten Zugriff geschützt.

(a)  die Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre von Diensten, Funktionen und Daten;

Änderungsantrag    172

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  Gespeicherte, übermittelte oder anderweitig verarbeitete Daten werden gegen eine zufällige oder unbefugte Zerstörung, einen zufälligen Verlust oder eine zufällige Änderung geschützt.

(b)  dass Dienste, Funktionen und Daten nur von befugten Personen und/oder befugten Systemen und Programmen abgerufen und genutzt werden können;

Änderungsantrag    173

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  Es wird gewährleistet, dass befugte Personen, Programme oder Maschinen exklusiven Zugriff auf die Daten, Dienste oder Funktionen haben, zu denen sie zugangsberechtigt sind.

(c)  dass es ein Verfahren gibt, mit dem alle Abhängigkeiten und bekannten Schwachstellen in IKT-Produkten, ‑Prozessen und ‑Diensten ermittelt und dokumentiert werden;

Änderungsantrag    174

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  Es wird protokolliert, welche Daten, Funktionen oder Dienste zu welchem Zeitpunkt von wem übermittelt bzw. genutzt worden sind.

(d)  dass IKT-Produkte, ‑Prozesse und ‑Dienste keine bekannten Schwachstellen aufweisen;

Änderungsantrag    175

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  Es wird gewährleistet, dass überprüft werden kann, auf welche Daten, Dienste oder Funktionen zu welchem Zeitpunkt und von wem zugegriffen wurde oder wer zu welchem Zeitpunkt Daten, Dienste oder Funktionen genutzt hat.

(e)  dass es ein Verfahren für den Umgang mit neu entdeckten Schwachstellen in IKT-Produkten, ‑Prozessen und ‑Diensten gibt;

Änderungsantrag    176

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe f

Vorschlag der Kommission

Geänderter Text

(f)  Bei einem physischen oder technischen Sicherheitsvorfall werden die Daten, Dienste und Funktionen zeitnah wieder verfügbar gemacht und der Zugang zu ihnen zeitnah wieder hergestellt.

(f)  dass IKT-Produkte, ‑Prozesse und ‑Dienste durch Voreinstellungen und Technikgestaltung sicher sind;

Änderungsantrag    177

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  Es wird gewährleistet, dass IKT-Produkte und ‑Dienste mit aktueller Software, die keine bekannten Schwachstellen aufweist, bereitgestellt werden und mit Mechanismen für sichere Software-Updates ausgestattet sind.

(g)  dass IKT-Produkte und ‑Dienste mit aktueller Software, die keine bekannten Schwachstellen aufweist, bereitgestellt werden und mit Mechanismen für sichere Softwareaktualisierungen ausgestattet sind;

Änderungsantrag    178

Vorschlag für eine Verordnung

Artikel 45 – Buchstabe g a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ga)  dass andere Risiken im Zusammenhang mit Cybersicherheitsvorfällen wie Risiken für Leben, Gesundheit, Umwelt und andere wichtige rechtliche Interessen auf ein Minimum reduziert werden.

Änderungsantrag    179

Vorschlag für eine Verordnung

Artikel 46 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Ein europäisches System für die Cybersicherheitszertifizierung kann für auf der Grundlage dieses Systems zertifizierte IKT-Produkte und ‑Dienste eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ bzw. „hoch“ angeben.

1.  In einem europäischen System für die Cybersicherheitszertifizierung können für auf der Grundlage dieses Systems zertifizierte IKT-Produkte, ‑Prozesse und ‑Dienste je nach Umfeld und beabsichtigter Verwendung der IKT-Produkte, ‑Prozesse und ‑Dienste eine oder mehrere der risikobasierten Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ bzw. „hoch“ angegeben werden.

Änderungsantrag    180

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Die Vertrauenswürdigkeitsstufe „niedrig“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein begrenztes Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(a)  Die Vertrauenswürdigkeitsstufe „niedrig“ entspricht einem geringen Risiko – bezogen auf die Kombination aus Wahrscheinlichkeit und Schadenshöhe – im Zusammenhang mit einem IKT-Produkt‚ Prozess oder ‑Dienst im Hinblick auf die beabsichtigte Verwendung und das jeweilige Umfeld. Die Vertrauenswürdigkeitsstufe „niedrig“ bietet die Gewähr dafür, dass die bekannten grundlegenden Risiken von Cybersicherheitsvorfällen abgewehrt werden können.

Änderungsantrag    181

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  Die Vertrauenswürdigkeitsstufe „mittel“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein mittleres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(b)  Die Vertrauenswürdigkeitsstufe „mittel“ entspricht einem höheren Risiko – bezogen auf die Kombination aus Wahrscheinlichkeit und Schadenshöhe – im Zusammenhang mit einem IKT-Produkt‚ ‑Prozess oder ‑Dienst. Die Vertrauenswürdigkeitsstufe „mittel“ bietet die Gewähr dafür, dass bekannte Risiken von Cybersicherheitsvorfällen verhindert werden können und dass auch Cyberangriffen mit begrenzten Ressourcen standgehalten werden kann.

Änderungsantrag    182

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  Die Vertrauenswürdigkeitsstufe „hoch“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein höheres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt als Zertifikate mit der Vertrauenswürdigkeitsstufe „mittel“ und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(c)  Die Vertrauenswürdigkeitsstufe „hoch“ entspricht einem hohen Risiko bezogen auf die Schadenshöhe im Zusammenhang mit einem IKT-Produkt‚ Prozess oder Dienst. Die Vertrauenswürdigkeitsstufe „hoch“ bietet die Gewähr dafür, dass Risiken von Cybersicherheitsvorfällen verhindert werden können und dass auch aktuellen Cyberangriffen mit beträchtlichen Ressourcen standgehalten werden kann.

Änderungsantrag    183

Vorschlag für eine Verordnung

Artikel 46 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 46a

 

Beurteilung der Vertrauenswürdigkeitsstufen der europäischen Systeme für die Cybersicherheitszertifizierung

 

1.   Für die Vertrauenswürdigkeitsstufe „niedrig“ kann der Hersteller oder Anbieter von IKT-Produkten, ‑Prozessen und ‑Diensten unter seiner alleinigen Verantwortung eine Selbstbeurteilung der Konformität vornehmen.

 

2.   Für die Vertrauenswürdigkeitsstufe „mittel“ umfasst die Bewertung mindestens eine Überprüfung der Konformität der Sicherheitsfunktionen des Produkts, Prozesses oder Dienstes mit seiner technischen Dokumentation.

 

3.   Für die Vertrauenswürdigkeitsstufe „hoch“ orientiert sich die Bewertungsmethode zumindest an einem Wirksamkeitstest, bei dem die Widerstandsfähigkeit der Sicherheitsfunktionen gegenüber Angreifern mit beträchtlichen Ressourcen beurteilt wird.

Änderungsantrag    184

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Gegenstand und Umfang der Zertifizierung, darunter auch Art oder Kategorie der erfassten IKT-Produkte und ‑Dienste;

(a)  Gegenstand und Umfang der Zertifizierung, darunter auch Art oder Kategorie der erfassten IKT-Produkte, ‑Prozesse und ‑Dienste;

Änderungsantrag    185

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe a a (neu)

Vorschlag der Kommission

Geänderter Text

 

(aa)  Geltungsbereich und Anforderungen an die Cybersicherheit und, falls zutreffend, dass dieser Geltungsbereich und diese Anforderungen denen der nationalen Cybersicherheitszertifizierungen entsprechen, die sie ersetzen oder die in Rechtsakten vorgesehen sind;

Änderungsantrag    186

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe a b (neu)

Vorschlag der Kommission

Geänderter Text

 

(ab)  Geltungsdauer des Zertifizierungssystems;

Änderungsantrag    187

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  detaillierte Spezifikation der Cybersicherheitsanforderungen, auf deren Einhaltung die jeweiligen IKT-Produkte und ‑Dienste geprüft werden, z. B. durch die Bezugnahme auf europäische oder internationale Normen oder technische Spezifikationen;

(b)  detaillierte Spezifikation der Cybersicherheitsanforderungen, auf deren Einhaltung die jeweiligen IKT-Produkte, ‑Prozesse und ‑Dienste geprüft werden, z. B. durch die Bezugnahme auf europäische oder internationale Normen, technische Spezifikationen oder technische IKT-Spezifikationen, die so definiert sind, dass eine Zertifizierung in die systematischen Sicherheitsprozesse des Herstellers, die während der Entwicklung und des Lebenszyklus des betreffenden Produkts oder Dienstes durchgeführt werden, integriert werden kann oder auf deren Grundlage erfolgt;

Änderungsantrag    188

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  Informationen über bekannte Cyberbedrohungen, die nicht durch die Zertifizierung abgedeckt werden, und Leitlinien für den Umgang damit;

Änderungsantrag    189

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  gegebenenfalls eine oder mehrere Vertrauenswürdigkeitsstufen;

(c)  eine oder mehrere Vertrauenswürdigkeitsstufen, falls vorhanden, wobei unter anderem ein risikobasierter Ansatz Anwendung findet;

Änderungsantrag    190

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  eine Angabe, ob eine Konformitäts-Selbsterklärung im Rahmen des Systems zulässig ist, und des anwendbaren Verfahrens für die Konformitätsbewertung oder für die Konformitäts-Selbsterklärung oder für beide;

Änderungsantrag    191

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  besondere Bewertungskriterien und ‑methoden sowie Bewertungsarten für den Nachweis, dass die in Artikel 45 festgelegten Ziele eingehalten werden;

(d)  besondere Bewertungskriterien, Arten von Konformitätsbewertungen und Methoden für den Nachweis, dass die in Artikel 45 festgelegten Ziele eingehalten werden;

Änderungsantrag    192

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  für die Zertifizierung erforderliche Informationen, die ein Antragsteller der Konformitätsbewertungsstelle vorzulegen hat;

(e)  für die Zertifizierung erforderliche Informationen, die ein Antragsteller der Konformitätsbewertungsstelle vorzulegen hat;

Änderungsantrag    193

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe f

Vorschlag der Kommission

Geänderter Text

(f)  Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das System solche vorsieht;

(f)  Informationen über die Cybersicherheit gemäß Artikel 47a dieser Verordnung;

Änderungsantrag    194

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  Vorschriften für die Überwachung der Einhaltung der mit dem Zertifikat verbundenen Anforderungen, sofern das System eine Aufsicht vorsieht, einschließlich der Mechanismen für den Nachweis der fortgesetzten Einhaltung der festgelegten Cybersicherheitsanforderungen;

(g)  Vorschriften für die Überwachung der Einhaltung der mit dem Zertifikat verbundenen Anforderungen, einschließlich der Mechanismen für den Nachweis der fortgesetzten Einhaltung der festgelegten Cybersicherheitsanforderungen;

Änderungsantrag    195

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe h

Vorschlag der Kommission

Geänderter Text

(h)  Bedingungen für die Gewährung, Aufrechterhaltung, Fortführung, Ausweitung und Verringerung des Zertifizierungsumfangs;

(h)  Bedingungen für die Gewährung, Aufrechterhaltung, Fortführung, Überprüfung, Ausweitung und Verringerung des Zertifizierungsumfangs und der Geltungsdauer des Zertifikats;

Änderungsantrag    196

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe h a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ha)  Vorschriften für den Umgang mit Schwachstellen, die nach Erteilung der Zertifizierung auftreten können, durch die Einrichtung eines dynamischen und dauerhaften organisatorischen Verfahrens, an dem Anbieter und Nutzer beteiligt sind;

Änderungsantrag    197

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe i

Vorschlag der Kommission

Geänderter Text

(i)  Vorschriften, die greifen, wenn die zertifizierten IKT-Produkte und ‑Dienste den Zertifizierungsanforderungen nicht genügen;

(i)  Vorschriften, die greifen, wenn selbst beurteilte und selbst zertifizierte IKT-Produkte und ‑Dienste den Zertifizierungsanforderungen nicht genügen;

Änderungsantrag    198

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe j

Vorschlag der Kommission

Geänderter Text

(j)  Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitsschwachstellen von IKT-Produkten und -Diensten;

(j)  Vorschriften für die Meldung und Behandlung nicht allgemein bekannter Cybersicherheitsschwachstellen von IKT-Produkten und -Diensten nach der Erkennung;

Änderungsantrag    199

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe l

Vorschlag der Kommission

Geänderter Text

(l)  Angabe nationaler Systeme für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten und ‑Diensten;

(l)  Angabe nationaler oder internationaler Systeme für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten, ‑Prozessen und ‑Diensten, Sicherheitsanforderungen sowie Bewertungskriterien und -methoden;

Änderungsantrag    200

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe m a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ma)  Bedingungen für die gegenseitige Anerkennung von Zertifizierungssystemen mit Drittländern.

Änderungsantrag    201

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a.  Bei Wartungstätigkeiten mit Aktualisierungen wird die Zertifizierung nicht ungültig, es sei denn, solche Aktualisierungen haben beträchtliche negative Auswirkungen auf die Sicherheit des IKT-Produkts, ‑Prozesses oder ‑Dienstes.

Änderungsantrag    202

Vorschlag für eine Verordnung

Artikel 47 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 47a

 

Informationen über die Cybersicherheit von zertifizierten Produkten, Prozessen und Diensten

 

1.   Hersteller oder Anbieter von IKT-Produkten, ‑Prozessen und ‑Diensten, die unter ein Zertifizierungssystem nach dieser Verordnung fallen, übermitteln dem Endnutzer ein Dokument in elektronischer Form oder auf Papier, das mindestens folgende Angaben enthält: die Vertrauenswürdigkeitsstufe im Hinblick auf die beabsichtigte Verwendung des IKT-Produkts, ‑Prozesses oder ‑Dienstes; eine Beschreibung der Risiken, vor denen die Zertifizierung mit einer gewissen Vertrauenswürdigkeitsstufe Schutz bieten soll; Empfehlungen dazu, wie Nutzer die Cybersicherheit des Produkts, Prozesses oder Dienstes, die Regelmäßigkeit von Aktualisierungen und den Unterstützungszeitraum nach Aktualisierungen weiter erhöhen können; falls vorhanden, Informationen darüber, wie Nutzer bei einem Angriff die wichtigsten Merkmale des Produkts, Prozesses oder Dienstes erhalten können.

 

2.   Das in Absatz 1 genannte Dokument muss während des gesamten Lebenszyklus des Produkts, Prozesses oder Dienstes, bis es bzw. er vom Markt genommen wird, und mindestens für einen Zeitraum von fünf Jahren verfügbar sein.

 

3.   Die Kommission erlässt Durchführungsrechtsakte, mit denen eine Vorlage für das Dokument festgelegt wird. Die Kommission kann die Agentur ersuchen, eine mögliche Vorlage vorzuschlagen. Dieser Durchführungsrechtsakt wird nach dem Prüfverfahren gemäß Artikel 55 erlassen.

Änderungsantrag    203

Vorschlag für eine Verordnung

Artikel 48 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Für IKT-Produkte und ‑Dienste, die auf der Grundlage eines nach Artikel 44 angenommenen europäischen Systems für die Cybersicherheitszertifizierung zertifiziert wurden, gilt die Vermutung der Konformität mit den Anforderungen dieses Systems.

1.  Für IKT-Produkte, ‑Prozesse und ‑Dienste, die auf der Grundlage eines nach Artikel 44 angenommenen europäischen Systems für die Cybersicherheitszertifizierung zertifiziert wurden, gilt die Vermutung der Konformität mit den Anforderungen dieses Systems.

Änderungsantrag    204

Vorschlag für eine Verordnung

Artikel 48 – Absatz 4 – Einleitung

Vorschlag der Kommission

Geänderter Text

4.  Abweichend von Absatz 3 kann in hinreichend begründeten Fällen ein einzelnes europäisches System für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Systems erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle ausgestellt werden kann. Bei einer solchen öffentlichen Stelle muss es sich um eine der folgenden Stellen handeln:

4.  Abweichend von Absatz 3 und nur in hinreichend begründeten Fällen, beispielsweise aus Gründen der nationalen Sicherheit, kann ein einzelnes europäisches System für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Systems erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle ausgestellt werden darf. Bei einer solchen öffentlichen Stelle muss es sich um eine als Konformitätsbewertungsstelle akkreditierte Stelle nach Artikel 51 Absatz 1 handeln. Die natürliche oder juristische Person, die ihre IKT-Produkte oder ‑Dienste zur Zertifizierung einreicht, hat der in Artikel 51 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen zur Verfügung zu stellen.

Änderungsantrag    205

Vorschlag für eine Verordnung

Artikel 48 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die natürliche oder juristische Person, die ihre IKT-Produkte oder ‑Dienste zur Zertifizierung einreicht, hat der in Artikel 51 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen.

5.  Die natürliche oder juristische Person, die ihre IKT-Produkte, ‑Dienste oder ‑Prozesse zur Zertifizierung einreicht, hat der in Artikel 51 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen, auch Informationen zu allen bekannten Schwachstellen. Die Informationen können jeder der in Artikel 51 genannten Konformitätsbewertungsstellen vorgelegt werden.

Änderungsantrag    206

Vorschlag für eine Verordnung

Artikel 48 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6.  Zertifikate werden für eine Höchstdauer von drei Jahren erteilt und können unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden.

6.  Zertifikate werden für eine im Rahmen jedes Zertifizierungssystems fallweise festgesetzte Höchstdauer erteilt, wobei ein angemessener Lebenszyklus zugrunde zu legen ist, der fünf Jahre nicht überschreiten darf, und können unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt sind.

Begründung

Dadurch wird für die notwendige Flexibilität gesorgt, um den Gültigkeitszeitraum auf die beabsichtigte Verwendung abzustimmen.

Änderungsantrag    207

Vorschlag für eine Verordnung

Artikel 48 – Absatz 7

Vorschlag der Kommission

Geänderter Text

7.  Ein nach diesem Artikel ausgestelltes europäisches Cybersicherheitszertifikat wird in allen Mitgliedstaaten anerkannt.

7.  Ein nach diesem Artikel ausgestelltes europäisches Cybersicherheitszertifikat wird in allen Mitgliedstaaten in Bezug darauf anerkannt, dass es die örtlichen Anforderungen an die Cybersicherheit in Bezug auf von diesem Zertifikat abgedeckte IKT-Produkte und Prozesse und Verbraucherelektronikgeräte erfüllt, wobei die in Artikel 46 genannte Vertrauenswürdigkeitsstufe berücksichtigt wird, und in Bezug auf solche Zertifikate darf es keine Diskriminierung auf der Grundlage des ausstellenden Mitgliedstaats oder der ausstellenden Konformitätsbewertungsstelle nach Artikel 51 geben.

Begründung

Um eine Fragmentierung der Anerkennung und/oder Konformität von EU-Systemen für die Cybersicherheitszertifizierung zu verhindern, muss in dem Artikel betont werden, dass es keine Diskriminierung aufgrund des Ausstellungsorts eines Zertifikats geben darf.

Änderungsantrag    208

Vorschlag für eine Verordnung

Artikel 48 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 48a

 

Zertifizierungssysteme für Betreiber wesentlicher Dienste

 

1.   Wenn europäische Systeme für die Cybersicherheitszertifizierung gemäß Absatz 2 erlassen wurden, verwenden Betreiber wesentlicher Dienste zur Erfüllung der Sicherheitsanforderungen nach Artikel 14 der Richtlinie (EU) 2016/1148 Produkte, Prozesse und Dienste, die unter diese Zertifizierungssysteme fallen.

 

2.   Bis zum … [ein Jahr nach Inkrafttreten dieser Verordnung] erlässt die Kommission nach Konsultation der in Artikel 11 der Richtlinie (EU) 2016/1148 genannten Kooperationsgruppe delegierte Rechtsakte gemäß Artikel 55a, um diese Verordnung zu ergänzen, und zwar durch Auflistung der Kategorien von Produkten, Prozessen und Diensten, die die beiden folgenden Kriterien erfüllen:

 

(a)  sie sind zur Verwendung durch Betreiber wesentlicher Dienste bestimmt, und

 

(b)  durch die Störung ihres Betriebs würde die Erbringung des wesentlichen Dienstes erheblich beeinträchtigt.

 

3.   Die Kommission erlässt im Einklang mit Artikel 55a delegierte Rechtsakte zur Änderung dieser Verordnung, indem sie das Verzeichnis der in Absatz 3 genannten Kategorien von Produkten, Prozessen und Diensten bei Bedarf aktualisiert.

 

4.   Die Kommission ersucht die Agentur, gemäß Artikel 44 Absatz –1 dieser Verordnung mögliche europäische Systeme für die Cybersicherheitszertifizierung für die in den Absätzen 2 und 3 dieses Artikels genannte Liste der Kategorien von Produkten, Prozessen und Diensten zu erstellen, sobald diese Liste angenommen oder aktualisiert wird. Die auf der Grundlage dieser europäischen Systeme für die Cybersicherheitszertifizierung ausgestellten Zertifikate müssen die Vertrauenswürdigkeitsstufe „hoch“ aufweisen.

Änderungsantrag    209

Vorschlag für eine Verordnung

Artikel 48 b (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 48b

 

Formale Einwände gegen europäische Systeme für die Cybersicherheitszertifizierung

 

1.  Ist ein Mitgliedstaat der Ansicht, dass ein europäisches System für die Cybersicherheitszertifizierung den Anforderungen, die es erfüllen soll und die in den einschlägigen Harmonisierungsrechtsvorschriften der Union festgelegt sind, nicht vollständig entspricht, so unterrichtet er die Kommission darüber und legt eine ausführliche Begründung vor. Nach Konsultation des gemäß den einschlägigen Harmonisierungsrechtsvorschriften der Union eingerichteten Ausschusses – sofern zutreffend – oder der Konsultation von Branchenexperten in anderer Form entscheidet die Kommission,

 

(a)  die Fundstellen des betroffenen europäischen Systems für die Cybersicherheitszertifizierung im Amtsblatt der Europäischen Union zu veröffentlichen oder nicht oder nur mit Einschränkungen zu veröffentlichen;

 

(b)  die Fundstellen des betroffenen europäischen Systems für die Cybersicherheitszertifizierung im Amtsblatt der Europäischen Union zu belassen, mit Einschränkung zu belassen oder zu streichen.

 

2.  Die Kommission veröffentlicht auf ihrer Website Informationen über die europäischen Systeme für die Cybersicherheitszertifizierung, die Gegenstand eines Beschlusses gemäß Absatz 1 waren.

 

3.  Die Kommission unterrichtet die Agentur über ihren Beschluss nach Absatz 1 und verlangt erforderlichenfalls eine Überarbeitung des betroffenen europäischen Systems für die Cybersicherheitszertifizierung.

 

4.  Der in Absatz 1 Buchstabe a dieses Artikels genannte Beschluss wird gemäß dem in Artikel 55 Absatz 2 genannten Beratungsverfahren gefasst.

 

5.  Der in Absatz 1 Buchstabe b dieses Artikels genannte Beschluss wird gemäß dem in Artikel 55 Absatz 2a genannten Prüfverfahren gefasst.

Änderungsantrag    210

Vorschlag für eine Verordnung

Artikel 49 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Unbeschadet des Absatzes 3 werden nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und ‑Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 44 Absatz 4 erlassenen Durchführungsrechtsakt festgelegt ist. Bereits vorhandene nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und ‑Dienste, die nicht unter ein europäisches System für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

1.  Unbeschadet des Absatzes 3 werden nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, ‑Prozesse und ‑Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 44 Absatz 4 erlassenen Durchführungsrechtsakt festgelegt ist. Bereits vorhandene nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte, ‑Prozesse und ‑Dienste, die nicht unter ein europäisches System für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

Änderungsantrag    211

Vorschlag für eine Verordnung

Artikel 49 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Mitgliedstaaten führen keine neuen nationalen Systeme für die Cybersicherheitszertifizierung von IKT-Produkten und ‑Diensten ein, die unter ein geltendes europäisches System für die Cybersicherheitszertifizierung fallen.

2.  Die Mitgliedstaaten führen keine neuen nationalen Systeme für die Cybersicherheitszertifizierung von IKT-Produkten, ‑Prozessen und ‑Diensten ein, die unter ein geltendes europäisches System für die Cybersicherheitszertifizierung fallen.

Änderungsantrag    212

Vorschlag für eine Verordnung

Artikel 49 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a.  Die Mitgliedstaaten unterrichten die Kommission über alle Ersuchen um Ausarbeitung nationaler Systeme für die Cybersicherheitszertifizierung und geben dabei die Gründe für deren Inkraftsetzung an.

Änderungsantrag    213

Vorschlag für eine Verordnung

Artikel 49 – Absatz 3 b (neu)

Vorschlag der Kommission

Geänderter Text

 

3b.  Die Mitgliedstaaten übermitteln den anderen Mitgliedstaaten, der Agentur oder der Kommission auf Anfrage und zumindest in elektronischer Form die Entwürfe nationaler Systeme für die Cybersicherheitszertifizierung.

Änderungsantrag    214

Vorschlag für eine Verordnung

Artikel 49 – Absatz 3 c (neu)

Vorschlag der Kommission

Geänderter Text

 

3c.  Unbeschadet der Richtlinie 2013/1535 antwortet jeder Mitgliedstaat innerhalb von drei Monaten auf etwaige Anmerkungen von anderen Mitgliedstaaten, der Agentur und der Kommission in Bezug auf etwaige Entwürfe im Sinne von Absatz 3b dieses Artikels und berücksichtigt sie gebührend.

Änderungsantrag    215

Vorschlag für eine Verordnung

Artikel 49 – Absatz 3 d (neu)

Vorschlag der Kommission

Geänderter Text

 

3d.  Geht aus den Anmerkungen gemäß Absatz 3c hervor, dass der Entwurf eines nationalen Systems für die Cybersicherheitszertifizierung voraussichtlich negative Auswirkungen auf das ordnungsgemäße Funktionieren des Binnenmarkts haben wird, so konsultiert der Empfängermitgliedstaat die Anmerkungen der Agentur und der Kommission vor der Annahme des Entwurfs und berücksichtigt sie möglichst weitgehend.

Änderungsantrag    216

Vorschlag für eine Verordnung

Artikel 50 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Im Hinblick auf eine wirksame Durchführung dieser Verordnung sollten diese Behörden in der nach Artikel 53 eingesetzten Europäischen Gruppe für die Cybersicherheitszertifizierung in aktiver, wirksamer, effizienter und sicherer Weise mitarbeiten.

5.  Im Hinblick auf die wirksame Durchführung dieser Verordnung sollten diese Behörden in der nach Artikel 53 eingesetzten Zertifizierungsgruppe der Mitgliedstaaten in aktiver, wirksamer, effizienter und sicherer Weise mitarbeiten.

Änderungsantrag    217

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Überwachung und Durchsetzung der in diesem Titel genannten Bestimmungen auf nationaler Ebene und Beaufsichtigung der Übereinstimmung der von den in ihrem jeweiligen Hoheitsgebiet ansässigen Konformitätsbewertungsstellen ausgestellten Zertifikate mit den in diesem Titel und in dem entsprechenden europäischen System für die Cybersicherheitszertifizierung genannten Anforderungen;

(a)  Überwachung und Durchsetzung der in diesem Titel genannten Bestimmungen auf nationaler Ebene und – im Einklang mit den von der Europäischen Gruppe für die Cybersicherheitszertifizierung gemäß Artikel 53 Absatz 3 Buchstabe da erlassenen Vorschriften – Überprüfung der Übereinstimmung der

 

i)   von den in ihrem jeweiligen Hoheitsgebiet ansässigen Konformitätsbewertungsstellen ausgestellten Zertifikate mit den in diesem Titel und in dem entsprechenden europäischen System für die Cybersicherheitszertifizierung genannten Anforderungen und

 

ii)   der Selbsterklärungen zur Konformität, die im Rahmen eines Systems für einen IKT-Prozess, ein IKT-Produkt oder einen IKT-Dienst abgegeben wurden;

Änderungsantrag    218

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung, auch in Bezug auf deren Notifizierung und die in Artikel 52 genannten einschlägigen Aufgaben;

(b)  Überwachung und Beaufsichtigung und – mindestens alle zwei Jahre – Bewertung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung, auch in Bezug auf deren Notifizierung und die in Artikel 52 genannten einschlägigen Aufgaben;

Änderungsantrag    219

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  Durchführung von Audits, damit in der gesamten Union gleichwertige Standards gelten, und Berichterstattung über die Ergebnisse gegenüber der Agentur und der Gruppe;

Begründung

Das trägt dazu bei, sicherzustellen, dass in der gesamten EU ein einheitliches Dienstleistungs- und Qualitätsniveau angewandt wird, und die Möglichkeit des „Zertifikate-Shoppings“ auszuschließen.

Änderungsantrag    220

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf Zertifikate eingereicht werden, die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellt wurden, Untersuchung des Beschwerdegegenstands, soweit angemessen, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

(c)  Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf Zertifikate, die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellt wurden, oder in Bezug auf Selbstbewertungen der Konformität eingereicht werden, Untersuchung des Beschwerdegegenstands, soweit angemessen, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

Änderungsantrag    221

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  Meldung der Ergebnisse der in Buchstabe a genannten Überprüfungen und der in Buchstabe b genannten Bewertungen an die Agentur und die Europäische Gruppe für die Cybersicherheitszertifizierung;

Änderungsantrag    222

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten und ‑Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung;

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen, etwa den nationalen Aufsichtsbehörden im Bereich des Datenschutzes; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten, ‑Prozessen und ‑Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung;

Änderungsantrag    223

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten und ‑Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung;

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen, etwa den nationalen Aufsichtsbehörden im Bereich des Datenschutzes; dies umfasst auch den Informationsaustausch über die etwaige fehlende Konformität von IKT-Produkten und ‑Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Zertifizierungssystemen für die IT-Sicherheit;

Begründung

Entsprechend der Stellungnahme der Europäischen Datenschutzbeauftragten.

Änderungsantrag    224

Vorschlag für eine Verordnung

Artikel 50 – Absatz 7 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  sie kann die Akkreditierung von Konformitätsbewertungsstellen, die diese Verordnung nicht einhalten, widerrufen;

Änderungsantrag    225

Vorschlag für eine Verordnung

Artikel 50 – Absatz 7 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sie kann im Einklang mit einzelstaatlichem Recht Zertifikate widerrufen, die den Anforderungen dieser Verordnung oder eines europäischen Systems für die Cybersicherheitszertifizierung nicht genügen;

(e)  sie kann im Einklang mit einzelstaatlichem Recht Zertifikate widerrufen, die den Anforderungen dieser Verordnung oder eines europäischen Systems für die Cybersicherheitszertifizierung nicht genügen, und die nationalen Akkreditierungsstellen darüber informieren;

Änderungsantrag    226

Vorschlag für eine Verordnung

Artikel 50 – Absatz 8

Vorschlag der Kommission

Geänderter Text

8.  Die nationalen Aufsichtsbehörden für die Zertifizierung arbeiten untereinander und mit der Kommission zusammen und tauschen insbesondere Informationen, Erfahrungen und bewährte Verfahren im Zusammenhang mit der Cybersicherheitszertifizierung und technischen Fragen in Bezug auf die Cybersicherheit von IKT-Produkten und ‑Diensten aus.

8.  Die nationalen Aufsichtsbehörden für die Zertifizierung arbeiten untereinander und mit der Kommission zusammen und tauschen insbesondere Informationen, Erfahrungen und bewährte Verfahren im Zusammenhang mit der Cybersicherheitszertifizierung und technischen Fragen in Bezug auf die Cybersicherheit von IKT-Produkten, ‑Prozessen und ‑Diensten aus.

Änderungsantrag    227

Vorschlag für eine Verordnung

Artikel 50 – Absatz 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

8a.  Jede nationale Aufsichtsbehörde für die Zertifizierung und jedes Mitglied und die Bediensteten jeder nationalen Aufsichtsbehörde für die Zertifizierung sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Ende verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren.

Änderungsantrag    228

Vorschlag für eine Verordnung

Artikel 50 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 50a

 

Beurteilung unter Gleichrangigen

 

1.  Die nationalen Aufsichtsbehörden für die Zertifizierung unterliegen einer Beurteilung unter Gleichrangigen in Bezug auf alle Tätigkeiten, die sie im Einklang mit Artikel 50 dieser Verordnung ausüben.

 

2.   Die Beurteilung unter Gleichrangigen erfolgt auf der Grundlage fundierter und transparenter Bewertungskriterien und ‑verfahren und erstreckt sich insbesondere auf die Strukturen, Humanressourcen und Verfahren betreffenden Anforderungen sowie auf Vertraulichkeit und Beschwerden. Es sind geeignete Beschwerdeverfahren gegen Entscheidungen vorzusehen, die als Ergebnis solch einer Beurteilung getroffen werden.

 

3.   Die Beurteilung unter Gleichrangigen umfasst die Bewertung der von nationalen Aufsichtsbehörden für die Zertifizierung eingerichteten Verfahren, insbesondere der Verfahren für die Kontrolle der Konformität der Zertifikate, der Verfahren für die Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen, der fachlichen Eignung des Personals, der Ordnungsmäßigkeit der Kontrollen und der Prüfmethoden sowie der Richtigkeit der Ergebnisse. Durch die Beurteilung unter Gleichrangigen wird auch bewertet, ob die betreffenden nationalen Überwachungsbehörden für die Zertifizierung über ausreichende Ressourcen für die ordnungsgemäße Erfüllung ihrer Aufgaben gemäß Artikel 50 Absatz 4 verfügen.

 

4.   Die Beurteilung unter Gleichrangigen einer nationalen Aufsichtsbehörde für die Zertifizierung erfolgt durch zwei nationale Aufsichtsbehörden für die Zertifizierung anderer Mitgliedstaaten und die Kommission, und sie wird mindestens einmal alle fünf Jahre durchgeführt. Die Agentur kann sich an den Beurteilungen unter Gleichrangigen beteiligen und entscheidet auf der Grundlage einer Risikobewertungsanalyse über ihre Teilnahme.

 

5.   Die Kommission kann gemäß Artikel 55a delegierte Rechtsakte zur Ergänzung dieser Verordnung erlassen, um einen Plan für die Beurteilung unter Gleichrangigen festzulegen, der sich auf einen Zeitraum von mindestens fünf Jahren erstreckt, und darin die Kriterien für die Zusammensetzung des die Beurteilung unter Gleichrangigen durchführenden Teams, die Methode für die Beurteilung unter Gleichrangigen, den Zeitplan, die Häufigkeit und andere mit der Beurteilung unter Gleichrangigen verbundene Aufgaben vorzugeben. Beim Erlass dieser delegierten Rechtsakte trägt die Kommission den Erwägungen der Zertifizierungsgruppe der Mitgliedstaaten angemessen Rechnung.

 

6.   Die Ergebnisse der Beurteilung unter Gleichrangigen werden von der Zertifizierungsgruppe der Mitgliedstaaten geprüft. Die Agentur erstellt eine Zusammenfassung der Ergebnisse und erforderlichenfalls Leitlinien und Dokumente über bewährte Verfahren und macht sie öffentlich zugänglich.

Änderungsantrag    229

Vorschlag für eine Verordnung

Artikel 51 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a.  Was die Vertrauenswürdigkeitsstufe „hoch“ betrifft, so muss die Konformitätsbewertungsstelle zusätzlich zu ihrer Akkreditierung von der nationalen Aufsichtsbehörde für die Zertifizierung hinsichtlich ihrer Fähigkeiten und Fachkenntnisse auf dem Gebiet der Cybersicherheitsbewertung notifiziert worden sein. Die nationalen Aufsichtsbehörden für die Zertifizierung führen regelmäßig Überprüfungen der Fachkenntnisse und Kompetenzen der benannten Konformitätsbewertungsstellen durch.

Begründung

Hohe Vertrauenswürdigkeitsstufen erfordern Kontrollen der Wirksamkeit. Das Fachwissen und die Kompetenz der Konformitätsbewertungsstellen, die die Wirksamkeitsprüfungen durchführen, müssen systematisch überprüft werden, um insbesondere die Qualität der Prüfungen sicherzustellen.

Änderungsantrag    230

Vorschlag für eine Verordnung

Artikel 51 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Es sind Audits durchzuführen, damit in der Union gleichwertige Standards angewandt werden, und die Ergebnisse dieser Audits werden der Agentur und der Gruppe mitgeteilt.

Änderungsantrag    231

Vorschlag für eine Verordnung

Artikel 51 – Absatz 2 b (neu)

Vorschlag der Kommission

Geänderter Text

 

2b.  Wenn sich Hersteller für die „Konformitäts-Selbsterklärung“ gemäß Artikel 48 Absatz 3 entscheiden, ergreifen die Konformitätsbewertungsstellen zusätzliche Maßnahmen, um die internen Verfahren der Hersteller zu prüfen, mit denen sichergestellt werden soll, dass die Produkte oder Dienste die Anforderungen des europäischen Systems für die Cybersicherheitszertifizierung erfüllen.

Änderungsantrag    232

Vorschlag für eine Verordnung

Artikel 52 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die Kommission kann im Wege von Durchführungsrechtsakten Einzelheiten, Form und Verfahren für die Notifizierungen nach Absatz 1 festlegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 55 Absatz 2 genannten Prüfverfahren erlassen.

5.  Die Kommission kann im Wege von delegierten Rechtsakten Einzelheiten, Form und Verfahren für die Notifizierungen nach Absatz 1 festlegen. Diese delegierten Rechtsakte werden nach dem in Artikel 55 Absatz 2 genannten Prüfverfahren erlassen.

Änderungsantrag    233

Vorschlag für eine Verordnung

Artikel 53 – Überschrift

Vorschlag der Kommission

Geänderter Text

Europäische Gruppe für die Cybersicherheitszertifizierung

Zertifizierungsgruppe der Mitgliedstaaten

 

(Diese Änderung betrifft den gesamten Text; eine Annahme würde technische Anpassungen im gesamten Text erforderlich machen.)

Änderungsantrag    234

Vorschlag für eine Verordnung

Artikel 53 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Europäische Gruppe für die Cybersicherheitszertifizierung (im Folgenden die „Gruppe“) wird eingesetzt.

1.  Es wird eine Zertifizierungsgruppe der Mitgliedstaaten eingesetzt.

Änderungsantrag    235

Vorschlag für eine Verordnung

Artikel 53 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Gruppe setzt sich aus den nationalen Aufsichtsbehörden für die Zertifizierung zusammen. Die nationalen Aufsichtsbehörden für die Zertifizierung werden durch ihre Leiter oder durch andere hochrangige Vertreter vertreten.

2.  Die Zertifizierungsgruppe der Mitgliedstaaten setzt sich aus den nationalen Aufsichtsbehörden für die Zertifizierung aus allen Mitgliedstaaten zusammen. Die nationalen Aufsichtsbehörden für die Zertifizierung werden durch ihre Leiter oder durch andere hochrangige Vertreter vertreten. Die Mitglieder der Zertifizierungsgruppe der Interessenträger können zur Teilnahme an den Sitzungen der Gruppe und zur Beteiligung an ihrer Arbeit eingeladen werden.

Änderungsantrag    236

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Einleitung

Vorschlag der Kommission

Geänderter Text

3.  Die Gruppe hat folgende Aufgaben:

3.  Die Zertifizierungsgruppe der Mitgliedstaaten hat folgende Aufgaben:

Änderungsantrag    237

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  sie unterstützt und berät die ENISA bei der Ausarbeitung eines möglichen Systems nach Artikel 44 und arbeitet hierbei mit der ENISA zusammen;

(b)  sie unterstützt und berät die Agentur bei der Ausarbeitung eines möglichen Systems nach Artikel 44 und arbeitet hierbei mit der Agentur zusammen;

Änderungsantrag    238

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe d a (neu)

Vorschlag der Kommission

Geänderter Text

 

(da)  sie gibt Empfehlungen ab, in denen vorgegeben ist, wie oft die nationalen Aufsichtsbehörden für die Zertifizierung Überprüfungen der Zertifikate und Konformitäts-Selbstbewertungen durchführen, und in denen die Kriterien, der Umfang und der Anwendungsbereich derartiger Überprüfungen festgelegt sind, und sie nimmt gemeinsame Vorschriften und Standards für die Berichterstattung gemäß Artikel 50 Absatz 6 an;

Änderungsantrag    239

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über bewährte Verfahren für Cybersicherheitszertifizierungssysteme aus;

(e)  sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über und bewährte Verfahren für Cybersicherheitszertifizierungssysteme aus;

Änderungsantrag    240

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f a (neu)

Vorschlag der Kommission

Geänderter Text

 

(fa)  sie erleichtert die Abstimmung europäischer Cybersicherheitssysteme auf international anerkannte Standards, indem sie unter anderem bestehende europäische Cybersicherheitssysteme überprüft und der Agentur erforderlichenfalls Empfehlungen unterbreitet, sich mit den einschlägigen internationalen Normungsorganisationen in Verbindung zu setzen, um Unzulänglichkeiten oder Lücken in verfügbaren international anerkannten Normen anzugehen;

Änderungsantrag    241

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f b (neu)

Vorschlag der Kommission

Geänderter Text

 

(fb)  sie richtet ein Verfahren für die Beurteilung unter Gleichrangigen ein; bei diesem Verfahren werden die erforderlichen technischen Fachkenntnisse der nationalen Aufsichtsbehörden für die Zertifizierung bei der Wahrnehmung ihrer Aufgaben im Einklang mit Artikel 48 und 50 berücksichtigt und bei Bedarf Dokumente mit Leitlinien und bewährten Verfahren erarbeitet, um die Einhaltung dieser Verordnung durch die nationalen Aufsichtsbehörden für die Zertifizierung zu verbessern;

Änderungsantrag    242

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f c (neu)

Vorschlag der Kommission

Geänderter Text

 

(fc)  sie überwacht die Kontrolle und Pflege von Zertifikaten;

Änderungsantrag    243

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f d (neu)

Vorschlag der Kommission

Geänderter Text

 

(fd)  sie berücksichtigt die Ergebnisse der Konsultation der Interessenträger, die bei der Ausarbeitung eines möglichen Systems im Einklang mit Artikel 44 stattgefunden hat;

Änderungsantrag    244

Vorschlag für eine Verordnung

Artikel 53 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Die Kommission führt den Vorsitz der Gruppe und nimmt mit Unterstützung der ENISA nach Artikel 8 Buchstabe a deren Sekretariatsgeschäfte wahr.

4.  Die Kommission führt den Vorsitz der Zertifizierungsgruppe der Mitgliedstaaten und nimmt mit Unterstützung der Agentur nach Artikel 8 Buchstabe a deren Sekretariatsgeschäfte wahr.

Änderungsantrag    245

Vorschlag für eine Verordnung

Artikel 53 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 53a

 

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde oder eine Konformitätsbewertungsstelle

 

1.  Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf

 

(a)  gegen einen Beschluss einer Konformitätsbewertungsstelle oder einer nationalen Aufsichtsbehörde für die Zertifizierung, der sie betrifft, auch in Bezug auf eine etwaige Erteilung, Ablehnung der Erteilung oder Anerkennung eines europäischen Cybersicherheitszertifikats, deren Inhaber diese Person ist, und

 

(b)  wenn eine nationale Aufsichtsbehörde für die Zertifizierung eine Beschwerde, für die sie zuständig ist, nicht bearbeitet.

 

2.  Verfahren gegen eine Konformitätsbewertungsstelle oder eine nationale Aufsichtsbehörde für die Zertifizierung werden vor den Gerichten des Mitgliedstaats eingeleitet, in dem die Konformitätsbewertungsstelle oder die nationale Aufsichtsbehörde für die Zertifizierung ihren Sitz hat.

Änderungsantrag    246

Vorschlag für eine Verordnung

Artikel 55 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Änderungsantrag    247

Vorschlag für eine Verordnung

Artikel 55 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 55 a

 

Ausübung der Befugnisübertragung

 

1.   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

 

2.   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 44 und 48a wird der Kommission auf unbestimmte Zeit ab dem … [Datum des Inkrafttretens des Basisrechtsakts] übertragen.

 

3.   Die Befugnisübertragung gemäß den Artikeln 44 und 48a kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

 

4.   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung über bessere Rechtsetzung vom 13. April 2016 enthaltenen Grundsätzen.

 

5.   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

 

6.   Ein delegierter Rechtsakt, der gemäß den Artikeln 44 und 48a erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Änderungsantrag    248

Vorschlag für eine Verordnung

Artikel 56 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Spätestens fünf Jahre nach dem in Artikel 58 genannten Zeitpunkt und danach alle fünf Jahre bewertet die Kommission die Wirkung, Wirksamkeit und Effizienz der Agentur und ihrer Arbeitsmethoden und prüft, ob das Mandat der Agentur möglicherweise geändert werden muss und welche finanziellen Auswirkungen eine solche Änderung hätte. In der Bewertung werden alle Rückmeldungen an die Agentur in Bezug auf ihre Tätigkeiten berücksichtigt. Gelangt die Kommission zu der Auffassung, dass Ziele, Mandat und Aufgaben der Agentur deren Fortbestehen nicht länger rechtfertigen, kann sie eine Änderung dieser Verordnung im Hinblick auf die für die Agentur geltenden Bestimmungen vorschlagen.

1.  Spätestens zwei Jahre nach dem in Artikel 58 genannten Zeitpunkt und danach alle zwei Jahre bewertet die Kommission die Wirkung, Wirksamkeit und Effizienz der Agentur und ihrer Arbeitsmethoden und prüft, ob das Mandat der Agentur möglicherweise geändert werden muss und welche finanziellen Auswirkungen eine solche Änderung hätte. In der Bewertung werden alle Rückmeldungen an die Agentur in Bezug auf ihre Tätigkeiten berücksichtigt. Gelangt die Kommission zu der Auffassung, dass Ziele, Mandat und Aufgaben der Agentur deren Fortbestehen nicht länger rechtfertigen, so kann sie eine Änderung dieser Verordnung im Hinblick auf die für die Agentur geltenden Bestimmungen vorschlagen.

Änderungsantrag    249

Vorschlag für eine Verordnung

Artikel 56 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Bewertung erstreckt sich auch auf die Wirkung, Wirksamkeit und Effizienz der Bestimmungen des Titels III im Hinblick auf die Ziele, für IKT-Produkte und ‑Dienste in der Union ein angemessenes Maß an Cybersicherheit und einen besser funktionierenden Binnenmarkt zu gewährleisten.

2.  Die Bewertung erstreckt sich auch auf die Wirkung, Wirksamkeit und Effizienz der Bestimmungen des Titels III im Hinblick auf die Ziele, für IKT-Produkte, ‑Prozesse und ‑Dienste in der Union ein angemessenes Maß an Cybersicherheit und einen besser funktionierenden Binnenmarkt zu gewährleisten.

Änderungsantrag    250

Vorschlag für eine Verordnung

Artikel 56 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Bei der Bewertung wird beurteilt, ob wesentliche Anforderungen an die Cybersicherheit für den Zugang zum Binnenmarkt erforderlich sind, damit keine Produkte, Dienste und Prozesse auf den Unionsmarkt gelangen, die den grundlegenden Anforderungen an die Cybersicherheit nicht entsprechen.

Änderungsantrag    251

Vorschlag für eine Verordnung

Anhang -I (neu)

Vorschlag der Kommission

Geänderter Text

 

ANHANG –I

 

Es ist anzunehmen, dass sich die Aufmerksamkeit nach der Einführung des EU-Rahmens für die Cybersicherheitszertifizierung auf Bereiche von unmittelbarem Interesse für die Bewältigung der Herausforderungen durch neue Technologien richten wird. Der Bereich des Internets der Dinge ist von besonderem Interesse, da Verbraucher- und Branchenanforderungen berührt werden. Für die Aufnahme in den Zertifizierungsrahmen wird folgende Prioritätsliste vorgeschlagen:

 

(1) Zertifizierung der Bereitstellung von Cloud-Diensten.

 

(2) Zertifizierung von Geräten für das Internet der Dinge, darunter

 

a. Geräte auf individueller Ebene, wie intelligente am Körper getragene Geräte (Wearables);

 

b. Geräte auf Gemeinschaftsebene wie intelligente Autos, intelligente Häuser, Gesundheitsgeräte;

 

c. Geräte auf Gesellschaftsebene wie intelligente Städte und intelligente Netze.

 

(3) Industrie 4.0 unter Einbeziehung intelligenter vernetzter cyber-physischer Systeme, mit denen alle Phasen des industriellen Ablaufs von Design und Fertigung bis hin zu Betrieb, Lieferkette und Wartung automatisiert werden.

 

(4) Zertifizierung von Technologien und Produkten, die im Alltag genutzt werden, beispielsweise von Netzwerkgeräten wie Internet-Routern für den Hausgebrauch.

Änderungsantrag    252

Vorschlag für eine Verordnung

Anhang I – Nummer 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a.  Falls eine Konformitätsbewertungsstelle Eigentum einer öffentlichen Stelle oder Einrichtung ist oder von dieser betrieben wird, sind Unabhängigkeit und Fehlen von Interessenkonflikten zwischen der Aufsichtsbehörde für die Zertifizierung einerseits und der Konformitätsbewertungsstelle andererseits sicherzustellen und zu dokumentieren.

Änderungsantrag    253

Vorschlag für eine Verordnung

Anhang I – Nummer 8

Vorschlag der Kommission

Geänderter Text

8.  Eine Konformitätsbewertungsstelle muss in der Lage sein, die bei der Konformitätsbewertung anfallenden Aufgaben, die ihr mit dieser Verordnung übertragen wurden, auszuführen, unabhängig davon, ob diese Aufgaben von ihr selbst oder in ihrem Namen und unter ihrer Verantwortung ausgeführt werden.

8.  Eine Konformitätsbewertungsstelle muss in der Lage sein, die bei der Konformitätsbewertung anfallenden Aufgaben, die ihr mit dieser Verordnung übertragen wurden, auszuführen, unabhängig davon, ob diese Aufgaben von ihr selbst oder in ihrem Namen und unter ihrer Verantwortung ausgeführt werden. Jegliche Unterauftragsvergabe oder die Inanspruchnahme von externem Personal sind angemessen zu dokumentieren, erfolgen nicht über zwischengeschaltete Personen und bedürfen einer schriftlichen Vereinbarung, in der unter anderem Vertraulichkeitsaspekte und Interessenkonflikte geklärt werden. Die betreffende Konformitätsbewertungsstelle übernimmt die volle Verantwortung für die durchgeführten Aufgaben.

Änderungsantrag    254

Vorschlag für eine Verordnung

Anhang I – Nummer 12

Vorschlag der Kommission

Geänderter Text

12.  Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Führungsebene und ihres Bewertungspersonals muss garantiert sein.

12.  Die Unparteilichkeit der Konformitätsbewertungsstellen, ihrer obersten Führungsebene, ihres Bewertungspersonals und ihrer Unterauftragnehmer muss garantiert sein.

Änderungsantrag    255

Vorschlag für eine Verordnung

Anhang I – Nummer 15

Vorschlag der Kommission

Geänderter Text

15.  Informationen, welche die Mitarbeiter einer Konformitätsbewertungsstelle bei der Durchführung ihrer Aufgaben nach dieser Verordnung oder einer nationalen Durchführungsvorschrift erhalten, fallen unter die berufliche Schweigepflicht, außer gegenüber den zuständigen Behörden der Mitgliedstaaten, in denen sie ihre Tätigkeiten ausüben.

15.  Die Konformitätsbewertungsstelle und ihre Mitarbeiter, Gremien, Tochterunternehmen, Unterauftragnehmer und alle verbundenen Stellen oder Mitarbeiter externer Gremien einer Konformitätsbewertungsstelle wahren die Vertraulichkeit, und die Informationen, die sie bei der Durchführung ihrer Aufgaben nach dieser Verordnung oder einer nationalen Durchführungsvorschrift erhalten, fallen unter die berufliche Schweigepflicht, außer gegenüber den zuständigen Behörden der Mitgliedstaaten, in denen sie ihre Tätigkeiten ausüben, wenn eine Offenlegung aufgrund von Rechtsvorschriften der Union oder des Mitgliedstaats, denen diese Personen unterliegen, erforderlich ist. Eigentumsrechte sind zu schützen. Die Konformitätsbewertungsstelle muss über dokumentierte Verfahren in Bezug auf die Anforderungen dieser Nummer 15 verfügen.

Änderungsantrag    256

Vorschlag für eine Verordnung

Anhang I – Nummer 15 a (neu)

Vorschlag der Kommission

Geänderter Text

 

15a.  Abgesehen von Nummer 15 wird durch die Anforderungen dieses Anhangs in keiner Weise der Austausch von technischen Informationen und regulatorischen Leitlinien zwischen einer Konformitätsbewertungsstelle und einer Person, die eine Zertifizierung beantragt oder deren Beantragung in Erwägung zieht, ausgeschlossen.

Änderungsantrag    257

Vorschlag für eine Verordnung

Anhang I – Nummer 15 b (neu)

Vorschlag der Kommission

Geänderter Text

 

15b.  Konformitätsbewertungsstellen werden im Einklang mit einer Reihe kohärenter, gerechter und angemessener Geschäftsbedingungen tätig, wobei sie in Bezug auf Gebühren die Interessen kleiner und mittlerer Unternehmen gemäß der Empfehlung 2003/361/EG berücksichtigen.

(1)

ABl. C 227 vom 28.6.2018, S. 86.


BEGRÜNDUNG

Es ist eine Tatsache, dass die globale digitale Revolution in den Volkswirtschaften, Gesellschaften und Regierungen der EU an Bedeutung und an Raum gewinnt – und alle unsere Daten sind schutzbedürftig. Verbraucher, Branchen, Institutionen und Demokratien auf lokaler, nationaler, europäischer und globaler Ebene waren bereits Opfer von Cyberangriffen, Cyberspionage und Cybersabotage, und uns allen ist bewusst, dass diese Phänomene in den nächsten Jahren deutlich zunehmen werden.

Milliarden von Geräten werden mit dem Internet verbunden und interagieren auf eine neue Weise und in einem neuen Umfang. Diese Geräte und die zugehörigen Dienste können sich positiv auf das Leben der Bürger und die Volkswirtschaften der EU auswirken. Menschen und Organisationen können jedoch nur dann vollständig Teil der digitalen Welt sein oder werden, wenn sie Vertrauen in die digitalen Technologien haben. Dieses Vertrauen erfordert, dass Geräte, Prozesse und Dienste für das Internet der Dinge sicher und geschützt sind.

Um diese Ziele zu verwirklichen, hat die Kommission den „Rechtsakt zur Cybersicherheit“ vorgeschlagen. Diese Verordnung ist ein wichtiger Bestandteil und ein wichtiges Instrument der neuen Strategie der Europäischen Union für Cybersicherheit, durch die Europa eine langfristige Perspektive für Cybersicherheit erhalten und das Vertrauen in die digitalen Technologien sichergestellt werden soll. Sie muss vor dem Hintergrund der bereits bestehenden Rechtsvorschriften gesehen werden: Die EU hat bereits eine Europäische Agentur für Netz- und Informationssicherheit (ENISA) geschaffen und eine Richtlinie über Netz- und Informationssicherheit (NIS-Richtlinie) erlassen, die derzeit von den Mitgliedstaaten umgesetzt wird.

Der „Rechtsakt zur Cybersicherheit“ besteht aus zwei Teilen: Im ersten Teil werden die Rolle und das Mandat der ENISA näher festgelegt, um die Agentur zu stärken. Im zweiten Teil wird ein europäisches System für die Cybersicherheitszertifizierung in Form eines freiwilligen Rahmens eingeführt, um die Sicherheit verbundener Geräte und digitaler Produkte und Dienste zu verbessern.

Insgesamt ist der Vorschlag der Kommission für einen europäischen Rechtsakt zur Cybersicherheit zu befürworten, da er von entscheidender Bedeutung ist, um Risiken und Bedrohungen für Informationssicherheit und Netzwerksysteme zu minimieren und es Verbrauchern zu ermöglichen, auf IT-Lösungen zu vertrauen, insbesondere in Bezug auf das Internet der Dinge. Es ist mit an Sicherheit grenzender Wahrscheinlichkeit anzunehmen, dass Europa zu einem führenden Akteur im Bereich Cybersicherheit werden kann. Es hat bekanntlich eine starke industrielle Basis, und somit liegt es im beiderseitigen Interesse sowohl der Verbraucher als auch der Wirtschaft, auf eine Verbesserung der Cybersicherheit in Bezug auf Verbrauchsgüter, industrielle Anwendungen und kritische Infrastrukturen hinzuarbeiten.

Der Vorschlag der Kommission sollte in Bezug auf beide Aspekte – den Teil über die ENISA und den Teil über die Zertifizierung – geändert werden.

Was die ENISA anbelangt, muss unbedingt der richtige Rahmen geschaffen werden, damit eine starke und gut funktionierende Agentur entsteht. Die stärkere Rolle der ENISA – verbunden mit einem künftig dauerhaften Mandat und einer Aufstockung ihrer Haushaltsmittel und ihres Personals – ist zu begrüßen; es wird aber auch ein realistischer Ansatz benötigt, wenn man die im Vergleich zu den Mitarbeitern in einigen nationalen Aufsichtsbehörden für die Zertifizierung immer noch geringe Anzahl der Sachverständigen der ENISA betrachtet. Die Aufgabe der ENISA sollte auch künftig darin bestehen, die operative Zusammenarbeit unter Rückgriff auf die im Rahmen der NIS-Richtlinie gewonnenen Fachkenntnisse zu organisieren, den Kapazitätsaufbau in den Mitgliedstaaten zu unterstützen und als Informationsquelle zu dienen. Außerdem muss die ENISA bei der Festlegung der europäischen Systeme für die Cybersicherheit gemeinsam mit den Mitgliedstaaten und einschlägigen Interessenträgern eine wesentliche Rolle spielen.

Bezüglich der Zertifizierung sollte der Anwendungsbereich des Vorschlags klarer gefasst werden. Einerseits sollten nicht nur Produkte und Dienste unter diese Verordnung fallen, sondern der gesamte Lebenszyklus. Daher müssen auch Prozesse in den Anwendungsbereich der Verordnung aufgenommen werden. Andererseits sollten gewisse Zuständigkeitsbereiche der Mitgliedstaaten eindeutig ausgenommen werden, nämlich öffentliche Sicherheit, Landesverteidigung, nationale Sicherheit und der Bereich des Strafrechts.

Bezüglich des europäischen Systems für die Cybersicherheitszertifizierung sollte ein risikobasierter Ansatz im Einzelnen festgelegt und kein einheitliches Zertifizierungssystem verwendet werden. Außerdem sollte ein freiwilliges System eingeführt werden – allerdings nur für die Vertrauenswürdigkeitsstufen „niedrig“ und „mittel“. Für Produkte, Prozesse und Dienste, die unter die höchste Vertrauenswürdigkeitsstufe fallen, ist ein obligatorisches System zu bevorzugen. Bezüglich der Bewertung digitaler Technologien, die unter die Vertrauenswürdigkeitsstufe „niedrig“ fallen, sollte eine Verknüpfung mit dem Ansatz für den neuen Rechtsrahmen hergestellt werden. So wird eine Selbstbewertung ermöglicht – ein kostengünstigeres und weniger aufwändiges System, das sich in verschiedenen speziellen Bereichen als sinnvoll erwiesen hat.

Die Hersteller oder Anbieter von IKT-Produkten, ‑Prozessen und ‑Diensten sollten verpflichtet werden, eine Produkterklärung mit strukturierten Informationen über die Zertifizierung auszustellen, in der beispielsweise die Verfügbarkeit von Aktualisierungen oder die Interoperabilität der zertifizierten Produkte, Prozesse oder Dienste angegeben wird. Das würde Verbrauchern hilfreiche Informationen zur Wahl eines Geräts liefern. Eine solche obligatorische Produkterklärung ist gegenüber einer Kennzeichnung oder Markierung zu bevorzugen, die für die Verbraucher irreführend sein kann.

Die von der Kommission vorgeschlagene Organisationsstruktur muss unbedingt verbessert werden, damit sie für alle beteiligten Interessenträger transparenter ist. Daher sollte ein mehrjähriges Arbeitsprogramm der Union verabschiedet werden, in dem auf der Ebene der Union durchzuführende gemeinsame Tätigkeiten ermittelt werden sowie die Bereiche, in denen europäische Systeme für die Zertifizierung vorrangig eingerichtet werden sollten, und der Grad der Gleichwertigkeit des Know-hows und Fachwissens der Bewertungs- und Aufsichtsstellen in den Mitgliedstaaten angegeben werden. Eine verbesserte Organisationsstruktur bedeutet auch eine stärkere Beteiligung der Mitgliedstaaten und der Wirtschaft am Zertifizierungsverfahren, denn die Rolle der Mitgliedstaaten kann gestärkt werden, wenn die gemäß Artikel 53 des Vorschlags eingerichtete „Gruppe“, die aus nationalen Aufsichtsbehörden für die Zertifizierung besteht, im Verfahren zur Ausarbeitung eines Zertifizierungssystems gleichberechtigt mit der Kommission ist. Die Gruppe wird außerdem ein mögliches europäisches System billigen müssen. Drittens sollte die Beteiligung der Wirtschaft am Zertifizierungsverfahren gestärkt werden. Das kann erreicht werden, indem die Zusammensetzung der Ständigen Gruppe der Interessenvertreter klargestellt wird und von der ENISA Ad-hoc-Beratungsgruppen eingerichtet werden, um weitere Fachkenntnisse und Know-how der Wirtschaft und sonstiger Interessenträger innerhalb des Zertifizierungsverfahrens zu gewinnen. All diese Maßnahmen dürften dazu beitragen, dass KMU in dem Verfahren wesentlich präsenter sind.

Schließlich erfordert ein europäisches Zertifizierungssystem eine stärkere Einbeziehung europäischer Normungsorganisationen wie des CEN und des CENELEC bei der Ausarbeitung neuer Systeme. So könnten sich bestehende und weltweit anerkannte internationale Normen durchsetzen.


STELLUNGNAHME des Ausschusses für Binnenmarkt und Verbraucherschutz (22.5.2018)

für den Ausschuss für Industrie, Forschung und Energie

zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Verfasser der Stellungnahme: (*) Nicola Danti

(*)  Assoziierter Ausschuss – Artikel 54 der Geschäftsordnung

KURZE BEGRÜNDUNG

Im digitalen Zeitalter ist die Cybersicherheit ein Schlüsselelement für die wirtschaftliche Wettbewerbsfähigkeit und Sicherheit der Europäischen Union sowie für die Integrität unserer freien und demokratischen Gesellschaften und die Verfahren, die ihnen zugrunde liegen. Ein hohes Maß an Abwehrfähigkeit gegenüber Cyberangriffen in der gesamten EU zu gewährleisten ist von entscheidender Bedeutung, damit die Verbraucher Vertrauen in den digitalen Binnenmarkt gewinnen und damit die Entwicklung eines innovativeren und wettbewerbsfähigeren Europas weiter vorangetrieben wird.

Zweifelsohne handelt es sich bei Cyberbedrohungen und globalen Cyberangriffen – wie beispielsweise „Wannacry“ oder „Meltdown“ – in unserer immer stärker digitalisierten Gesellschaft um Probleme von zunehmender Bedeutung. Laut einer Eurobarometer-Umfrage, die im Juli 2017 veröffentlicht wurde, halten 87 % der Befragten Cyberkriminalität für eine wichtige Herausforderung für die innere Sicherheit der EU und die Mehrheit dieser Personen macht sich Sorgen, dass sie unterschiedlichen Formen von Cyberkriminalität zum Opfer fallen könnte. Darüber hinaus wurden seit Anfang 2016 weltweit jeden Tag mehr als 4000 Ransomware-Angriffe durchgeführt, was einem Anstieg von 300 % seit 2015 gleichkommt. 80 % der Unternehmen in der EU waren von solchen Angriffen betroffen. Diese Fakten und Erkenntnisse belegen eindeutig, dass die EU bei der Bekämpfung von Cyberangriffen abwehrfähiger und effektiver werden und ihre Kapazitäten steigern muss, um die Bürger, Unternehmen und öffentlichen Einrichtungen in der EU besser zu schützen.

Ein Jahr nach Inkrafttreten der NIS-Richtlinie hat die Europäische Kommission im Zusammenhang mit der EU-Cybersicherheitsstrategie eine Verordnung vorgelegt, mit deren Hilfe die Abwehrfähigkeit, Abschreckung und Abwehr der EU gegenüber Cyberangriffen weiter gestärkt werden sollen. Am 13. September 2017 hat die Kommission den „Rechtsakt zur Cybersicherheit“ vorgestellt, der auf zwei Säulen basiert:

1) ein ständiges und stärkeres Mandat für die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA), damit die Mitgliedstaaten bei der effektiven Vorbeugung und Reaktion auf Cyberangriffe unterstützt werden können, und 2) die Schaffung eines EU-Rahmens für die Cybersicherheitszertifizierung, damit sichergestellt ist, dass IKT-Produkte und -Dienste die Kriterien der Cybersicherheit erfüllen.

Der Verfasser begrüßt im Allgemeinen den von der Europäischen Kommission vorgeschlagenen Ansatz und schätzt insbesondere die Einführung von unionsweiten Systemen für die Cybersicherheitszertifizierung, mit deren Hilfe die Sicherheit von IKT-Produkten und -Diensten gestärkt werden soll und die einer kostenintensiven Fragmentierung des Binnenmarkts in diesem Schlüsselbereich vorbeugen sollen. Obwohl er zunächst als freiwilliges Instrument gedacht war, hofft der Verfasser, dass der EU-Rahmen für die Cybersicherheitszertifizierung und damit verbundene Verfahren zu einem unerlässlichen Instrument werden, mit dem sich das Vertrauen unserer Bürger und Nutzer stärken und die Sicherheit der Produkte und Dienste auf dem Binnenmarkt erhöhen lässt.

Er ist allerdings der Überzeugung, dass einige Punkte des Vorschlags klargestellt und verbessert werden sollten:

•  Zunächst sollte die Beteiligung der relevanten Interessenträger an den unterschiedlichen Phasen des Governance-Systems für die Vorbereitung von möglichen Zertifizierungssystemen durch die ENISA gesteigert werden: Nach Ansicht des Verfassers ist es äußerst wichtig, die relevantesten Interessenträger, wie die IKT-Branchen, Verbraucherschutzverbände, KMU, europäische Normungsorganisationen und sektorspezifische EU-Agenturen usw., offiziell einzubeziehen und ihnen die Möglichkeit zu geben, neue Systemvorschläge zu unterbreiten, die ENISA mit ihrem Fachwissen zu beraten oder mit der ENISA bei der Vorbereitung von möglichen Systemen zusammenzuarbeiten.

•  Zweitens besteht die Notwendigkeit, die koordinierende Rolle der Europäischen Gruppe für die Cybersicherheitszertifizierung (bestehend aus nationalen Behörden, die von der Kommission und der ENISA unterstützt werden) durch zusätzliche Aufgaben zu stärken, wie die Bereitstellung strategischer Führung und die Erstellung eines Arbeitsprogramms bezüglich gemeinsamer Maßnahmen, die auf Unionsebene im Bereich der Zertifizierung ergriffen werden sollen, sowie die Einrichtung und regelmäßige Aktualisierung einer Prioritätenliste von IKT-Produkten und -Diensten, für welche sie ein europäisches System für die Cybersicherheitszertifizierung für notwendig erachtet.

•  Der Verfasser ist der festen Überzeugung, dass es einen Handel mit EU‑Zertifizierungen, wie er in anderen Bereichen bereits stattgefunden hat, zu vermeiden gilt. Die Überwachungs- und Beaufsichtigungsbefugnisse der ENISA und der nationalen Aufsichtsbehörden für die Zertifizierung sollten maßgeblich gestärkt werden, damit gewährleistet ist, dass ein in einem Mitgliedstaat ausgestelltes europäisches Zertifikat die gleichen Normen und Anforderungen erfüllt wie eines, das in einem anderen Mitgliedstaat ausgestellt wurde. Deshalb schlägt er vor:

1) die Aufsichtsbefugnisse der ENISA zu stärken: gemeinsam mit der Gruppe für die Cybersicherheitszertifizierung sollte die ENISA Bewertungen der Verfahren durchführen, welche von den für die Ausstellung von EU‑Zertifikaten zuständigen Behörden eingerichtet wurden;

2) dass die nationalen Aufsichtsbehörden für die Zertifizierung regelmäßige Bewertungen (mindestens alle zwei Jahre) der EU-Zertifikate durchführen, welche von Konformitätsbewertungsstellen ausgestellt wurden;

3) gemeinsame verbindliche und von der Gruppe zu definierende Kriterien einzuführen, welche den Umfang, den Anwendungsbereich und die Häufigkeit festlegen, in dem bzw. mit der nationale Aufsichtsbehörden für die Zertifizierung die in Nummer 2 genannten Bewertungen durchführen sollten.

•  Der Verfasser ist der Ansicht, dass ein obligatorisches EU-Vertrauenskennzeichen für zertifizierte IKT-Produkte und -Dienste, die für Endkunden bestimmt sind, eingeführt werden sollte. Dieses Kennzeichen könnte dazu beitragen, das Bewusstsein für Cybersicherheit zu stärken, und Unternehmen mit guter Cybersicherheitsbilanz einen Wettbewerbsvorteil verschaffen.

•  Der Verfasser befürwortet den einheitlichen und harmonisierten Ansatz der Kommission, ist jedoch überzeugt, dass er flexibler sein und sich besser an die spezifischen Charakteristika und Schwachstellen jedes Produkts oder Dienstes anpassen sollte – es sollte sich nicht um eine Einheitslösung handeln. Deshalb ist der Verfasser der Auffassung, dass die Vertrauenswürdigkeitsstufen umbenannt und unter Berücksichtigung der bestimmungsgemäßen Verwendung der IKT-Produkte und -Dienste eingesetzt werden sollten. Gleichermaßen sollte die Geltungsdauer von Zertifikaten für jedes System einzeln festgelegt werden.

•  Jedes Zertifizierungssystem sollte derart gestaltet werden, dass es alle in den betreffenden Sektor involvierten Akteure anregt und ermuntert, Sicherheitsstandards, technische Normen und die Grundsätze der eingebauten Sicherheit („security-by-design“) und der eingebauten Privatsphäre („privacy-by-design“) in allen Phasen des Lebenszyklus von Produkten oder Diensten zu entwickeln und umzusetzen.

ÄNDERUNGSANTRÄGE

Der Ausschuss für Binnenmarkt und Verbraucherschutz ersucht den federführenden Ausschuss für Industrie, Forschung und Energie, folgende Änderungsanträge zu berücksichtigen:

Änderungsantrag    1

Vorschlag für eine Verordnung

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1)  Netz- und Informationssysteme sowie Telekommunikationsnetze und -dienste spielen eine lebenswichtige Rolle für die Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnik bildet das Rückgrat der komplexen Systeme, die gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

(1)  Netz- und Informationssysteme sowie Telekommunikationsnetze und -dienste spielen eine lebenswichtige Rolle für die Gesellschaft und sind mittlerweile zum Hauptmotor des Wirtschaftswachstums geworden. Die Informations- und Kommunikationstechnik (nachstehend „IKT“) bildet das Rückgrat der komplexen Systeme, die alltägliche gesellschaftliche Tätigkeiten unterstützen und unsere Volkswirtschaften in Schlüsselsektoren wie Gesundheit, Energie, Finanzen und Verkehr aufrechterhalten und die insbesondere dafür sorgen, dass der Binnenmarkt reibungslos funktioniert.

Änderungsantrag    2

Vorschlag für eine Verordnung

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2)  Die Nutzung von Netz- und Informationssystemen durch Bürger, Unternehmen und Behörden ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten Millionen, wenn nicht Milliarden vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. Vor diesem Hintergrund führt die geringe Zertifizierung dazu, dass Personen, die IKT-Produkte und -Dienste für unternehmerische oder private Zwecke nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird.

(2)  Die Nutzung von Netz- und Informationssystemen durch Bürger, Unternehmen und Behörden ist mittlerweile in der Union allgegenwärtig. Digitalisierung und Konnektivität entwickeln sich zu Kernmerkmalen einer ständig steigenden Zahl von Produkten und Dienstleistungen. Mit dem Aufkommen des Internets der Dinge dürften in den nächsten Jahrzehnten Millionen, wenn nicht Milliarden vernetzte digitale Geräte unionsweit Verbreitung finden. Zwar sind immer mehr Geräte mit dem Internet vernetzt, doch verfügen sie über eine nur unzureichende Cybersicherheit, da die Sicherheit und Abwehrfähigkeit dieser Geräte schon bei der Konzeption nicht ausreichend berücksichtigt wurden. Vor diesem Hintergrund führt die geringe Zertifizierung dazu, dass Personen, die IKT-Produkte und -Dienste für unternehmerische oder private Zwecke nutzen, nur unzureichend über deren Cybersicherheitsmerkmale informiert werden, wodurch das Vertrauen in digitale Lösungen untergraben wird, das für die Schaffung des digitalen Binnenmarkts essentiell ist.

Änderungsantrag    3

Vorschlag für eine Verordnung

Erwägung 3

Vorschlag der Kommission

Geänderter Text

(3)  Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personengruppen wie Kinder ausgesetzt sind. Um dieser Gefahr für die Gesellschaft zu begegnen, gilt es alle für die Erhöhung der Cybersicherheit in der EU notwendigen Maßnahmen zu ergreifen, um die Netz- und Informationssysteme, die Telekommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Privatpersonen, Behörden und Unternehmen – von KMU bis zu Betreibern kritischer Infrastrukturen – genutzt werden, vor Cyberbedrohungen zu schützen.

(3)  Mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Cybersicherheitsrisiken deutlich, wodurch die Gesellschaft insgesamt anfälliger für Cyberbedrohungen wird und die Gefahren zunehmen, denen Privatpersonen und insbesondere schutzbedürftige Personengruppen wie Kinder ausgesetzt sind. Die Veränderungskraft künstlicher Intelligenz und maschinellen Lernens wird von der Gesellschaft als Ganzes, aber auch von Cyberkriminellen genutzt werden. Um diesen Gefahren für die Gesellschaft zu begegnen, gilt es, alle für die Erhöhung der Sicherheit gegenüber Cyberangriffen in der EU notwendigen Maßnahmen zu ergreifen, um die Netz- und Informationssysteme, die Telekommunikationsnetze und die digitalen Produkte, Dienste und Geräte, die von Privatpersonen, Behörden und Unternehmen – von KMU bis zu Betreibern kritischer Infrastrukturen – genutzt werden, vor Cyberbedrohungen zu schützen.

Änderungsantrag    4

Vorschlag für eine Verordnung

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4)  Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

(4)  Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren und sichereren Schutz. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

Änderungsantrag    5

Vorschlag für eine Verordnung

Erwägung 5

Vorschlag der Kommission

Geänderter Text

(5)  Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbaut und sich wechselseitig verstärkende Ziele unterstützt. Dies beinhaltet eine weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Stellen der EU. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die einzelstaatliche Maßnahmen vor allem dann ergänzen könnten, wenn es sich um grenzüberschreitende Cybersicherheitsvorfälle und -krisen von großem Ausmaß handelt. Darüber hinaus sind weitere Anstrengungen notwendig, um die Bürgerinnen und Bürger sowie die Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Ferner ließe sich das Vertrauen in den digitalen Binnenmarkt weiter erhöhen, wenn transparente Informationen über das Niveau der Sicherheit von IKT-Produkten und -Diensten zur Verfügung stünden. Erleichtert werden kann dies durch eine Zertifizierung, für die über nationale Märkte und Sektoren hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden.

(5)  Angesichts immer größerer Herausforderungen, die sich der Union im Bereich der Cybersicherheit stellen, bedarf es eines umfassenden Maßnahmenpakets, das auf den bisherigen Maßnahmen der Union aufbaut und sich wechselseitig verstärkende Ziele unterstützt. Dies beinhaltet eine weitere Stärkung der Fähigkeiten und der Abwehrbereitschaft der Mitgliedstaaten und Unternehmen sowie eine bessere Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Stellen der EU. Da Cyberbedrohungen an keinen Grenzen Halt machen, gilt es zudem, die Fähigkeiten auf Unionsebene zu stärken, die einzelstaatliche Maßnahmen vor allem dann ergänzen könnten, wenn es sich um grenzüberschreitende Cybersicherheitsvorfälle und -krisen von großem Ausmaß handelt. Darüber hinaus sind weitere Anstrengungen notwendig, um die Bürgerinnen und Bürger sowie die Unternehmen für Fragen der Cybersicherheit zu sensibilisieren. Ferner ließe sich das Vertrauen in Anbieter digitaler Dienste und in den digitalen Binnenmarkt als solchen, das durch Cybersicherheitsvorfälle insbesondere unter den Verbrauchern untergraben wird, weiter erhöhen, wenn transparente Informationen über das Niveau der Sicherheit von IKT-Produkten und -Diensten zur Verfügung stünden. Erleichtert werden kann dies durch eine auf europäischen und internationalen Standards beruhende, standardisierte Zertifizierung, für die über nationale Märkte und Sektoren hinaus unionsweit einheitliche Anforderungen und Bewertungskriterien für die Cybersicherheit festgelegt werden. Neben der unionsweiten Zertifizierung stehen verschiedene freiwillige Maßnahmen zur Verfügung, die der Privatsektor ergreifen sollte, um das Vertrauen in die Sicherheit von IKT-Produkten und -Diensten zu stärken, insbesondere im Hinblick auf die zunehmende Verfügbarkeit von IoT-Geräten. So sollten beispielsweise Verschlüsselungs- und andere Technologien sowie Technologien zur erfolgreichen Verhinderung von Cyberangriffen, wie etwa Blockchain, effektiver genutzt werden, um die Sicherheit der Daten und Mitteilungen von Endnutzern sowie die gesamte Sicherheit von Netzwerken und Informationssystemen in der Union zu verbessern.

Änderungsantrag    6

Vorschlag für eine Verordnung

Erwägung 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(5a)  Zertifizierungen und andere Formen der Konformitätsbewertung für IKT-Prozesse, -Produkte und -Dienste sind zwar wichtig, für eine Verbesserung der Cybersicherheit ist jedoch ein vielschichtiger Ansatz erforderlich, der Menschen, Prozesse und Technologien umfasst. Ebenso sollte die EU weiterhin andere Anstrengungen in den Mittelpunkt stellen und fördern wie die Aufklärung über Cybersicherheit, Schulungen und die Entwicklung von Fertigkeiten in diesem Bereich, Sensibilisierung der Geschäftsführungs- und Vorstandsebene von Unternehmen, Förderung des freiwilligen Informationsaustauschs über Cyber-Bedrohungen und Übergang von einem reaktiven zu einem proaktiven Ansatz bei der Antwort auf Bedrohungen mit Betonung auf der Prävention erfolgreicher Cyberangriffe.

Änderungsantrag    7

Vorschlag für eine Verordnung

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7)  Europa hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde eine EU-Cybersicherheitsstrategie verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dienen soll. Im Zuge ihrer Bemühungen, den Online-Schutz der Europäerinnen und Europäer zu erhöhen, verabschiedete die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union den ersten Rechtsakt auf dem Gebiet der Cybersicherheit (im Folgenden die „NIS-Richtlinie“). Mit der NIS-Richtlinie wurden Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt sowie Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Sektoren, die für die Wirtschaft und Gesellschaft lebenswichtig sind (Energie, Verkehr, Wasserwirtschaft, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastrukturen) sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt. Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als ein Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda.

(7)  Europa hat bereits wichtige Maßnahmen ergriffen, um die Cybersicherheit zu gewährleisten und das Vertrauen in die digitale Technik zu stärken. Im Jahr 2013 wurde eine EU-Cybersicherheitsstrategie verabschiedet, die der Union als Orientierung für strategische Reaktionen auf Cybersicherheitsbedrohungen und -risiken dienen soll. Im Zuge ihrer Bemühungen, den Online-Schutz der Europäerinnen und Europäer zu erhöhen, verabschiedete die Union im Jahr 2016 mit der Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union den ersten Rechtsakt auf dem Gebiet der Cybersicherheit (im Folgenden die „NIS-Richtlinie“). Mit der NIS-Richtlinie, deren Erfolg stark von ihrer effektiven Umsetzung in den Mitgliedstaaten abhängen wird, wurden Anforderungen an die nationalen Fähigkeiten im Bereich der Cybersicherheit sowie erstmals Mechanismen zur Stärkung der strategischen und operativen Zusammenarbeit zwischen den Mitgliedstaaten festgelegt sowie Verpflichtungen in Bezug auf die Sicherheitsmaßnahmen und die Meldung von Sicherheitsvorfällen für die Sektoren, die für die Wirtschaft und Gesellschaft lebenswichtig sind (Energie, Verkehr, Wasserwirtschaft, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, digitale Infrastrukturen) sowie für Anbieter zentraler digitaler Dienste (Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze) eingeführt. Eine zentrale Aufgabe bei der Umsetzung dieser Richtlinie wurde dabei der ENISA zugewiesen. Darüber hinaus ist die wirksame Bekämpfung der Cyberkriminalität als ein Aspekt bei der Verfolgung des übergeordneten Ziels einer hohen Cybersicherheit ein wichtiger Schwerpunkt der Europäischen Sicherheitsagenda.

Änderungsantrag    8

Vorschlag für eine Verordnung

Erwägung 11

Vorschlag der Kommission

Geänderter Text

(11)  Angesichts der zunehmenden Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die Agentur erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Kreise der Organisationen gerecht werden kann, die das digitale Ökosystem der EU verteidigen.

(11)  Angesichts der zunehmenden Bedrohungen und Herausforderungen, mit denen die Union im Bereich der Cybersicherheit konfrontiert ist, sollten die Mittelzuweisungen für die Agentur erhöht werden, damit ihre finanzielle und personelle Ausstattung ihrer größeren Rolle und ihren umfangreicheren Aufgaben sowie ihrer wichtigen Stellung im Kreise der Organisationen gerecht werden kann, die das digitale Ökosystem der EU verteidigen.

Änderungsantrag    9

Vorschlag für eine Verordnung

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28)  Die Agentur sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, und Leitlinien für bewährte Verfahren zur Verfügung stellen, die sich an Bürger sowie an Organisationen wenden. Darüber hinaus sollte die Agentur einen Beitrag dazu leisten, bewährte Verfahren und Lösungen auf der Ebene von Einzelpersonen und Organisationen zu fördern, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte hierüber erstellt, die Unternehmen und Bürgern als Leitfaden dienen können und die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit insgesamt erhöhen. Ferner sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten und zum Ziel haben, sicherere Verhaltensweisen der Nutzer im Internet zu fördern, die Nutzer für potenzielle Bedrohungen im Internet – auch für die Cyberkriminalität wie das Abgreifen von Daten (Phishing), Botnets, Finanz- und Bankenbetrug – stärker zu sensibilisieren und einfache Empfehlungen in Bezug auf Authentifizierung und Datenschutz zu geben. Die Agentur sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten zu forcieren.

(28)  Die Agentur sollte dabei mitwirken, die Öffentlichkeit für Cybersicherheitsrisiken zu sensibilisieren, und Leitlinien für bewährte Verfahren zur Verfügung stellen, die sich an Bürger sowie an Organisationen wenden. Darüber hinaus sollte die Agentur einen Beitrag dazu leisten, bewährte Verfahren und Lösungen im Bereich der Cyberhygiene zu fördern, was einfache Routinemaßnahmen bedeutet, die Einzelpersonen und Organisationen ergreifen können, um die Gefahr von Cyberbedrohungen zu minimieren, wie Multi-Faktor-Authentifizierung, Patching, Verschlüsselung und Zugangsmanagement. Die Agentur sollte dies tun, indem sie öffentlich verfügbare Informationen über erhebliche Sicherheitsvorfälle sammelt und analysiert und Berichte und Leitlinien hierüber erstellt und veröffentlicht, die Unternehmen und Bürgern als Leitfaden dienen können und die das Niveau der Abwehrbereitschaft und Abwehrfähigkeit insgesamt erhöhen. Ferner sollte die Agentur in Zusammenarbeit mit den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU regelmäßige öffentliche Aufklärungskampagnen durchführen, die sich an die Endnutzer richten und zum Ziel haben, sicherere Verhaltensweisen der Nutzer im Internet zu fördern, die Nutzer für Maßnahmen, die gegen potenzielle Bedrohungen im Internet – auch für die Cyberkriminalität wie das Abgreifen von Daten (Phishing), Ransomware-Angriffe, das Kapern von Geräten, Botnets, Finanz- und Bankenbetrug – ergriffen werden können, stärker zu sensibilisieren und Empfehlungen in Bezug auf grundlegende Multi-Faktor-Authentifizierung, Verschlüsselung, Patching, Grundsätze des Zugangsmanagements, Datenschutz und andere Technologien zur Erhöhung der Sicherheit und zum Schutz der Privatsphäre sowie Anonymisierungswerkzeuge zu geben. Die Agentur sollte eine zentrale Rolle dabei spielen, die Sensibilisierung der Endnutzer für die Sicherheit von Geräten und die sichere Nutzung von Diensten zu forcieren, indem sie auf Unionsebene die eingebaute Sicherheit („security by design“), die für die Verbesserung der Sicherheit vernetzter Geräte von entscheidender Bedeutung ist, besonders für schutzbedürftige Endnutzer, einschließlich Kinder, und den eingebauten Datenschutz („privacy by design“) fördert. Die Agentur sollte alle Endnutzer dazu ermutigen, angemessene Maßnahmen zur Verhinderung und Minimierung der Auswirkungen von Vorfällen, die die Sicherheit ihrer Netze und Informationssysteme betreffen, zu ergreifen. Es sollten Partnerschaften mit Hochschulen gegründet werden, die in den betreffenden Bereichen der Cybersicherheit Forschungsinitiativen haben.

Änderungsantrag    10

Vorschlag für eine Verordnung

Erwägung 35

Vorschlag der Kommission

Geänderter Text

(35)  Die Agentur sollte die Mitgliedstaaten und die Diensteanbieter dazu anspornen, ihre allgemeinen Sicherheitsstandards zu heben, damit alle Internetnutzer die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit treffen können. So sollten Diensteanbieter und Produkthersteller diese Dienste und Produkte vom Markt nehmen oder umrüsten, wenn sie den Cybersicherheitsstandards nicht genügen. In Zusammenarbeit mit den zuständigen Behörden kann die ENISA Informationen über das Niveau der Cybersicherheit von Produkten und Diensten verbreiten, die auf dem Binnenmarkt angeboten werden, Anbieter und Hersteller verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer Produkte und Dienste zu verbessern.

(35)  Die Agentur sollte die Mitgliedstaaten und die Diensteanbieter dazu anspornen, ihre allgemeinen Sicherheitsstandards zu heben, damit alle Internetnutzer die erforderlichen Vorkehrungen für ihre persönliche Cybersicherheit treffen können. So sollten Diensteanbieter und Produkthersteller diese Dienste und Produkte vom Markt nehmen oder umrüsten, wenn sie den Cybersicherheitsstandards nicht genügen. In Zusammenarbeit mit den zuständigen Behörden kann die ENISA Informationen über das Niveau der Cybersicherheit von Produkten und Diensten verbreiten, die auf dem Binnenmarkt angeboten werden, Anbieter und Hersteller verwarnen und sie auffordern, die Sicherheit, auch die Cybersicherheit, ihrer Produkte und Dienste zu verbessern. Die ENISA sollte solche Verwarnungen auf der Website öffentlich machen, die dazu bestimmt ist, Informationen über Zertifizierungssysteme zu bieten. Die Agentur sollte Leitlinien zu Mindestsicherheitsanforderungen an IT-Geräte erstellen, die in der Union verkauft oder aus der Union ausgeführt werden. Durch diese Leitlinien sollten Hersteller aufgefordert werden, eine schriftliche Erklärung abzugeben, durch die bestätigt wird, dass das Gerät weder Hardware-, Software- oder Firmware-Komponenten mit bekannten ausnutzbaren Sicherheitslücken enthält noch nicht veränderbare oder nicht verschlüsselte Passwörter oder Zugangscodes verwendet, die nicht fähig sind, aus vertrauenswürdiger Quelle stammende und korrekt authentifizierte Sicherheitsupdates anzunehmen, dass zur Reaktion des Verkäufers bei einem betroffenen Gerät eine angemessene Rangfolge von Abhilfemaßnahmen gehört und dass die Verkäufer die Endnutzer darüber unterrichten, wann die Unterstützung für ein Gerät endet.

Änderungsantrag    11

Vorschlag für eine Verordnung

Erwägung 36 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(36a)  Normen sind ein freiwilliges, marktorientiertes Instrument, das technische Anforderungen und Leitlinien beinhaltet und aus einem offenen, transparenten und integrativen Verfahren resultiert. Die Verwendung von Normen vereinfacht die Einhaltung von EU-Recht durch Waren und Dienste und unterstützt europäische Strategien in Übereinstimmung mit der Verordnung (EU) Nr. 1025/2012 zur europäischen Normung. Die Agentur sollte die europäischen Normungsorganisationen regelmäßig konsultieren und mit ihnen zusammenarbeiten, insbesondere bei der Vorbereitung von europäischen Systemen für die Cybersicherheitszertifizierung.

Änderungsantrag    12

Vorschlag für eine Verordnung

Erwägung 44

Vorschlag der Kommission

Geänderter Text

(44)  Die Agentur sollte über eine Ständige Gruppe der Interessenträger als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen und sonstigen Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte Ständige Gruppe der Interessenträger sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der Agentur zur Kenntnis bringen. Die Zusammensetzung der Ständigen Gruppe der Interessenträger und die dieser Gruppe übertragenen Aufgaben, die vor allem aus dem Entwurf des Arbeitsprogramms hervorgehen, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der Agentur ausreichend vertreten sind.

(44)  Die Agentur sollte über eine Ständige Gruppe der Interessenträger als Beratungsgremium verfügen, um einen regelmäßigen Dialog mit dem Privatsektor, Verbraucherorganisationen, Wissenschaft und sonstigen Interessenträgern sicherzustellen. Die vom Verwaltungsrat auf Vorschlag des Exekutivdirektors eingesetzte Ständige Gruppe der Interessenträger sollte hauptsächlich Fragen behandeln, die die Beteiligten betreffen, und diese der Agentur zur Kenntnis bringen. Um eine angemessene Beteiligung der Interessenträger am EU-Rahmen für die Cybersicherheitszertifizierung zu gewährleisten, sollte die Ständige Gruppe der Interessenträger auch dazu Ratschläge erteilen, welche IKT-Produkte und -Dienste in zukünftigen europäischen Systemen für die Cybersicherheitszertifizierung zu erfassen sind, und der Kommission entweder aus eigener Initiative oder nach der Vorlage von Vorschlägen durch einschlägige Interessenträger Vorschläge unterbreiten, die Agentur mit der Ausarbeitung möglicher Systeme für derartige IKT-Produkte und -Dienste zu beauftragen. Die Zusammensetzung der Ständigen Gruppe der Interessenträger und die dieser Gruppe übertragenen Aufgaben, die vor allem aus dem Entwurf des Arbeitsprogramms hervorgehen, sollten gewährleisten, dass die Interessenträger bei der Tätigkeit der Agentur wirksam und ausgewogen vertreten sind.

Änderungsantrag    13

Vorschlag für eine Verordnung

Erwägung 46

Vorschlag der Kommission

Geänderter Text

(46)  Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist und sie zusätzliche und neue Aufgaben – auch nicht vorhergesehene Aufgaben in Notfällen – erfüllen kann, sollte die Agentur über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der Agentur beteiligen, finanziert wird. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der Agentur befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zu den Einnahmen der Agentur zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der Agentur durch den Rechnungshof geprüft werden, um Transparenz und Rechenschaftspflicht sicherzustellen.

(46)  Damit die volle Autonomie und Unabhängigkeit der Agentur gewährleistet ist und sie zusätzliche und neue Aufgaben – auch nicht vorhergesehene Aufgaben in Notfällen – erfüllen kann, sollte die Agentur über einen ausreichenden und eigenständigen Haushalt verfügen, der hauptsächlich durch einen Beitrag der Union und durch Beiträge von Drittländern, die sich an der Arbeit der Agentur beteiligen, finanziert wird. Die Mehrheit der Agenturbediensteten sollte unmittelbar mit der operativen Umsetzung des Mandats der Agentur befasst sein. Dem Sitzmitgliedstaat und anderen Mitgliedstaaten sollte es erlaubt sein, freiwillige Beiträge zu den Einnahmen der Agentur zu leisten. Sämtliche Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Ferner sollte die Rechnungsführung der Agentur durch den Rechnungshof geprüft werden, um Transparenz, Rechenschaftspflicht, Effizienz und Wirksamkeit der eingesetzten Mittel sicherzustellen.

Änderungsantrag    14

Vorschlag für eine Verordnung

Erwägung 47

Vorschlag der Kommission

Geänderter Text

(47)  Die Konformitätsbewertung ist ein Verfahren, mit dem festgestellt wird, ob bestimmte Anforderungen an ein Produkt, einen Prozess, einen Dienst, ein System, eine Person oder ein Gremium erfüllt werden. Für die Zwecke dieser Verordnung ist unter Zertifizierung eine Art der Konformitätsbewertung zu verstehen, die sich auf die Cybersicherheitsmerkmale eines Produkts, eines Prozesses, eines Dienstes, eines Systems oder deren Kombination bezieht („IKT-Produkte und -Dienste“) und die von einem unabhängigen Dritten, bei dem es sich nicht um den Hersteller des Produkts oder den Diensteanbieter handelt, durchgeführt wird. Die Zertifizierung von IKT-Produkten und -Diensten an sich garantiert nicht, dass diese die Kriterien der Cybersicherheit erfüllen. Es handelt sich vielmehr um ein Verfahren und eine technische Methodik, um zu bescheinigen, dass die IKT-Produkte und -Dienste geprüft wurden und bestimmte, z. B. in technischen Normen festgelegte Anforderungen an die Cybersicherheit erfüllen.

(47)  Die Konformitätsbewertung ist ein Verfahren, mit dem festgestellt wird, ob bestimmte Anforderungen an ein Produkt, einen Prozess, einen Dienst, ein System, eine Person oder ein Gremium erfüllt werden. Für die Zwecke dieser Verordnung ist unter Zertifizierung eine Art der Konformitätsbewertung zu verstehen, die sich auf die Cybersicherheitsmerkmale und -verfahren, die ein Produkt, ein Prozess, ein Dienst, ein System oder deren Kombination („IKT-Produkte und -Dienste“) aufweist bzw. enthält und die von einem unabhängigen Dritten oder im Rahmen eines Verfahrens zur Konformitäts-Eigenerklärung durchgeführt wird. Die Zertifizierung von IKT-Produkten und -Diensten an sich garantiert nicht, dass diese die Kriterien der Cybersicherheit erfüllen, und die Endnutzer sollten darauf aufmerksam gemacht werden. Es handelt sich vielmehr um ein Verfahren und eine technische Methodik, um zu bescheinigen, dass die IKT-Produkte und -Dienste sowie die zugrundeliegenden Prozesse und Systeme geprüft wurden und bestimmte, z. B. in technischen Normen festgelegte Anforderungen an die Cybersicherheit erfüllen.

Änderungsantrag    15

Vorschlag für eine Verordnung

Erwägung 48

Vorschlag der Kommission

Geänderter Text

(48)  Die Cybersicherheitszertifizierung spielt eine große Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte und -Dienste zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der breiten Öffentlichkeit das Vertrauen vorhanden ist, dass diese Produkte und Dienste ein gewisses Maß an Cybersicherheit gewährleisten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie oder intelligente Netze sind, um nur einige Beispiele zu nennen, Sektoren, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die NIS-Richtlinie fallenden Sektoren sind zudem Sektoren, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

(48)  Die europäische Cybersicherheitszertifizierung spielt eine essentielle Rolle, wenn es darum geht, das Vertrauen in IKT-Produkte und -Dienste zu stärken und deren Sicherheit zu erhöhen. Die Entwicklung des digitalen Binnenmarkts und insbesondere der Datenwirtschaft und des Internets der Dinge kommt nur voran, wenn in der breiten Öffentlichkeit das Vertrauen vorhanden ist, dass diese Produkte und Dienste ein hohes Maß an Cybersicherheit gewährleisten. Vernetzte und automatisierte Fahrzeuge, elektronische medizinische Geräte, die automatischen Steuerungssysteme der Industrie oder intelligente Netze sind, um nur einige Beispiele zu nennen, Sektoren, in denen die Zertifizierung bereits breiten Einsatz findet oder in naher Zukunft eingesetzt werden soll. Die unter die NIS-Richtlinie fallenden Sektoren sind zudem Sektoren, in denen die Cybersicherheitszertifizierung ein maßgeblicher Faktor ist.

Änderungsantrag    16

Vorschlag für eine Verordnung

Erwägung 50

Vorschlag der Kommission

Geänderter Text

(50)  Derzeit werden IKT-Produkte und -Dienste im Hinblick auf ihre Cybersicherheit kaum zertifiziert, und wenn doch, geschieht dies meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Cybersicherheitsbehörde ausgestelltes Zertifikat nicht grundsätzlich auch von anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre Produkte und Dienste möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf.

(50)  Derzeit werden IKT-Produkte und -Dienste im Hinblick auf ihre Cybersicherheit kaum zertifiziert, und wenn doch, geschieht dies meist auf Ebene der Mitgliedstaaten oder im Rahmen brancheneigener Programme. So wird ein von einer nationalen Cybersicherheitsbehörde ausgestelltes Zertifikat nicht grundsätzlich auch von anderen Mitgliedstaaten anerkannt. Unternehmen müssen somit ihre Produkte und Dienste möglicherweise in mehreren Mitgliedstaaten, in denen sie tätig sind, zertifizieren lassen, um beispielsweise an einer nationalen Ausschreibung teilzunehmen, wobei diese Ausschreibungen die Unternehmen finanziell zusätzlich belasten. Auch wenn immer neue Systeme entstehen, scheint es kein kohärentes und ganzheitliches Konzept zu geben, das sich mit horizontalen Fragen der Cybersicherheit, etwa im Bereich des Internets der Dinge, befasst. Die vorhandenen Systeme weisen im Hinblick auf Produkterfassung, risikobasierte Vertrauenswürdigkeitsstufen, wesentliche Kriterien und tatsächliche Nutzung erhebliche Mängel und Unterschiede auf.

Änderungsantrag    17

Vorschlag für eine Verordnung

Erwägung 52

Vorschlag der Kommission

Geänderter Text

(52)  Vor diesem Hintergrund gilt es, einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Systeme zur Zertifizierung der Cybersicherheit festgelegt werden, damit die Zertifikate für die IKT-Produkte und -Dienste in allen Mitgliedstaaten anerkannt und verwendet werden können. Mit einem europäischen Rahmen werden zwei Ziele verfolgt: einerseits dürfte er dazu beitragen, das Vertrauen in IKT-Produkte und -Dienste zu erhöhen, die nach solchen Systemen zertifiziert wurden, und andererseits dürften sich so vielfältige, sich widersprechende oder überlappende nationale System für die Cybersicherheitszertifizierung vermeiden lassen, was die Kosten für auf dem digitalen Binnenmarkt tätige Unternehmen senkt. Die Systeme sollten nichtdiskriminierend sein und sich auf internationale bzw. europäische Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der EU in diesem Bereich sind.

(52)  Vor diesem Hintergrund gilt es, einen gemeinsamen Ansatz zu verfolgen und einen europäischen Rahmen für die Cybersicherheitszertifizierung aufzubauen, auf dessen Grundlage die Anforderungen an die zu entwickelnden europäischen Systeme zur Zertifizierung der Cybersicherheit festgelegt werden, damit die Zertifikate für die IKT-Produkte und -Dienste in allen Mitgliedstaaten anerkannt und verwendet werden können. Dabei ist es wichtig, auf vorhandenen nationalen und internationalen Systemen aufzubauen, wie auch auf Systemen der gegenseitigen Anerkennung, insbesondere SOG-IS, und einen reibungslosen Übergang von vorhandenen Systemen im Rahmen solcher Systeme zu Systemen im Rahmen des neuen europäischen Rahmens zu ermöglichen. Mit einem europäischen Rahmen werden zwei Ziele verfolgt: einerseits dürfte er dazu beitragen, das Vertrauen in IKT-Produkte und -Dienste zu erhöhen, die nach solchen Systemen zertifiziert wurden, und andererseits dürften sich so vielfältige, sich widersprechende oder überlappende nationale System für die Cybersicherheitszertifizierung vermeiden lassen, was die Kosten für auf dem digitalen Binnenmarkt tätige Unternehmen senkt. Wenn ein nationales System durch ein europäisches System für die Cybersicherheitszertifizierung ersetzt wurde, sollten Zertifikate, die im Rahmen des europäischen Systems ausgestellt wurden, in den Fällen als gültig anerkannt werden, in denen eine Zertifizierung auf der Grundlage eines nationalen Systems gefordert war. Diese Systeme sollten sich an dem Prinzip der eingebauten Sicherheit und an den in Verordnung (EU) 2016/679 genannten Grundsätzen orientieren. Außerdem sollten sie nichtdiskriminierend sein und sich auf internationale bzw. europäische Normen stützen, sofern diese Normen nicht unwirksam oder unangemessen im Hinblick auf die Erreichung der legitimen Ziele der EU in diesem Bereich sind.

Änderungsantrag    18

Vorschlag für eine Verordnung

Erwägung 52 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(52a)  Dieser europäische Rahmen für die Cybersicherheitszertifizierung muss in homogener Weise in allen Mitgliedstaaten eingeführt werden um zu vermeiden, dass es aufgrund von unterschiedlich hohen Kosten oder Anforderungsniveaus zwischen den Mitgliedstaaten zu einem „Zertifikate-Shopping“ kommt.

Änderungsantrag    19

Vorschlag für eine Verordnung

Erwägung 55

Vorschlag der Kommission

Geänderter Text

(55)  Mit den europäischen Systemen für die Cybersicherheitszertifizierung sollte gewährleistet werden, dass die nach solchen Systemen zertifizierten IKT-Produkte und -Dienste bestimmten Anforderungen genügen. Diese Anforderungen beziehen sich auf die Fähigkeit, auf einer bestimmten Vertrauenswürdigkeitsstufe Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte und -Dienste im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte und -Dienste und die damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit für alle Eventualitäten festzulegen. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, ergänzt durch besondere Cybersicherheitsziele, die bei der Konzeption der europäischen Systeme für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte und -Dienste erreicht werden, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungssystems festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen.

(55)  Der Zweck europäischer Systeme für die Cybersicherheitszertifizierung sollte es sein, einen Beitrag dazu zu leisten, dass ein hohes Niveau des Endnutzerschutzes und der europäischen Wettbewerbsfähigkeit gewährleistet und das Sicherheitsniveau auf dem digitalen Binnenmarkt erhöht wird, und, konkreter, dass die nach einem System zertifizierten IKT-Produkte und -Dienste bestimmten Anforderungen genügen. Diese Anforderungen beziehen sich auf die Fähigkeit, auf einer bestimmten Vertrauenswürdigkeitsstufe Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten, Funktionen oder Dienste zu beeinträchtigen, die von diesen Prozessen, Produkten, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden. In dieser Verordnung können nicht alle Anforderungen an die Cybersicherheit sämtlicher IKT-Produkte und -Dienste im Einzelnen festgelegt werden. Die Vielfalt der IKT-Produkte und -Dienste und die damit zusammenhängenden Anforderungen an die Cybersicherheit ist so groß, dass es sehr schwierig ist, allgemeine Anforderungen an die Cybersicherheit für alle Eventualitäten festzulegen. Es gilt daher, ein breit gefasstes und allgemeines Konzept der Cybersicherheit für die Zwecke der Zertifizierung zu verabschieden, ergänzt durch besondere Cybersicherheitsziele, die bei der Konzeption der europäischen Systeme für die Cybersicherheitszertifizierung berücksichtigt werden müssen. Die Modalitäten, wie diese Ziele für bestimmte IKT-Produkte und -Dienste erreicht werden, sollten dann weiter im Einzelnen auf der Grundlage des jeweiligen von der Kommission angenommenen Zertifizierungssystems festgelegt werden, etwa durch Verweise auf Normen oder technische Spezifikationen. Von entscheidender Bedeutung ist, dass jedes europäische System zur Zertifizierung der Cybersicherheit derart gestaltet werden sollte, dass es alle betreffenden in den Sektor involvierten Akteure anregt und ermuntert, Sicherheitsstandards, technische Normen und die Grundsätze der eingebauten Sicherheit in allen Phasen des Lebenszyklus von Produkten oder Diensten zu entwickeln und umzusetzen. Wenn das Zertifizierungssystem Siegel oder Kennzeichen vorsieht, sind die Bedingungen für die Verwendung dieser Siegel bzw. Kennzeichen darzulegen. Solch eine Kennzeichnung könnte die Form eines digitalen Logos oder QR-Codes haben und würde auf die Risiken hinweisen, die mit dem Betrieb und der Nutzung von IKT-Produkten und -Diensten einhergehen. Sie sollte für die Endnutzer klar und leicht verständlich sein.

Änderungsantrag    20

Vorschlag für eine Verordnung

Erwägung 55 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(55a)  Angesichts der innovativen Entwicklungen und der zunehmenden Verfügbarkeit und ständig wachsenden Zahl an IoT-Geräten in allen Bereichen der Gesellschaft muss ein besonderes Augenmerk auf die Sicherheit aller, auch der einfachsten IoT-Produkte, gelegt werden. Da die Zertifizierung ein wichtiges Mittel ist, um das Vertrauen in den Markt sowie die Sicherheit und Abwehrfähigkeit zu steigern, sollte IoT-Produkten und -Diensten im neuen europäischen Rahmen für die Cybersicherheitszertifizierung besondere Aufmerksamkeit geschenkt werden, um sie weniger anfällig und für Verbraucher und Unternehmen sicherer zu machen.

Änderungsantrag    21

Vorschlag für eine Verordnung

Erwägung 56

Vorschlag der Kommission

Geänderter Text

(56)  Die Kommission sollte befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungssysteme für bestimmte IKT-Produkte und -Dienste zu beauftragen. Die Kommission sollte dann befugt sein, auf der Grundlage des von der ENISA vorgeschlagenen möglichen Systems das europäische System für die Cybersicherheitszertifizierung mittels eines Durchführungsrechtsakts anzunehmen. Unter Berücksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollte in den von der Kommission angenommenen europäischen Systemen für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Systems festgelegt werden. Hierunter fallen u. a. Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten und -Diensten, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren sowie die beabsichtigte Vertrauenswürdigkeitsstufe: „niedrig“, „mittel“ bzw. „hoch“.

(56)  Die ENISA sollte eine eigene Website unterhalten, mit einem einfach zu nutzenden Online-Tool, das Informationen zu angenommenen Systemen, möglichen Systemen und von der Kommission angeforderten Systemen auflistet. Unter Berücksichtigung des allgemeinen Zwecks und der in dieser Verordnung festgelegten Sicherheitsziele sollte in den von der Kommission angenommenen europäischen Systemen für die Cybersicherheitszertifizierung Mindestbestimmungen in Bezug auf den Gegenstand, den Anwendungsbereich und die Funktionsweise des einzelnen Systems festgelegt werden. Hierunter fallen u. a. Anwendungsbereich und Ziel der Cybersicherheitszertifizierung, darunter auch die Kategorien von IKT-Produkten und -Diensten, detaillierte Spezifikationen der Anforderungen an die Cybersicherheit, etwa durch Verweise auf Normen oder technische Spezifikationen, die jeweiligen Bewertungskriterien und -verfahren, die mit dem Betrieb und der Nutzung von IKT-Produkten, -Prozessen oder -Diensten im Zusammenhang stehen, ihre inhärenten Risiken sowie die beabsichtigte Vertrauenswürdigkeitsstufe: funktional sicher, d. h. Vertrauenswürdigkeitsstufen, bei denen es ein funktionales Maß an Sicherheit, im Wesentlichen sicher, äußerst sicher oder eine Kombination daraus gibt. Diese Vertrauenswürdigkeitsstufen sollten keine absolute Sicherheit suggerieren, um den Endnutzer nicht irrezuführen. Auch sollte der volle Lebenszyklus eines Produkts berücksichtigt werden. Um klarzustellen, welche Risiken ein bestimmtes Produkt oder ein bestimmter Dienst seiner Konzeption nach abwehren kann, sollte die ENISA die Erstellung einer Checkliste koordinieren, in der die Risiken aufgeführt sind, denen IKT-Prozesse, -Produkte und -Dienste bei einer bestimmten Kategorie von Nutzern und in einem bestimmten Umfeld voraussichtlich ausgesetzt sein werden.

Änderungsantrag    22

Vorschlag für eine Verordnung

Erwägung 56 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(56a)  Die Kommission sollte befugt sein, die ENISA mit der Ausarbeitung möglicher Zertifizierungssysteme für bestimmte IKT-Produkte und -Dienste zu beauftragen. Der Kommission sollte die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte zur Schaffung europäischer Systeme für die Cybersicherheitszertifizierung für IKT-Produkte und -Dienste zu erlassen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind. Beim Erlass solcher delegierter Rechtsakte sollte die Kommission den Cybersicherheitszertifizierungssystemen für IKT-Produkte und -Dienste einschlägige Vorschläge der ENISA zu den Systemen zugrunde zu legen. Um das Vertrauen in und die Vorhersehbarkeit im Hinblick auf den Rahmen für die Cybersicherheitszertifizierung zu stärken sowie das öffentliche Bewusstsein zu schärfen.

Änderungsantrag    23

Vorschlag für eine Verordnung

Erwägung 56 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(56b)  Unter den Bewertungsmethoden und -verfahren für jedes europäische System für die Cybersicherheitszertifizierung sollte ethisches Hacking – bei dem Schwachstellen und Anfälligkeiten von Geräten und Informationssystemen durch das Antizipieren der möglichen Handlungen und Fertigkeiten von Hackern mit böswilligen Absichten aufgespürt werden sollen – auf Unionsebene gefördert werden.

Änderungsantrag    24

Vorschlag für eine Verordnung

Erwägung 58

Vorschlag der Kommission

Geänderter Text

(58)  Sobald ein europäisches System für die Cybersicherheitszertifizierung verabschiedet worden ist, sollten Hersteller von IKT-Produkten und Anbieter von IKT-Diensten die Zertifizierung ihrer Produkte oder Dienste bei einer Konformitätsbewertungsstelle ihrer Wahl beantragen können. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen erfüllt. Die Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt werden oder wenn eine Konformitätsbewertungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.

(58)  Sobald ein europäisches System für die Cybersicherheitszertifizierung verabschiedet worden ist, sollten Hersteller von IKT-Produkten und Anbieter von IKT-Diensten die Zertifizierung ihrer Prozesse, Produkte oder Dienste bei einer Konformitätsbewertungsstelle ihrer Wahl beantragen oder selbst erklären können, dass ihre Produkte oder Dienste im Einklang mit dem einschlägigen europäische System für die Cybersicherheitszertifizierung stehen. Die Konformitätsbewertungsstellen sollten, sofern sie bestimmten in dieser Verordnung festgelegten Anforderungen genügen, von einer Akkreditierungsstelle akkreditiert werden. Die Akkreditierung sollte für eine Höchstdauer von fünf Jahren erfolgen und unter denselben Bedingungen verlängert werden können, sofern die Konformitätsbewertungsstelle die Anforderungen erfüllt. Die Akkreditierungsstellen sollten die einer Konformitätsbewertungsstelle erteilte Akkreditierung widerrufen, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt werden oder wenn eine Konformitätsbewertungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. Um sicherzustellen, dass die Akkreditierung in der ganzen Europäischen Union einheitlich erfolgt, sollten die nationalen Aufsichtsbehörden gegenseitigen Begutachtungen (Peer Reviews) der Verfahren zur Kontrolle der Konformität der Produkte, die Gegenstand einer Cybersicherheitszertifizierung sind, unterzogen werden.

Änderungsantrag    25

Vorschlag für eine Verordnung

Erwägung 59

Vorschlag der Kommission

Geänderter Text

(59)  Es ist notwendig, alle Mitgliedstaaten zur Benennung einer Aufsichtsbehörde für die Cybersicherheitszertifizierung zu verpflichten, die die in ihrem Hoheitsgebiet ansässigen Konformitätsbewertungsstellen und die von diesen ausgestellten Zertifikate im Hinblick auf die Einhaltung der Anforderungen beaufsichtigt, die in dieser Verordnung und in den jeweiligen Cybersicherheitszertifizierungssystemen festgelegt sind. Die nationalen Aufsichtsbehörden für die Zertifizierung sollten Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellten Zertifikate eingereicht werden, bearbeiten, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten sie mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung austauschen.

(59)  Es ist notwendig, alle Mitgliedstaaten zur Benennung einer Aufsichtsbehörde für die Cybersicherheitszertifizierung zu verpflichten, die die in ihrem Hoheitsgebiet ansässigen Konformitätsbewertungsstellen und die von diesen ausgestellten Zertifikate im Hinblick auf die Einhaltung der Anforderungen beaufsichtigt, die in dieser Verordnung und in den jeweiligen Cybersicherheitszertifizierungssystemen festgelegt sind. Die nationalen Aufsichtsbehörden für die Zertifizierung sollten Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellten Zertifikate eingereicht werden, bearbeiten, den Beschwerdegegenstand, soweit angemessen, untersuchen und den Beschwerdeführer über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist unterrichten. Darüber hinaus sollten sie mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen zusammenarbeiten, auch indem sie Informationen über die etwaige Nichtkonformität von IKT-Produkten und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung austauschen. Des Weiteren sollten sie kontrollieren und überprüfen, ob die Konformitäts-Eigenerklärungen ordnungsmäßig sind und ob europäische Cybersicherheitszertifikate von Konformitätsbewertungsstellen anhand der in dieser Verordnung festgelegten Anforderungen ausgestellt werden, darunter die von der Europäischen Gruppe für die Cybersicherheitszertifizierung aufgestellten Regeln und die im entsprechenden europäischen System für die Cybersicherheitszertifizierung festgelegten Anforderungen. Eine effektive Zusammenarbeit der nationalen Aufsichtsbehörden für die Zertifizierung ist für die angemessene Umsetzung der europäischen Systeme für die Cybersicherheitszertifizierung und von technischen Aspekten im Hinblick auf die Cybersicherheit von IKT-Produkten und -Diensten entscheidend. Die Kommission sollte diesen Informationsaustausch erleichtern, indem sie ein allgemeines elektronisches Informationssystem zur Unterstützung bereitstellt, wie zum Beispiel das internetgestützte Informations- und Kommunikationssystem zur europaweiten Marktüberwachung (Information and Communication System on Market Surveillance – ICSMS) und das gemeinschaftliche System zum raschen Austausch von Informationen über die Gefahren bei der Verwendung von Konsumgütern (Community system for the rapid exchange of information on dangers arising from the use of consumer products – RAPEX), welche in Übereinstimmung mit Verordnung (EG) Nr. 765/2008 bereits von Marktüberwachungsbehörden genutzt werden.

Änderungsantrag    26

Vorschlag für eine Verordnung

Erwägung 63

Vorschlag der Kommission

Geänderter Text

(63)  Um die Kriterien für die Akkreditierung von Konformitätsbewertungsstellen genauer festzulegen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) Rechtsakte zu erlassen. Die Kommission sollte im Rahmen ihrer Vorarbeiten – auch auf Sachverständigenebene – geeignete Konsultationen durchführen. Diese Konsultationen sollten im Einklang mit den Grundsätzen durchgeführt werden, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über die bessere Rechtsetzung niedergelegt wurden. Um insbesondere eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, sollten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten erhalten, und ihre Sachverständigen sollten systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission haben, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

entfällt

Änderungsantrag    27

Vorschlag für eine Verordnung

Erwägung 65

Vorschlag der Kommission

Geänderter Text

(65)  Die Durchführungsrechtsakte über die europäischen Systeme für die Cybersicherheitszertifizierung von IKT-Produkten und -Diensten, die Modalitäten für die Durchführung von Umfragen durch die Agentur sowie die Umstände, Formate und Verfahren der Notifizierung akkreditierter Konformitätsbewertungsstellen durch die nationalen Aufsichtsbehörden für die Zertifizierung bei der Kommission sollten nach dem Prüfverfahren erlassen werden.

(65)  Die Durchführungsrechtsakte über die europäischen Systeme für die Cybersicherheitszertifizierung von IKT-Prozessen, -Produkten und -Diensten, die Modalitäten für die Durchführung von Umfragen durch die Agentur sowie die Umstände, Formate und Verfahren der Notifizierung akkreditierter Konformitätsbewertungsstellen durch die nationalen Aufsichtsbehörden für die Zertifizierung bei der Kommission sollten nach dem Prüfverfahren erlassen werden, unter Berücksichtigung der erwiesenen Effektivität des elektronischen Notifizierungsinstruments „New Approach Notified and Designated Organisations“ (NANDO).

Änderungsantrag    28

Vorschlag für eine Verordnung

Erwägung 66

Vorschlag der Kommission

Geänderter Text

(66)  Die Tätigkeit der Agentur sollte unabhängig bewertet werden. Die Bewertung sollte sich darauf beziehen, inwieweit die Agentur ihre Ziele erreicht, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind. Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für Cybersicherheitszertifizierung bewertet werden.

(66)  Die Tätigkeit der Agentur sollte unabhängig bewertet werden. Die Bewertung sollte die Richtigkeit und Zweckmäßigkeit der von der Agentur eingesetzten Mittel, die Wirksamkeit beim Erreichen ihrer Ziele und eine Beschreibung dessen, wie sie arbeitet und inwieweit ihre Aufgaben relevant sind, umfassen. Zudem sollten Wirkung, Wirksamkeit und Effizienz des europäischen Rahmens für Cybersicherheitszertifizierung bewertet werden.

Änderungsantrag    29

Vorschlag für eine Verordnung

Artikel 2 – Absatz 1 – Nummer 11

Vorschlag der Kommission

Geänderter Text

(11)  „IKT-Produkte und -Dienste“ bezeichnet ein Element oder eine Gruppe von Elementen der Netz- und Informationssysteme;

(11)  „IKT-Prozesse, -Produkte und -Dienste“ bezeichnet Produkte, Dienste, Prozesse, Systeme oder Kombinationen daraus, die ein Element der Netz- und Informationssysteme sind;

 

(Diese Änderung betrifft den gesamten Text. Ihre Annahme würde entsprechende Abänderungen im gesamten Text erforderlich machen.)

Änderungsantrag    30

Vorschlag für eine Verordnung

Artikel 2 – Absatz 1 – Nummer 11 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(11a)  „nationale Aufsichtsbehörde für die Zertifizierung“ bezeichnet die Behörde eines Mitgliedstaats, die für die Kontrolle, Durchsetzung und Aufsicht im Hinblick auf die Cybersicherheitszertifizierung in seinem Hoheitsgebiet zuständig ist;

Änderungsantrag    31

Vorschlag für eine Verordnung

Artikel 2 – Absatz 1 – Nummer 16 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(16a)  „Konformitäts-Eigenerklärung“ bezeichnet die Erklärung eines Herstellers, dass sein IKT-Prozess, -Produkt oder -Dienst mit einem einschlägigen europäischen Systemen für die Cybersicherheitszertifizierung im Einklang steht.

Änderungsantrag    32

Vorschlag für eine Verordnung

Artikel 3 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Die Agentur nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, zu einem hohen Maß an Cybersicherheit innerhalb der Union beizutragen.

1.  Die Agentur nimmt die ihr mit dieser Verordnung zugewiesenen Aufgaben mit dem Ziel wahr, zur Erreichung eines hohen gemeinsamen Maßes an Cybersicherheit zur Abwehr von Cyberangriffen innerhalb der Union beizutragen, um die Fragmentierung des Binnenmarkts zu reduzieren und sein Funktionieren zu verbessern.

Änderungsantrag    33

Vorschlag für eine Verordnung

Artikel 4 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die Agentur baut die Cybersicherheitskapazitäten auf Unionsebene aus, um – vor allem bei grenzüberschreitenden Sicherheitsvorfällen – die Maßnahmen zu ergänzen, die die Mitgliedstaaten zur Vermeidung von Bedrohungen oder als Reaktion darauf ergreifen.

5.  Die Agentur trägt zum Ausbau der Cybersicherheitskapazitäten auf Unionsebene bei, um – vor allem bei grenzüberschreitenden Sicherheitsvorfällen – die Maßnahmen zu ergänzen und zu stärken, die die Mitgliedstaaten zur Vermeidung von Bedrohungen oder als Reaktion darauf ergreifen.

Änderungsantrag    34

Vorschlag für eine Verordnung

Artikel 4 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6.  Die Agentur fördert die Nutzung der Zertifizierung, auch indem sie zum Aufbau und zur Pflege eines Cybersicherheitszertifizierungsrahmens auf Unionsebene im Sinne des Titels III dieser Verordnung beiträgt, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten und -Diensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken.

6.  Die Agentur fördert die Nutzung der Zertifizierung, während sie die Fragmentierung vermeidet, die durch einen Mangel an Koordinierung zwischen vorhandenen Zertifizierungssystemen in der Union entsteht. Die Agentur trägt zum Aufbau und zur Pflege eines Cybersicherheitszertifizierungsrahmens auf Unionsebene gemäß der Artikel 43 bis 54 [Titel III] bei, um die auf mehr Transparenz gestützte Vertrauenswürdigkeit der Cybersicherheit von IKT-Produkten und -Diensten zu erhöhen und damit das Vertrauen in den digitalen Binnenmarkt zu stärken.

Änderungsantrag    35

Vorschlag für eine Verordnung

Artikel 4 – Absatz 7

Vorschlag der Kommission

Geänderter Text

7.  Die Agentur fördert ein hohes Problembewusstsein der Bürger und Unternehmen in Fragen der Cybersicherheit.

7.  Die Agentur fördert ein hohes Problembewusstsein der Bürger, Behörden und Unternehmen in Fragen der Cybersicherheit.

Änderungsantrag    36

Vorschlag für eine Verordnung

Artikel 5 – Absatz 1 – Nummer 1

Vorschlag der Kommission

Geänderter Text

1.  insbesondere durch unabhängige Stellungnahmen und durch vorbereitende Arbeiten zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt;

1.  zur Ausarbeitung und Überprüfung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit Beratung und Unterstützung gewährt und indem sie sektorspezifische Strategien und Rechtsetzungsinitiativen im Bereich der Cybersicherheit vorlegt;

Begründung

Die Agentur sollte bei der Erfüllung ihrer Aufgaben ihre Instrumente frei wählen können.

Änderungsantrag    37

Vorschlag für eine Verordnung

Artikel 5 – Absatz 1 – Nummer 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  den durch die Verordnung (EU) Nr. 2016/679 eingerichteten Europäischen Datenschutzausschuss bei der Ausarbeitung von Leitlinien unterstützt, in denen auf technischer Ebene die Voraussetzungen angegeben werden, unter denen eine legitime Nutzung personenbezogener Daten durch die Verantwortlichen zu IT-Sicherheitszwecken zulässig ist, um die Infrastruktur zu schützen, indem Angriffe gegen die Informationssysteme aufgedeckt und abgewehrt werden, wobei folgende Vorschriften zu berücksichtigen sind: (i) Verordnung (EU) 2016/6791a, (ii) Richtlinie (EU) 2016/11481b, und (iii) Richtlinie 2002/58/EG1c;

 

_________________

 

1a Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

 

1b Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

 

1c Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

Begründung

Einrichtung geeigneter Mechanismen zur Kooperation.

Änderungsantrag    38

Vorschlag für eine Verordnung

Artikel 5 – Absatz 1 – Nummer 4 – Punkt 2

Vorschlag der Kommission

Geänderter Text

(2)  die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, auch indem sie ihre Sachkenntnis und Beratung anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

(2)  die Förderung eines höheren Sicherheitsniveaus in der elektronischen Kommunikation, der Speicherung und Verarbeitung von Daten, auch indem sie ihre Sachkenntnis und Beratung anbietet und den Austausch bewährter Verfahren zwischen den zuständigen Behörden erleichtert;

Änderungsantrag    39

Vorschlag für eine Verordnung

Artikel 6 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Die Agentur setzt sich dafür ein, dass ein langfristiges EU-Projekt im Bereich der Cybersicherheit ausgearbeitet und auf den Weg gebracht wird, mit dem das Wachstum einer unabhängigen Cybersicherheitsbranche in der EU gefördert wird und der Aspekt der Cybersicherheit in der EU bei allen Entwicklungen im IT-Bereich Berücksichtigung findet.

Begründung

Die ENISA sollte die Gesetzgeber bei der Erstellung von politischen Strategien beraten, die es der EU ermöglichen, den Rückstand zu der IT-Sicherheitsbranche in Drittländern aufzuholen. Das Projekt sollte vom Umfang her mit den Anstrengungen vergleichbar sein, die zugunsten der Luftfahrt (siehe Airbus) unternommen wurden. Für die Schaffung einer stärkeren, unabhängigen und vertrauenswürdigen IKT-Branche in der EU ist dies unabdingbar (siehe Studie des Referats Wissenschaftliche Vorausschau (STOA), PE 614.531).

Änderungsantrag    40

Vorschlag für eine Verordnung

Artikel 7 – Absatz 5 – Unterabsatz 1

Vorschlag der Kommission

Geänderter Text

Auf Ersuchen von zwei oder mehreren betroffenen Mitgliedstaaten und zu dem alleinigen Zweck, Beratung im Hinblick auf die Vermeidung künftiger Sicherheitsvorfälle anzubieten, unterstützt die Agentur, nachdem Unternehmen gemäß der Richtlinie (EU) 2016/1148 Sicherheitsvorfälle mit beträchtlichen oder erheblichen Auswirkungen gemeldet hatten, eine technische Ex-post-Untersuchung oder führt diese selbst durch. Eine derartige Untersuchung führt die Agentur auch dann durch, wenn sie bei solchen Sicherheitsvorfällen, von denen mindestens zwei Mitgliedstaaten betroffen sind, von der Kommission im Einvernehmen mit den betroffenen Mitgliedstaaten in einem hinreichend begründeten Ersuchen dazu aufgefordert wurde.

Auf Ersuchen von einem oder mehreren betroffenen Mitgliedstaaten und zu dem alleinigen Zweck, Beratung im Hinblick auf die Vermeidung künftiger Sicherheitsvorfälle anzubieten, unterstützt die Agentur, nachdem Unternehmen gemäß der Richtlinie (EU) 2016/1148 Sicherheitsvorfälle mit beträchtlichen oder erheblichen Auswirkungen gemeldet hatten, eine technische Ex-post-Untersuchung oder führt diese selbst durch. Eine derartige Untersuchung führt die Agentur auch dann durch, wenn sie bei solchen Sicherheitsvorfällen, von denen mindestens zwei Mitgliedstaaten betroffen sind, von der Kommission im Einvernehmen mit den betroffenen Mitgliedstaaten in einem hinreichend begründeten Ersuchen dazu aufgefordert wurde.

Änderungsantrag    41

Vorschlag für eine Verordnung

Artikel 7 – Absatz 8 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Berichte aus nationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung zusammenstellt;

(a)  Berichte aus nationalen und internationalen Quellen als Beitrag zu einer gemeinsamen Lageerfassung zusammenstellt;

Änderungsantrag    42

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe a – Punkt 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(1a)  in Zusammenarbeit mit der Europäischen Gruppe für die Cybersicherheitszertifizierung Bewertungen der Verfahren zur Ausstellung von europäischen Cybersicherheitszertifikaten vornimmt, die von Konformitätsbewertungsstellen eingerichtet wurden, welche in Artikel 51 genannt werden, mit denen die einheitliche Anwendung dieser Verordnung bei der Ausstellung von Zertifikaten durch Konformitätsbewertungsstellen gewährleistet werden soll;

Änderungsantrag    43

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe a – Punkt 1 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(1b)  regelmäßig unabhängige nachträglich Kontrollen bezüglich der Konformität der zertifizierten IKT-Produkte und -Dienste mit den europäischen Systemen für die Cybersicherheitszertifizierung durchführt;

Änderungsantrag    44

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe a – Punkt 3

Vorschlag der Kommission

Geänderter Text

(3)  in Zusammenarbeit mit nationalen Aufsichtsbehörden für die Zertifizierung Leitlinien zusammenstellt und veröffentlicht sowie bewährte Verfahren im Zusammenhang mit den Anforderungen an die Cybersicherheit von IKT-Produkten und -Diensten entwickelt;

(3)  in Zusammenarbeit mit nationalen Aufsichtsbehörden für die Zertifizierung in einem förmlichen, standardisierten und transparenten Verfahren Leitlinien zusammenstellt und veröffentlicht sowie bewährte Verfahren im Zusammenhang mit den Anforderungen an die Cybersicherheit von IKT-Produkten und -Diensten, auch zu Grundsätzen der Cyberhygiene und zur Verhinderung geheimer Hintertüren, entwickelt;

Änderungsantrag    45

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und die Sicherheit von IKT-Produkten und -Diensten, bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten Beratung an und erlässt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten;

(b)  konsultiert die internationalen Normungsorganisationen und die europäischen Normungsorganisationen zur Entwicklung von Normen, um die Zweckmäßigkeit der in europäischen Systemen für die Cybersicherheitszertifizierung verwendeten Normen sicherzustellen, und erleichtert die Ausarbeitung und Übernahme europäischer und internationaler Normen für das Risikomanagement und die Sicherheit von IKT-Produkten und -Diensten, bietet nach Artikel 19 Absatz 2 der Richtlinie (EU) 2016/1148 in Zusammenarbeit mit den Mitgliedstaaten Beratung an und erlässt Leitlinien für die technischen Bereiche, die sich auf die Sicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste beziehen, sowie für bereits vorhandene Normen, auch nationale Normen der Mitgliedstaaten;

Änderungsantrag    46

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  erstellt Leitlinien dafür, wie und wann die Mitgliedstaaten einander informieren sollen, wenn sie Kenntnis von einer Sicherheitslücke in einem gemäß Titel III dieser Verordnung zertifizierten IKT-Prozess, -Produkt oder -Dienst erhalten, die nicht öffentlich bekannt ist, sowie Leitlinien für die Koordinierung der Maßnahmen zur Offenlegung von Sicherheitslücken;

Änderungsantrag    47

Vorschlag für eine Verordnung

Artikel 8 – Absatz 1 – Buchstabe b b (neu)

Vorschlag der Kommission

Geänderter Text

 

(bb)  erstellt Leitlinien zu Mindestsicherheitsanforderungen an IT-Geräte, die in der Union in Verkehr gebracht oder aus der Union ausgeführt werden;

Änderungsantrag    48

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  bündelt die von den Organen, Einrichtungen und sonstigen Stellen der Union bereitgestellten Informationen zur Cybersicherheit, ordnet diese Informationen und stellt sie über ein eigenes Portal der Öffentlichkeit zur Verfügung;

(d)  bündelt die von den Organen, Einrichtungen und sonstigen Stellen der Union bereitgestellten Informationen zur Cybersicherheit, einschließlich Informationen zu wichtigen Cybersicherheitsvorfällen und größeren Verletzungen des Schutzes personenbezogener Daten, ordnet diese Informationen und stellt sie über ein eigenes Portal der Öffentlichkeit zur Verfügung;

Änderungsantrag    49

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sensibilisiert die Öffentlichkeit für Cybersicherheitsrisiken und stellt Leitlinien für bewährte Verfahren zur Verfügung, die sich an Bürger und Organisationen wenden;

(e)  sensibilisiert die Öffentlichkeit für Cybersicherheitsrisiken, stellt Leitlinien für bewährte Verfahren zur Verfügung, die sich an Bürger und Organisationen wenden, und fördert die Einführung präventiver, wirkungsvoller IT-Sicherheitsmaßnahmen und eines zuverlässigen Datenschutzes;

Änderungsantrag    50

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe g a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ga)  unterstützt eine engere Zusammenarbeit und den Austausch bewährter Verfahren zwischen den Mitgliedstaaten in Bezug auf die Aufklärung über Cybersicherheit, Cyberhygiene und Sensibilisierung für das Thema;

Änderungsantrag    51

Vorschlag für eine Verordnung

Artikel 10 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  berät die Agentur die Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich der Cybersicherheit, damit die Voraussetzung für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Bedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnik (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

(a)  sorgt die Agentur für Vorkonsultationen mit den einschlägigen Nutzergruppen und berät die Union und die Mitgliedstaaten zum Forschungsbedarf und zu den Forschungsprioritäten im Bereich der Cybersicherheit, damit die Voraussetzung für wirksame Reaktionen auf die gegenwärtigen oder sich abzeichnenden Risiken und Bedrohungen, auch in Bezug auf neue und aufkommende Informations- und Kommunikationstechnik (IKT), geschaffen und die Techniken zur Risikovermeidung genutzt werden können;

Änderungsantrag    52

Vorschlag für eine Verordnung

Artikel 13 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats und zwei von der Kommission ernannte Vertreter an. Alle Vertreter verfügen über Stimmrecht.

1.  Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats und zwei von der Kommission und vom Europäischen Parlament ernannte Vertreter an. Alle Vertreter verfügen über Stimmrecht.

Änderungsantrag    53

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der Agentur und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof. Der Jahresbericht enthält den Jahresabschluss und Ausführungen darüber, inwiefern die Agentur die vorgegebenen Leistungsindikatoren erfüllt hat. Der Jahresbericht wird veröffentlicht;

(e)  bewertet und genehmigt den konsolidierten Jahresbericht über die Tätigkeiten der Agentur und übermittelt den Bericht zusammen mit seiner Bewertung bis zum 1. Juli des folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof. Der Jahresbericht enthält den Jahresabschluss, Ausführungen über die Wirksamkeit der eingesetzten Mittel und eine Bewertung der Frage, inwiefern die Agentur effektiv war und die vorgegebenen Leistungsindikatoren erfüllt hat. Der Jahresbericht wird veröffentlicht;

Änderungsantrag    54

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe m

Vorschlag der Kommission

Geänderter Text

(m)  ernennt den Exekutivdirektor und verlängert gegebenenfalls dessen Amtszeit oder enthebt ihn nach Artikel 33 seines Amtes;

(m)  ernennt den Exekutivdirektor durch Auswahlverfahren auf der Grundlage fachlicher Kriterien und verlängert gegebenenfalls dessen Amtszeit oder enthebt ihn seines Amtes nach Artikel 33 dieser Verordnung;

Änderungsantrag    55

Vorschlag für eine Verordnung

Artikel 14 – Absatz 1 – Buchstabe o

Vorschlag der Kommission

Geänderter Text

(o)  fasst unter Berücksichtigung der Tätigkeitserfordernisse der Agentur und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

(o)  fasst unter Berücksichtigung der in dieser Verordnung aufgeführten Tätigkeitserfordernisse der Agentur und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur;

Änderungsantrag    56

Vorschlag für eine Verordnung

Artikel 19 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird. Der Rat kann den Exekutivdirektor auffordern, über die Erfüllung seiner Aufgaben Bericht zu erstatten.

2.  Der Exekutivdirektor erstattet dem Europäischen Parlament über seine Tätigkeit jährlich, oder wenn er dazu aufgefordert wird, Bericht. Der Rat kann den Exekutivdirektor auffordern, über die Erfüllung seiner Aufgaben Bericht zu erstatten.

Änderungsantrag    57

Vorschlag für eine Verordnung

Artikel 20 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors eine Ständige Gruppe der Interessenträger ein, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche, Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, Verbrauchergruppen, wissenschaftliche Sachverständige für die Cybersicherheit sowie Vertreter der zuständigen Behörden, die gemäß der [Richtlinie über den Europäischen Kodex für elektronische Kommunikation] notifiziert wurden, sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden.

1.  Der Verwaltungsrat setzt auf Vorschlag des Exekutivdirektors eine Ständige Gruppe der Interessenträger ein, die sich aus anerkannten Sachverständigen als Vertreter der einschlägigen Interessenträger zusammensetzt, darunter die IKT-Branche und Anbieter öffentlich zugänglicher elektronischer Kommunikationsnetze oder -dienste, insbesondere die europäische IKT-Branche und IKT-Anbieter, Verbände kleiner und mittlerer Unternehmen, Verbrauchergruppen und -verbände, wissenschaftliche Sachverständige im Bereich der Cybersicherheit, die europäischen Normungsorganisation im Sinne des Artikels 2 Nummer 8 der Verordnung (EU) Nr. 1025/2012, die relevanten sektorspezifischen Einrichtungen und Stellen der Union sowie Vertreter der zuständigen Behörden, die gemäß der [Richtlinie über den Europäischen Kodex für elektronische Kommunikation] notifiziert wurden, sowie Strafverfolgungsbehörden und Datenschutz-Aufsichtsbehörden.

Änderungsantrag    58

Vorschlag für eine Verordnung

Artikel 20 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Die Amtszeit der Mitglieder der Ständigen Gruppe der Interessenträger beträgt zweieinhalb Jahre. Die Mitglieder des Verwaltungsrats dürfen nicht Mitglieder der Ständigen Gruppe der Interessenträger sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der Ständigen Gruppe der Interessenträger teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der Ständigen Gruppe der Interessenträger nicht angehören, können zur Teilnahme an den Sitzungen der Ständigen Gruppe der Interessenträger und zur Mitarbeit an ihrer Arbeit eingeladen werden.

4.  Die Amtszeit der Mitglieder der Ständigen Gruppe der Interessenträger beträgt zweieinhalb Jahre. Die Mitglieder des Verwaltungsrats und des Exekutivrats, mit Ausnahme des Exekutivdirektors, dürfen nicht Mitglieder der Ständigen Gruppe der Interessenträger sein. Sachverständige der Kommission und aus den Mitgliedstaaten können an den Sitzungen der Ständigen Gruppe der Interessenträger teilnehmen und an ihrer Arbeit mitwirken. Vertreter anderer Stellen, die vom Exekutivdirektor für relevant erachtet werden und die der Ständigen Gruppe der Interessenträger nicht angehören, können zur Teilnahme an den Sitzungen der Ständigen Gruppe der Interessenträger und zur Mitarbeit an ihrer Arbeit eingeladen werden.

Änderungsantrag    59

Vorschlag für eine Verordnung

Artikel 20 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die Ständige Gruppe der Interessenträger berät die Agentur bei der Durchführung ihrer Tätigkeiten. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur und bei der Gewährleistung der Kommunikation mit den einschlägigen Interessenträgern bezüglich aller Fragen im Zusammenhang mit dem Arbeitsprogramm.

5.  Die Ständige Gruppe der Interessenträger berät die Agentur bei der Durchführung ihrer Tätigkeiten. Sie berät insbesondere den Exekutivdirektor bei der Ausarbeitung eines Vorschlags für das Arbeitsprogramm der Agentur und bei der Gewährleistung der Kommunikation mit den einschlägigen Interessenträgern bezüglich aller Fragen im Zusammenhang mit dem Arbeitsprogramm. Ebenso kann sie auf Eigeninitiative oder nach Vorlage von Vorschlägen einschlägiger Interessenträger vorschlagen, dass die Kommission die Agentur auffordert, mögliche europäische Systeme für die Cybersicherheitszertifizierung nach Artikel 44 auszuarbeiten.

Änderungsantrag    60

Vorschlag für eine Verordnung

Artikel 20 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a.  Die Ständige Gruppe der Interessenträger berät die Agentur bei der Vorbereitung möglicher europäischer Systeme für die Cybersicherheitszertifizierung.

Änderungsantrag    61

Vorschlag für eine Verordnung

Artikel 23 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Agentur stellt sicher, dass die Öffentlichkeit sowie interessierte Kreise angemessene, objektive, zuverlässige und leicht zugängliche Informationen, insbesondere zu ihren eigenen Arbeitsergebnissen, erhalten. Ferner veröffentlicht sie die nach Artikel 22 abgegebenen Interessenerklärungen.

2.  Die Agentur stellt sicher, dass die Öffentlichkeit sowie interessierte Kreise angemessene, objektive, zuverlässige und leicht zugängliche Informationen, insbesondere zu den Debatten und ihren eigenen Arbeitsergebnissen, erhalten. Ferner veröffentlicht sie die nach Artikel 22 abgegebenen Interessenerklärungen.

Begründung

Transparenz muss unter Berücksichtigung von Art. 24 rechtskräftig sein.

Änderungsantrag    62

Vorschlag für eine Verordnung

Artikel 43 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Ein europäisches System für die Cybersicherheitszertifizierung dient der Bescheinigung, dass die nach einem solchen System zertifizierten IKT-Produkte und -Dienste auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten Anforderungen an ihre Fähigkeit genügen, Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Produkten, Prozessen, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden.

Ein europäisches System für die Cybersicherheitszertifizierung wird eingeführt, um das Sicherheitsniveau auf dem digitalen Binnenmarkt zu erhöhen, einen harmonisierten EU-weiten Ansatz für die europäische Zertifizierung zu verfolgen und so sicherzustellen, dass IKT-Produkte, -Dienste und -Systeme gegen Cyberangriffe gewappnet sind.

Es dient der Bescheinigung, dass die nach einem solchen System zertifizierten IKT-Prozesse, -Produkte und -Dienste auf einer bestimmten Vertrauenswürdigkeitsstufe den festgelegten gemeinsamen Anforderungen und Eigenschaften hinsichtlich ihrer Fähigkeit genügen, Handlungen zu widerstehen, die darauf abzielen, die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten, Funktionen oder Diensten zu beeinträchtigen, die von diesen Prozessen, Produkten, Diensten und Systemen angeboten oder über diese zugänglich gemacht werden.

Änderungsantrag    63

Vorschlag für eine Verordnung

Artikel 43 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 43a

 

Arbeitsprogramm

 

Die ENISA erstellt nach Konsultation der Europäischen Gruppe für die Cybersicherheitszertifizierung und der Ständigen Gruppe der Interessenträger und nach Genehmigung der Kommission ein Arbeitsprogramm, in dem die gemeinsamen Maßnahmen im Einzelnen angegeben sind, die auf Unionsebene ergriffen werden müssen, um eine kohärente Anwendung dieses Titels zu gewährleisten, und das eine Prioritätenliste von IKT-Produkten und -Diensten enthält, für welche sie ein europäisches System für die Cybersicherheitszertifizierung für notwendig erachtet.

 

Das Arbeitsprogramm ist bis spätestens [sechs Monate nach Inkrafttreten dieser Verordnung] zu erstellen, und ein neues Arbeitsprogramm wird danach alle zwei Jahre erstellt. Das Arbeitsprogramm wird öffentlich zugänglich gemacht.

Änderungsantrag    64

Vorschlag für eine Verordnung

Artikel 44 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Im Auftrag der Kommission arbeitet die ENISA ein mögliches europäisches System für die Cybersicherheitszertifizierung aus, das den in den Artikeln 45, 46 und 47 genannten Anforderungen genügt. Die Mitgliedstaaten oder die nach Artikel 53 eingesetzte Europäische Gruppe für die Cybersicherheitszertifizierung (im Folgenden die „Gruppe“) kann der Kommission die Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung vorschlagen.

1.  Im Auftrag der Kommission arbeitet die ENISA ein mögliches europäisches System für die Cybersicherheitszertifizierung aus, das den in den Artikeln 45, 46 und 47 genannten Anforderungen genügt. Die Mitgliedstaaten, die nach Artikel 53 eingesetzte Europäische Gruppe für die Cybersicherheitszertifizierung (im Folgenden die „Gruppe“) oder die nach Artikel 20 eingesetzte Ständige Gruppe der Interessenträger kann der Kommission die Ausarbeitung eines möglichen europäischen Systems für die Cybersicherheitszertifizierung vorschlagen.

Änderungsantrag    65

Vorschlag für eine Verordnung

Artikel 44 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Bei der Ausarbeitung der möglichen Systeme nach Absatz 1 konsultiert die ENISA alle in Frage kommenden Interessenträger und arbeitet eng mit der Gruppe zusammen. Die Gruppe leistet die von der ENISA für die Ausarbeitung des möglichen Systems geforderte Unterstützung und fachliche Beratung und gibt nötigenfalls auch eine Stellungnahme hierzu ab.

2.  Bei der Ausarbeitung der möglichen Systeme nach Absatz 1 konsultiert die ENISA die Ständige Gruppe der Interessenträger, insbesondere die europäischen Normungsorganisationen, und alle anderen in Frage kommenden Interessenträger, einschließlich Verbraucherorganisationen, in einem förmlichen, standardisierten und transparenten Verfahren und arbeitet eng mit der Gruppe zusammen, wobei sie bereits bestehende internationale und nationale Normen berücksichtigt. Bei der Ausarbeitung der einzelnen möglichen Systeme erstellt die ENISA eine Checkliste für die Risiken und die entsprechenden Cybersicherheitsmerkmale.

 

Die Gruppe leistet die von der ENISA für die Ausarbeitung des möglichen Systems geforderte Unterstützung und fachliche Beratung und gibt nötigenfalls auch eine Stellungnahme hierzu ab.

 

Gegebenenfalls kann die ENISA auch eine Sachverständigengruppe für die Konsultation der Interessenträger einrichten, bestehend aus Mitgliedern der Ständigen Gruppe der Interessenträger und anderen in Frage kommenden Interessenträgern mit spezifischem Fachwissen auf dem Gebiet eines bestimmten möglichen Systems, um weitere Unterstützung und Beratung bereitzustellen.

Änderungsantrag    66

Vorschlag für eine Verordnung

Artikel 44 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Die ENISA legt der Kommission das nach Absatz 2 ausgearbeitete mögliche europäische System für die Cybersicherheitszertifizierung vor.

3.  Die ENISA legt der Kommission das nach Absatz 2 ausgearbeitete mögliche europäische System für die Cybersicherheitszertifizierung vor, die prüft, ob es sich dazu eignet, die Ziele des Auftrags nach Absatz 1 zu erreichen.

Änderungsantrag    67

Vorschlag für eine Verordnung

Artikel 44 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a.  Alle bei der Erfüllung ihrer Aufgaben im Rahmen dieser Verordnung erhaltenen Informationen fallen unter die Geheimhaltungspflicht der ENISA.

Änderungsantrag    68

Vorschlag für eine Verordnung

Artikel 44 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Auf der Grundlage des von der ENISA ausgearbeiteten möglichen Systems kann die Kommission nach Artikel 55 Absatz 1 Durchführungsrechtsakte erlassen, in denen für IKT-Produkte und -Dienste, die die Anforderungen der Artikel 45, 46 und 47 erfüllen, europäische Systeme für die Cybersicherheitszertifizierung festgelegt werden.

4.  Die Kommission ist nach Artikel 55a befugt, für die Einrichtung europäischer Systeme für die Cybersicherheitszertifizierung für IKT-Produkte und -Dienste, die die Anforderungen der Artikel 45, 46 und 47 erfüllen, delegierte Rechtsakte zu erlassen. Beim Erlass solcher delegierten Rechtsakte stützt die Kommission die Systeme für die Cybersicherheitszertifizierung für IKT-Produkte und -Dienste auf entsprechende von der ENISA vorgeschlagene mögliche Systeme. Die Kommission kann vor dem Erlass solcher delegierten Rechtsakte den Europäischen Datenschutzausschuss konsultieren und dessen Standpunkt berücksichtigen.

Änderungsantrag    69

Vorschlag für eine Verordnung

Artikel 44 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die ENISA unterhält eine eigene Website, auf der sie über die europäischen Systeme für die Cybersicherheitszertifizierung informiert und für diese wirbt.

5.  Die ENISA unterhält eine eigene Website, auf der sie über die europäischen Systeme für die Cybersicherheitszertifizierung informiert und für diese wirbt sowie Informationen zu allen möglichen Systemen bereitstellt, mit deren Ausarbeitung die Kommission die ENISA beauftragt hat.

Änderungsantrag    70

Vorschlag für eine Verordnung

Artikel 45 – Absatz 1 – Einleitung

Vorschlag der Kommission

Geänderter Text

Für die Cybersicherheitszertifizierung wird ein europäisches System konzipiert, das – soweit zutreffend – den folgenden Sicherheitszielen Rechnung trägt:

Für die Cybersicherheitszertifizierung wird ein europäisches System so konzipiert, dass es mindestens den folgenden Sicherheitszielen Rechnung trägt, sofern diese relevant sind:

Änderungsantrag    71

Vorschlag für eine Verordnung

Artikel 45 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  Es wird gewährleistet, dass IKT-Produkte und -Dienste mit aktueller Software, die keine bekannten Schwachstellen aufweist, bereitgestellt werden und mit Mechanismen für sichere Software-Updates ausgestattet sind.

(g)  Es wird gewährleistet, dass IKT-Produkte und ‑Dienste mit aktueller Software und Hardware, die keine bekannten Schwachstellen aufweist, bereitgestellt werden. Es wird gewährleistet, dass sie auf eine Art und Weise konzipiert und umgesetzt werden, dass ihre Anfälligkeit gegenüber Schwachstellen wirksam beschränkt wird, und es wird gewährleistet, dass sie mit Mechanismen für sichere Software-Updates ausgestattet sind, einschließlich Hardware-Upgrades und automatischer Sicherheitsupdates.

Änderungsantrag    72

Vorschlag für eine Verordnung

Artikel 45 – Absatz 1 – Buchstabe g a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ga)  Es wird gewährleistet, dass IKT-Produkte und -Dienste in einer Weise entwickelt und betrieben werden, dass ein hohes Niveau von Cybersicherheit und Datenschutz standardmäßig im Einklang mit dem Grundsatz „security by design“ eingebaut wird.

Änderungsantrag    73

Vorschlag für eine Verordnung

Artikel 46 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Ein europäisches System für die Cybersicherheitszertifizierung kann für auf der Grundlage dieses Systems zertifizierte IKT-Produkte und -Dienste eine oder mehrere der Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ bzw. „hoch“ angeben.

1.  Jedes europäische System für die Cybersicherheitszertifizierung kann für auf der Grundlage dieses Systems zertifizierte IKT-Produkte und ‑Dienste eine oder mehrere der risikobasierten Vertrauenswürdigkeitsstufen „funktional sicher“, „im Wesentlichen sicher“ bzw. „äußerst sicher“ angeben.

 

Die Vertrauenswürdigkeitsstufen jedes möglichen europäischen Systems für die Cybersicherheitszertifizierung wird auf der Grundlage der Checkliste nach Artikel 44 Absatz 2 und der Verfügbarkeit von Cybersicherheitsmerkmalen zur Bekämpfung dieser Risiken in den IKT-Produkten und -diensten festgelegt, für die das Zertifizierungssystem gilt.

Änderungsantrag    74

Vorschlag für eine Verordnung

Artikel 46 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a.  Jedes System muss die Beurteilungsmethodik bzw. das Bewertungsverfahren angeben, die bzw. das für das Ausstellen von Zertifikaten auf jeder Vertrauenswürdigkeitsstufe zu befolgen ist, abhängig von der bestimmungsgemäßen Verwendung der IKT-Produkte und Dienste und den ihnen innewohnenden Risiken nach diesem System.

Änderungsantrag    75

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2.  Die Vertrauenswürdigkeitsstufen „niedrig“, „mittel“ bzw. „hoch“ erfüllen jeweils folgende Kriterien:

2.  Die Vertrauenswürdigkeitsstufen „funktional sicher“, „im Wesentlichen sicher“ bzw. „äußerst sicher“ erfüllen jeweils folgende Kriterien:

Änderungsantrag    76

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Die Vertrauenswürdigkeitsstufe „niedrig“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein begrenztes Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(a)  Die Vertrauenswürdigkeitsstufe „funktional sicher“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein angemessenes Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Prozesses, -Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

Änderungsantrag    77

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  Die Vertrauenswürdigkeitsstufe „mittel“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein mittleres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(b)  Die Vertrauenswürdigkeitsstufe „im Wesentlichen sicher“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein mittleres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Prozesses, -Produkts oder -Dienstes vermittelt und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

Änderungsantrag    78

Vorschlag für eine Verordnung

Artikel 46 – Absatz 2 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  Die Vertrauenswürdigkeitsstufe „hoch“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein höheres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Produkts oder -Dienstes vermittelt als Zertifikate mit der Vertrauenswürdigkeitsstufe „mittel“ und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist.

(c)  Die Vertrauenswürdigkeitsstufe „äußerst sicher“ bezieht sich auf ein im Rahmen einer europäischen Cybersicherheitszertifizierung ausgestelltes Zertifikat, das ein höheres Maß an Vertrauen in die beanspruchten oder behaupteten Cybersicherheitseigenschaften eines IKT-Prozesses, -Produkts oder -Dienstes vermittelt als Zertifikate mit der Vertrauenswürdigkeitsstufe „im Wesentlichen sicher“ und durch die Bezugnahme auf die diesbezüglichen technischen Spezifikationen, Normen und Verfahren einschließlich technischer Prüfungen – deren Zweck in der Minderung der Gefahr von Cybersicherheitsvorfällen besteht – gekennzeichnet ist. Dies gilt insbesondere für Produkte und Dienste, die für die Benutzung durch Betreiber wesentlicher Dienste im Sinne des Artikel 4 Absatz 4 der Richtlinie 2016/1148/EU bestimmt sind.

Änderungsantrag    79

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Einleitung

Vorschlag der Kommission

Geänderter Text

1.  Ein europäisches System für die Cybersicherheitszertifizierung muss folgende Elemente enthalten:

1.  Jedes europäische System für die Cybersicherheitszertifizierung muss mindestens folgende Elemente enthalten, sofern anwendbar:

Änderungsantrag    80

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Gegenstand und Umfang der Zertifizierung, darunter auch Art oder Kategorie der erfassten IKT-Produkte und -Dienste;

(a)  Gegenstand und Umfang des Zertifizierungssystems, darunter auch alle erfassten spezifischen Sektoren und die Art oder Kategorie der erfassten IKT-Produkte und -Dienste;

Änderungsantrag    81

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  detaillierte Spezifikation der Cybersicherheitsanforderungen, auf deren Einhaltung die jeweiligen IKT-Produkte und -Dienste geprüft werden, z. B. durch die Bezugnahme auf europäische oder internationale Normen oder technische Spezifikationen;

(b)  detaillierte Spezifikation der Cybersicherheitsanforderungen, auf deren Einhaltung die jeweiligen IKT-Produkte und -Dienste geprüft werden, insbesondere durch die Bezugnahme auf internationale, europäische oder nationale Normen oder technische Spezifikationen;

Änderungsantrag    82

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  detaillierte Angabe, ob eine bewilligte Zertifizierung nur für ein einzelnes Produkt oder auf eine Produktpalette gilt, z. B. verschiedene Versionen oder Modelle derselben Grundstruktur eines Produkts;

Änderungsantrag    83

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  Angabe, ob eine Konformitäts-Eigenerklärung im Rahmen des Systems zulässig ist, und des anwendbaren Verfahrens für die Konformitätsbewertung oder für die Konformitäts-Eigenerklärung oder für beide;

Änderungsantrag    84

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe c b (neu)

Vorschlag der Kommission

Geänderter Text

 

(cb)  Zertifizierungsanforderungen, die so festgelegt werden, dass die Zertifizierung in die vom Hersteller während der Gestaltung, Entwicklung und des Lebenszyklus des IKT-Prozesses. -Produkts oder -Dienstes befolgten, systematischen Cybersicherheitsprozesse integriert werden oder auf diesen basieren kann;

Änderungsantrag    85

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe f

Vorschlag der Kommission

Geänderter Text

(f)  Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das System solche vorsieht;

(f)  Bedingungen für die Verwendung von Siegeln oder Kennzeichen, sofern das System solche vorsieht, wobei ein solches EU-Cybersicherheits-Konformitätskennzeichen bedeutet, dass ein IKT-Prozess, -Produkt oder -Dienst die Kriterien eines Systems erfüllt;

Änderungsantrag    86

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

(g)  Vorschriften für die Überwachung der Einhaltung der mit dem Zertifikat verbundenen Anforderungen, sofern das System eine Aufsicht vorsieht, einschließlich der Mechanismen für den Nachweis der fortgesetzten Einhaltung der festgelegten Cybersicherheitsanforderungen;

(g)  Vorschriften für die Überwachung der Einhaltung der mit dem Zertifikat verbundenen Anforderungen, einschließlich der Mechanismen für den Nachweis der fortgesetzten Einhaltung der festgelegten Cybersicherheitsanforderungen, wie etwa, sofern dies relevant und möglich ist, obligatorische Updates, Upgrades oder Patches für die betreffenden IKT-Prozesse, -Produkte oder -Dienste;

Änderungsantrag    87

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe h

Vorschlag der Kommission

Geänderter Text

(h)  Bedingungen für die Gewährung, Aufrechterhaltung, Fortführung, Ausweitung und Verringerung des Zertifizierungsumfangs;

(h)  Bedingungen für die Gewährung, Aufrechterhaltung, Fortführung, Erneuerung, Ausweitung und Verringerung des Zertifizierungsumfangs;

Änderungsantrag    88

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe i

Vorschlag der Kommission

Geänderter Text

(i)  Vorschriften, die greifen, wenn die zertifizierten IKT-Produkte und -Dienste den Zertifizierungsanforderungen nicht genügen;

(i)  Vorschriften, die greifen, wenn die zertifizierten IKT-Produkte und -Dienste den Zertifizierungsanforderungen nicht genügen, und allgemeine Informationen zu den Sanktionen gemäß Artikel 54 dieser Verordnung;

Änderungsantrag    89

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe j

Vorschlag der Kommission

Geänderter Text

(j)  Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitsschwachstellen von IKT-Produkten und -Diensten;

(j)  Vorschriften für die Meldung und Behandlung bislang nicht erkannter Cybersicherheitsschwachstellen von IKT-Produkten und -Diensten, auch durch Verfahren zur koordinierten Offenlegung von Schwachstellen;

Änderungsantrag    90

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe l

Vorschlag der Kommission

Geänderter Text

(l)  Angabe nationaler Systeme für die Cybersicherheitszertifizierung für dieselbe Art oder Kategorie von IKT-Produkten und -Diensten;

(l)  Angabe nationaler oder internationaler Systeme für die Cybersicherheitszertifizierung oder bestehender internationaler Abkommen über die gegenseitige Anerkennung für dieselbe Art oder Kategorie von IKT-Produkten und -Diensten;

Änderungsantrag    91

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe m a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ma)  maximale Geltungsdauer der Zertifikate;

Änderungsantrag    92

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1 – Buchstabe m b (neu)

Vorschlag der Kommission

Geänderter Text

 

(mb)  Beständigkeits- und Belastbarkeitsprüfung für die Vertrauenswürdigkeitsstufe „äußerst sicher“;

Änderungsantrag    93

Vorschlag für eine Verordnung

Artikel 47 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Soweit dies in einem Rechtsakt der Union so festgelegt ist, kann eine Zertifizierung auf der Grundlage eines europäischen Systems für die Cybersicherheitszertifizierung für den Nachweis der Konformitätsvermutung mit den Anforderungen jenes Rechtsakts verwendet werden.

3.  Soweit dies in einem künftigen Rechtsakt der Union so festgelegt ist, kann eine Zertifizierung auf der Grundlage eines europäischen Systems für die Cybersicherheitszertifizierung für den Nachweis der Konformitätsvermutung mit den Anforderungen jenes Rechtsakts verwendet werden.

Änderungsantrag    94

Vorschlag für eine Verordnung

Artikel 48 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die Zertifizierung ist freiwillig, sofern nicht anderweitig im Unionsrecht festgelegt.

2.  Die Zertifizierung auf der Grundlage eines europäischen Systems für die Cybersicherheitszertifizierung ist verbindlich vorgeschrieben für IKT-Produkte und -Dienste mit einem hohen inhärenten Risiko, die speziell für die Benutzung durch Betreiber wesentlicher Dienste im Sinne des Artikel 4 Absatz 4 der Richtlinie 2016/1148/EU bestimmt sind. Für alle anderen IKT-Produkte und -Dienste ist die Zertifizierung freiwillig, sofern nicht anderweitig im Unionsrecht festgelegt.

Änderungsantrag    95

Vorschlag für eine Verordnung

Artikel 48 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Ein europäisches Cybersicherheitszertifikat nach diesem Artikel wird von den in Artikel 51 genannten Konformitätsbewertungsstellen auf der Grundlage der Kriterien des nach Artikel 44 angenommenen europäischen Systems für die Cybersicherheitszertifizierung ausgestellt.

3.  Europäische Cybersicherheitszertifikate nach diesem Artikel werden von den in Artikel 51 genannten Konformitätsbewertungsstellen auf der Grundlage der Kriterien des nach Artikel 44 angenommenen europäischen Systems für die Cybersicherheitszertifizierung ausgestellt.

 

Als Alternative zur Zertifizierung durch Konformitätsbewertungsstellen können Produkthersteller und Diensteanbieter, wenn in dem betreffenden System eine solche Möglichkeit vorgesehen ist, eine Konformitäts-Eigenerklärung abgeben, in der sie erklären, dass der Prozess, das Produkt oder der Dienst die Kriterien des Zertifizierungssystems erfüllt. In solchen Fällen stellt der Produkthersteller oder Diensteanbieter auf Anforderung die Konformitäts-Eigenerklärung der anfordernden nationalen Aufsichtsbehörde für die Zertifizierung und der ENISA zur Verfügung.

Änderungsantrag    96

Vorschlag für eine Verordnung

Artikel 48 – Absatz 4 – Einleitung

Vorschlag der Kommission

Geänderter Text

4.  Abweichend von Absatz 3 kann in hinreichend begründeten Fällen ein einzelnes europäisches System für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Systems erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle ausgestellt werden kann. Bei einer solchen öffentlichen Stelle muss es sich um eine der folgenden Stellen handeln:

4.  Abweichend von Absatz 3 kann in hinreichend begründeten Fällen, wie beispielsweise aus Gründen der nationalen Sicherheit, ein einzelnes europäisches System für die Cybersicherheitszertifizierung vorsehen, dass ein im Rahmen dieses Systems erteiltes europäisches Cybersicherheitszertifikat nur von einer öffentlichen Stelle ausgestellt werden kann. Bei einer solchen öffentlichen Stelle muss es sich um eine der folgenden Stellen handeln:

Änderungsantrag    97

Vorschlag für eine Verordnung

Artikel 48 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die natürliche oder juristische Person, die ihre IKT-Produkte oder -Dienste zur Zertifizierung einreicht, hat der in Artikel 51 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen.

5.  Die natürliche oder juristische Person, die ihre IKT-Produkte oder -Dienste zur Zertifizierung einreicht, hat der in Artikel 51 genannten Konformitätsbewertungsstelle alle für das Zertifizierungsverfahren notwendigen Informationen vorzulegen, einschließlich Informationen zu etwaigen bekannten, die Sicherheit betreffenden Anfälligkeiten.

Änderungsantrag    98

Vorschlag für eine Verordnung

Artikel 48 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6.  Zertifikate werden für eine Höchstdauer von drei Jahren erteilt und können unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden.

6.  Die Höchstdauer und maximale Geltungsdauer von Zertifikaten wird in jedem Zertifizierungssystem festgelegt. Zertifikate können unter denselben Bedingungen verlängert werden, sofern die einschlägigen Anforderungen des Systems, einschließlich etwaiger überarbeiteter oder geänderter Anforderungen, weiterhin erfüllt werden.

Änderungsantrag    99

Vorschlag für eine Verordnung

Artikel 48 – Absatz 6 a (neu)

Vorschlag der Kommission

Geänderter Text

 

6a.  Ein Zertifikat bleibt für alle neuen Versionen eines Prozesses, Produkts oder Dienstes gültig, wenn der Hauptgrund für die neue Version die Schließung, Behebung oder anderweitige Behandlung bekannter oder potenzieller Sicherheitslücken oder -bedrohungen ist.

Änderungsantrag    100

Vorschlag für eine Verordnung

Artikel 49 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Unbeschadet des Absatzes 3 werden nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und -Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 44 Absatz 4 erlassenen Durchführungsrechtsakt festgelegt ist. Bereits vorhandene nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und -Dienste, die nicht unter ein europäisches System für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

1.  Unbeschadet des Absatzes 3 werden nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und -Dienste, die unter ein europäisches System für die Cybersicherheitszertifizierung fallen, ab dem Zeitpunkt unwirksam, der in dem nach Artikel 44 Absatz 4 erlassenen delegierten Rechtsakt festgelegt ist. Die Kommission überwacht die Einhaltung dieses Unterabsatzes um zu verhindern, dass es gleichzeitig mehrere Systeme gibt. Bereits vorhandene nationale Systeme für die Cybersicherheitszertifizierung und die zugehörigen Verfahren für die IKT-Produkte und -Dienste, die nicht unter ein europäisches System für die Cybersicherheitszertifizierung fallen, bleiben bestehen.

Änderungsantrag    101

Vorschlag für eine Verordnung

Artikel 49 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Vorhandene Zertifikate, die auf der Grundlage nationaler Systeme für die Cybersicherheitszertifizierung ausgestellt wurden, bleiben bis zum Ende ihrer Geltungsdauer gültig.

3.  Vorhandene Zertifikate, die auf der Grundlage nationaler Systeme für die Cybersicherheitszertifizierung ausgestellt wurden und unter ein europäisches System für die Cybersicherheitszertifizierung fallen, bleiben bis zum Ende ihrer Geltungsdauer gültig.

Änderungsantrag    102

Vorschlag für eine Verordnung

Artikel 50 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3.  Jede nationale Aufsichtsbehörde für die Zertifizierung ist im Hinblick auf ihre Organisation, Finanzierungsentscheidungen, Rechtsform und Entscheidungsfindung unabhängig von den Stellen, die sie beaufsichtigt.

3.  Jede nationale Aufsichtsbehörde für die Zertifizierung ist im Hinblick auf ihre Organisation, Finanzierungsentscheidungen, Rechtsform und Entscheidungsfindung unabhängig von den Stellen, die sie beaufsichtigt, und darf nicht die Aufgaben einer Konformitätsbewertungsstelle oder nationalen Akkreditierungsstelle übernehmen.

Änderungsantrag    103

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a)  Überwachung und Durchsetzung der in diesem Titel genannten Bestimmungen auf nationaler Ebene und Beaufsichtigung der Übereinstimmung der von den in ihrem jeweiligen Hoheitsgebiet ansässigen Konformitätsbewertungsstellen ausgestellten Zertifikate mit den in diesem Titel und in dem entsprechenden europäischen System für die Cybersicherheitszertifizierung genannten Anforderungen;

(a)  Überwachung und Durchsetzung der in diesem Titel genannten Bestimmungen auf nationaler Ebene und Beaufsichtigung der Übereinstimmung – im Einklang mit den von der Europäischen Gruppe für die Cybersicherheitszertifizierung gemäß Artikel 53 Absatz 3 Buchstabe da erlassenen Vorschriften – der

 

i)  von den in ihrem jeweiligen Hoheitsgebiet ansässigen Konformitätsbewertungsstellen ausgestellten Zertifikate mit den in diesem Titel und in dem entsprechenden europäischen System für die Cybersicherheitszertifizierung genannten Anforderungen und

 

ii)  der Konformitäts-Eigenerklärungen, die im Rahmen eines Systems für einen IKT-Prozess, ein IKT-Produkt oder einen IKT-Dienst abgegeben wurden;

Änderungsantrag    104

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b)  Überwachung und Beaufsichtigung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung, auch in Bezug auf deren Notifizierung und die in Artikel 52 genannten einschlägigen Aufgaben;

(b)  Überwachung, Beaufsichtigung und – mindestens alle zwei Jahre – Bewertung der Tätigkeiten der Konformitätsbewertungsstellen für die Zwecke dieser Verordnung, auch in Bezug auf deren Notifizierung und die in Artikel 52 genannten einschlägigen Aufgaben;

Änderungsantrag    105

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c)  Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf Zertifikate eingereicht werden, die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellt wurden, Untersuchung des Beschwerdegegenstands, soweit angemessen, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

(c)  Bearbeitung von Beschwerden, die von natürlichen oder juristischen Personen in Bezug auf Zertifikate, die von Konformitätsbewertungsstellen in ihrem Hoheitsgebiet ausgestellt wurden, oder in Bezug auf abgegebene Konformitäts-Eigenerklärungen eingereicht werden, Untersuchung des Beschwerdegegenstands, soweit angemessen, und Unterrichtung des Beschwerdeführers über die Fortschritte und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist;

Änderungsantrag    106

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  Meldung der Ergebnisse der in Buchstabe a genannten Verifizierungen und der in den Buchstaben b genannten Bewertungen an die ENISA und die Europäische Gruppe für die Cybersicherheitszertifizierung;

Änderungsantrag    107

Vorschlag für eine Verordnung

Artikel 50 – Absatz 6 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung;

(d)  Zusammenarbeit mit anderen nationalen Aufsichtsbehörden für die Zertifizierung, nationalen Akkreditierungsstellen und anderen öffentlichen Stellen; dies beinhaltet auch den Informationsaustausch über die etwaige Nichtkonformität von IKT-Produkten und -Diensten mit den Anforderungen dieser Verordnung oder bestimmten europäischen Systemen für die Cybersicherheitszertifizierung und über irreführende, falsche oder betrügerische Zertifizierungsbehauptungen;

Änderungsantrag    108

Vorschlag für eine Verordnung

Artikel 50 – Absatz 7 – Buchstabe c a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca)  sie kann die Akkreditierung von Konformitätsbewertungsstellen, die diese Verordnung nicht einhalten, widerrufen;

Änderungsantrag    109

Vorschlag für eine Verordnung

Artikel 50 – Absatz 7 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sie kann im Einklang mit einzelstaatlichem Recht Zertifikate widerrufen, die den Anforderungen dieser Verordnung oder eines europäischen Systems für die Cybersicherheitszertifizierung nicht genügen;

(e)  sie kann im Einklang mit einzelstaatlichem Recht Zertifikate widerrufen, die den Anforderungen dieser Verordnung oder eines europäischen Systems für die Cybersicherheitszertifizierung nicht genügen, und die nationalen Akkreditierungsstellen darüber informieren;

Änderungsantrag    110

Vorschlag für eine Verordnung

Artikel 50 – Absatz 7 – Buchstabe f a (neu)

Vorschlag der Kommission

Geänderter Text

 

(fa)  sie kann Sachverständige vorschlagen, die an der in Artikel 44 Absatz 2 genannten Sachverständigengruppe für die Konsultation der Interessenträger teilnehmen könnten.

Änderungsantrag    111

Vorschlag für eine Verordnung

Artikel 50 – Absatz 8 – Unterabsatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Die Kommission wird zum Zwecke dieses Austauschs ein allgemeines elektronisches Informationssystem zur Unterstützung leisten.

Änderungsantrag    112

Vorschlag für eine Verordnung

Artikel 50 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 50a

 

Peer Reviews

 

1.  Die nationalen Aufsichtsbehörden für die Zertifizierung unterliegen Peer Reviews in Bezug auf alle Tätigkeiten, die sie im Einklang mit Artikel 50 dieser Verordnung wahrnehmen.

 

2.  Die Peer Reviews umfassen die Bewertung der von nationalen Überwachungsbehörden für die Zertifizierung eingerichteten Verfahren, insbesondere der Verfahren für die Kontrolle der Konformität von Produkten, die der Cybersicherheitszertifizierung unterliegen, der fachlichen Eignung des Personals, der Ordnungsmäßigkeit der Kontrollen und der Prüfmethodik sowie der Richtigkeit der Ergebnisse. Durch die Peer Reviews wird auch bewertet, ob die betreffenden nationalen Überwachungsbehörden für die Zertifizierung über ausreichende Ressourcen für die ordnungsgemäße Erfüllung ihrer Aufgaben gemäß Artikel 50 Absatz 4 verfügen.

 

3.  Der Peer Review einer nationalen Überwachungsbehörden für die Zertifizierung erfolgt durch zwei nationale Überwachungsbehörden für die Zertifizierung anderer Mitgliedstaaten und die Kommission, und sie wird mindestens einmal alle fünf Jahre durchgeführt. Die ENISA kann an den Peer Reviews teilnehmen und entscheidet auf der Grundlage einer Risikobewertungsanalyse über ihre Teilnahme.

 

4.  Die Kommission ist befugt, gemäß Artikel 55a delegierte Rechtsakte zu erlassen, um einen Plan für die Peer Reviews festzulegen, der sich auf einen Zeitraum von mindestens fünf Jahren erstreckt, und darin die Kriterien für die Zusammensetzung des die Peer Reviews durchführenden Teams, die Methode für den Peer Review, den Zeitplan, die Häufigkeit und andere mit dem Peer Review verbundene Aufgaben vorzugeben. Beim Erlass dieser delegierten Rechtsakte trägt die Kommission den Erwägungen der Gruppe angemessen Rechnung.

 

5.  Die Ergebnisse der Peer Reviews werden von der Gruppe geprüft. Die ENISA erstellt eine Zusammenfassung der Ergebnisse und veröffentlicht sie.

Änderungsantrag    113

Vorschlag für eine Verordnung

Artikel 51 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Wenn sich Hersteller für die „Konformitäts-Eigenerklärung“ gemäß Artikel 48 Absatz 3 entscheiden, ergreifen die Konformitätsbewertungsstellen zusätzliche Maßnahmen, um die internen Verfahren der Hersteller zu prüfen, mit denen sichergestellt werden soll, dass die Produkte oder Dienste die Anforderungen des europäischen Systems für die Cybersicherheitszertifizierung erfüllen.

Änderungsantrag    114

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe d a (neu)

Vorschlag der Kommission

Geänderter Text

 

(da)  sie erlässt verbindliche Vorschriften, in denen vorgegeben ist, wie oft die nationalen Aufsichtsbehörden für die Zertifizierung Verifizierungen der Zertifikate und Konformitäts-Eigenerklärungen durchführen, und die Kriterien, der Umfang und der Anwendungsbereich derartiger Verifizierungen festgelegt sind, und sie nimmt gemeinsame Vorschriften und Standards für die Berichterstattung gemäß Artikel 50 Absatz 6 an;

Änderungsantrag    115

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e)  sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über bewährte Verfahren für Cybersicherheitszertifizierungssysteme aus;

(e)  sie prüft die einschlägigen Entwicklungen auf dem Gebiet der Cybersicherheitszertifizierung und tauscht Informationen über und bewährte Verfahren für Cybersicherheitszertifizierungssysteme aus;

Änderungsantrag    116

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f a (neu)

Vorschlag der Kommission

Geänderter Text

 

(fa)  sie tauscht bewährte Verfahren im Zusammenhang mit Untersuchungen der Konformitätsbewertungsstellen und Inhabern europäischer Cybersicherheitszertifikate sowie Herstellern und Diensteanbietern, die Konformitäts-Eigenerklärungen abgegeben haben, aus;

Änderungsantrag    117

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f b (neu)

Vorschlag der Kommission

Geänderter Text

 

(fb)  sie erleichtert die Anpassung der europäischen Systeme für die Cybersicherheitszertifizierung an international anerkannte Standards und empfiehlt der ENISA gegebenenfalls Bereiche, in denen sie sich mit einschlägigen internationalen und europäischen Normungsorganisationen in Verbindung setzen sollte, um Schwachstellen oder Lücken in international anerkannten Standards zu beheben;

Änderungsantrag    118

Vorschlag für eine Verordnung

Artikel 53 – Absatz 3 – Buchstabe f c (neu)

Vorschlag der Kommission

Geänderter Text

 

(fc)  sie berät die ENISA bei der Erstellung des Arbeitsprogramms nach Artikel 43a bezüglich der Prioritätenliste von IKT-Produkten und -Diensten, für welche sie ein europäisches System für die Cybersicherheitszertifizierung für notwendig erachtet;

Änderungsantrag    119

Vorschlag für eine Verordnung

Artikel 53 – Absatz 4 – Unterabsatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Die ENISA sorgt dafür, dass die Tagesordnungen, Protokolle und gefassten Beschlüsse aller Sitzungen der Gruppe in ein Verzeichnis aufgenommen und auf der Website der ENISA veröffentlicht werden.

Änderungsantrag    120

Vorschlag für eine Verordnung

Artikel 55 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 55a

 

Ausübung der Befugnisübertragung

 

Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

 

Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 44 Absatz 4 und Artikel 50a Absatz 4 wird der Kommission für einen Zeitraum von fünf Jahren ab dem [Datum des Inkrafttretens des Basisrechtsakts] übertragen. Die Kommission erstellt spätestens neun Monate vor Ablauf des Zeitraums von fünf Jahren einen Bericht über die Befugnisübertragung. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widersprechen einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

 

Die Befugnisübertragung gemäß Artikel 44 Absatz 4 und Artikel 50a Absatz 4 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in dem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

 

Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission im Einklang mit den Grundsätzen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung niedergelegt sind, die von den einzelnen Mitgliedstaaten benannten Sachverständigen.

 

Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

 

Ein delegierter Rechtsakt, der gemäß Artikel 44 Absatz 4 und Artikel 50a Absatz 4 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach seiner Übermittlung Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um [zwei Monate] verlängert.

VERFAHREN DES MITBERATENDEN AUSSCHUSSES

Titel

Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologien („Rechtsakt zur Cybersicherheit“)

Bezugsdokumente - Verfahrensnummer

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Federführender Ausschuss

Datum der Bekanntgabe im Plenum

ITRE

23.10.2017

 

 

 

Stellungnahme von

Datum der Bekanntgabe im Plenum

IMCO

23.10.2017

Assoziierte Ausschüsse - datum der bekanntgabe im plenum

18.1.2018

Verfasser(in) der Stellungnahme

Datum der Benennung

Nicola Danti

25.9.2017

Prüfung im Ausschuss

21.2.2018

21.3.2018

 

 

Datum der Annahme

17.5.2018

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

31

2

1

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 200 Abs. 2)

Inés Ayala Sender, Flavio Zanonato

NAMENTLICHE SCHLUSSABSTIMMUNG IM MITBERATENDEN AUSSCHUSS

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Erklärung der benutzten Zeichen:

+  :  dafür

-  :  dagegen

0  :  Enthaltung


STELLUNGNAHME des Haushaltsausschusses (15.5.2018)

für den Ausschuss für Industrie, Forschung und Energie

zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Verfasser der Stellungnahme: Jens Geier

KURZE BEGRÜNDUNG

Der Berichterstatter begrüßt grundsätzlich den Vorschlag der Kommission für einen „Rechtsakt zur Cybersicherheit“, mit dem die Rolle der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) gestärkt werden soll, da das Thema der Cybersicherheit eindeutig eine grenzübergreifende Frage und ein stärker auf Europa ausgerichteter Ansatz angemessen ist. Der Berichterstatter begrüßt insbesondere den Vorschlag der Kommission, der ENISA ein ständiges Mandat zu erteilen, da sie an Bedeutung gewonnen hat und dem Personal der Agentur Sicherheit geboten werden soll. Die Kommission schlägt vor, die Anzahl der Bediensteten der Funktionsgruppen AD und AST bis 2022 um 41 Stellen zu erhöhen(1) und den jährlichen Haushalt der Agentur bis 2022 auf 23 Mio. EUR aufzustocken(2).

Der Berichterstatter vertritt die Auffassung, dass die aktuelle Regelung über den Sitz der Agentur, der auf mehrere Standorte (Heraklion und Athen) aufgeteilt ist, der effizienten Erfüllung des Mandats der Agentur im Wege steht. Die interinstitutionelle Arbeitsgruppe „Ressourcen der Agenturen“, die nach der Einigung über den Haushaltsplan 2014 eingerichtet wurde, empfiehlt der Kommission, auf der Grundlage eines kohärenten Ansatzes und unter Anwendung klarer und transparenter Kriterien, insbesondere im Hinblick auf die Bewertung ihres Mehrwerts unter Berücksichtigung der zusätzlichen Kosten, „eine Evaluierung der mehrfachen Agenturstandorte durchzuführen (zwei Sitze, zusätzlich zum Hauptsitz bestehende technische Standorte, Außenstellen und die Entsendung von Personal außerhalb des Hauptsitzes)“. Alle Organe der EU haben dieser Empfehlung zugestimmt, und der Berichterstatter ist der Ansicht, dass umgehend eine derartige Evaluierung durchgeführt werden sollte. Anschließend sollten die Organe unverzüglich die erforderlichen Schlussfolgerungen ziehen.

Der Berichterstatter vertritt außerdem die Ansicht, dass das Mandat der Agentur, Fachwissen bereitzustellen, gestärkt werden könnte, indem die Agentur einen Haushalt erhält, um damit selbst Forschungs- und Entwicklungstätigkeiten in Auftrag zu geben. Zu diesem Zweck sollte die Agentur mit den erforderlichen Ressourcen ausgestattet werden.

Weitere Einsparungen könnten erzielt werden, indem es der Agentur gestattet wird, Übersetzungsleistungen anderer Dienstleister in Anspruch zu nehmen. Die demokratische Kontrolle der Agentur könnte verbessert werden, indem ein Vertreter des Europäischen Parlaments als Mitglied des Verwaltungsrates ernannt wird, was mit dem Gemeinsamen Ansatz für die Agenturen im Einklang stünde.

ÄNDERUNGSANTRÄGE

Der Haushaltsausschuss ersucht den federführenden Ausschuss für Industrie, Forschung und Energie, folgende Änderungsanträge zu berücksichtigen:

Änderungsantrag    1

Vorschlag für eine Verordnung

Erwägung 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(3a)  Die ENISA sollte der Cybersicherheitsindustrie der EU und insbesondere KMU und Jungunternehmen, die bei der Entwicklung innovativer Lösungen im Bereich der Cyberabwehr eine Schlüsselrolle spielen, verstärkt praktische und informationsbasierte Unterstützung anbieten und eine engere Zusammenarbeit mit universitären Forschungseinrichtungen und großen Akteuren fördern, um im Bereich der Cybersicherheit die Abhängigkeit von Fremdprodukten zu reduzieren und innerhalb der Union eine strategische Lieferkette aufzubauen.

Änderungsantrag    2

Vorschlag für eine Verordnung

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4)  Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

(4)  Cyberangriffe nehmen zu und eine Wirtschaft und Gesellschaft, die durch ihre Vernetzung anfälliger für Cyberbedrohungen und -angriffe ist, benötigt daher einen stärkeren Schutz. Auf die häufig grenzüberschreitenden Cyberangriffe reagieren die für die Cybersicherheit zuständigen Behörden jedoch vor allem mit nationalen Strategien, zumal die Zuständigkeiten für die Strafverfolgung an den nationalen Grenzen enden. Cybersicherheitsvorfälle großen Ausmaßes könnten die Bereitstellung wesentlicher Dienste in der gesamten EU empfindlich stören. Vonnöten sind daher effektive Maßnahmen und ein Krisenmanagement auf EU-Ebene, gestützt auf gezielte Strategien, sowie ein breiter angelegtes Instrumentarium für eine europäische Solidarität und gegenseitige Hilfe. Im Bereich der Cyberabwehr besteht ein großer und ständig wachsender Ausbildungsbedarf, der am effizientesten durch Zusammenarbeit auf Unionsebene gedeckt werden kann. Zudem sind eine auf zuverlässigen Daten der Union basierende regelmäßige Überprüfung des Stands der Cybersicherheit und Abwehrfähigkeit in der Union sowie eine systematische Prognose künftiger Entwicklungen, Herausforderungen und Bedrohungen – sowohl auf Unionsebene als auch auf globaler Ebene – für die Entscheidungsträger, die Branche und die Nutzer daher gleichermaßen wichtig.

Änderungsantrag    3

Vorschlag für eine Verordnung

Erwägung 10

Vorschlag der Kommission

Geänderter Text

(10)  Mit dem Beschluss 2004/97/EG, Euratom, der auf der Tagung des Europäischen Rates vom 13. Dezember 2003 angenommen wurde, legten die Vertreter der Mitgliedstaaten fest, dass die ENISA ihren Sitz in Griechenland in einer von der griechischen Regierung zu bestimmenden Stadt haben soll. Der Sitzmitgliedstaat der Agentur sollte die bestmöglichen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der Agentur gewährleisten. Damit die Agentur ihre Aufgaben ordnungsgemäß und effizient erfüllen, Personal einstellen und binden und die Effizienz der Vernetzungsmaßnahmen steigern kann, ist es unbedingt erforderlich, sie an einem geeigneten Standort anzusiedeln, der unter anderem eine angemessene Verkehrsanbindung sowie Einrichtungen für die Ehepartner und Kinder des Personals der Agentur bietet. Die erforderlichen Modalitäten sollten in einem Abkommen zwischen der Agentur und dem Sitzmitgliedstaat festgelegt werden, das nach Billigung durch den Verwaltungsrat der Agentur geschlossen wird.

(10)  Mit dem Beschluss 2004/97/EG, Euratom, der auf der Tagung des Europäischen Rates vom 13. Dezember 2003 angenommen wurde, legten die Vertreter der Mitgliedstaaten fest, dass die ENISA ihren Sitz in Griechenland in einer von der griechischen Regierung zu bestimmenden Stadt haben soll. Der Sitzmitgliedstaat der Agentur sollte die bestmöglichen Voraussetzungen für eine reibungslose und effiziente Tätigkeit der Agentur gewährleisten. Damit die Agentur ihre Aufgaben ordnungsgemäß und effizient erfüllen, Personal einstellen und binden und die Effizienz der Vernetzungsmaßnahmen steigern kann, ist es unbedingt erforderlich, sie an einem geeigneten Standort anzusiedeln, der unter anderem eine angemessene Verkehrsanbindung sowie Einrichtungen für die Ehepartner und Kinder des Personals der Agentur bietet. Die erforderlichen Modalitäten sollten in einem Abkommen zwischen der Agentur und dem Sitzmitgliedstaat festgelegt werden, das nach Billigung durch den Verwaltungsrat der Agentur geschlossen wird. Dieses Abkommen sollte entsprechend der Empfehlung der interinstitutionellen Arbeitsgruppe „Ressourcen der Agenturen“ nach einer Evaluierung durch die Kommission überarbeitet werden, um die Effizienz der Agentur zu steigern, und der Standort der Agentur sollte überprüft werden.

Änderungsantrag    4

Vorschlag für eine Verordnung

Erwägung 12

Vorschlag der Kommission

Geänderter Text

(12)  Die Agentur sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren und Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, als Bezugspunkt Vertrauen in den Binnenmarkt schaffen. Die Agentur sollte die Bemühungen der Mitgliedstaaten und der Union proaktiv unterstützen und ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen. Außerdem sollte sich die Agentur auf die Beiträge des Privatsektors sowie auf die Zusammenarbeit mit diesem und anderen einschlägigen Interessenträgern stützen. Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die Agentur ihre Ziele erreichen soll.

(12)  Die Agentur sollte ein hohes Niveau an Sachkenntnis entwickeln und pflegen und durch ihre Unabhängigkeit, die Qualität ihrer Beratung und der von ihr verbreiteten Informationen, die Transparenz ihrer Verfahren und Arbeitsmethoden sowie die Sorgfalt, mit der sie ihre Aufgaben erfüllt, als Bezugspunkt Vertrauen in den Binnenmarkt schaffen. Die Agentur sollte die Bemühungen der Mitgliedstaaten und der Union proaktiv unterstützen, ihre Aufgaben in uneingeschränkter Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union und den Mitgliedstaaten wahrnehmen und dabei jedwede Doppelarbeit vermeiden, Synergien und Komplementarität fördern und somit für Koordinierung sorgen und finanzielle Einsparungen erzielen. Außerdem sollte sich die Agentur auf die Beiträge des Privatsektors sowie auf die Zusammenarbeit mit diesem und anderen einschlägigen Interessenträgern stützen. Mit einer Reihe von Aufgaben sollte bei gleichzeitiger Wahrung der Flexibilität in ihrer Tätigkeit vorgegeben werden, wie die Agentur ihre Ziele erreichen soll.

Änderungsantrag    5

Vorschlag für eine Verordnung

Erwägung 15 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(15a)  Das Völkerrecht gilt auch für den Cyberraum, und die Berichte der von den Vereinten Nationen eingesetzten Gruppe von Regierungssachverständigen für die Informationssicherheit (UNGGE) aus den Jahren 2013 und 2015 enthalten einschlägige Leitlinien, die insbesondere das Verbot für Staaten betreffen, Cyberaktivitäten, die ihren völkerrechtlichen Verpflichtungen zuwiderlaufen, durchzuführen oder wissentlich zu unterstützen. Das „Tallinn Manual 2.0“ ist in diesem Zusammenhang eine hervorragende Grundlage für die Debatte darüber, inwiefern das Völkerrecht auf den Cyberraum anwendbar ist; es obliegt nunmehr den Mitgliedstaaten, mit der Auswertung und Anwendung des Handbuchs zu beginnen.

Änderungsantrag    6

Vorschlag für eine Verordnung

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36)  Die Agentur sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung – insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten – umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie gegebenenfalls die Mitgliedstaaten – auf deren Ersuchen – in Bezug auf den Forschungsbedarf im Bereich der Netz- und Informationssicherheit, insbesondere der Cybersicherheit, zu beraten.

(36)  Die Agentur sollte die laufenden Tätigkeiten auf den Gebieten der Forschung, Entwicklung und technologischen Bewertung – insbesondere die im Rahmen der vielfältigen Forschungsinitiativen der Union durchgeführten Tätigkeiten – umfassend berücksichtigen, um die Organe, Einrichtungen und sonstigen Stellen der Union sowie gegebenenfalls die Mitgliedstaaten – auf deren Ersuchen – in Bezug auf den Forschungsbedarf im Bereich der Netz- und Informationssicherheit, insbesondere der Cybersicherheit, zu beraten. Der Agentur sollte ein zusätzlicher Haushalt für Tätigkeiten auf den Gebieten Forschung und Entwicklung zugewiesen werden, die eine Ergänzung zu den bestehenden Forschungsprogrammen der Union darstellen.

Änderungsantrag    7

Vorschlag für eine Verordnung

Erwägung 46 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(46a)  Der Haushalt der Agentur sollte mit dem Grundsatz der ergebnisorientierten Haushaltsplanung in Einklang stehen und unter Berücksichtigung der Ziele der Agentur und der im Rahmen ihrer Tätigkeiten beabsichtigten Ergebnisse veranschlagt werden.

Änderungsantrag    8

Vorschlag für eine Verordnung

Artikel 4 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4.  Die Agentur fördert auf Unionsebene die Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen Interessenträgern, auch des Privatsektors, in Fragen, die im Zusammenhang mit der Cybersicherheit stehen.

4.  Die Agentur fördert auf Unionsebene die Zusammenarbeit und Koordinierung zwischen den Mitgliedstaaten, den Organen, Einrichtungen und sonstigen Stellen der Union sowie den einschlägigen Interessenträgern, auch des Privatsektors, in Fragen, die im Zusammenhang mit der Cybersicherheit stehen, um für Koordinierung zu sorgen, finanzielle Einsparungen zu erzielen, jedwede Doppelarbeit zu vermeiden und bei ihren Tätigkeiten Synergien und Komplementarität zu begünstigen.

Änderungsantrag    9

Vorschlag für eine Verordnung

Artikel 9 – Absatz 1 – Buchstabe g a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ga)  veröffentlicht ihre Tätigkeiten und die Ergebnisse ihrer Arbeit und sorgt für deren Bekanntmachung, um die Öffentlichkeitswirkung zu erhöhen und die Bürger zu sensibilisieren.

Änderungsantrag    10

Vorschlag für eine Verordnung

Artikel 10 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ba)  gibt die Agentur selbst Forschungstätigkeiten in Bereichen in Auftrag, die noch nicht durch bestehende Forschungsprogramme der Kommission abgedeckt werden, wenn ein konkreter europäischer Mehrwert vorliegt.

Änderungsantrag    11

Vorschlag für eine Verordnung

Artikel 13 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1.  Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats und zwei von der Kommission ernannte Vertreter an. Alle Vertreter verfügen über Stimmrecht.

1.  Dem Verwaltungsrat gehören je ein Vertreter jedes Mitgliedstaats, ein vom Europäischen Parlament ernannter Vertreter und zwei von der Kommission ernannte Vertreter an. Alle Vertreter verfügen über Stimmrecht.

Änderungsantrag    12

Vorschlag für eine Verordnung

Artikel 26 – Absatz 1 – Unterabsatz 1 (neu)

Vorschlag der Kommission

Geänderter Text

 

Der vorläufige Entwurf des Voranschlags basiert auf den in dem einheitlichen Programmplanungsdokument gemäß Artikel 21 Absatz 1 niedergelegten Zielen und beabsichtigten Ergebnissen und trägt den finanziellen Ressourcen Rechnung, die für die Verwirklichung dieser Ziele und beabsichtigten Ergebnisse benötigt werden, wobei dem Grundsatz der ergebnisorientierten Haushaltsplanung entsprochen wird.

Änderungsantrag    13

Vorschlag für eine Verordnung

Artikel 36 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5.  Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen.

5.  Die persönliche Haftung der Bediensteten gegenüber der Agentur bestimmt sich nach den für sie geltenden Beschäftigungsbedingungen. Es wird für die reibungslose Einstellung von Bediensteten Sorge getragen.

Änderungsantrag    14

Vorschlag für eine Verordnung

Artikel 37 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Die für die Arbeit der Agentur erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.

2.  Die für die Arbeit der Agentur erforderlichen Übersetzungsleistungen werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union oder von anderen Übersetzungsdienstleistern im Einklang mit den Vorschriften über die Auftragsvergabe und im Rahmen der durch die einschlägige Finanzregelung vorgegebenen Obergrenzen erbracht.

Änderungsantrag    15

Vorschlag für eine Verordnung

Artikel 41 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2.  Der Sitzmitgliedstaat der Agentur gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der Agentur, einschließlich der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten.

2.  Der Sitzmitgliedstaat der Agentur gewährleistet die bestmöglichen Voraussetzungen für das reibungslose Funktionieren der Agentur, einschließlich eines einzigen Standortes für die gesamte Agentur, der Erreichbarkeit des Standortes, des Vorhandenseins adäquater Bildungseinrichtungen für die Kinder der Mitglieder des Personals und eines angemessenen Zugangs zu Arbeitsmarkt, Sozialversicherung und medizinischer Versorgung für Kinder und Ehegatten.

Begründung

Die gegenwärtige Struktur der Agentur mit dem Verwaltungssitz in Heraklion und dem Kerngeschäft in Athen hat sich als ineffektiv und teuer erwiesen. Alle Bediensteten der ENISA sollten daher in derselben Stadt tätig sein. Aufgrund der in diesem Absatz genannten Kriterien sollte der Standort Athen sein.

Änderungsantrag    16

Vorschlag für eine Verordnung

Artikel 41 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a.  Im Anschluss an die Evaluierung durch die Kommission entsprechend der Empfehlung der interinstitutionellen Arbeitsgruppe „Ressourcen der Agenturen“ wird das Sitzabkommen der Agentur überarbeitet und der Standort der Agentur entsprechend überprüft.

VERFAHREN DES MITBERATENDEN AUSSCHUSSES

Titel

Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologien („Rechtsakt zur Cybersicherheit“)

Bezugsdokumente - Verfahrensnummer

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Federführender Ausschuss

Datum der Bekanntgabe im Plenum

ITRE

23.10.2017

 

 

 

Stellungnahme von

Datum der Bekanntgabe im Plenum

BUDG

23.10.2017

Verfasser(in) der Stellungnahme

Datum der Benennung

Jens Geier

26.9.2017

Prüfung im Ausschuss

21.3.2018

 

 

 

Datum der Annahme

16.5.2018

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

22

4

0

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter

Ivana Maletić, Andrey Novakov

NAMENTLICHE SCHLUSSABSTIMMUNG IM MITBERATENDEN AUSSCHUSS

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Erklärung der benutzten Zeichen:

+  :  dafür

-  :  dagegen

0  :  Enthaltung

(1)

Dabei soll es sich um 26 Bedienstete der Funktionsgruppe AD, sechs Bedienstete der Funktionsgruppe AST und neun abgeordnete nationale Sachverständige handeln. Der geschätzte Personalbedarf bei der übergeordneten Generaldirektion sowie der Bedarf an Vertragsbediensteten und externen Auftragnehmern sind in dieser Zahl nicht enthalten.

(2)

Schätzung, ohne Vorgriff auf die EU-Mittel in der Zeit nach 2020.


STELLUNGNAHME des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (16.3.2018)

für den Ausschuss für Industrie, Forschung und Energie

zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Verfasser der Stellungnahme: Jan Philipp Albrecht

KURZE BEGRÜNDUNG

Der Vorschlag der Kommission für einen Rechtsakt zur Cybersicherheit(1) ist zu begrüßen, da auf diesem Wege die Aufgabe besser definiert wird, die der ENISA im veränderten IT-Sicherheitsökosystem zukommt, und Maßnahmen für Normierung, Zertifizierung und Kennzeichnung im Bereich der IT-Sicherheit entwickelt werden, um IKT-basierte Systeme, darunter auch vernetzte Objekte, sicherer zu machen.

Es könnten jedoch einige weitere Verbesserungen vorgenommen werden. Dies ergibt sich aus der festen Überzeugung, dass die Informationssicherheit für den Schutz der Grundrechte der Bürger, wie sie in der Charta der Grundrechte der Europäischen Union verankert sind, sowie für die Bekämpfung der Computerkriminalität und den Schutz von Demokratie und Rechtsstaatlichkeit äußerst wichtig ist.

Grundrechte: Unsichere Systeme können zu Verletzungen des Schutzes personenbezogener Daten oder zu Identitätsdiebstahl führen, die reale Schäden und reales Leid bei natürlichen Personen verursachen und eine Gefahr etwa für ihr Leben, ihre Privatsphäre, ihre Würde oder auch ihr Eigentum bedeuten können. Für Zeugen könnte beispielsweise die Gefahr bestehen, dass sie Opfer von Einschüchterungsversuchen werden oder körperliche Schäden erleiden; Frauen könnten Opfer häuslicher Gewalt werden, wenn ihre Anschrift veröffentlicht wird. Die körperliche Unversehrtheit und das Leben von Menschen könnte auch im Falle des Internets der Dinge durch Angriffe gegen das Informationssystem in Gefahr geraten, da beim Internet der Dinge nicht nur Sensoren, sondern auch physische Stellglieder zum Einsatz kommen. Bei den vorgeschlagenen Änderungen geht es in erster Linie darum, dass die Artikel 1, 2, 3, 6, 7, 8, 11 und 17 der Charta der Grundrechte der Europäischen Union eingehalten werden. Es wurden bereits verfassungsrechtliche Fragen in der Rechtsprechung, wobei – unter Berücksichtigung der heutigen digitalen Welt – aus den allgemeinen Persönlichkeitsrechten ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“(2) abgeleitet wurde.

Bekämpfung der Computerkriminalität: Bei einigen im Internet begangenen Straftaten, etwa Phishing-Angriffen oder Finanz- oder Bankenbetrug, findet ein Vertrauensmissbrauch statt, dem nicht mit IT-Sicherheitsmaßnahmen begegnet werden kann. Daher ist der Vorschlag zu begrüßen, dass die ENISA regelmäßige Aufklärungs- und Informationskampagnen organisiert, die sich an die Endnutzer richten. Andere Formen von Straftaten im Internet betreffen Angriffe auf Informationssysteme wie Hacking- oder DDoS-Angriffe (DDoS – verbreitete Verweigerung des Dienstes). Es ist davon auszugehen, dass ein Ausbau der IT-Sicherheit den Kampf gegen Computerkriminalität wirksam unterstützen wird, insbesondere mit Blick auf die Prävention.

Demokratie und Rechtsstaatlichkeit: Angriffe auf IT-Systeme von Regierungen und nichtstaatlichen Akteuren stellen mit ihrem Eingriff in freie und faire Wahlen eine klare und wachsende Bedrohung für die Demokratie dar. Dabei werden beispielsweise Fakten und Meinungen manipuliert und damit das Wahlverhalten der Bürger beeinflusst. Ferner wird in das Wahlverfahren eingegriffen und das Wahlergebnis verändert oder auch das Vertrauen in die Integrität der Wahlen untergraben.

In dem Entwurf einer Stellungnahme des LIBE-Ausschusses wird daher vorgeschlagen, den Vorschlag der Kommission unter Berücksichtigung der für den LIBE-Ausschuss zentralen Fragestellungen zu ändern:

•  Die Agentur sollte verstärkt dafür eintreten, dass alle Akteure der europäischen Informationsgesellschaft präventiv wirkende, robuste Technologien und IT-Sicherheitsmaßnahmen einführen, die dem Schutz der Privatsphäre dienen.

•  Die Agentur sollte Leitlinien zu klaren Verantwortlichkeiten und Haftpflichten vorschlagen, die für alle Interessenträger in den IKT-Ökosystemen gelten, in denen es zu schwerwiegenden Sicherheitsproblemen, massiven Zerstörungen im Umfeld oder systemischen Finanz- oder Wirtschaftskrisen kommen kann, wenn im Rahmen der Sorgfaltspflicht keine geeigneten IT-Sicherheitsmaßnahmen getroffen werden.

•  Die Agentur sollte unter Heranziehung von IT‑Sicherheitsexperten klare obligatorische Grundanforderungen im Bereich der IT‑Sicherheit vorschlagen.

•  Die Agentur sollte ein Zertifizierungssystem für die IT-Sicherheit vorschlagen. Dieses sollte es den IKT-Anbietern ermöglichen, transparenter gegenüber den Verbrauchern aufzutreten, was die Nachrüstbarkeit und die Dauer der Softwareunterstützung anbelangt. Das Zertifizierungssystem muss dynamisch sein, da Sicherheit ein Prozess ist, der einer ständigen Verbesserung bedarf.

•  Die Agentur sollte die Hersteller von IKT-Produkten unterstützen, damit sie den Grundsatz der eingebauten Sicherheit („security by design“) leichter und kostengünstiger umsetzen können. Hierfür sollte sie entsprechende Leitlinien und Angaben zu bewährten Verfahren veröffentlichen.

•  Die Agentur sollte auf Ersuchen der Organe, Einrichtungen, Büros und Agenturen der Union sowie der Mitgliedstaaten regelmäßige präventive IT-Sicherheitsprüfungen der kritischen Infrastrukturen dieser Einrichtungen durchführen (Recht auf Prüfung).

•  Die Agentur sollte den Herstellern noch nicht allgemein bekannte Schwachstellen in der IT-Sicherheit umgehend mitteilen. Die Agentur darf dabei nicht für eigene Zwecke Schwachstellen in Unternehmen und Produkten, die noch unbekannt sind, verbergen oder Nutzen daraus ziehen. Wenn staatliche Stellen mit Steuergeldern Hintertüren für IT-Systeme entwickeln, erwerben oder ausnutzen, setzen sie dabei die Sicherheit der Bürger aufs Spiel. Damit andere Interessenträger, die verantwortlich mit solchen Schwachstellen umgehen, geschützt werden, sollte die Agentur Maßnahmen dazu vorschlagen, wie Informationen zu „Zero-Days“ und zu anderen noch nicht allgemein bekannten Sicherheitslücken, die die Beseitigung dieser Schwachstellen erleichtern würden, auf verantwortungsvolle Weise ausgetauscht werden können.

•  Damit die EU den Rückstand zur IT-Sicherheitsbranche in Drittländern aufholen kann, sollte die Agentur ein langfristiges EU-Projekt im Bereich der IT-Sicherheit ausarbeiten und auf den Weg bringen, dessen Umfang mit dem vergleichbar ist, was mit Airbus für die Luftfahrtindustrie geleistet wurde.

Die Kommission sollte die Verwendung des Begriffs „Cybersicherheit“ vermeiden, da er rechtlich unscharf ist und zu Unsicherheiten führen könnte. Es wird daher vorgeschlagen, den Begriff „Cybersicherheit“ durch den Begriff „IT-Sicherheit“ zu ersetzen, um für mehr Rechtssicherheit zu sorgen.

ÄNDERUNGSANTRÄGE

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres ersucht den federführenden Ausschuss für Industrie, Forschung und Energie, folgende Änderungsanträge zu berücksichtigen:

Änderungsantrag    1

Vorschlag für eine Verordnung

Titel

Vorschlag der Kommission

Geänderter Text

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“)

über die „Europäische Agentur für Netz- und Informationssicherheit“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der IT-Sicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur IT-Sicherheit“)

 

(Dieser Änderungsantrag betrifft den gesamten Text.)

Begründung

Das Präfix „Cyber“ leitet sich von der Science-Fiction-Literatur der 1960er ab und wird immer mehr zur Beschreibung der negativen Aspekte des Internets („Cyberangriff“, „Cyberkriminalität“) verwendet, ist rechtlich aber äußerst unscharf. Im Sinne der Rechtssicherheit wird daher vorgeschlagen, den Begriff „Cybersicherheit“ durch den Begriff „IT-Sicherheit“ zu ersetzen.

Änderungsantrag    2

Vorschlag für eine Verordnung

Erwägung 2

Vorschlag der Kommission