Menettely : 2017/0225(COD)
Elinkaari istunnossa
Asiakirjan elinkaari : A8-0264/2018

Käsiteltäväksi jätetyt tekstit :

A8-0264/2018

Keskustelut :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Äänestykset :

PV 12/03/2019 - 9.17
Äänestysselitykset

Hyväksytyt tekstit :

P8_TA(2019)0151

MIETINTÖ     ***I
PDF 1793kWORD 327k
30.7.2018
PE 619.373v03-00 A8-0264/2018

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))

Teollisuus-, tutkimus- ja energiavaliokunta

Esittelijä: Angelika Niebler

Valmistelija (*):

Nicola Danti, Sisämarkkina- ja kuluttajansuojavaliokunta

(*) Valiokuntien yhteistyömenettely – työjärjestyksen 54 artikla

TARKISTUKSET
LUONNOS EUROOPAN PARLAMENTIN LAINSÄÄDÄNTÖPÄÄTÖSLAUSELMAKSI
 PERUSTELUT
 SISÄMARKKINA- JA KULUTTAJANSUOJAVALIOKUNNAN LAUSUNTO
 BUDJETTIVALIOKUNNAN LAUSUNTO
 KANSALAISVAPAUKSIEN SEKÄ OIKEUS- JA SISÄASIOIDEN VALIOKUNNAN LAUSUNTO
 ASIAN KÄSITTELYASIASTA VASTAAVASSA VALIOKUNNASSA
 LOPULLINEN ÄÄNESTYS NIMENHUUTOÄÄNESTYKSENÄASIASTA VASTAAVASSA VALIOKUNNASSA

LUONNOS EUROOPAN PARLAMENTIN LAINSÄÄDÄNTÖPÄÄTÖSLAUSELMAKSI

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))

(Tavallinen lainsäätämisjärjestys: ensimmäinen käsittely)

Euroopan parlamentti, joka

–  ottaa huomioon komission ehdotuksen Euroopan parlamentille ja neuvostolle (COM(2017)0477),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 2 kohdan ja 114 artiklan, joiden mukaisesti komissio on antanut ehdotuksen Euroopan parlamentille (C8-0310/2017),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 3 kohdan,

–  ottaa huomioon Euroopan talous- ja sosiaalikomitean 14. helmikuuta 2018 antaman lausunnon(1),

–  ottaa huomioon työjärjestyksen 59 artiklan,

–   ottaa huomioon Ranskan senaatin toissijaisuus- ja suhteellisuusperiaatteen soveltamisesta tehdyn pöytäkirjan N:o 2 mukaisesti antaman perustellun lausunnon, jonka mukaan esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ei ole toissijaisuusperiaatteen mukainen,

–  ottaa huomioon teollisuus-, tutkimus- ja energiavaliokunnan mietinnön ja sisämarkkina- ja kuluttajansuojavaliokunnan, budjettivaliokunnan ja kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan lausunnot (A8-0264/2018),

1.  vahvistaa jäljempänä esitetyn ensimmäisen käsittelyn kannan;

2.  pyytää komissiota antamaan asian uudelleen Euroopan parlamentin käsiteltäväksi, jos se korvaa ehdotuksensa, muuttaa sitä huomattavasti tai aikoo muuttaa sitä huomattavasti;

3.  kehottaa puhemiestä välittämään parlamentin kannan neuvostolle ja komissiolle sekä kansallisille parlamenteille.

Tarkistus    1

Ehdotus asetukseksi

Johdanto-osan 1 kappale

Komission teksti

Tarkistus

(1)  Verkko- ja tietojärjestelmillä ja televiestintäverkoilla ja -palveluilla on yhteiskunnassa elintärkeä rooli, ja niistä on tullut talouskasvun selkäranka. Tieto- ja viestintätekniikka luo pohjaa monimutkaisille järjestelmille, jotka tukevat yhteiskunnan toimintoja, pitävät talouden pyörät pyörimässä keskeisillä aloilla, kuten terveydenhuollossa, energia-alalla, rahoitusalalla ja liikenteessä, ja erityisesti tukevat sisämarkkinoiden toimintaa

(1)  Verkko- ja tietojärjestelmillä ja televiestintäverkoilla ja -palveluilla on yhteiskunnassa elintärkeä rooli, ja niistä on tullut talouskasvun selkäranka. Tieto- ja viestintätekniikka luo pohjaa monimutkaisille järjestelmille, jotka tukevat yhteiskunnan päivittäisiä toimintoja, pitävät talouden pyörät pyörimässä keskeisillä aloilla, kuten terveydenhuollossa, energia-alalla, rahoitusalalla ja liikenteessä, ja erityisesti tukevat sisämarkkinoiden toimintaa.

Tarkistus    2

Ehdotus asetukseksi

Johdanto-osan 2 kappale

Komission teksti

Tarkistus

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin.

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen kyberturvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin. Juuri nämä asiat ovat keskeisiä Euroopan komission uudistusohjelmassa, jolla pyritään saamaan aikaan digitaaliset sisämarkkinat, sillä tieto- ja viestintätekniikan verkot muodostavat rungon digitaalisille tuotteille ja palveluille, joilla voidaan tukea kaikkia elämänaloja ja edistää talouskasvua Euroopassa. Jotta varmistetaan, että digitaalisten sisämarkkinoiden tavoitteet saavutetaan kaikilta osin, on huolehdittava siitä, että käytössä on välttämättömät teknologiset rakenneosat, joista ovat riippuvaisia sellaiset tärkeät alat kuin sähköiset terveyspalvelut, esineiden internet, tekoäly, kvanttiteknologia sekä älykkäät liikennejärjestelmät ja kehittynyt valmistus.

Tarkistus    3

Ehdotus asetukseksi

Johdanto-osan 3 kappale

Komission teksti

Tarkistus

(3)  Digitalisoinnin ja verkkoyhteyksien yleistyminen lisää kyberturvallisuuteen liittyviä riskejä, jolloin koko yhteiskunta on haavoittuvampi kyberuhkille, ja pahentaa yksilöihin, myös heikommassa asemassa oleviin henkilöihin, kuten lapsiin, kohdistuvia vaaroja. Tämän yhteiskuntaan kohdistuvan riskin lieventämiseksi kyberturvallisuutta on tarpeen parantaa EU:ssa kaikin tarvittavin toimenpitein, jotta kansalaisten, hallintojen ja yritysten – pk-yrityksistä elintärkeiden infrastruktuureiden ylläpitäjiin – käyttämät verkko- ja tietojärjestelmät, televiestintäverkot, digitaaliset tuotteet, palvelut ja laitteet voidaan suojata paremmin kyberuhilta.

(3)  Digitalisoinnin ja verkkoyhteyksien yleistyminen lisää kyberturvallisuuteen liittyviä riskejä, jolloin koko yhteiskunta on haavoittuvampi kyberuhkille, ja pahentaa yksilöihin, myös heikommassa asemassa oleviin henkilöihin, kuten lapsiin, kohdistuvia vaaroja. Tämän yhteiskuntaan kohdistuvan riskin lieventämiseksi kyberturvallisuutta on tarpeen parantaa EU:ssa kaikin tarvittavin toimenpitein, jotta kansalaisten, hallintojen ja yritysten – pk-yrityksistä elintärkeiden infrastruktuureiden ylläpitäjiin – käyttämät verkko- ja tietojärjestelmät, televiestintäverkot, digitaaliset tuotteet, palvelut ja laitteet voidaan suojata paremmin kyberuhilta. Näin ollen Euroopan komission 17 päivänä tammikuuta 2018 julkaisema digitaalisen koulutuksen toimintasuunnitelma, erityisesti opettajille, oppilaiden vanhemmille ja oppijoille kohdennettu EU:n laajuinen tiedotuskampanja verkkoturvallisuuden, kyberhygienian ja medialukutaidon edistämiseksi sekä kyberturvallisuusopetusta koskeva aloite, joka pohjautuu kansalaisille tarkoitettuun eurooppalaiseen digitaalisten taitojen puitekehykseen, jonka tarkoituksena on auttaa ihmisiä käyttämään teknologiaa luottavaisin mielin ja vastuullisesti, on askel oikeaan suuntaan.

Tarkistus    4

Ehdotus asetukseksi

Johdanto-osan 3 a kappale (uusi)

Komission teksti

Tarkistus

 

(3 a)  ENISAn tavoitteita ja tehtäviä olisi yhdenmukaistettava edelleen yhteisen tiedonannon kanssa siltä osin kuin on kyse kyberhygienian ja tietoisuuden edistämisestä. Kyberresilienssi voidaan saavuttaa panemalla täytäntöön kyberhygienian perusperiaatteet.

Tarkistus    5

Ehdotus asetukseksi

Johdanto-osan 3 b kappale (uusi)

Komission teksti

Tarkistus

 

(3 b)  ENISAn olisi annettava enemmän tietoon perustuvaa ja käytännön tukea unionin kyberturvallisuusalalle, erityisesti pk- ja startup-yrityksille, jotka ovat tärkeitä innovatiivisten ratkaisujen kehittäjiä kyberpuolustusalalla, ja edistettävä tiiviimpää yhteistyötä yliopistojen tutkimuslaitosten ja suurten toimijoiden kanssa, jotta voidaan vähentää riippuvuutta ulkoisista lähteistä peräisin olevista kyberturvallisuustuotteista ja luoda strateginen toimitusketju unionin sisälle.

Tarkistus    6

Ehdotus asetukseksi

Johdanto-osan 4 kappale

Komission teksti

Tarkistus

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa ja turvatumpaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Kyberpuolustusalan koulutustarpeet ovat suuret ja lisääntyvät koko ajan, ja niihin vastataan tehokkaimmin unionin tason yhteistoiminnalla. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

Tarkistus    7

Ehdotus asetukseksi

Johdanto-osan 5 kappale

Komission teksti

Tarkistus

(5)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä ja koordinointia jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tarvitaan myös lisätoimia kansalaisten ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Lisäksi digitaalisiin sisämarkkinoihin tunnettua luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuustasosta. Tätä voidaan helpottaa EU:n laajuisella sertifioinnilla, joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille.

(5)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä, koordinointia ja tiedon jakamista jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa ja samalla korostaa, että on tärkeää ylläpitää ja vahvistaa edelleen kansallisia valmiuksia vastata kaikenkokoisiin kyberuhkiin. Tarvitaan myös lisätoimia koordinoidun EU:n tason vastatoimen toteuttamiseksi sekä kansalaisten ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Koska kyberpoikkeamat lisäksi vähentävät digitaalisten palveluiden tarjoajiin ja digitaalisiin sisämarkkinoihin tunnettua luottamusta etenkin kuluttajien keskuudessa, luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen turvallisuustasosta painottamalla, että korkeatasoinenkaan kyberturvallisuuden sertifiointi ei voi taata, että tieto- ja viestintätekniikan tuote tai palvelu olisi täysin turvallinen. Tätä voidaan helpottaa EU:n laajuisella sertifioinnilla, joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille, sekä edistämällä kyberlukutaitoa unionin laajuisen sertifioinnin ohella, ja koska esineiden internetin laitteita on yhä enemmän saatavilla, yksityissektorin olisi toteutettava monia vapaaehtoisia toimenpiteitä, kuten salausta ja lohkoketjuteknologiaa, vahvistaakseen luottamusta tieto- ja viestintätekniikan tuotteiden, prosessien ja palveluiden turvallisuuteen. Kohdatut haasteet olisi otettava oikeasuhteisesti huomioon virastolle osoitetuissa määrärahoissa, jotta varmistetaan optimaalinen toimintakyky nykyisissä olosuhteissa.

Tarkistus    8

Ehdotus asetukseksi

Johdanto-osan 5 a kappale (uusi)

Komission teksti

Tarkistus

 

(5 a)  Euroopan turvallisuuden ja kyberpuolustuksen rakenteiden vahvistamiseksi on tärkeää ylläpitää ja kehittää jäsenvaltioiden valmiuksia vastata kattavasti kyberuhkiin, myös rajat ylittävien poikkeamien tapauksessa. Viraston harjoittama EU:n tason koordinointi ei saisi johtaa jäsenvaltioiden valmiuksien tai toimien vähenemiseen.

Tarkistus    9

Ehdotus asetukseksi

Johdanto-osan 5 b kappale (uusi)

Komission teksti

Tarkistus

 

(5 b)  Yrityksillä ja yksittäisillä kuluttajilla olisi oltava tarkat tiedot tieto- ja viestintätekniikan tuotteidensa turvallisuustasosta. Samalla on ymmärrettävä, että mikään tuote ei ole kyberturvallinen ja että kyberhygienian perussääntöjä olisi edistettävä ja ne olisi asetettava etusijalle.

Tarkistus    10

Ehdotus asetukseksi

Johdanto-osan 7 kappale

Komission teksti

Tarkistus

(7)  Unioni on jo toteuttanut merkittäviä toimia kyberturvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberturvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivillä otettiin käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso.

(7)  Unioni on jo toteuttanut merkittäviä toimia kyberturvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberturvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivi, jonka onnistuminen riippuu suuresti täytäntöönpanon tehokkuudesta jäsenvaltioissa, joka on digitaalisten sisämarkkinoiden strategian mukainen ja jolla yhdessä muiden välineiden, kuten eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin, asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY, kanssa otetaan käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso.

Tarkistus    11

Ehdotus asetukseksi

Johdanto-osan 8 kappale

Komission teksti

Tarkistus

(8)  Yleisesti tunnustetaan, että sen jälkeen, kun EU:n kyberturvallisuusstrategia hyväksyttiin vuonna 2013 ja viraston toimeksiantoa viimeksi tarkistettiin, yleinen poliittinen tilanne on muuttunut merkittävästi, myös epävarmemman ja vähemmän turvatun globaalin toimintaympäristön vuoksi. Tässä yhteydessä ja osana uutta unionin kyberturvallisuuspolitiikkaa on tarpeen tarkistaa ENISAn toimeksiantoa, jotta voidaan määritellä sen rooli muuttuneessa kyberturvallisuuden toimintaympäristössä ja varmistaa, että se auttaa tehokkaasti unionia vastaamaan tästä perusteellisesti muuttuneesta uhkaympäristöstä johtuviin kyberturvallisuushaasteisiin. Kuten viraston arvioinnissa todetaan, sen nykyinen toimeksianto ei ole riittävä näiden haasteiden kannalta.

(8)  Yleisesti tunnustetaan, että sen jälkeen, kun EU:n kyberturvallisuusstrategia hyväksyttiin vuonna 2013 ja viraston toimeksiantoa viimeksi tarkistettiin, yleinen poliittinen tilanne on muuttunut merkittävästi, myös epävarmemman ja vähemmän turvatun globaalin toimintaympäristön vuoksi. Tässä yhteydessä ja ottaen huomioon viraston vuosia jatkuneen myönteisen roolin asiantuntemuksen, koordinoinnin ja valmiuksien kehittämisen keskittämisessä, ja osana uutta unionin kyberturvallisuuspolitiikkaa on tarpeen tarkistaa ENISAn toimeksiantoa, jotta voidaan määritellä sen rooli muuttuneessa kyberturvallisuuden toimintaympäristössä ja varmistaa, että se auttaa tehokkaasti unionia vastaamaan tästä perusteellisesti muuttuneesta uhkaympäristöstä johtuviin kyberturvallisuushaasteisiin. Kuten viraston arvioinnissa todetaan, sen nykyinen toimeksianto ei ole riittävä näiden haasteiden kannalta.

Tarkistus    12

Ehdotus asetukseksi

Johdanto-osan 11 kappale

Komission teksti

Tarkistus

(11)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä.

(11)  Unioniin kohdistuvien kyberturvallisuusuhkien ja -haasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä, mikä antaisi ENISAlle mahdollisuuden toteuttaa tehokkaasti sille tällä asetuksella annetut tehtävät.

Tarkistus    13

Ehdotus asetukseksi

Johdanto-osan 12 kappale

Komission teksti

Tarkistus

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa. Lisäksi viraston olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Viraston tehtävänannossa olisi vahvistettava, miten viraston on määrä saavuttaa tavoitteensa niin, että se pystyy toimimaan joustavasti.

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa, vältettävä päällekkäistä työtä sekä edistettävä synergiaa ja täydentävyyttä ja siten huolehdittava koordinoidun toiminnan ja säästöjen aikaansaamisesta. Lisäksi viraston olisi hyödynnettävä yksityisen ja julkisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Selkeässä toimintasuunnitelmassa sekä tehtävissä ja tavoitteissa, jotka olisi määriteltävä selkeästi, olisi vahvistettava, miten viraston on määrä saavuttaa tavoitteensa niin, että samalla otetaan asianmukaisesti huomioon, että sen on toimittava tarvittaessa joustavasti. Olisi pidettävä kiinni mahdollisimman korkeasta avoimuuden ja tietojen levittämisen tasosta silloin, kun se on mahdollista.

Tarkistus    14

Ehdotus asetukseksi

Johdanto-osan 12 a kappale (uusi)

Komission teksti

Tarkistus

 

(12 a)  Viraston tehtäviä olisi arvioitava jatkuvasti ja tarkistettava oikea-aikaisesti, erityisesti sen koordinointitehtävää jäsenvaltioihin ja niiden kansallisiin viranomaisiin nähden, sekä mahdollisuutta toimia jäsenvaltioiden ja EU:n elinten ja toimielinten keskitettynä verkkoportaalina. Olisi arvioitava viraston tehtävää sisämarkkinoiden hajanaisuuden välttämisessä sekä pakollisten kyberturvallisuuden sertifiointijärjestelmien mahdollisessa käyttöönotossa, mikäli tilanne tulevaisuudessa tällaista edellyttäisi, kuten myös viraston tehtävää EU:n markkinoille tulevien kolmansien maiden tuotteiden arvioinnissa sekä sellaisten yritysten, jotka eivät noudata EU:n vaatimuksia, mahdollisessa mustalle listalle asettamisessa.

Tarkistus    15

Ehdotus asetukseksi

Johdanto-osan 12 b kappale (uusi)

Komission teksti

Tarkistus

 

(12 b)  Jotta ENISA voisi tukea asianmukaisesti jäsenvaltioiden operatiivista yhteistyötä, sen olisi vahvistettava entisestään omia teknisiä valmiuksiaan ja asiantuntemustaan. Siksi viraston olisi asteittain vahvistettava tätä tehtävää hoitavaa henkilöstöään, jotta se voisi kerätä ja analysoida itsenäisesti erityyppisiä ja monenlaisia kyberturvallisuusuhkia ja haittaohjelmia, tehdä rikosteknisiä analyyseja ja auttaa jäsenvaltioita vastaamaan laajamittaisiin turvallisuuspoikkeamiin. Jotta voidaan välttää mahdollisia päällekkäisyyksiä jäsenvaltioiden nykyisten valmiuksien kanssa, ENISAn olisi parannettava osaamistaan ja valmiuksiaan jäsenvaltioissa olevien resurssien pohjalta, erityisesti lähettämällä virastoon kansallisia asiantuntijoita, perustamalla asiantuntijapooleja, henkilöstön vaihto-ohjelmia jne. Viraston olisi tämän alan henkilöstöä valitessaan vaiheittain varmistettava, että he täyttävät asianmukaiset kriteerit riittävän tuen antamiseksi.

Tarkistus    16

Ehdotus asetukseksi

Johdanto-osan 13 kappale

Komission teksti

Tarkistus

(13)  Viraston olisi avustettava komissiota antamalla neuvoja, lausuntoja ja analyysejä kaikista unionin asioista, jotka liittyvät kyberturvallisuusalan toimintapolitiikan ja lainsäädännön kehittämiseen, päivittämiseen ja uudelleentarkasteluun, mukaan lukien kriittisen infrastruktuurin suojaaminen ja kyberresilienssi. Viraston olisi toimittava neuvonnan ja asiantuntemuksen viitetahona unionin alakohtaisille toimintapoliittisille ja lainsäädännöllisille aloitteille, kun niihin liittyy kyberturvallisuuskysymyksiä.

(13)  Viraston olisi avustettava komissiota antamalla neuvoja, lausuntoja ja analyysejä kaikista unionin asioista, jotka liittyvät kyberturvallisuusalan toimintapolitiikan ja lainsäädännön kehittämiseen, päivittämiseen ja uudelleentarkasteluun, mukaan lukien kriittisen infrastruktuurin suojaaminen ja kyberresilienssi. Viraston olisi toimittava neuvonnan ja asiantuntemuksen viitetahona unionin alakohtaisille toimintapoliittisille ja lainsäädännöllisille aloitteille, kun niihin liittyy kyberturvallisuuskysymyksiä. Sen asiantuntemusta tarvitaan erityisesti, kun valmistellaan eurooppalaista kyberturvallisuuden sertifiointijärjestelmää koskevaa unionin monivuotista työohjelmaa. Viraston olisi toimitettava Euroopan parlamentille säännöllisesti kyberturvallisuusalan uutisia, analyysejä ja tarkistuksia sekä kerrottava tehtäviensä edistymisestä.

Tarkistus    17

Ehdotus asetukseksi

Johdanto-osan 14 kappale

Komission teksti

Tarkistus

(14)  Viraston lähtökohtaisena tehtävänä on edistää asianomaisen lainsäädännön johdonmukaista täytäntöönpanoa ja erityisesti verkko- ja tietoturvadirektiivin tehokasta täytäntöönpanoa, millä on olennainen merkitys kyberresilienssin lisäämisen kannalta. Koska kyberuhkaympäristö muuttuu nopeasti, on selvää, että jäsenvaltioita on tuettava omaksumalla kokonaisvaltaisempi, monialainen lähestymistapa kyberresilienssin rakentamiseen.

(14)  Viraston lähtökohtaisena tehtävänä on edistää asianomaisen lainsäädännön johdonmukaista täytäntöönpanoa ja erityisesti verkko- ja tietoturvadirektiivin, eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin, asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY tehokasta täytäntöönpanoa, millä on olennainen merkitys kyberresilienssin lisäämisen kannalta. Koska kyberuhkaympäristö muuttuu nopeasti, on selvää, että jäsenvaltioita on tuettava omaksumalla kokonaisvaltaisempi, monialainen lähestymistapa kyberresilienssin rakentamiseen.

Tarkistus    18

Ehdotus asetukseksi

Johdanto-osan 15 kappale

Komission teksti

Tarkistus

(15)  Viraston olisi avustettava jäsenvaltioita sekä unionin toimielimiä, elimiä, laitoksia ja virastoja niiden pyrkimyksissä kehittää ja parantaa valmiuksia ja varautumiskykyä ehkäistä ja havaita kyberturvallisuusongelmia ja -poikkeamia ja reagoida niihin verkko- ja tietojärjestelmien turvallisuuden kannalta. Viraston olisi erityisesti tuettava kansallisten CSIRT-toimijoiden kehittämistä ja tehostamista, jotta niiden kypsyys olisi yhteisellä korkealla tasolla unionissa. Viraston olisi myös autettava kehittämään ja päivittämään unionin ja jäsenvaltioiden strategioita, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta, erityisesti kyberturvallisuutta, sekä edistettävä niiden levittämistä ja seurattava niiden täytäntöönpanon edistymistä. Viraston olisi myös tarjottava koulutusta ja koulutusmateriaalia julkisille elimille ja tarvittaessa ”koulutettava kouluttajia”, jotta voidaan auttaa jäsenvaltioita kehittämään omia koulutusvalmiuksia.

(15)  Viraston olisi avustettava jäsenvaltioita sekä unionin toimielimiä, elimiä, laitoksia ja virastoja niiden pyrkimyksissä kehittää ja parantaa valmiuksia ja varautumiskykyä ehkäistä ja havaita kyberturvallisuusongelmia ja -poikkeamia ja reagoida niihin verkko- ja tietojärjestelmien turvallisuuden kannalta. Viraston olisi erityisesti tuettava kansallisten CSIRT-toimijoiden kehittämistä ja tehostamista, jotta niiden kypsyys olisi yhteisellä korkealla tasolla unionissa. Viraston olisi myös autettava kehittämään ja päivittämään unionin ja jäsenvaltioiden strategioita, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta, erityisesti kyberturvallisuutta, sekä edistettävä niiden levittämistä ja seurattava niiden täytäntöönpanon edistymistä. Koska inhimilliset virheet ovat merkittävimpiä kyberturvallisuusriskejä, viraston olisi myös tarjottava koulutusta ja koulutusmateriaalia julkisille elimille ja ”koulutettava kouluttajia” mahdollisimman laajasti, jotta voidaan auttaa jäsenvaltioita sekä unionin toimielimiä ja virastoja kehittämään omia koulutusvalmiuksia. Viraston olisi myös toimittava yhteyspisteenä jäsenvaltioille ja unionin toimielimille, joiden olisi voitava pyytää virastolta apua sen toimivallan ja tehtävien puitteissa.

Tarkistus    19

Ehdotus asetukseksi

Johdanto-osan 18 kappale

Komission teksti

Tarkistus

(18)  Viraston olisi koottava ja analysoitava CSIRT-toimijoilta ja CERT-EU:lta saatavat kansalliset raportit ja otettava käyttöön yhteiset säännöt, kieli ja terminologia tiedonvaihtoa varten. Viraston olisi myös otettava yksityinen sektori mukaan verkko- ja tietoturvadirektiivin kehykseen, jossa vahvistettiin perusta vapaaehtoiselle teknisten tietojen vaihdolle operatiivisella tasolla perustamalla CSIRT-verkosto.

(18)  Viraston olisi koottava ja analysoitava CSIRT-toimijoilta ja CERT-EU:lta saatavat kansalliset raportit ja otettava käyttöön yhteiset säännöt, kieli ja terminologia tiedonvaihtoa varten. Viraston olisi myös otettava yksityinen ja julkinen sektori mukaan verkko- ja tietoturvadirektiivin kehykseen, jossa vahvistettiin perusta vapaaehtoiselle teknisten tietojen vaihdolle operatiivisella tasolla perustamalla CSIRT-verkosto.

Tarkistus    20

Ehdotus asetukseksi

Johdanto-osan 19 kappale

Komission teksti

Tarkistus

(19)  Viraston olisi osallistuttava EU:n tason vastaukseen laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tähän tehtävään olisi kuuluttava tarvittavan tiedon keruu ja toimiminen välittäjänä CSIRT-verkoston ja tekniikan alan toimijoiden sekä kriisinhallinnasta vastaavien päätöksentekijöiden välillä. Lisäksi virasto voisi tukea poikkeamien käsittelyä teknisestä näkökulmasta helpottamalla tarvittavien ratkaisujen teknistä vaihtoa jäsenvaltioiden välillä ja osallistumalla julkiseen viestintään. Viraston olisi tuettava tätä prosessia testaamalla tällaisen yhteistyön menettelyjä vuotuisissa kyberturvallisuusharjoituksissa.

(19)  Viraston olisi osallistuttava EU:n tason vastaukseen laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tähän tehtävään olisi kuuluttava jäsenvaltioiden viranomaisten koollekutsuminen ja auttaminen niiden vastatoimien koordinoinnissa, tarvittavan tiedon keruu ja toimiminen välittäjänä CSIRT-verkoston ja tekniikan alan toimijoiden sekä kriisinhallinnasta vastaavien päätöksentekijöiden välillä. Lisäksi virasto voisi tukea poikkeamien käsittelyä teknisestä näkökulmasta esimerkiksi helpottamalla tarvittavien ratkaisujen teknistä vaihtoa jäsenvaltioiden välillä ja osallistumalla julkiseen viestintään. Viraston olisi tuettava tätä prosessia testaamalla tällaisen yhteistyön menettelyjä vuotuisissa kyberturvallisuusharjoituksissa. Viraston olisi kunnioitettava kyberturvallisuutta koskevaa jäsenvaltioiden toimivaltaa ja erityisesti yleistä turvallisuutta, puolustusta ja kansallista turvallisuutta koskevaa toimivaltaa sekä yksittäisen valtion toimia rikosoikeuden alalla koskevaa toimivaltaa.

Tarkistus    21

Ehdotus asetukseksi

Johdanto-osan 25 kappale

Komission teksti

Tarkistus

(25)  Jäsenvaltiot voivat pyytää yrityksiä, joita poikkeama koskee, tekemään yhteistyötä antamalla tarvittavan tiedon ja avun virastolle, sanotun kuitenkaan rajoittamatta niiden oikeutta suojata kaupallisesti arkaluonteiset tiedot.

(25)  Jäsenvaltiot voivat pyytää yrityksiä, joita poikkeama koskee, tekemään yhteistyötä antamalla tarvittavan tiedon ja avun virastolle, sanotun kuitenkaan rajoittamatta niiden oikeutta suojata kaupallisesti arkaluonteiset tiedot ja yleisen turvallisuuden kannalta merkitykselliset tiedot.

Tarkistus    22

Ehdotus asetukseksi

Johdanto-osan 26 kappale

Komission teksti

Tarkistus

(26)  Ymmärtääkseen paremmin kyberturvallisuuteen liittyviä haasteita ja tarjotakseen strategista pitkän aikavälin neuvontaa jäsenvaltioille ja unionin toimielimille viraston on tarpeen analysoida nykyisiä ja kehittymässä olevia riskejä. Tätä varten viraston olisi yhteistyössä jäsenvaltioiden ja tarvittaessa tilastokeskusten ja muiden elinten kanssa kerättävä tarvittavaa tietoa sekä tehtävä analyysejä uusista teknologioista ja aihekohtaisia arviointeja teknologisten innovaatioiden odotettavissa olevista yhteiskunnallisista, oikeudellisista, taloudellisista ja sääntelyyn liittyvistä vaikutuksista verkko- ja tietoturvallisuuden ja erityisesti kyberturvallisuuden kannalta. Viraston olisi myös tuettava jäsenvaltioita ja unionin toimielimiä, virastoja ja elimiä kyberturvallisuuteen liittyvien uusien kehityssuuntausten kartoittamisessa ja kyberturvallisuuteen liittyvien ongelmien ehkäisyssä tekemällä analyyseja uhkista ja poikkeamista.

(26)  Ymmärtääkseen paremmin kyberturvallisuuteen liittyviä haasteita ja tarjotakseen strategista pitkän aikavälin neuvontaa jäsenvaltioille ja unionin toimielimille viraston on tarpeen analysoida nykyisiä ja kehittymässä olevia riskejä, poikkeamia, uhkia ja heikkouksia. Tätä varten viraston olisi yhteistyössä jäsenvaltioiden ja tarvittaessa tilastokeskusten ja muiden elinten kanssa kerättävä tarvittavaa tietoa sekä tehtävä analyysejä uusista teknologioista ja aihekohtaisia arviointeja teknologisten innovaatioiden odotettavissa olevista yhteiskunnallisista, oikeudellisista, taloudellisista ja sääntelyyn liittyvistä vaikutuksista verkko- ja tietoturvallisuuden ja erityisesti kyberturvallisuuden kannalta. Viraston olisi myös tuettava jäsenvaltioita ja unionin toimielimiä, virastoja ja elimiä kyberturvallisuuteen liittyvien uusien kehityssuuntausten kartoittamisessa ja kyberturvallisuuteen liittyvien ongelmien ehkäisyssä tekemällä analyyseja uhkista, poikkeamista ja heikkouksista.

Tarkistus    23

Ehdotus asetukseksi

Johdanto-osan 27 kappale

Komission teksti

Tarkistus

(27)  Unionin resilienssin lisäämiseksi viraston olisi kehitettävä internetinfrastruktuurin ja elintärkeiden infrastruktuurien turvallisuuteen liittyvää huippuosaamista tarjoamalla neuvontaa, ohjeita ja parhaita käytäntöjä. Jotta kyberturvallisuusriskeistä ja mahdollisista suojakeinoista saataisiin tietoa helpommin ja paremmin jäsennellyssä muodossa, viraston olisi kehitettävä unionin ”tietokeskus” ja ylläpidettävä sitä. Kyseessä on keskitetty verkkoportaali, josta yleisö saa EU:n ja kansallisilta toimielimiltä, virastoilta ja laitoksilta peräisin olevaa tietoa kyberturvallisuudesta.

(27)  Unionin resilienssin lisäämiseksi viraston olisi kehitettävä internetinfrastruktuurin ja elintärkeiden infrastruktuurien turvallisuuteen liittyvää huippuosaamista tarjoamalla neuvontaa, ohjeita ja parhaita käytäntöjä. Jotta kyberturvallisuusriskeistä ja mahdollisista suojakeinoista saataisiin tietoa helpommin ja paremmin jäsennellyssä muodossa, viraston olisi kehitettävä unionin ”tietokeskus” ja ylläpidettävä sitä. Kyseessä on keskitetty verkkoportaali, josta yleisö saa EU:n ja kansallisilta toimielimiltä, virastoilta ja laitoksilta peräisin olevaa tietoa kyberturvallisuudesta. Kyberturvallisuusriskejä ja mahdollisia suojakeinoja koskevien paremmin jäsenneltyjen tietojen saannin helpottamisen olisi autettava jäsenvaltioita kehittämään valmiuksiaan, yhdenmukaistamaan käytäntöjään ja siten parantamaan yleistä resilienssiään kyberhyökkäyksien aikana.

Tarkistus    24

Ehdotus asetukseksi

Johdanto-osan 28 kappale

Komission teksti

Tarkistus

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten ja organisaatioiden käyttöön. Viraston pitäisi osaltaan edistää parhaita käytäntöjä ja ratkaisuja yksilöiden ja organisaatioiden tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla raportteja ohjeistuksen antamiseksi yrityksille ja kansalaisille ja yleisen varautumis- ja resilienssitason parantamiseksi. Viraston olisi myös järjestettävä yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, joiden tarkoituksena on edistää turvallisempaa verkkokäyttäytymistä yksilötasolla ja lisätä tietoisuutta verkossa piilevistä mahdollisista uhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen sekä talous- ja pankkipetosten kaltainen kyberrikollisuus, sekä edistää yleisluonteisen neuvonnan antamista aitouden todentamista ja tietosuojaa koskevissa kysymyksissä. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta.

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta, myös edistämällä koulutusta kyberturvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten, organisaatioiden ja yritysten käyttöön. Viraston pitäisi osaltaan edistää kyberhygienian parhaita käytäntöjä, joihin kuuluu useita käytäntöjä, jotka olisi pantava täytäntöön ja toteutettava säännöllisesti käyttäjien ja yritysten suojelemiseksi verkossa, ja ratkaisuja yksilöiden, organisaatioiden ja yritysten tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla ja julkaisemalla raportteja ja oppaita ohjeistuksen antamiseksi yrityksille ja kansalaisille ja yleisen varautumis- ja resilienssitason parantamiseksi. ENISAn olisi myös pyrittävä tarjoamaan kuluttajille merkityksellistä tietoa sovellettavista sertifiointijärjestelmistä esimerkiksi tarjoamalla ohjeistusta ja suosituksia verkossa ja sen ulkopuolella toimiville markkinapaikoille. Viraston olisi myös järjestettävä digitaalisen koulutuksen toimintasuunnitelman mukaisesti ja yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, joiden tarkoituksena on edistää turvallisempaa verkkokäyttäytymistä yksilötasolla ja digitaalista lukutaitoa ja lisätä tietoisuutta verkossa piilevistä mahdollisista uhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen sekä talous- ja pankkipetosten kaltainen kyberrikollisuus, sekä edistää yleisluonteisen neuvonnan antamista monivaiheista aitouden todentamista, paikkausta, salaamista, anonymisointia ja tietosuojaa koskevissa kysymyksissä. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta ja palveluiden turvallisesta käytöstä, kun EU:n tasolla tehdään tunnetuksi sisäänrakennettua turvallisuutta, sisäänrakennettua yksityisyyttä sekä poikkeuksia ja niiden ratkaisuja. Tähän tavoitteeseen pyrkiessään viraston olisi hyödynnettävä mahdollisimman laajasti parhaita saatavilla olevia käytäntöjä ja asiantuntemusta, erityisesti akateemisten laitosten sekä tieto- ja viestintätekniikan tutkijoiden asiantuntemusta. Koska yksittäiset virheet ja tietämättömyys kyberturvallisuusriskeistä muodostavat kyberturvallisuuden merkittävimmän epävarmuustekijän, virastolle olisi osoitettava riittävät resurssit tämän tehtävän toteuttamiseksi mahdollisimman perusteellisesti.

Tarkistus    25

Ehdotus asetukseksi

Johdanto-osan 28 a kappale (uusi)

Komission teksti

Tarkistus

 

(28 a)  Viraston olisi lisättävä yleisön tietoisuutta riskeistä, jotka liittyvät tietopetostapahtumiin ja tietovarkauksiin, joilla voi olla vakavia vaikutuksia yksilöiden perusoikeuksiin ja jotka voivat uhata oikeusvaltioperiaatetta ja vaarantaa demokraattisten yhteiskuntien ja myös jäsenvaltioiden demokraattisten prosessien vakauden.

Tarkistus    26

Ehdotus asetukseksi

Johdanto-osan 30 kappale

Komission teksti

Tarkistus

(30)  Varmistaakseen tavoitteidensa täysimittaisen saavuttamisen viraston olisi oltava yhteydessä asiaankuuluviin toimielimiin, virastoihin ja elimiin, mukaan lukien CERT-EU, Europolissa toimiva Euroopan kyberrikostorjuntakeskus (EC3), Euroopan puolustusvirasto (EDA), laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), Euroopan lentoturvallisuusvirasto (EASA) sekä muut kyberturvallisuuteen liittyviä kysymyksiä käsittelevät EU:n virastot. Sen olisi oltava yhteydessä myös tietosuoja-asioita käsitteleviin viranomaisiin, jotta voidaan vaihtaa tietotaitoa ja parhaita käytäntöjä ja antaa neuvontaa kyberturvallisuusnäkökohdista, joilla voi olla vaikutusta niiden toimintaan. Kansallisten ja unionin lainvalvonta- ja tietosuojaviranomaisten edustajien olisi voitava olla edustettuina viraston pysyvässä sidosryhmässä. Ollessaan yhteydessä lainvalvontaviranomaisiin sellaisissa verkko- ja tietoturvakysymyksissä, joilla voi olla vaikutusta niiden toimintaan, viraston olisi käytettävä olemassa olevia tiedonvaihtokanavia ja vakiintuneita verkostoja.

(30)  Varmistaakseen tavoitteidensa täysimittaisen saavuttamisen viraston olisi oltava yhteydessä asiaankuuluviin toimielimiin, EU:n valvonta- ja muihin toimivaltaisiin viranomaisiin, virastoihin ja elimiin, mukaan lukien CERT-EU, Europolissa toimiva Euroopan kyberrikostorjuntakeskus (EC3), Euroopan puolustusvirasto (EDA), Euroopan GNSS-virasto (GSA), Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin (BEREC), laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), Euroopan keskuspankki (EKP), Euroopan pankkiviranomainen (EPV), Euroopan tietosuojaneuvosto, Euroopan lentoturvallisuusvirasto (EASA) sekä muut kyberturvallisuuteen liittyviä kysymyksiä käsittelevät EU: n virastot. Sen olisi oltava yhteydessä myös eurooppalaisiin standardointiorganisaatioihin, asianomaisiin sidosryhmiin ja tietosuoja-asioita käsitteleviin viranomaisiin, jotta voidaan vaihtaa tietotaitoa ja parhaita käytäntöjä ja antaa neuvontaa kyberturvallisuusnäkökohdista, joilla voi olla vaikutusta niiden toimintaan. Kansallisten ja unionin lainvalvonta- ja tietosuojaviranomaisten edustajien olisi voitava olla edustettuina ENISAn neuvoa-antavassa ryhmässä. Ollessaan yhteydessä lainvalvontaviranomaisiin sellaisissa verkko- ja tietoturvakysymyksissä, joilla voi olla vaikutusta niiden toimintaan, viraston olisi käytettävä olemassa olevia tiedonvaihtokanavia ja vakiintuneita verkostoja. Olisi muodostettava kumppanuuksia sellaisten akateemisten laitosten kanssa, joilla on tutkimusaloitteita merkityksellisillä aloilla, ja kuluttajajärjestöiltä ja muilta järjestöiltä tuleville tiedoille olisi oltava sopivat kanavat ja tiedot olisi analysoitava aina.

Tarkistus    27

Ehdotus asetukseksi

Johdanto-osan 31 kappale

Komission teksti

Tarkistus

(31)  Viraston olisi CSIRT-verkoston sihteeristönä toimivana jäsenenä tuettava jäsenvaltioiden CSIRT-toimijoita ja CERT-EU:ta operatiivisessa yhteistyössä kaikkien asiaankuuluvien CSIRT-verkoston tehtävien lisäksi, sellaisina kuin ne määritellään verkko- ja tietoturvadirektiivissä. Viraston olisi lisäksi edistettävä ja tuettava yhteistyötä asianomaisten CSIRT-toimijoiden välillä tapauksissa, joissa CSIRT-toimijoiden hallinnoimiin tai suojaamiin verkkoihin tai infrastruktuureihin kohdistuu poikkeamia, hyökkäyksiä tai häiriöitä, jotka koskevat tai mahdollisesti koskevat vähintään kahta CERT-toimijaa, ottaen asianmukaisesti huomioon CSIRT-verkoston menettelyohjeet.

(31)  Viraston olisi CSIRT-verkoston sihteeristönä toimivana jäsenenä tuettava jäsenvaltioiden CSIRT-toimijoita ja CERT-EU:ta operatiivisessa yhteistyössä kaikkien asiaankuuluvien CSIRT-verkoston tehtävien lisäksi, sellaisina kuin ne määritellään verkko- ja tietoturvadirektiivissä. Viraston olisi lisäksi edistettävä ja tuettava yhteistyötä asianomaisten CSIRT-toimijoiden välillä tapauksissa, joissa CSIRT-toimijoiden hallinnoimiin tai suojaamiin verkkoihin tai infrastruktuureihin kohdistuu poikkeamia, hyökkäyksiä tai häiriöitä, jotka koskevat tai mahdollisesti koskevat vähintään kahta CERT-toimijaa, ottaen asianmukaisesti huomioon CSIRT-verkoston menettelyohjeet. Virasto voi komission tai jäsenvaltion pyynnöstä suorittaa säännöllisiä kriittisten rajatylittävien infrastruktuurien tietoteknisen turvallisuuden tarkastuksia, joiden tarkoituksena on yksilöidä suosituksia niiden resilienssin parantamiseksi.

Tarkistus    28

Ehdotus asetukseksi

Johdanto-osan 33 kappale

Komission teksti

Tarkistus

(33)  Viraston olisi kehitettävä ja ylläpidettävä asiantuntemustaan kyberturvallisuussertifioinnissa, jotta voidaan tukea unionin politiikkaa tällä alalla. Viraston olisi edistettävä kyberturvallisuussertifioinnin käyttöä unionissa muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

(33)  Viraston olisi kehitettävä ja ylläpidettävä asiantuntemustaan kyberturvallisuussertifioinnissa, jotta voidaan tukea unionin politiikkaa tällä alalla. Viraston olisi kehitettävä edelleen nykyisiä parhaita käytäntöjä ja edistettävä kyberturvallisuussertifioinnin käyttöä unionissa muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

Tarkistus    29

Ehdotus asetukseksi

Johdanto-osan 35 kappale

Komission teksti

Tarkistus

(35)  Viraston olisi kannustettava jäsenvaltioita ja palveluntarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä kyberturvallisuusnormeja. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa ja palvelujensa turvallisuutta, mukaan lukien kyberturvallisuus.

(35)  Viraston olisi kannustettava jäsenvaltioita, laitevalmistajia ja palveluntarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotka koskevat tieto- ja viestintätekniikan tuotteita, prosesseja, palveluja ja järjestelmiä, joiden olisi täytettävä turvallisuutta koskevat perusvaatimukset sisäänrakennettua ja oletusarvoista turvallisuutta koskevan periaatteen mukaisesti, erityisesti toimittamalla tarpeelliset päivitykset, jotta voidaan turvata kaikki internetin käyttäjät ja kannustaa näitä toteuttamaan tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi järjestettävä palautusmenettely, poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä kyberturvallisuuden perusvaatimuksia, kun taas maahantuojien ja jakelijoiden olisi varmistettava, että niiden EU:n markkinoille saattamat tieto- ja viestintätekniikan tuotteet, prosessit, palvelut ja järjestelmät täyttävät sovellettavat vaatimukset eivätkä aiheuta riskiä eurooppalaisille kuluttajille. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa, prosessiensa, palvelujensa ja järjestelmiensä turvallisuutta, mukaan lukien kyberturvallisuus. Viraston olisi tehtävä sidosryhmien kanssa yhteistyötä koko EU:n laajuisen lähestymistavan määrittelemiseksi haavoittuvuuksien vastuulliseen julkistamiseen ja edistettävä asiaa koskevia parhaita käytäntöjä.

Tarkistus    30

Ehdotus asetukseksi

Johdanto-osan 36 kappale

Komission teksti

Tarkistus

(36)  Viraston olisi otettava täysimääräisesti huomioon meneillään olevat tutkimus-, kehittämis- ja teknologian arviointitoimet erityisesti unionin eri tutkimusaloitteissa antaakseen unionin toimielimille, elimille, virastoille ja laitoksille sekä tarvittaessa jäsenvaltioille pyynnöstä neuvoja verkko- ja tietoturva-alan tutkimustarpeista varsinkin kyberturvallisuuskysymyksissä.

(36)  Viraston olisi otettava täysimääräisesti huomioon meneillään olevat tutkimus-, kehittämis- ja teknologian arviointitoimet erityisesti unionin eri tutkimusaloitteissa antaakseen unionin toimielimille, elimille, virastoille ja laitoksille sekä tarvittaessa jäsenvaltioille pyynnöstä neuvoja verkko- ja tietoturva-alan tutkimustarpeista varsinkin kyberturvallisuuskysymyksissä. Olisi erityisesti tehtävä yhteistyötä Euroopan tutkimusneuvoston (ERC) ja Euroopan innovaatio- ja teknologiainstituutin (EIT) kanssa, ja turvallisuustutkimus olisi sisällytettävä yhdeksänteen tutkimuksen puiteohjelmaan ja Horisontti 2020 ‑puiteohjelmaan.

Tarkistus    31

Ehdotus asetukseksi

Johdanto-osan 36 a kappale (uusi)

Komission teksti

Tarkistus

 

(36 a)  Standardi on vapaaehtoinen ja markkinavetoinen väline, jolla annetaan teknisiä vaatimuksia ja ohjausta ja joka on luotu avoimessa, läpinäkyvässä ja osallistavassa prosessissa. Viraston olisi kuultava standardointiorganisaatioita säännöllisesti ja tehtävä tiiviisti yhteistyötä niiden kanssa erityisesti unionin kyberturvallisuuden sertifiointijärjestelmiä valmistellessaan.

Tarkistus    32

Ehdotus asetukseksi

Johdanto-osan 37 kappale

Komission teksti

Tarkistus

(37)  Kyberturvallisuuteen liittyvät ongelmat ovat maailmanlaajuisia. Tarvitaan tiiviimpää kansainvälistä yhteistyötä turvallisuusstandardien parantamiseksi, mihin sisältyy myös yhteisten käyttäytymisnormien määrittely, sekä tiedonvaihtoa kansainvälisen yhteistoiminnan nopeuttamiseksi verkko- ja tietoturvakysymyksissä samoin kuin yhteistä maailmanlaajuista lähestymistapaa näihin kysymyksiin. Tätä varten viraston olisi tuettava unionin osallistumista kolmansien maiden ja kansainvälisten organisaatioiden kanssa harjoitettavaan yhteistyöhön ja tämän yhteistyön lisäämistä tarjoamalla käyttöön asianomaisten unionin toimielinten, elinten, virastojen ja laitosten mahdollisesti tarvitsemaa asiantuntemusta ja analysointivalmiuksia.

(37)  Kyberturvallisuuteen liittyvät ongelmat ovat maailmanlaajuisia. Tarvitaan tiiviimpää kansainvälistä yhteistyötä turvallisuusstandardien parantamiseksi, mihin sisältyy myös yhteisten käyttäytymisnormien ja käytännesääntöjen määrittely ja kansainvälisten standardien soveltaminen sekä tiedonvaihtoa kansainvälisen yhteistoiminnan nopeuttamiseksi verkko- ja tietoturvakysymyksissä samoin kuin yhteistä maailmanlaajuista lähestymistapaa näihin kysymyksiin. Tätä varten viraston olisi tuettava unionin osallistumista kolmansien maiden ja kansainvälisten organisaatioiden kanssa harjoitettavaan yhteistyöhön ja tämän yhteistyön lisäämistä tarjoamalla käyttöön asianomaisten unionin toimielinten, elinten, virastojen ja laitosten mahdollisesti tarvitsemaa asiantuntemusta ja analysointivalmiuksia.

Tarkistus    33

Ehdotus asetukseksi

Johdanto-osan 40 kappale

Komission teksti

Tarkistus

(40)  Johtokunnan, jossa ovat edustettuna jäsenvaltiot ja komissio, olisi määriteltävä viraston toiminnan yleinen suunta ja varmistettava, että se hoitaa tehtäviään tämän asetuksen mukaisesti. Johtokunnalle olisi annettava tarvittavat valtuudet hyväksyä talousarvio, valvoa sen toteuttamista, vahvistaa tarvittavat varainhoitoa koskevat säännöt, luoda avoimet menettelyt viraston päätöksentekoa varten, hyväksyä viraston yhtenäinen ohjelma-asiakirja, vahvistaa työjärjestyksensä, nimittää pääjohtaja sekä päättää tämän toimikauden jatkamisesta ja päättymisestä.

(40)  Johtokunnan, jossa ovat edustettuna jäsenvaltiot ja komissio sekä viraston tavoitteiden kannalta merkittävät sidosryhmät, olisi määriteltävä viraston toiminnan yleinen suunta ja varmistettava, että se hoitaa tehtäviään tämän asetuksen mukaisesti. Johtokunnalle olisi annettava tarvittavat valtuudet hyväksyä talousarvio, valvoa sen toteuttamista, vahvistaa tarvittavat varainhoitoa koskevat säännöt, luoda avoimet menettelyt viraston päätöksentekoa varten, hyväksyä viraston yhtenäinen ohjelma-asiakirja, vahvistaa työjärjestyksensä, nimittää pääjohtaja sekä päättää tämän toimikauden jatkamisesta ja päättymisestä. Koska viraston tehtävät ovat hyvin teknisiä ja tieteellisiä, johtokunnan jäsenillä olisi oltava asianmukainen kokemus ja korkean tason asiantuntemusta viraston tehtäviin kuuluvista kysymyksistä.

Tarkistus    34

Ehdotus asetukseksi

Johdanto-osan 41 kappale

Komission teksti

Tarkistus

(41)  Viraston moitteettoman ja tehokkaan toiminnan takaamiseksi komission ja jäsenvaltioiden olisi varmistettava, että johtokunnan jäseniksi nimitettävillä henkilöillä on riittävä ammatillinen asiantuntemus ja kokemus toiminnallisilta aloilta. Johtokunnan työn jatkuvuuden varmistamiseksi komission ja jäsenvaltioiden olisi pyrittävä rajoittamaan johtokunnassa olevien edustajiensa vaihtuvuutta.

(41)  Viraston moitteettoman ja tehokkaan toiminnan takaamiseksi komission ja jäsenvaltioiden olisi varmistettava, että johtokunnan jäseniksi nimitettävillä henkilöillä on riittävä ammatillinen asiantuntemus ja kokemus toiminnallisilta aloilta. Johtokunnan työn jatkuvuuden varmistamiseksi komission ja jäsenvaltioiden olisi pyrittävä rajoittamaan johtokunnassa olevien edustajiensa vaihtuvuutta. Viraston työssä tarvittavien taitojen korkean markkina-arvon vuoksi on tärkeää varmistaa, että viraston henkilöstölle tarjottavat palkat ja sosiaalietuudet ovat kilpailukykyisiä ja varmistavat, että parhaat ammattilaiset voivat valita sen työpaikakseen.

Perustelu

Riittävän asiantuntemuksen tason varmistamiseksi ENISAn on oltava kilpailukykyinen työnantaja erittäin kilpailluilla markkinoilla.

Tarkistus    35

Ehdotus asetukseksi

Johdanto-osan 42 kappale

Komission teksti

Tarkistus

(42)  Viraston moitteeton toiminta edellyttää, että sen pääjohtaja nimitetään ansioiden ja todistuksin osoitettujen hallinnollisten taitojen ja johtamistaitojen sekä kyberturvallisuuden kannalta merkityksellisen pätevyyden ja kokemuksen perusteella ja että pääjohtajan tehtäviä hoidetaan täysin riippumattomasti. Pääjohtajan olisi laadittava ehdotus viraston työohjelmaksi kuultuaan ensin komissiota ja toteutettava kaikki tarvittavat toimenpiteet varmistaakseen viraston työohjelman asianmukaisen toteuttamisen. Pääjohtajan olisi laadittava johtokunnalle esitettävä vuosikertomus sekä esitys viraston tuloja ja menoja koskevaksi ennakkoarvioksi ja vastattava talousarvion toteuttamisesta. Pääjohtajan olisi voitava perustaa tilapäisiä työryhmiä erityisesti tieteellisiä, teknisiä, oikeudellisia tai sosioekonomisia erityiskysymyksiä varten. Pääjohtajan olisi varmistettava, että tilapäisten työryhmien jäsenet valitaan huippuasiantuntemuksen perusteella ja ottaen asianmukaisesti huomioon tarkasteltavan kysymyksen edellyttämällä tavalla edustuksellinen tasapaino jäsenvaltioiden julkishallintojen, unionin toimielinten ja yksityisen sektorin välillä, mukaan lukien toimiala, käyttäjät ja tiedeyhteisöä edustavat verkko- ja tietoturva-asiantuntijat.

(42)  Viraston moitteeton toiminta edellyttää, että sen pääjohtaja nimitetään ansioiden ja todistuksin osoitettujen hallinnollisten taitojen ja johtamistaitojen sekä kyberturvallisuuden kannalta merkityksellisen pätevyyden ja kokemuksen perusteella ja että pääjohtajan tehtäviä hoidetaan täysin riippumattomasti. Pääjohtajan olisi laadittava ehdotus viraston työohjelmaksi kuultuaan ensin komissiota ja toteutettava kaikki tarvittavat toimenpiteet varmistaakseen viraston työohjelman asianmukaisen toteuttamisen. Pääjohtajan olisi laadittava johtokunnalle esitettävä vuosikertomus sekä esitys viraston tuloja ja menoja koskevaksi ennakkoarvioksi ja vastattava talousarvion toteuttamisesta. Pääjohtajan olisi voitava perustaa tilapäisiä työryhmiä erityisesti tieteellisiä, teknisiä, oikeudellisia tai sosioekonomisia erityiskysymyksiä varten. Pääjohtajan olisi varmistettava, että tilapäisten työryhmien jäsenet valitaan huippuasiantuntemuksen perusteella ja ottaen asianmukaisesti huomioon tarkasteltavan kysymyksen edellyttämällä tavalla edustuksellinen ja sukupuolten tasapaino jäsenvaltioiden julkishallintojen, unionin toimielinten ja yksityisen sektorin välillä, mukaan lukien toimiala, käyttäjät ja tiedeyhteisöä edustavat verkko- ja tietoturva-asiantuntijat.

Tarkistus    36

Ehdotus asetukseksi

Johdanto-osan 44 kappale

Komission teksti

Tarkistus

(44)  Virastolla olisi oltava neuvoa-antavana elimenä pysyvä sidosryhmä, jotta voitaisiin varmistaa säännöllinen yhteydenpito yksityisen sektorin, kuluttajajärjestöjen ja muiden asianosaisten sidosryhmien kanssa. Pysyvän sidosryhmän, jonka johtokunta perustaa pääjohtajan ehdotuksesta, olisi keskityttävä sidosryhmiä koskeviin asioihin ja saatettava ne viraston tietoon. Pysyvän sidosryhmän kokoonpanossa ja tälle ryhmälle, jotka kuullaan erityisesti työohjelmaluonnoksesta, annettavissa tehtävissä olisi varmistettava sidosryhmien riittävä edustus viraston työskentelyssä.

(44)  Virastolla olisi oltava neuvoa-antavana elimenä ENISAn neuvoa-antava ryhmä, jotta voitaisiin varmistaa säännöllinen yhteydenpito yksityisen sektorin, kuluttajajärjestöjen, tiedeyhteisön ja muiden asianosaisten sidosryhmien kanssa. ENISAn neuvoa-antavan ryhmän, jonka johtokunta perustaa pääjohtajan ehdotuksesta, olisi keskityttävä sidosryhmiä koskeviin asioihin ja saatettava ne viraston tietoon. Pysyvän sidosryhmän kokoonpanossa ja tälle ryhmälle, jotka kuullaan erityisesti työohjelmaluonnoksesta, annettavissa tehtävissä olisi varmistettava sidosryhmien riittävä edustus viraston työskentelyssä. Ottaen huomioon sertifiointivaatimusten merkityksen esineiden internetiä kohtaan tunnetun luottamuksen varmistamisessa komissio harkitsee erityisesti täytäntöönpanotoimenpiteitä EU:n laajuisen turvallisuusstandardien yhdenmukaistamisen varmistamiseksi esineiden internetin laitteiden osalta.

Tarkistus    37

Ehdotus asetukseksi

Johdanto-osan 44 a kappale (uusi)

Komission teksti

Tarkistus

 

(44 a)  Virastolla olisi oltava neuvoa-antavana elimenä sidosryhmien sertifiointiryhmä, jotta voitaisiin varmistaa säännöllinen yhteydenpito yksityisen sektorin, kuluttajajärjestöjen, tiedeyhteisön ja muiden asianosaisten sidosryhmien kanssa. Pääjohtajan perustaman sidosryhmien sertifiointiryhmän olisi koostuttava yleisestä neuvoa-antavasta komiteasta, joka antaa neuvoja siitä, mitkä tieto- ja viestintätekniikan tuotteet ja palvelut tulevien eurooppalaisten tietotekniikkaturvallisuuden sertifiointijärjestelmien olisi katettava, ja tilapäisistä komiteoista, jotka antavat pyydettäessä neuvoja ehdolla olevia eurooppalaisia kyberturvallisuusjärjestelmiä koskevista ehdotuksista, niiden kehittämisestä ja hyväksymisestä.

Tarkistus    38

Ehdotus asetukseksi

Johdanto-osan 46 kappale

Komission teksti

Tarkistus

(46)  Jotta voidaan varmistaa viraston täydellinen itsemääräämisoikeus ja riippumattomuus ja jotta virasto pystyy suorittamaan uusia ja täydentäviä tehtäviä, myös ennakoimattomia tehtäviä hätätilanteissa, virastolle olisi annettava riittävä ja itsenäinen talousarvio, jonka tulot koostuvat ensisijaisesti unionin rahoitusosuudesta ja viraston työhön osallistuvien kolmansien maiden rahoitusosuuksista. Viraston henkilöstön enemmistön työtehtävien olisi liityttävä suoraan viraston toimeksiannon operatiiviseen täytäntöönpanoon. Viraston isäntäjäsenvaltion tai minkä tahansa muun jäsenvaltion olisi voitava maksaa vapaaehtoisia rahoitusosuuksia virastolle. Unionin talousarviomenettelyä olisi sovellettava edelleen unionin yleisestä talousarviosta maksettaviin tukiin. Lisäksi tilintarkastustuomioistuimen olisi tarkastettava viraston tilit avoimuuden ja vastuuvelvollisuuden varmistamiseksi.

(46)  Jotta voidaan varmistaa viraston täydellinen itsemääräämisoikeus ja riippumattomuus ja jotta virasto pystyy suorittamaan uusia ja täydentäviä tehtäviä, myös ennakoimattomia tehtäviä hätätilanteissa, virastolle olisi annettava riittävä ja itsenäinen talousarvio, jonka tulot koostuvat ensisijaisesti unionin rahoitusosuudesta ja viraston työhön osallistuvien kolmansien maiden rahoitusosuuksista. Asianmukaiset määrärahat ovat äärimmäisen tärkeät sen varmistamiseksi, että virastolla on riittävät valmiudet toteuttaa kaikki lisääntyvät tehtävänsä ja tavoitteensa. Viraston henkilöstön enemmistön työtehtävien olisi liityttävä suoraan viraston toimeksiannon operatiiviseen täytäntöönpanoon. Viraston isäntäjäsenvaltion tai minkä tahansa muun jäsenvaltion olisi voitava maksaa vapaaehtoisia rahoitusosuuksia virastolle. Unionin talousarviomenettelyä olisi sovellettava edelleen unionin yleisestä talousarviosta maksettaviin tukiin. Lisäksi tilintarkastustuomioistuimen olisi tarkastettava viraston tilit avoimuuden, vastuuvelvollisuuden ja varojen tehokkaan käytön varmistamiseksi.

Tarkistus    39

Ehdotus asetukseksi

Johdanto-osan 47 kappale

Komission teksti

Tarkistus

(47)  Vaatimustenmukaisuuden arviointi on menettely sen osoittamiseksi, täyttyvätkö tuotteelle, prosessille, palvelulle, järjestelmälle, henkilölle tai elimelle asetetut erityiset vaatimukset. Tätä asetusta sovellettaessa sertifiointi olisi katsottava vaatimustenmukaisuuden arvioinnin tyypiksi, joka koskee tuotteen, prosessin, palvelun, järjestelmän tai näiden yhdistelmän, jäljempänä ’tieto- ja viestintätekniikan tuotteet ja palvelut’, kyberturvallisuusominaisuuksia ja jonka suorittaa riippumaton kolmas osapuoli, joka ei ole tuotteen valmistaja tai palvelun tarjoaja. Sertifiointi ei sinänsä takaa, että sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut ovat kyberturvallisia. Se on pikemminkin menettely ja tekninen menetelmä todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut on testattu ja että ne täyttävät tietyt kyberturvallisuusvaatimukset, jotka on vahvistettu muualla, esimerkiksi teknisissä standardeissa.

(47)  Vaatimustenmukaisuuden arviointi on menettely sen osoittamiseksi, täyttyvätkö tuotteelle, prosessille, palvelulle, järjestelmälle, henkilölle tai elimelle asetetut erityiset vaatimukset. Tätä asetusta sovellettaessa sertifiointi olisi katsottava vaatimustenmukaisuuden arvioinnin tyypiksi, joka koskee tuotteen, prosessin, palvelun, järjestelmän tai näiden yhdistelmän, jäljempänä ’tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut’, kyberturvallisuusominaisuuksia ja jonka suorittaa riippumaton kolmas osapuoli tai, jos se on sallittua, tuotteen valmistaja tai palvelun tarjoaja itsearviointina. Itsearvioinnin voivat suorittaa tuotteen valmistaja, pk-yritykset tai palvelun tarjoaja, kuten tässä asetuksessa on määritetty, ja soveltuvin osin uuden lainsäädäntökehyksen säädösten mukaisesti. Lisäksi sen voi suorittaa tuotteen valmistaja tai muu toimija, kun kyberturvallisuuspoikkeaman todennäköisyys ja/tai sen todennäköisyys, että tällaisesta poikkeamasta olisi merkittävää haittaa yhteiskunnalle tai sen suurelle osalle, ei odoteta olevan suuri tai merkittävä, ottaen huomioon valmistajan tai palveluntarjoajan kyseisen tuotteen tai palvelun suunniteltu käyttötarkoitus. Sertifiointi ei sinänsä takaa, että sertifioidut tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut ovat kyberturvallisia, ja siitä olisi tiedotettava kuluttajille ja yrityksillä asianmukaisesti. Se on pikemminkin menettely ja tekninen menetelmä todistaa, että tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut on testattu ja että ne täyttävät tietyt kyberturvallisuusvaatimukset, jotka on vahvistettu muualla, esimerkiksi teknisissä standardeissa. Näihin teknisiin standardeihin kuuluu ilmoitus siitä, voiko tieto- ja viestintätekniikan tuote, prosessi ja palvelu täyttää tehtävänsä silloin, kun se ei ole yhteydessä internetiin.

Tarkistus    40

Ehdotus asetukseksi

Johdanto-osan 48 kappale

Komission teksti

Tarkistus

(48)  Kyberturvallisuussertifioinnilla on tärkeä rooli lisättäessä tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuutta ja niihin tunnettua luottamusta. Digitaaliset sisämarkkinat ja erityisesti datatalous ja esineiden internet voivat menestyä vain, jos vallitsee yleinen julkinen luottamus siihen, että tuotteissa ja palveluissa varmistetaan kyberturvallisuus tietyllä tasolla. Verkkoyhteyksillä varustetut ja automatisoidut autot, sähköiset terveyspalvelut, teollisuusautomaation ohjausjärjestelmät ja älykkäät verkot ovat joitakin esimerkkejä aloista, joilla sertifiointi on jo laajalti käytössä tai tulee todennäköisesti käyttöön lähitulevaisuudessa. Verkko- ja tietoturvadirektiivillä säännellyt alat ovat samalla aloja, joilla kyberturvallisuussertifioinnilla on ratkaiseva merkitys.

(48)  Eurooppalaisella kyberturvallisuussertifioinnilla on olennainen rooli lisättäessä tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen turvallisuutta ja niihin tunnettua luottamusta. Digitaaliset sisämarkkinat ja erityisesti datatalous ja esineiden internet voivat menestyä vain, jos vallitsee yleinen julkinen luottamus siihen, että tuotteissa ja palveluissa varmistetaan kyberturvallisuus korkealla tasolla. Verkkoyhteyksillä varustetut ja automatisoidut autot, sähköiset terveyspalvelut, teollisuusautomaation ohjausjärjestelmät ja älykkäät verkot ovat joitakin esimerkkejä aloista, joilla sertifiointi on jo laajalti käytössä tai tulee todennäköisesti käyttöön lähitulevaisuudessa. Verkko- ja tietoturvadirektiivillä säännellyt alat ovat samalla aloja, joilla kyberturvallisuussertifioinnilla on ratkaiseva merkitys.

Tarkistus    41

Ehdotus asetukseksi

Johdanto-osan 49 kappale

Komission teksti

Tarkistus

(49)  Vuonna 2016 antamassaan tiedonannossa ”Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen” komissio linjasi tarpeen ottaa käyttöön laadukkaita, kohtuuhintaisia ja yhteentoimivia kyberturvallisuustuotteita ja -ratkaisuja. Tieto- ja viestintätekniikan tuotteiden ja -palvelujen tarjonta sisämarkkinoilla on edelleen maantieteellisesti hyvin hajanaista. Tämä johtuu siitä, että Euroopan kyberturvallisuusala on kehittynyt suurelta osin kansallisista valtiollisen kysynnän lähtökohdista. Kyberturvallisuuden sisämarkkinoiden toimintapuutteisiin kuuluu lisäksi yhteentoimivien ratkaisujen (teknisten standardien), toimintatapojen ja EU:n laajuisten sertifiointimekanismien puuttuminen. Tämä yhtäältä vaikeuttaa eurooppalaisten yritysten kilpailua niin kansallisella kuin Euroopan ja maailmanlaajuisellakin tasolla ja toisaalta vähentää yksilöiden ja yritysten saatavilla olevan hyödyllisen ja käyttökelpoisen kyberturvallisuusteknologian valinnanvaraa. Samoin myös digitaalisten sisämarkkinoiden strategian täytäntöönpanon väliarvioinnissa komissio korosti tarvetta huolehtia verkkoon liitettyjen tuotteiden ja järjestelmien turvallisuudesta ja totesi, että luomalla tieto- ja viestintätekniikan turvallisuudelle eurooppalaiset puitteet, joissa annetaan säännöt tieto- ja viestintäteknologian turvallisuussertifioinnin järjestämisestä unionissa, voitaisiin sekä ylläpitää luottamusta internetiin ja puuttua kyberturvallisuuden markkinoiden nykyiseen hajanaisuuteen.

(49)  Vuonna 2016 antamassaan tiedonannossa ”Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen” komissio linjasi tarpeen ottaa käyttöön laadukkaita, kohtuuhintaisia ja yhteentoimivia kyberturvallisuustuotteita ja -ratkaisuja. Tieto- ja viestintätekniikan tuotteiden, prosessien ja -palvelujen tarjonta sisämarkkinoilla on edelleen maantieteellisesti hyvin hajanaista. Tämä johtuu siitä, että Euroopan kyberturvallisuusala on kehittynyt suurelta osin kansallisista valtiollisen kysynnän lähtökohdista. Kyberturvallisuuden sisämarkkinoiden toimintapuutteisiin kuuluu lisäksi yhteentoimivien ratkaisujen (teknisten standardien), toimintatapojen ja EU:n laajuisten sertifiointimekanismien puuttuminen. Tämä yhtäältä vaikeuttaa eurooppalaisten yritysten kilpailua niin kansallisella kuin Euroopan ja maailmanlaajuisellakin tasolla ja toisaalta vähentää yksilöiden ja yritysten saatavilla olevan hyödyllisen ja käyttökelpoisen kyberturvallisuusteknologian valinnanvaraa. Samoin myös digitaalisten sisämarkkinoiden strategian täytäntöönpanon väliarvioinnissa komissio korosti tarvetta huolehtia verkkoon liitettyjen tuotteiden ja järjestelmien turvallisuudesta ja totesi, että luomalla tieto- ja viestintätekniikan turvallisuudelle eurooppalaiset puitteet, joissa annetaan säännöt tieto- ja viestintäteknologian turvallisuussertifioinnin järjestämisestä unionissa, voitaisiin sekä ylläpitää luottamusta internetiin ja puuttua kyberturvallisuuden markkinoiden nykyiseen hajanaisuuteen.

Tarkistus    42

Ehdotus asetukseksi

Johdanto-osan 50 kappale

Komission teksti

Tarkistus

(50)  Tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuussertifiointia käytetään tällä hetkellä vain vähäisessä määrin. Kun sitä käytetään, käyttö rajoittuu enimmäkseen jäsenvaltioiden tasolle tai teollisuuslähtöisten järjestelmien piiriin. Tässä yhteydessä yhden kansallisen kyberturvallisuusviranomaisen myöntämää sertifikaattia ei periaatteessa tunnusteta muissa jäsenvaltioissa. Yritykset voivat näin ollen joutua sertifioimaan tuotteensa ja palvelunsa useissa jäsenvaltioissa, joissa ne toimivat, esimerkiksi voidakseen osallistua kansallisiin hankintamenettelyihin. Syntymässä on uusia järjestelmiä, mutta vaikuttaa siltä, ettei ole olemassa johdonmukaista ja kokonaisvaltaista lähestymistapaa laaja-alaisiin kyberturvallisuuskysymyksiin esimerkiksi esineiden internetin alalla. Nykyisissä järjestelmissä on merkittäviä puutteita ja eroja, jotka liittyvät niiden tuotekatteeseen, varmuustasoihin, aineellisiin edellytyksiin ja tosiasialliseen käyttöön.

(50)  Tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen kyberturvallisuussertifiointia käytetään tällä hetkellä vain vähäisessä määrin. Kun sitä käytetään, käyttö rajoittuu enimmäkseen jäsenvaltioiden tasolle tai teollisuuslähtöisten järjestelmien piiriin. Tässä yhteydessä yhden kansallisen kyberturvallisuusviranomaisen myöntämää sertifikaattia ei periaatteessa tunnusteta muissa jäsenvaltioissa. Yritykset voivat näin ollen joutua sertifioimaan tuotteensa, prosessinsa ja palvelunsa useissa jäsenvaltioissa, joissa ne toimivat, esimerkiksi voidakseen osallistua kansallisiin hankintamenettelyihin, mikä aiheuttaa yrityksille lisäkustannuksia. Syntymässä on uusia järjestelmiä, mutta vaikuttaa siltä, ettei ole olemassa johdonmukaista ja kokonaisvaltaista lähestymistapaa laaja-alaisiin kyberturvallisuuskysymyksiin esimerkiksi esineiden internetin alalla. Nykyisissä järjestelmissä on merkittäviä puutteita ja eroja, jotka liittyvät niiden tuotekatteeseen, riskiperusteisiin varmuustasoihin, aineellisiin edellytyksiin ja tosiasialliseen käyttöön. Tämän osalta keskeinen tekijä on jäsenvaltioiden välinen vastavuoroinen tunnustaminen ja luottamus. ENISAn tärkeänä tehtävänä on auttaa jäsenvaltioita kehittämään vankka institutionaalinen rakenne ja asiantuntemus suojautumisessa mahdollisia kyberhyökkäyksiä vastaan. Tarvitaan tapauskohtaista lähestymistapaa sen varmistamiseksi, että palveluihin, prosesseihin ja tuotteisiin sovelletaan asianmukaisia sertifiointijärjestelmiä. Lisäksi tarvitaan riskipainotteista lähestymistapaa riskien tehokasta tunnistamista ja lieventämistä varten, joskin samalla on tunnustettava, ettei ole mahdollista saada järjestelmää, jossa yhden ratkaisun oletetaan sopivan kaikille.

Tarkistus    43

Ehdotus asetukseksi

Johdanto-osan 52 kappale

Komission teksti

Tarkistus

(52)  Edellä esitetyn perusteella on tarpeen perustaa eurooppalainen kyberturvallisuuden sertifiointikehys, jossa vahvistetaan tärkeimmät horisontaaliset vaatimukset kehitettäville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja jonka ansiosta tieto- ja viestintätekniikan tuotteita ja palveluja koskevat sertifikaatit voidaan tunnustaa ja ottaa käyttöön kaikissa jäsenvaltioissa. Eurooppalaisen sertifiointikehyksen tulisi palvella kahta tarkoitusta. Yhtäältä sen pitäisi lisätä luottamusta tieto- ja viestintätekniikan tuotteisiin ja palveluihin, jotka on sertifioitu tällaisten järjestelmien mukaisesti. Toisaalta sen avulla pitäisi välttää tilanne, jossa käytössä on monia keskenään ristiriitaisia tai päällekkäisiä kansallisia kyberturvallisuussertifiointeja, ja vähentää siten digitaalisilla sisämarkkinoilla yrityksille aiheutuvia kustannuksia. Järjestelmien olisi oltava syrjimättömiä ja kansainvälisiin ja/tai unionin standardeihin perustuvia, paitsi jos kyseiset standardit ovat tehottomia tai epäasianmukaisia EU:n oikeutettujen tavoitteiden saavuttamiseksi.

(52)  Edellä esitetyn perusteella on tarpeen omaksua yhteinen lähestymistapa ja perustaa eurooppalainen kyberturvallisuuden sertifiointikehys, jossa vahvistetaan tärkeimmät horisontaaliset vaatimukset kehitettäville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja jonka ansiosta tieto- ja viestintätekniikan tuotteita, prosesseja ja palveluja koskevat sertifikaatit voidaan tunnustaa ja ottaa käyttöön kaikissa jäsenvaltioissa. Tässä yhteydessä on olennaista käyttää perustana nykyisiä kansallisia ja kansainvälisiä järjestelmiä sekä vastavuoroisen tunnustamisen järjestelmiä, erityisesti SOGIS-järjestelmää, sekä mahdollistaa sujuva siirtyminen tällaisten järjestelmien piiriin kuuluvista nykyisistä järjestelmistä eurooppalaisen kehyksen mukaisiin uusiin järjestelmiin. Eurooppalaisen sertifiointikehyksen tulisi palvella kahta tarkoitusta. Yhtäältä sen pitäisi lisätä luottamusta tieto- ja viestintätekniikan tuotteisiin, prosesseihin ja palveluihin, jotka on sertifioitu tällaisten järjestelmien mukaisesti. Toisaalta sen avulla pitäisi välttää tilanne, jossa käytössä on monia keskenään ristiriitaisia tai päällekkäisiä kansallisia kyberturvallisuussertifiointeja, ja vähentää siten digitaalisilla sisämarkkinoilla yrityksille aiheutuvia kustannuksia. Jos kansallinen järjestelmä on korvattu eurooppalaisella kyberturvallisuussertifioinnilla, eurooppalaisen järjestelmän mukaan annetut sertifikaatit olisi hyväksyttävä päteviksi tapauksissa, joissa on edellytetty kansallisen järjestelmän mukaista sertifikaattia. Järjestelmien olisi perustuttava sisäänrakennetun turvallisuuden periaatteeseen ja asetuksessa (EU) 2016/679 tarkoitettuihin periaatteisiin. Niiden olisi myös oltava syrjimättömiä ja kansainvälisiin ja/tai unionin standardeihin perustuvia, paitsi jos kyseiset standardit ovat tehottomia tai epäasianmukaisia EU:n oikeutettujen tavoitteiden saavuttamiseksi.

Tarkistus    44

Ehdotus asetukseksi

Johdanto-osan 52 a kappale (uusi)

Komission teksti

Tarkistus

 

(52 a)  Eurooppalaisen kyberturvallisuuden sertifiointikehyksen on oltava yhdenmukainen kaikissa jäsenvaltioissa, jotta vältetään ”sertifiointishoppailu” jäsenvaltioiden erilaisten kustannusten tai vaatimustasojen vuoksi.

Tarkistus    45

Ehdotus asetukseksi

Johdanto-osan 52 b kappale (uusi)

Komission teksti

Tarkistus

 

(52 b)  Sertifiointijärjestelmien olisi perustuttava siihen, mikä on jo käytössä kansallisella ja kansainvälisellä tasolla, hyödynnettävä nykyisiä vahvuuksia sekä arvioitava ja korjattava heikkouksia.

Tarkistus    46

Ehdotus asetukseksi

Johdanto-osan 52 c kappale (uusi)

Komission teksti

Tarkistus

 

(52 c)  Tarvitaan joustavia kyberturvallisuusratkaisuja, jotta toimialalla olisi etumatkaa pahantahtoisiin hyökkäyksiin ja uhkiin nähden, joten sertifiointijärjestelmien olisi vältettävä nopean vanhentumisen riskit.

Tarkistus    47

Ehdotus asetukseksi

Johdanto-osan 53 kappale

Komission teksti

Tarkistus

(53)  Komissiolle olisi siirrettävä valta hyväksyä eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät yksittäisille tieto- ja viestintätekniikan tuotteiden ja palvelujen ryhmille. Kansallisten sertifioinnin valvontaviranomaisten olisi vastattava näiden järjestelmien täytäntöönpanosta ja valvonnasta, ja näissä järjestelmissä myönnettyjen sertifikaattien olisi oltava voimassa ja tunnustettuja kaikkialla unionissa. Toimialan tai muiden yksityisten organisaatioiden ylläpitämien sertifiointijärjestelmien ei tulisi kuulua tämän asetuksen soveltamisalaan. Tällaisia järjestelmiä ylläpitävät elimet voivat kuitenkin ehdottaa, että komissio ottaa tällaiset järjestelmät lähtökohdaksi niiden hyväksymiseksi eurooppalaisena järjestelmänä.

(53)  Komissiolle olisi siirrettävä valta hyväksyä eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät yksittäisille tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen ryhmille. Kansallisten sertifioinnin valvontaviranomaisten olisi vastattava näiden järjestelmien täytäntöönpanosta ja valvonnasta, ja näissä järjestelmissä myönnettyjen sertifikaattien olisi oltava voimassa ja tunnustettuja kaikkialla unionissa. Toimialan tai muiden yksityisten organisaatioiden ylläpitämien sertifiointijärjestelmien ei tulisi kuulua tämän asetuksen soveltamisalaan. Tällaisia järjestelmiä ylläpitävät elimet voivat kuitenkin ehdottaa, että komissio ottaa tällaiset järjestelmät lähtökohdaksi niiden hyväksymiseksi eurooppalaisena järjestelmänä. Viraston olisi yksilöitävä ja arvioitava toimialan tai yksityisten organisaatioiden ylläpitämiä järjestelmiä, jotta voidaan valita parhaat käytännöt, jotka voitaisiin ottaa osaksi eurooppalaista järjestelmää. Alan toimijat voivat suorittaa tuotteidensa tai palvelujensa itsearvioinnin ennen sertifiointia ja osoittaa näin, että niiden tuotteet tai palvelut ovat pyydettäessä tai tarvittaessa valmiita sertifiointiprosessiin.

Tarkistus    48

Ehdotus asetukseksi

Johdanto-osan 53 a kappale (uusi)

Komission teksti

Tarkistus

 

(53 a)  Viraston ja komission olisi hyödynnettävä mahdollisimman laajasti EU:ssa ja/tai kansainvälisellä tasolla jo käytössä olevia sertifiointijärjestelmiä. ENISAn olisi voitava arvioida, mitkä jo käytössä olevat järjestelmät olisivat tarkoitukseen soveltuvia ja voitaisiin sisällyttää unionin lainsäädäntöön yhteistyössä EU:n standardointijärjestöjen kanssa ja olisivat mahdollisimman laajasti kansainvälisesti tunnustettuja. Jäsenvaltioiden olisi kerättävä nykyisiä hyviä käytäntöjä ja jaettava ne keskenään.

Tarkistus    49

Ehdotus asetukseksi

Johdanto-osan 54 kappale

Komission teksti

Tarkistus

(54)  Tämän asetuksen säännökset eivät saisi vaikuttaa unionin lainsäädäntöön, jossa annetaan erityiset säännöt tieto- ja viestintätekniikan tuotteiden ja palvelujen sertifioinnista. Erityisesti yleisessä tietosuoja-asetuksessa säädetään sertifiointimekanismeista sekä tietosuojasineteistä ja -merkeistä, joiden tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat kyseistä asetusta käsittelytoimia suorittaessaan. Rekisteröityjen olisi tällaisten sertifiointimekanismien ja tietosuojasinettien ja -merkkien avulla voitava nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojataso. Tämä asetus ei rajoita tietojenkäsittelytoimintojen sertifiointia yleisen tietosuoja-asetuksen mukaisesti, ei myöskään silloin, kun nämä toimet on sisällytetty tuotteisiin ja palveluihin.

(54)  Tämän asetuksen säännökset eivät saisi vaikuttaa unionin lainsäädäntöön, jossa annetaan erityiset säännöt tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen sertifioinnista. Erityisesti yleisessä tietosuoja-asetuksessa säädetään sertifiointimekanismeista sekä tietosuojasineteistä ja -merkeistä, joiden tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat kyseistä asetusta käsittelytoimia suorittaessaan. Rekisteröityjen olisi tällaisten sertifiointimekanismien ja tietosuojasinettien ja -merkkien avulla voitava nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojataso. Tämä asetus ei rajoita tietojenkäsittelytoimintojen sertifiointia yleisen tietosuoja-asetuksen mukaisesti, ei myöskään silloin, kun nämä toimet on sisällytetty tuotteisiin ja palveluihin.

Tarkistus    50

Ehdotus asetukseksi

Johdanto-osan 55 kappale

Komission teksti

Tarkistus

(55)  Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena olisi oltava varmistaa, että tällaisessa järjestelmässä sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät määritellyt vaatimukset. Nämä vaatimukset koskevat kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus tässä asetuksessa tarkoitetussa merkityksessä. Tässä asetuksessa ei ole mahdollista määritellä yksityiskohtaisesti kyberturvallisuusvaatimuksia kaikille tieto- ja viestintätekniikan tuotteille ja palveluille. Tieto- ja viestintätekniikan tuotteet ja palvelut ja niihin liittyvät kyberturvallisuustarpeet ovat niin moninaiset, että on hyvin vaikeaa määritellä yleisiä kyberturvallisuusvaatimuksia, jotka olisivat voimassa kaikkialla. Siksi kyberturvallisuus olisi määriteltävä laajasti ja yleisesti sertifiointitarkoituksia varten ja sitä olisi täydennettävä erityisillä kyberturvallisuustavoitteilla, jotka on tarpeen ottaa huomioon suunniteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. Se, miten tällaiset tavoitteet saavutetaan yksittäisissä tieto- ja viestintätekniikan tuotteissa ja palveluissa, olisi täsmennettävä yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin.

(55)  Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena olisi oltava varmistaa, että tällaisessa järjestelmässä sertifioidut tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit täyttävät määritellyt vaatimukset. Nämä vaatimukset koskevat kykyä suojautua tietyllä riskitasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus tässä asetuksessa tarkoitetussa merkityksessä. Tässä asetuksessa ei ole mahdollista määritellä yksityiskohtaisesti kyberturvallisuusvaatimuksia kaikille tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Tieto- ja viestintätekniikan tuotteet, palvelut ja prosessit ja niihin liittyvät kyberturvallisuustarpeet ovat niin moninaiset, että on hyvin vaikeaa määritellä yleisiä kyberturvallisuusvaatimuksia, jotka olisivat voimassa kaikkialla. Siksi kyberturvallisuus olisi määriteltävä laajasti ja yleisesti sertifiointitarkoituksia varten ja sitä olisi täydennettävä erityisillä kyberturvallisuustavoitteilla, jotka on tarpeen ottaa huomioon suunniteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. Se, miten tällaiset tavoitteet saavutetaan yksittäisissä tieto- ja viestintätekniikan tuotteissa, palveluissa ja prosesseissa, olisi täsmennettävä yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin. Kaikkia tietyn toimitusketjun toimijoita olisi rohkaistava kehittämään ja ottamaan käyttöön turvallisuusnormeja, teknisiä normeja sekä sisäänrakennetun turvallisuuden periaatteita kaikissa tuotteen, palvelun tai prosessin elinkaaren vaiheissa. Kukin eurooppalainen kyberturvallisuuden sertifiointijärjestelmä olisi suunniteltava tämän mukaisesti.

Tarkistus    51

Ehdotus asetukseksi

Johdanto-osan 56 kappale

Komission teksti

Tarkistus

(56)  Komissiolle olisi annettava valtuudet pyytää ENISAa valmistelemaan yksittäisiä tieto- ja viestintätekniikan tuotteita tai palveluja varten ehdolla olevat järjestelmät. Edelleen komissiolle olisi annettava valtuudet hyväksyä ENISAn valmisteleman ehdolla olevan järjestelmän pohjalta eurooppalainen kyberturvallisuuden sertifiointijärjestelmä täytäntöönpanosäädöksillä. Kun otetaan huomioon tämän asetuksen yleinen tarkoitus ja siinä määritellyt turvallisuustavoitteet, komission hyväksymissä eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi määriteltävä tietyt vähimmäistekijät yksittäisen järjestelmän kohteen, soveltamisalan ja toiminnan osalta. Näihin olisi sisällyttävä muun muassa kyberturvallisuussertifioinnin soveltamisala ja kohde, mukaan lukien sertifioinnin kattamat tieto- ja viestintätekniikan tuotteiden ja palvelujen luokat, yksityiskohtainen eritelmä kyberturvallisuusvaatimuksista esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, yksittäiset arviointiperusteet ja -menetelmät sekä aiottu varmuustaso: perustaso, korotettu ja/tai korkea.

(56)  Komissiolle olisi annettava valtuudet pyytää ENISAa valmistelemaan yksittäisiä tieto- ja viestintätekniikan tuotteita, prosesseja tai palveluja varten ehdolla olevat järjestelmät perusteltujen syiden pohjalta, erityisesti kun on kyse sisämarkkinoita pirstaloivista kansallisista kyberturvallisuuden sertifiointijärjestelmistä, olemassa olevasta tai ennakoitavasta tarpeesta tukea unionin lainsäädäntöä tai jäsenvaltioiden sertifiointiryhmän tai sidosryhmien sertifiointiryhmän lausunnosta. Sen jälkeen kun komissio on arvioinut ENISAn komission pyynnöstä valmistelemat ehdolla olevat sertifiointijärjestelmät, komissiolle olisi annettava valtuudet hyväksyä eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät delegoiduilla säädöksillä. Kun otetaan huomioon tämän asetuksen yleinen tarkoitus ja siinä määritellyt turvallisuustavoitteet, kyseisissä eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi määriteltävä tietyt vähimmäistekijät yksittäisen järjestelmän kohteen, soveltamisalan ja toiminnan osalta. Näihin olisi sisällyttävä muun muassa kyberturvallisuussertifioinnin soveltamisala ja kohde, mukaan lukien sertifioinnin kattamat tieto- ja viestintätekniikan tuotteiden ja palvelujen luokat, yksityiskohtainen eritelmä kyberturvallisuusvaatimuksista esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, yksittäiset arviointiperusteet ja -menetelmät sekä aiottu varmuustaso: perustaso, korotettu ja/tai korkea.

Tarkistus    52

Ehdotus asetukseksi

Johdanto-osan 56 a kappale (uusi)

Komission teksti

Tarkistus

 

(56 a)  Viraston olisi oltava eurooppalaisia kyberturvallisuusjärjestelmiä koskevan tiedon viitekeskus. Sen olisi ylläpidettävä verkkosivustoa, jossa on kaikki asiaankuuluvat tiedot, myös peruutetuista ja vanhentuneista sertifikaateista ja sertifiointijärjestelmän kattamista kansallisista sertifioinneista. Viraston olisi varmistettava, että riittävä osa sen verkkosivuston sisällöstä on tavallisten kuluttajien ymmärrettävissä.

Tarkistus    53

Ehdotus asetukseksi

Johdanto-osan 56 b kappale (uusi)

Komission teksti

Tarkistus

 

(56 b)  Varmuustason määrittely sertifikaateissa on tarpeen, jotta loppukäyttäjä saa viitteen siitä, minkätyyppisiä odotettuja kyberuhkia tuotteen, prosessin tai palvelun kyberturvallisuustoimenpiteillä pyritään estämään. Kyberuhat on määriteltävä ottaen huomioon odotettavissa oleva riski sekä hyökkäyksen tekijän tai tekijöiden valmiudet sertifioinnin kattamien tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen oletetun käytön yhteydessä. Varmuustasolla ”perustaso” tarkoitetaan valmiuksia suojautua hyökkäyksiltä, jotka voidaan välttää perustason kyberturvallisuustoimenpiteillä ja jotka voidaan tarkistaa vaivattomasti tarkastelemalla teknisiä asiakirjoja. Varmuustasolla ”korotettu” tarkoitetaan valmiuksia suojautua tunnetuilta hyökkäyksiltä, joiden tekijän taso on melko kehittynyt mutta jonka resurssit ovat rajalliset. Varmuustasolla ”korkea” tarkoitetaan valmiuksia suojautua ennalta tuntemattomilta haavoittuvuuksilta ja pitkälle kehitetyiltä hyökkäyksiltä, joihin liittyy uusinta teknologiaa ja huomattavat resurssit, kuten rahoitusta saavia monialaisia ryhmiä.

Tarkistus    54

Ehdotus asetukseksi

Johdanto-osan 56 c kappale (uusi)

Komission teksti

Tarkistus

 

(56 c)  Jotta voidaan välttää kansallisista kyberturvallisuusjärjestelmistä johtuvaa sisämarkkinoiden hajanaisuutta, tukea tulevaa lainsäädäntöä sekä lisätä luottamusta ja turvallisuutta, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädöksiä, jotka koskevat eurooppalaisten kyberturvallisuussertifioinnin painopisteiden vahvistamista, jatkuvan ohjelman hyväksymistä ja eurooppalaisten sertifiointijärjestelmien hyväksymistä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten sopimuksessa vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

Tarkistus    55

Ehdotus asetukseksi

Johdanto-osan 56 d kappale (uusi)

Komission teksti

Tarkistus

 

(56 d)  Kuhunkin eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään liittyvissä arviointimenetelmissä ja -menettelyissä olisi edistettävä unionin tasolla eettistä hakkerointia, jonka tavoitteena on paikantaa laitteiden ja tietojärjestelmien heikkoudet ja haavoittuvuudet ennakoimalla pahantahtoisten hakkereiden aikomat toimet ja taidot.

Tarkistus    56

Ehdotus asetukseksi

Johdanto-osan 57 kappale

Komission teksti

Tarkistus

(57)  Eurooppalaisen kyberturvallisuussertifioinnin käytön tulisi edelleen olla vapaaehtoista, jollei toisin säädetä unionin tai kansallisessa lainsäädännössä. Jotta voitaisiin kuitenkin saavuttaa tämän asetuksen tavoitteet ja välttää hajanaisuus sisämarkkinoilla, sellaisten kansallisten kyberturvallisuuden sertifiointijärjestelmien tai -menettelyjen, joiden kattamat tieto- ja viestintätekniikan tuotteet ja palvelut kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, olisi lakattava tuottamasta oikeusvaikutuksia alkaen päivästä, jonka komissio vahvistaa täytäntöönpanosäädöksessä. Jäsenvaltiot eivät myöskään saisi ottaa käyttöön uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä tieto- ja viestintätekniikan tuotteille ja palveluille, jotka kuuluvat jo jonkin olemassa olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan.

(57)  Eurooppalaisen kyberturvallisuussertifioinnin käytön tulisi edelleen olla vapaaehtoista, jollei toisin säädetä unionin tai kansallisessa lainsäädännössä. Jotta voitaisiin kuitenkin saavuttaa tämän asetuksen tavoitteet ja välttää hajanaisuus sisämarkkinoilla, sellaisten kansallisten kyberturvallisuuden sertifiointijärjestelmien tai -menettelyjen, joiden kattamat tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, olisi lakattava tuottamasta oikeusvaikutuksia alkaen päivästä, jonka komissio vahvistaa delegoidussa säädöksessä. Jäsenvaltiot eivät myöskään saisi ottaa käyttöön uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä tieto- ja viestintätekniikan tuotteille ja palveluille, jotka kuuluvat jo jonkin olemassa olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan. Tämä asetus ei kuitenkaan saisi vaikuttaa kansallisiin järjestelmiin, jotka kattavat tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut, joita käytetään jäsenvaltioiden tarpeisiin aloilla, joista ne ovat yksin vastuussa.

Tarkistus    57

Ehdotus asetukseksi

Johdanto-osan 57 a kappale (uusi)

Komission teksti

Tarkistus

 

(57 a)  Velvollisuus antaa tuotetta koskeva ilmoitus, joka sisältää jäsenneltyä tietoa tuotteen, prosessin tai palvelun sertifioinnista, otetaan käyttöön, jotta kuluttajat saisivat enemmän tietoa ja voisivat tehdä perustellun valinnan.

Tarkistus    58

Ehdotus asetukseksi

Johdanto-osan 57 b kappale (uusi)

Komission teksti

Tarkistus

 

(57 b)  Uusia eurooppalaisia kyberturvallisuusjärjestelmiä ehdottaessaan ENISAn ja muiden asiaankuuluvien elinten olisi kiinnitettävä asianmukaista huomiota ehdotuksen kilpailudynamiikkaan ja varmistettava erityisesti, että kun kyseisellä alalla on paljon pieniä ja keskisuuria yrityksiä, esimerkiksi ohjelmistokehittämisen alalla, sertifiointijärjestelmät eivät muodosta estettä uusille yrityksille ja innovoinnille.

Tarkistus    59

Ehdotus asetukseksi

Johdanto-osan 57 c kappale (uusi)

Komission teksti

Tarkistus

 

(57 c)  Eurooppalaiset kyberturvallisuusjärjestelmät auttavat yhdenmukaistamaan ja yhdentämään kyberturvallisuuskäytäntöjä unionissa. Niistä ei kuitenkaan pidä tulla kyberturvallisuuden vähimmäistasoa. Eurooppalaisten kyberturvallisuusjärjestelmien suunnittelussa olisi otettava huomioon myös kyberturvallisuusalan uusien innovaatioiden kehittäminen ja mahdollistettava ne.

Tarkistus    60

Ehdotus asetukseksi

Johdanto-osan 58 kappale

Komission teksti

Tarkistus

(58)  Kun eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty, tieto- ja viestintätekniikan tuotteiden valmistajien tai tieto- ja viestintätekniikan palvelujen tarjoajien olisi voitava jättää tuotteidensa tai palvelujensa sertifiointia koskeva hakemus valitsemalleen vaatimustenmukaisuuden arviointilaitokselle. Vaatimustenmukaisuuden arviointilaitosten olisi saatava akkreditointi akkreditointielimeltä, jos ne täyttävät tässä asetuksessa vahvistetut tietyt erityiset vaatimukset. Akkreditointi olisi myönnettävä enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos vaatimustenmukaisuuden arviointilaitos täyttää vaatimukset. Akkreditointielimen olisi peruutettava vaatimustenmukaisuuden arviointilaitoksen akkreditointi, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos vaatimustenmukaisuuden arviointilaitoksen toiminta rikkoo tämän asetuksen säännöksiä.

(58)  Kun eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty, tieto- ja viestintätekniikan tuotteiden valmistajien tai tieto- ja viestintätekniikan prosessien tai palvelujen tarjoajien olisi voitava jättää tuotteidensa tai palvelujensa sertifiointia koskeva hakemus valitsemalleen vaatimustenmukaisuuden arviointilaitokselle kaikkialla unionissa. Vaatimustenmukaisuuden arviointilaitosten olisi saatava akkreditointi akkreditointielimeltä, jos ne täyttävät tässä asetuksessa vahvistetut tietyt erityiset vaatimukset. Akkreditointi olisi myönnettävä enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos vaatimustenmukaisuuden arviointilaitos täyttää vaatimukset. Akkreditointielimen olisi peruutettava vaatimustenmukaisuuden arviointilaitoksen akkreditointi, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos vaatimustenmukaisuuden arviointilaitoksen toiminta rikkoo tämän asetuksen säännöksiä. Viraston olisi toteutettava tarkastuksia vaatimustenmukaisuuden arviointilaitosten yhtäläisen laatu- ja tarkkuustason varmistamiseksi, jotta voidaan välttää sääntelyerojen hyväksikäyttö. Tulokset olisi ilmoitettava virastolle, komissiolle ja parlamentille ja asetettava julkisesti saataville.

Tarkistus    61

Ehdotus asetukseksi

Johdanto-osan 58 a kappale (uusi)

Komission teksti

Tarkistus

 

(58 a)  Eurooppalaisen kyberturvallisuussertifioinnin pakollinen käyttö olisi rajoitettava tapauksiin, joissa toimialalle, kansalaisille ja kuluttajille aiheutuvat kustannukset voidaan perustella riskianalyysilla. Keskeisiä palveluja häiritsevät poikkeamat voivat haitata taloudellisen toiminnan harjoittamista, aiheuttaa huomattavia taloudellisia tappioita, heikentää käyttäjien luottamusta ja aiheuttaa merkittävää vahinkoa unionin taloudelle. Keskeisten palvelujen tarjoajia koskeva eurooppalaisen kyberturvallisuussertifioinnin pakollinen käyttö olisi rajoitettava niihin tekijöihin, jotka ovat niiden toiminnan kannalta ratkaisevan tärkeitä, eikä sitä saisi ulottaa yleisluonteisiin tuotteisiin, prosesseihin ja palveluihin, mikä aiheuttaisi perusteettomia kustannuksia toimialalle ja kuluttajille. Komission olisi tehtävä yhteistyötä direktiivin (EU) 2016/1148 11 artiklan mukaisesti perustetun yhteistyöryhmän kanssa, jotta voidaan määrittää luettelo sellaisten tuotteiden, prosessien ja palvelujen luokista, jotka on nimenomaisesti tarkoitettu keskeisten palvelujen tarjoajien käyttöön ja joiden toimintahäiriöt turvallisuuspoikkeamien aikana voivat vaikuttaa erittäin haitallisesti keskeiseen palveluun. Kyseinen luettelo olisi laadittava asteittain ja sitä olisi päivitettävä tarpeen vaatiessa. Ainoastaan tässä luettelossa olevien tuotteiden, prosessien ja palveluiden olisi oltava pakollisia keskeisten palveluiden tarjoajille.

Tarkistus    62

Ehdotus asetukseksi

Johdanto-osan 58 b kappale (uusi)

Komission teksti

Tarkistus

 

(58 b)  Kansallisessa lainsäädännössä olevat viittaukset kansallisiin standardeihin, joiden oikeusvaikutukset ovat lakanneet eurooppalaisen sertifiointijärjestelmän tultua voimaan, voivat mahdollisesti aiheuttaa sekaannusta valmistajien ja loppukäyttäjien keskuudessa. Jotta voidaan välttää se, että valmistajat jatkavat lakkautettujen kansallisten sertifikaattien mukaisten eritelmien soveltamista, jäsenvaltioiden olisi perussopimusten mukaisten velvoitteiden mukaan mukautettava kansallista lainsäädäntöään vastaamaan eurooppalaista sertifiointijärjestelmää.

Tarkistus    63

Ehdotus asetukseksi

Johdanto-osan 59 kappale

Komission teksti

Tarkistus

(59)  On tarpeen velvoittaa kaikki jäsenvaltiot nimeämään yksi kyberturvallisuussertifioinnin valvontaviranomainen valvomaan sitä, ovatko niiden alueelle sijoittautuneet vaatimustenmukaisuuden arviointilaitokset ja niiden myöntämät sertifikaatit tämän asetuksen vaatimusten ja asianomaisten kyberturvallisuuden sertifiointijärjestelmien vaatimusten mukaisia. Kansallisten sertifioinnin valvontaviranomaisten olisi käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa. Lisäksi niiden olisi tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten kyberturvallisjärjestelmien vaatimuksia.

(59)  On tarpeen velvoittaa kaikki jäsenvaltiot nimeämään yksi kyberturvallisuussertifioinnin valvontaviranomainen valvomaan sitä, ovatko niiden alueelle sijoittautuneet vaatimustenmukaisuuden arviointilaitokset ja niiden myöntämät sertifikaatit tämän asetuksen vaatimusten ja asianomaisten kyberturvallisuuden sertifiointijärjestelmien vaatimusten mukaisia, ja varmistamaan, että eurooppalaiset kyberturvallisuussertifikaatit tunnustetaan niiden alueilla. Kansallisten sertifioinnin valvontaviranomaisten olisi käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin tai väitettyihin sertifikaattien tunnustamatta jättämisiin alueellaan, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa. Lisäksi niiden olisi tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut eivät vastaa tämän asetuksen tai yksittäisten kyberturvallisuusjärjestelmien vaatimuksia tai joissa eurooppalaisia kyberturvallisuussertifikaatteja ei tunnusteta. Niiden olisi myös valvottava ja tarkistettava, että itse annetut vaatimustenmukaisuusvakuutukset ovat vaatimusten mukaisia ja että vaatimustenmukaisuuden arviointilaitosten myöntämät eurooppalaiset kyberturvallisuussertifikaatit ovat tässä asetuksessa esitettyjen vaatimusten mukaisia sekä Euroopan kyberturvallisuuden sertifiointiryhmän hyväksymien sääntöjen ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia. Kansallisten sertifioinnin valvontaviranomaisten tehokas yhteistyö on olennaista eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien sekä tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuutta koskevien teknisten seikkojen asianmukaisen täytäntöönpanon kannalta. Komission olisi helpotettava tätä tietojen vaihtoa asettamalla saataville yleinen sähköinen tietotukijärjestelmä, esimerkiksi markkinavalvontaa koskeva tieto- ja viestintäjärjestelmä (ICSMS) tai tuoteturvallisuutta koskeva EU:n nopea tiedonvaihtojärjestelmä (RAPEX), joita markkinavalvontaviranomaiset jo käyttävät asetuksen (EY) N:o 765/2008 mukaisesti.

Tarkistus    64

Ehdotus asetukseksi

Johdanto-osan 60 kappale

Komission teksti

Tarkistus

(60)  Eurooppalaisen kyberturvallisuuden sertifiointikehyksen johdonmukaisen soveltamisen varmistamiseksi olisi perustettava Euroopan kyberturvallisuuden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’, joka koostuu kansallisista sertifioinnin valvontaviranomaisista. Ryhmän päätehtävinä tulisi olla neuvoa ja avustaa komissiota sen pyrkiessä varmistamaan eurooppalaisen kyberturvallisuuden sertifiointikehyksen yhdenmukaisen täytäntöönpanon ja soveltamisen, avustaa virastoa ehdolla olevien kyberturvallisuuden sertifiointijärjestelmien valmistelussa tiiviissä yhteistyössä sen kanssa, suosittaa, että komissio pyytää virastoa valmistelemaan ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, sekä antaa komissiolle osoitettuja lausuntoja voimassa olevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien ylläpitämisestä ja tarkistamisesta.

(60)  Eurooppalaisen kyberturvallisuuden sertifiointikehyksen johdonmukaisen soveltamisen varmistamiseksi olisi perustettava jäsenvaltioiden sertifiointiryhmä, joka koostuu kansallisista sertifioinnin valvontaviranomaisista. Ryhmän päätehtävinä tulisi olla neuvoa ja avustaa komissiota sen pyrkiessä varmistamaan eurooppalaisen kyberturvallisuuden sertifiointikehyksen yhdenmukaisen täytäntöönpanon ja soveltamisen, avustaa virastoa ehdolla olevien kyberturvallisuuden sertifiointijärjestelmien valmistelussa tiiviissä yhteistyössä sen kanssa, suosittaa, että komissio pyytää virastoa valmistelemaan ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, sekä antaa komissiolle osoitettuja lausuntoja voimassa olevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien ylläpitämisestä ja tarkistamisesta.

Tarkistus    65

Ehdotus asetukseksi

Johdanto-osan 60 a kappale (uusi)

Komission teksti

Tarkistus

 

(60 a)  Vaatimustenmukaisuuden arviointilaitosten pätevyyden samantasoisuuden varmistamiseksi, vastavuoroisen tunnustamisen helpottamiseksi sekä vaatimustenmukaisuuden arviointilaitosten antamien sertifikaattien ja vaatimustenmukaisuuden arviointitulosten yleisen tunnustamisen edistämiseksi kansallisilla sertifioinnin valvontaviranomaisilla on oltava käytössä perusteellinen ja avoin vertaisarviointijärjestelmä ja niiden on oltava arvioinnin kohteena säännöllisesti.

Tarkistus    66

Ehdotus asetukseksi

Johdanto-osan 60 b kappale (uusi)

Komission teksti

Tarkistus

 

(60 b)  Kansallisten sertifioinnin valvontaviranomaisten välinen tehokas yhteistyö on oleellista vertaisarvioinnin asianmukaisen toiminnan kannalta sekä silloin, kun on kyse rajatylittävästä akkreditoinnista. Avoimuuden varmistamiseksi on tarpeen säätää kansallisten sertifioinnin valvontaviranomaisten velvollisuudesta vaihtaa tietoja keskenään ja toimittaa asiaankuuluvat tiedot kansallisille viranomaisille ja komissiolle. Kansallisten akkreditointielinten hoitamien akkreditointipalvelujen saatavuutta koskevat päivitetyt ja paikkansapitävät tiedot olisi myös saatettava yleisesti saataville ja niiden olisi siksi oltava etenkin vaatimuksenmukaisuuden arviointilaitosten käytettävissä.

Tarkistus    67

Ehdotus asetukseksi

Johdanto-osan 61 kappale

Komission teksti

Tarkistus

(61)  Tietoisuuden lisäämiseksi ja tulevien EU:n kyberturvallisuusjärjestelmien hyväksymisen helpottamiseksi Euroopan komissio voi antaa yleisiä tai alakohtaisia kyberturvallisuutta koskevia suuntaviivoja esimerkiksi hyvistä kyberturvallisuuskäytännöistä tai vastuullisesta kyberturvallisuuskäyttäytymisestä korostaen sertifioitujen tieto- ja viestintätekniikan tuotteiden ja palvelujen käytön myönteistä vaikutusta.

(61)  Tietoisuuden lisäämiseksi ja tulevien EU:n kyberturvallisuusjärjestelmien hyväksymisen helpottamiseksi Euroopan komissio voi antaa yleisiä tai alakohtaisia kyberturvallisuutta koskevia suuntaviivoja esimerkiksi hyvistä kyberturvallisuuskäytännöistä tai vastuullisesta kyberturvallisuuskäyttäytymisestä korostaen sertifioitujen tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen käytön myönteistä vaikutusta.

Tarkistus    68

Ehdotus asetukseksi

Johdanto-osan 63 kappale

Komission teksti

Tarkistus

(63)  Jotta voidaan täsmentää tarkemmin kriteerit vaatimustenmukaisuuden arviointilaitosten akkreditointia varten, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Komissio järjestää valmistelutyönsä aikana asianmukaisia kuulemisia, myös asiantuntijatasolla. Nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(63)  Jotta voidaan täsmentää tarkemmin kriteerit vaatimustenmukaisuuden arviointilaitosten akkreditointia varten, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Komissio järjestää valmistelutyönsä aikana asianmukaisia kuulemisia, myös asiantuntijatasolla ja tarvittaessa asianomaisten sidosryhmien kanssa. Nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

Tarkistus    69

Ehdotus asetukseksi

Johdanto-osan 65 kappale

Komission teksti

Tarkistus

(65)  Olisi sovellettava tarkastusmenettelyä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, viraston tutkimusten toteuttamista koskevia yksityiskohtaisia sääntöjä sekä kansallisten sertifioinnin valvontaviranomaisten komissiolle tekemien, akkreditoituja vaatimustenmukaisuuden arviointilaitoksia koskevien ilmoitusten olosuhteita, muotoseikkoja ja menettelyjä.

(65)  Lisäksi voidaan hyväksyä delegoituja säädöksiä, jotka koskevat tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, viraston tutkimusten toteuttamista koskevia yksityiskohtaisia sääntöjä sekä kansallisten sertifioinnin valvontaviranomaisten komissiolle tekemien, akkreditoituja vaatimustenmukaisuuden arviointilaitoksia koskevien ilmoitusten olosuhteita, muotoseikkoja ja menettelyjä.

Tarkistus    70

Ehdotus asetukseksi

Johdanto-osan 66 kappale

Komission teksti

Tarkistus

(66)  Viraston toimintaa olisi arvioitava riippumattomasti. Arvioinnissa olisi otettava huomioon viraston tavoitteiden saavuttaminen, sen toimintatavat ja sen tehtävien merkityksellisyys. Arvioinnissa olisi myös arvioitava eurooppalaisen kyberturvallisuuden sertifiointikehyksen vaikutusta, vaikuttavuutta ja tehokkuutta.

(66)  Viraston toimintaa olisi arvioitava jatkuvasti ja riippumattomasti. Arvioinnissa olisi otettava huomioon viraston tavoitteiden saavuttaminen, sen toimintatavat ja sen tehtävien merkityksellisyys, erityisesti sen koordinointitehtävä jäsenvaltioihin ja niiden kansallisiin viranomaisiin nähden. Uudelleentarkastelun yhteydessä komission olisi arvioitava viraston mahdollisuutta toimia jäsenvaltioiden sekä EU:n toimielinten ja elinten keskitettynä verkkoportaalina.

Tarkistus    71

Ehdotus asetukseksi

Johdanto-osan 66 a kappale (uusi)

Komission teksti

Tarkistus

 

(66 a)  Arvioinnissa olisi myös arvioitava eurooppalaisen kyberturvallisuuden sertifiointikehyksen vaikutusta, vaikuttavuutta ja tehokkuutta. Uudelleentarkastelun yhteydessä komissio voisi arvioida viraston roolia unionin markkinoille tulevien kolmansien maiden tuotteiden ja palveluiden arvioinnissa ja mahdollisuutta asettaa mustalle listalle yrityksiä, jotka eivät noudata unionin sääntöjä.

Tarkistus    72

Ehdotus asetukseksi

Johdanto-osan 66 b kappale (uusi)

Komission teksti

Tarkistus

 

(66 b)  Arvioinnissa olisi analysoitava unionissa myytävien tuotteiden ja palveluiden kyberturvallisuuden tasoa. Uudelleentarkastelun yhteydessä komission olisi arvioitava, asetetaanko kyberturvallisuuden keskeiset vaatimukset ehdoksi sisämarkkinoille pääsylle.

Tarkistus    73

Ehdotus asetukseksi

1 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  vahvistetaan ”EU:n kyberturvallisuusviraston” ENISAn, jäljempänä ’virasto’, tavoitteet, tehtävät ja organisatoriset näkökohdat ja

a)  vahvistetaan ”Euroopan unionin verkko- ja tietoturvaviraston”, jäljempänä ’virasto’, tavoitteet, tehtävät ja organisatoriset näkökohdat ja

Tarkistus    74

Ehdotus asetukseksi

1 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  vahvistetaan kehys eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien perustamiselle, jotta voidaan varmistaa riittäväntasoinen kyberturvallisuus tieto- ja viestintätekniikan tuotteille ja palveluille unionissa. Tämän kehyksen soveltaminen ei rajoita niiden erityisten säännösten soveltamista, jotka koskevat vapaaehtoista tai pakollista sertifiointia muiden unionin säädösten nojalla.

b)  vahvistetaan kehys eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien perustamiselle, jotta voidaan välttää sertifiointijärjestelmien hajanaisuus unionissa ja varmistaa riittäväntasoinen kyberturvallisuus tieto- ja viestintätekniikan tuotteille, prosesseille ja palveluille unionissa. Tämän kehyksen soveltaminen ei rajoita niiden erityisten säännösten soveltamista, jotka koskevat vapaaehtoista ja tarvittaessa pakollista sertifiointia, siltä osin kuin tässä asetuksessa niin säädetään tai muiden unionin säädösten nojalla.

Tarkistus    75

Ehdotus asetukseksi

1 artikla – 1 a kohta (uusi)

Komission teksti

Tarkistus

 

Virasto hoitaa tehtävänsä siten, että se ei rajoita kyberturvallisuutta koskevaa jäsenvaltioiden toimivaltaa eikä varsinkaan jäsenvaltioiden toimivaltaa, joka koskee yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta.

Tarkistus    76

Ehdotus asetukseksi

2 artikla – 1 kohta – 1 alakohta

Komission teksti

Tarkistus

1)  ’kyberturvallisuudella’ kaikkia toimia, joita tarvitaan verkko- ja tietojärjestelmien, niiden käyttäjien ja asianosaisten henkilöiden suojaamiseksi kyberuhilta;

(Tarkistus ei vaikuta suomenkieliseen versioon.)

Tarkistus    77

Ehdotus asetukseksi

2 artikla – 1 kohta – 2 alakohta

Komission teksti

Tarkistus

2)  ’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2016/1148 4 artiklan 1 kohdassa tarkoitettua järjestelmää;

2)  ’verkko- ja tietojärjestelmällä’ direktiivin (EU) 2016/1148 4 artiklan 1 kohdassa määriteltyä verkko- ja tietojärjestelmää;

Tarkistus    78

Ehdotus asetukseksi

2 artikla – 1 kohta – 3 alakohta

Komission teksti

Tarkistus

3)  ’verkko- ja tietojärjestelmien turvallisuutta koskevalla kansallisella strategialla’ direktiivin (EU) 2016/1148 4 artiklan 3 kohdassa tarkoitettua kehystä;

3)  ’verkko- ja tietojärjestelmien turvallisuutta koskevalla kansallisella strategialla’ direktiivin (EU) 2016/1148 4 artiklan 3 kohdassa määriteltyä verkko- ja tietojärjestelmien turvallisuutta koskevaa kansallista strategiaa;

Tarkistus    79

Ehdotus asetukseksi

2 artikla – 1 kohta – 4 alakohta

Komission teksti

Tarkistus

4)  ’keskeisten palvelujen tarjoajalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 4 kohdassa määriteltyä julkista tai yksityistä toimijaa;

4)  ’keskeisten palvelujen tarjoajalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 4 kohdassa määriteltyä keskeisten palvelujen tarjoajaa;

Tarkistus    80

Ehdotus asetukseksi

2 artikla – 1 kohta – 5 alakohta

Komission teksti

Tarkistus

5)  ’digitaalisen palvelun tarjoajalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 6 kohdassa määriteltyä digitaalisen palvelun tarjoavaa oikeushenkilöä;

5)  ’digitaalisen palvelun tarjoajalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 6 kohdassa määriteltyä digitaalisen palvelun tarjoajaa;

Tarkistus    81

Ehdotus asetukseksi

2 artikla – 1 kohta – 6 alakohta

Komission teksti

Tarkistus

6)  ’poikkeamalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 7 kohdassa määriteltyä tapahtumaa;

(6)  ’poikkeamalla’ direktiivin (EU) N:o 2016/1148 4 artiklan 7 kohdassa määriteltyä poikkeamaa;

Tarkistus    82

Ehdotus asetukseksi

2 artikla – 1 kohta – 7 alakohta

Komission teksti

Tarkistus

7)  ’poikkeamien käsittelyllä’ direktiivin (EU) N:o 2016/1148 4 artiklan 8 kohdassa määriteltyä menettelyä;

7)  ’poikkeamien käsittelyllä’ direktiivin (EU) N:o 2016/1148 4 artiklan 8 kohdassa määriteltyä poikkeaman käsittelyä;

Tarkistus    83

Ehdotus asetukseksi

2 artikla – 1 kohta – 8 alakohta

Komission teksti

Tarkistus

8)  ’kyberuhalla’ potentiaalista tilannetta tai tapahtumaa, joka voi vaikuttaa haitallisesti verkko- ja tietojärjestelmiin, niiden käyttäjiin ja asianosaisiin henkilöihin;

8)  ’kyberuhalla’ potentiaalista tilannetta, tapahtumaa tai tahallista toimintaa, myös automaattista käskyä, joka voi vahingoittaa, häiritä tai muutoin vaikuttaa haitallisesti verkko- ja tietojärjestelmiin, niiden käyttäjiin ja asianosaisiin henkilöihin;

Tarkistus    84

Ehdotus asetukseksi

2 artikla – 1 kohta – 8 a alakohta (uusi)

Komission teksti

Tarkistus

 

8 a)  ’kyberhygienialla’ yksinkertaisia rutiinitoimenpiteitä, jotka säännöllisesti toimeenpantuina ja toteutettuina minimoivat käyttäjien ja yritysten altistumisen verkossa kyberuhkien riskeille.

Tarkistus    85

Ehdotus asetukseksi

2 artikla – 1 kohta – 9 alakohta

Komission teksti

Tarkistus

9)  ’eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä’ unionin tasolla määriteltyjä kattavia sääntöjä, teknisiä vaatimuksia, standardeja ja menettelyjä, joita sovelletaan kyseisen erityisen järjestelmän kattamien tieto- ja viestintätekniikan tuotteiden ja palvelujen sertifiointiin;

9)  ’eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä’ unionin tasolla määriteltyjä ja viraston yksilöimien kansainvälisten ja eurooppalaisten standardien ja tieto- ja viestintätekniikan eritelmien mukaisia kattavia sääntöjä, teknisiä vaatimuksia, standardeja ja menettelyjä, joita sovelletaan kyseisen erityisen järjestelmän kattamien tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen sertifiointiin;

Tarkistus    86

Ehdotus asetukseksi

2 artikla – 1 kohta – 10 alakohta

Komission teksti

Tarkistus

10)  ’eurooppalaisella kyberturvallisuussertifikaatilla’ vaatimustenmukaisuuden arviointilaitoksen antamaa asiakirjaa, jolla todistetaan, että tietty tieto- ja viestintätekniikan tuote tai palvelu täyttää eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä vahvistetut erityiset vaatimukset;

10)  ’eurooppalaisella kyberturvallisuussertifikaatilla’ vaatimustenmukaisuuden arviointilaitoksen antamaa asiakirjaa, jolla todistetaan, että tietty tieto- ja viestintätekniikan tuote tai palvelu tai prosessi täyttää eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä vahvistetut erityiset vaatimukset;

Tarkistus    87

Ehdotus asetukseksi

2 artikla – 1 kohta – 11 a alakohta (uusi)

Komission teksti

Tarkistus

 

(11 a)  ’tieto- ja viestintätekniikan prosessilla’ toimintaa, jonka tarkoituksena on suunnitella, kehittää, ylläpitää ja tarjota tieto- ja viestintätekniikan tuote tai palvelu;

Tarkistus    88

Ehdotus asetukseksi

2 artikla – 1 kohta – 11 b alakohta (uusi)

Komission teksti

Tarkistus

 

(11 b)  ’kuluttajaelektroniikkalaitteella’ laitteita, jotka koostuvat laitteista tai ohjelmistoista, jotka käsittelevät henkilötietoja tai liitetään internetiin domotiikan ja kotitalouden valvontalaitteiden, toimistolaitteiden, reitityslaitteiden ja verkkoon liitettävien laitteiden, kuten älytelevisioiden, lelujen ja pelikonsolien, virtuaalisten tai henkilökohtaisten avustajien, verkkoon liitettävien suoratoistolaitteiden, puettavien laitteiden, ääniohjattavien ja virtuaalitodellisuuslaitteiden toimintaa varten;

Tarkistus    89

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 alakohta

Komission teksti

Tarkistus

16)  ’standardilla’ asetuksen (EU) N:o 1025/2012 2 artiklan 1 kohdassa määriteltyä standardia.

16)  ’standardilla, teknisellä eritelmällä ja tieto- ja viestintätekniikan teknisellä eritelmällä’ asetuksen (EU) N:o 1025/2012 2 artiklan 1, 4 ja 5 kohdassa määriteltyä standardia, teknistä eritelmää tai tieto- ja viestintätekniikan teknistä eritelmää.

Tarkistus    90

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 a alakohta (uusi)

Komission teksti

Tarkistus

 

16 a)  ’kansallisella sertifioinnin valvontaviranomaisella’ kunkin jäsenvaltion tämän asetuksen 50 artiklan mukaisesti nimittämää elintä;

Tarkistus    91

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 b alakohta (uusi)

Komission teksti

Tarkistus

 

16 b)  ’itsearvioinnilla’ vaatimustenmukaisuuslausumaa, jossa valmistaja ilmoittaa, että sertifiointijärjestelmässä vahvistetut tuotteita, prosesseja tai palveluita koskevat täsmälliset vaatimukset täyttyvät;

Tarkistus    92

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 c alakohta (uusi)

Komission teksti

Tarkistus

 

16 c)  ’oletusarvoisella turvallisuudella’ tilannetta, jossa jos tuote, ohjelmisto tai prosessi voidaan asentaa tavalla, joka varmistaa korkeamman turvallisuuden tason, ensimmäisen käyttäjän olisi saatava oletuskonfiguraatio, jossa on mahdollisimman turvalliset asetukset. Jos riski- ja käytettävyysanalyysin perusteella voidaan tapauskohtaisesti päätellä, että tällainen asetus ei ole toteutettavissa, käyttäjiä olisi pyydettävä valitsemaan kaikkein turvallisin asetus.

Tarkistus    93

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 d alakohta (uusi)

Komission teksti

Tarkistus

 

16 d)  ’keskeisten palvelujen tarjoajilla’ direktiivin (EU) N:o 2016/1148 4 artiklan 4 kohdassa määriteltyjä keskeisten palvelujen tarjoajia.

Tarkistus    94

Ehdotus asetukseksi

3 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Virasto hoitaa sille tämän asetuksen mukaisesti kuuluvia tehtäviä kyberturvallisuuden korkean tason edistämiseksi unionissa.

1.  Virasto hoitaa sille tämän asetuksen mukaisesti kuuluvia tehtäviä ja sitä vahvistetaan kyberturvallisuuden korkean yleisen tason saavuttamiseksi , jotta unionissa voidaan torjua kyberhyökkäyksiä, vähentää sisämarkkinoiden hajanaisuutta ja parantaa niiden toimintaa ja varmistaa yhdenmukaisuus ottamalla huomioon jäsenvaltioiden kyberturvallisuusdirektiivin mukaiset yhteistyösaavutukset.

Tarkistus    95

Ehdotus asetukseksi

4 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Virasto on kyberturvallisuuden osaamiskeskus riippumattomuutensa, antamansa neuvonnan ja avun ja tarjoamansa tiedon tieteellisen ja teknisen laadun, toimintatapojensa ja -menettelyjensä avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta.

1.  Virasto on kyberturvallisuuden teoreettisen ja käytännön osaamisen keskus riippumattomuutensa, antamansa neuvonnan ja avun ja tarjoamansa tiedon tieteellisen ja teknisen laadun, toimintatapojensa ja -menettelyjensä avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta.

Tarkistus    96

Ehdotus asetukseksi

4 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Virasto auttaa unionin toimielimiä, virastoja ja elimiä sekä jäsenvaltioita kehittämään ja panemaan täytäntöön kyberturvallisuutta koskevat toimintapolitiikat.

2.  Virasto auttaa unionin toimielimiä, virastoja ja elimiä sekä jäsenvaltioita kehittämään ja panemaan täytäntöön kyberturvallisuutta koskevat toimintapolitiikat sekä lisäämään kansalaisten ja yritysten tietoisuutta.

Tarkistus    97

Ehdotus asetukseksi

4 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Virasto tukee valmiuksien kehittämistä ja varautumista kaikkialla unionissa avustamalla unionia, jäsenvaltioita sekä julkisia ja yksityisiä sidosryhmiä niiden verkko- ja tietojärjestelmien suojelun lisäämiseksi, ammattitaidon ja osaamisen kehittämiseksi kyberturvallisuuden alalla ja kyberresilienssin saavuttamiseksi.

3.  Virasto tukee valmiuksien kehittämistä ja varautumista kaikissa unionin toimielimissä, virastoissa ja elimissä avustamalla unionia, jäsenvaltioita sekä julkisia ja yksityisiä sidosryhmiä niiden verkko- ja tietojärjestelmien suojelun lisäämiseksi, kyberresilienssin ja toimintavalmiuksien kehittämiseksi ja parantamiseksi, tietoisuuden lisäämiseksi sekä ammattitaidon ja osaamisen kehittämiseksi kyberturvallisuuden alalla ja kyberresilienssin saavuttamiseksi.

Tarkistus    98

Ehdotus asetukseksi

4 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Virasto edistää yhteistyötä ja koordinointia unionin tasolla jäsenvaltioiden, unionin toimielinten, virastojen ja elinten sekä asiaankuuluvien sidosryhmien välillä, mukaan lukien yksityinen sektori, kyberturvallisuuteen liittyvissä kysymyksissä.

4.  Virasto edistää yhteistyötä, koordinointia ja tietojen jakamista unionin tasolla jäsenvaltioiden, unionin toimielinten, virastojen ja elinten sekä asiaankuuluvien sidosryhmien välillä kyberturvallisuuteen liittyvissä kysymyksissä.

Tarkistus    99

Ehdotus asetukseksi

4 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Virasto lisää kyberturvallisuusvalmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi kyberuhkien ehkäisemisessä ja niihin vastaamisessa erityisesti rajat ylittävien poikkeamien tapauksessa.

5.  Virasto lisää osaltaan kyberturvallisuusvalmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi kyberuhkien ehkäisemisessä ja niihin vastaamisessa erityisesti rajat ylittävien poikkeamien tapauksessa sekä suorittaakseen tehtävänsä unionin toimielinten avustamiseksi kyberturvallisuuteen liittyvien toimintapolitiikkojen kehittämisessä.

Tarkistus    100

Ehdotus asetukseksi

4 artikla – 6 kohta

Komission teksti

Tarkistus

6.  Virasto edistää sertifioinnin käyttöä muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla tämän asetuksen III osaston mukaisesti, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

6.  Virasto edistää sertifioinnin käyttöä, jotta voidaan välttää sisämarkkinoiden hajanaisuutta ja parantaa niiden toimintaa, muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla tämän asetuksen III osaston mukaisesti, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin sekä parantaa yhteensopivuutta nykyisten kansallisten ja kansainvälisten sertifiointijärjestelmien välillä.

Tarkistus    101

Ehdotus asetukseksi

4 artikla – 7 kohta

Komission teksti

Tarkistus

7.  Virasto edistää tietoisuuden korkeaa tasoa kansalaisten ja yritysten keskuudessa kyberturvallisuuteen liittyvissä kysymyksissä.

7.  Virasto edistää ja tukee hankkeita, joilla edistetään tietoisuuden, kyberhygienian ja kyberlukutaidon korkeaa tasoa kansalaisten ja yritysten keskuudessa kyberturvallisuuteen liittyvissä kysymyksissä.

Tarkistus    102

Ehdotus asetukseksi

5 artikla – 1 kohta

Komission teksti

Tarkistus

1.  avustaa ja neuvoa erityisesti antamalla riippumattomia lausuntoja ja tekemällä valmistelutyötä unionin politiikan ja lainsäädännön kehittämisessä ja tarkistamisessa kyberturvallisuuden alalla sekä alakohtaisissa toimintapoliittisissa ja lainsäädännöllisissä aloitteissa, kun niihin liittyy kyberturvallisuuskysymyksiä;

1.  avustaa ja neuvoa erityisesti antamalla riippumattomia lausuntoja ja analyyseja asiankuuluvista toiminnoista kyberympäristössä ja tekemällä valmistelutyötä unionin politiikan ja lainsäädännön kehittämisessä ja tarkistamisessa kyberturvallisuuden alalla sekä alakohtaisissa toimintapoliittisissa ja lainsäädännöllisissä aloitteissa, kun niihin liittyy kyberturvallisuuskysymyksiä;

Tarkistus    103

Ehdotus asetukseksi

5 artikla – 2 kohta

Komission teksti

Tarkistus

2.  auttaa jäsenvaltioita panemaan johdonmukaisesti täytäntöön erityisesti direktiiviin (EU) 2016/1148 liittyvää unionin kyberturvallisuuspolitiikkaa ja ‑lainsäädäntöä muun muassa antamalla lausuntoja, ohjeita ja neuvoja ja laatimalla parhaita käytäntöjä riskinhallinnan, poikkeamista raportoinnin ja tietojen jakamisen kaltaisista aiheista sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä tältä osin;

2.  auttaa jäsenvaltioita panemaan johdonmukaisesti täytäntöön erityisesti direktiiviin (EU) 2016/1148, eurooppalaisesta sähköisen viestinnän säännöstöstä annettuun direktiiviin, asetukseen (EU) 2016/678 ja direktiiviin 2002/58/EY liittyvää unionin kyberturvallisuuspolitiikkaa ja ‑lainsäädäntöä muun muassa antamalla lausuntoja, ohjeita ja neuvoja ja laatimalla parhaita käytäntöjä turvallisen ohjelmisto- ja järjestelmäkehittämisen, riskinhallinnan, poikkeamista raportoinnin ja tietojen jakamisen, teknisten ja organisatoristen toimenpiteiden kaltaisista aiheista, erityisesti ottamalla käyttöön koordinoituja haavoittuvuuksien havaitsemisohjelmia sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä tältä osin;

Tarkistus    104

Ehdotus asetukseksi

5 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  kehittää ja edistää toimintapolitiikkoja, joilla tuetaan avoimen internetin julkisen ytimen yleistä saatavuutta tai eheyttä, joilla tarjotaan koko internetille sen keskeiset toiminnot ja joilla tuetaan sen normaalia toimintaa, muun muassa keskeisten protokollien (erityisesti DNS:n, BGP:n ja iPv6:n) turvallisuutta ja vakautta, verkkotunnusjärjestelmän toimintaa (mukaan lukien kaikki aluetunnukset) sekä juurialueen toimintaa;

Tarkistus    105

Ehdotus asetukseksi

5 artikla – 4 kohta – 2 alakohta

Komission teksti

Tarkistus

2)  sähköisen viestinnän turvallisuuden parantamista muun muassa tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä;

2)  sähköisen viestinnän, tiedon varastoinnin ja käsittelyn turvallisuuden parantamista muun muassa tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä;

Tarkistus    106

Ehdotus asetukseksi

5 artikla – 5 a kohta (uusi)

Komission teksti

Tarkistus

 

5 a.  auttaa jäsenvaltioita panemaan johdonmukaisesti täytäntöön unionin tietosuojaa koskevaa politiikkaa ja lainsäädäntöä, erityisesti asetus (EU) 2016/679, sekä auttaa Euroopan tietosuojaneuvostoa suuntaviivojen kehittämisessä asetuksen (EU) 2016/679 täytäntöön panemiseksi kyberturvallisuuden osalta. Euroopan tietosuojaneuvosto kuulee virastoa aina kun se antaa lausunnon tai päätöksen yleisen tietosuoja-asetuksen täytäntöönpanosta ja kyberturvallisuudesta, muun muassa yksityisyyden suojaa koskeviin vaikutustenarviointeihin, tietoturvaloukkausilmoituksiin, käsittelyn turvallisuuteen, turvallisuusvaatimuksiin ja sisäänrakennettuun yksityisyyteen liittyvistä kysymyksistä.

Tarkistus    107

Ehdotus asetukseksi

6 artikla – 1 kohta – a a alakohta (uusi)

Komission teksti

Tarkistus

 

a a)  jäsenvaltioita ja unionin toimielimiä niiden ottaessa käyttöön ja soveltaessa haavoittuvuuksista ilmoittamista koskevia koordinoituja toimintaperiaatteita ja haavoittuvuuksista ilmoittamista koskevia viranomaisten tarkastusprosesseja, joiden käytäntöjen ja määritysten olisi oltava avoimia ja riippumattomasti valvottuja;

Tarkistus    108

Ehdotus asetukseksi

6 artikla – 1 kohta – a b alakohta (uusi)

Komission teksti

Tarkistus

 

a b)  Virasto edistää pitkän aikavälin eurooppalaisen tietotekniikan turvallisuushankkeen kehittämistä ja käynnistämistä, jotta voidaan edelleen edistää kyberturvallisuutta koskevaa tutkimusta unionissa ja jäsenvaltioissa, yhteistyössä Euroopan tutkimusneuvoston ja Euroopan innovaatio- ja teknologiainstituutin kanssa ja ottaen huomioon unionin tutkimusohjelmat.

Tarkistus    109

Ehdotus asetukseksi

6 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  jäsenvaltioita järjestämällä vuosittain 7 artiklan 6 kohdassa tarkoitettuja laajamittaisia kyberturvallisuusharjoituksia unionin tasolla ja antamalla poliittisia suosituksia harjoitusten arviointiprosessin ja niistä saatavien kokemusten pohjalta;

g)  jäsenvaltioita järjestämällä säännöllisesti ja vähintään vuosittain 7 artiklan 6 kohdassa tarkoitettuja laajamittaisia kyberturvallisuusharjoituksia unionin tasolla ja antamalla poliittisia suosituksia ja jakamalla parhaita käytäntöjä harjoitusten arviointiprosessin ja niistä saatavien kokemusten pohjalta;

Tarkistus    110

Ehdotus asetukseksi

6 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Virasto helpottaa tietojen jakamisen ja analysoinnin alakohtaisten keskusten (ISAC) perustamista ja antaa niille jatkuvaa tukea erityisesti direktiivin (EU) 2016/1148 liitteessä II mainituilla aloilla tarjoamalla käyttöön parhaita käytäntöjä ja ohjeita käytettävissä olevista välineistä ja menettelyistä sekä ohjeita tietojen jakamiseen liittyvien sääntelykysymysten ratkaisemiseksi.

2.  Virasto helpottaa tietojen jakamisen ja analysoinnin alakohtaisten keskusten (ISAC) perustamista ja antaa niille jatkuvaa tukea erityisesti direktiivin (EU) 2016/1148 liitteessä II mainituilla aloilla tarjoamalla käyttöön parhaita käytäntöjä ja ohjeita käytettävissä olevista välineistä ja menettelyistä, kyberhygienian periaatteista sekä ohjeita tietojen jakamiseen liittyvien sääntelykysymysten ratkaisemiseksi.

Tarkistus    111

Ehdotus asetukseksi

7 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Virasto tukee operatiivista yhteistyötä toimivaltaisten julkisten elinten välillä sekä sidosryhmien välillä.

1.  Virasto tukee operatiivista yhteistyötä jäsenvaltioiden, unionin toimielinten, virastojen ja elinten välillä sekä sidosryhmien välillä, jotta saadaan aikaan yhteistyötä analysoimalla ja arvioimalla nykyisiä kansallisia järjestelmiä, kehittämällä ja panemalla täytäntöön suunnitelma sekä käyttämällä asianmukaisia välineitä mahdollisimman korkeatasoisen kyberturvallisuussertifioinnin saavuttamiseksi unionissa ja jäsenvaltioissa.

Tarkistus    112

Ehdotus asetukseksi

7 artikla – 4 kohta – 1 alakohta – b alakohta

Komission teksti

Tarkistus

b)  tarjoamalla pyynnöstä teknistä apua sellaisten poikkeamien yhteydessä, joilla on merkittävä vaikutus;

b)  tarjoamalla pyynnöstä teknistä apua, joka annetaan tiedonvaihdon ja asiantuntemuksen muodossa, sellaisten poikkeamien yhteydessä, joilla on merkittävä vaikutus;

Tarkistus    113

Ehdotus asetukseksi

7 artikla – 4 kohta – 1 alakohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  Jos tilanne edellyttää kiireellisiä toimia, koska poikkeaman vaikutus on erittäin haitallinen, jäsenvaltio voi pyytää apua viraston asiantuntijoilta tilanteen arvioimiseksi. Pyyntöön on sisällyttävä kuvaus tilanteesta, mahdolliset tavoitteet ja arvioidut tarpeet.

Tarkistus    114

Ehdotus asetukseksi

7 artikla – 5 kohta – 1 alakohta

Komission teksti

Tarkistus

Kahden tai useamman sellaisen jäsenvaltion pyynnöstä, jota asia koskee, ja pelkästään neuvonnan tarjoamiseksi uusien poikkeamien ehkäisemistä varten virasto antaa tukea jälkikäteen tehtävälle tekniselle tutkimukselle tai suorittaa tällaisen tutkimuksen sen jälkeen, kun vaikutukseltaan merkittävistä poikkeamista saadaan direktiivin (EU) 2016/1148 mukaisesti ilmoituksia yrityksiltä, joihin nämä poikkeamat ovat vaikuttaneet. Lisäksi virasto suorittaa tällaisen tutkimuksen asianmukaisesti perustellusta pyynnöstä, jonka komissio tekee yhteisymmärryksessä asianomaisten jäsenvaltioiden kanssa tapauksissa, joissa tällaiset poikkeamat vaikuttavat useampaan kuin kahteen jäsenvaltioon.

Yhden tai useamman sellaisen jäsenvaltion pyynnöstä, jota asia koskee, ja pelkästään avun tarjoamiseksi neuvonnan muodossa uusien poikkeamien ehkäisemistä tai avun muodossa nykyisiin laajamittaisiin poikkeamiin reagoimista varten virasto antaa tukea jälkikäteen tehtävälle tekniselle tutkimukselle tai suorittaa tällaisen tutkimuksen sen jälkeen, kun vaikutukseltaan merkittävistä poikkeamista saadaan direktiivin (EU) 2016/1148 mukaisesti ilmoituksia yrityksiltä, joihin nämä poikkeamat ovat vaikuttaneet. Virasto toteuttaa edellä mainitut toimet saatuaan asiaa koskevat tiedot jäsenvaltioita, joihin nämä poikkeamat ovat vaikuttaneet, ja käyttäen uhka-analyysiin omia resurssejaan sekä turvallisuuspoikkeamiin reagoimiseen tarkoitettuja resursseja. Lisäksi virasto suorittaa tällaisen tutkimuksen asianmukaisesti perustellusta pyynnöstä, jonka komissio tekee yhteisymmärryksessä asianomaisten jäsenvaltioiden kanssa tapauksissa, joissa tällaiset poikkeamat vaikuttavat useampaan kuin yhteen jäsenvaltioon. Toimiessaan näin virasto varmistaa, ettei se paljasta jäsenvaltioiden keskeisten valtion tehtävien turvaamiseksi toteuttamia, erityisesti kansallista turvallisuutta koskevia toimia.

Tarkistus    115

Ehdotus asetukseksi

7 artikla – 6 kohta

Komission teksti

Tarkistus

6.  Virasto järjestää vuosittain kyberturvallisuusharjoituksia unionin tasolla ja tukee jäsenvaltioita ja EU:n toimielimiä, virastoja ja elimiä harjoitusten järjestämisessä niiden pyynnöstä. Unionin tasolla järjestettävät vuotuiset harjoitukset sisältävät teknisiä, operatiivisia ja strategisia osatekijöitä ja auttavat valmistelemaan yhteistyöhön perustuvan vastauksen unionin tasolla laajamittaisiin rajatylittäviin kyberturvallisuuspoikkeamiin. Virasto myös edistää ja auttaa tarvittaessa järjestämään alakohtaisia kyberturvallisuusharjoituksia yhdessä ISAC-keskusten kanssa ja sallii ISAC-keskusten osallistumisen myös unionin tasolla järjestettäviin kyberturvallisuusharjoituksiin.

6.  Virasto järjestää säännöllisesti ja joka tapauksessa vähintään vuosittain kyberturvallisuusharjoituksia unionin tasolla ja tukee jäsenvaltioita ja EU:n toimielimiä, virastoja ja elimiä harjoitusten järjestämisessä niiden pyynnöstä. Unionin tasolla järjestettävät vuotuiset harjoitukset sisältävät teknisiä, operatiivisia ja strategisia osatekijöitä ja auttavat valmistelemaan yhteistyöhön perustuvan vastauksen unionin tasolla laajamittaisiin rajatylittäviin kyberturvallisuuspoikkeamiin. Virasto myös edistää ja auttaa tarvittaessa järjestämään alakohtaisia kyberturvallisuusharjoituksia yhdessä ISAC-keskusten kanssa ja sallii ISAC-keskusten osallistumisen myös unionin tasolla järjestettäviin kyberturvallisuusharjoituksiin.

Tarkistus    116

Ehdotus asetukseksi

7 artikla – 7 kohta

Komission teksti

Tarkistus

7.  Virasto laatii poikkeamista ja uhista säännöllisesti EU:n kyberturvallisuuden teknisen tilanneraportin, joka perustuu julkisiin tietolähteisiin, sen omaan analyysiin ja raportteihin, jotka on saatu muun muassa CSIRT-toimijoilta (vapaaehtoisuuden pohjalta) tai verkko- ja tietoturvadirektiivillä perustetuilta keskitetyiltä yhteyspisteiltä (verkko- ja tietoturvadirektiivin 14 artiklan 5 kohdan mukaisesti), Europolissa toimivalta Euroopan kyberrikostorjuntakeskukselta (EC3) sekä CERT-EU:lta.

7.  Virasto laatii poikkeamista ja uhista säännöllisesti perusteellisen EU:n kyberturvallisuuden teknisen tilanneraportin, joka perustuu julkisiin tietolähteisiin, sen omaan analyysiin ja raportteihin, jotka on saatu muun muassa CSIRT-toimijoilta (vapaaehtoisuuden pohjalta) tai verkko- ja tietoturvadirektiivillä perustetuilta keskitetyiltä yhteyspisteiltä (verkko- ja tietoturvadirektiivin 14 artiklan 5 kohdan mukaisesti), Europolissa toimivalta Euroopan kyberrikostorjuntakeskukselta (EC3) sekä CERT-EU:lta. Pääjohtaja esittää julkiset havainnot Euroopan parlamentille tarvittaessa.

Tarkistus    117

Ehdotus asetukseksi

7 artikla – 7 a kohta (uusi)

Komission teksti

Tarkistus

 

7 a.  Virasto edistää osaltaan tarvittaessa ja saatuaan komissiolta ennakkoon hyväksynnän kyberyhteistyötä Naton kyberpuolustuksen osaamiskeskuksen ja viestintä- ja tiedotusakatemian kanssa.

Tarkistus    118

Ehdotus asetukseksi

7 artikla – 8 kohta – a alakohta

Komission teksti

Tarkistus

a)  kokoamalla raportteja kansallisista lähteistä, jotta voidaan edistää yhteistä tilannetietoisuutta;

a)  analysoimalla ja kokoamalla raportteja kansallisista lähteistä, jotta voidaan edistää yhteistä tilannetietoisuutta;

Tarkistus    119

Ehdotus asetukseksi

7 artikla – 8 kohta – c alakohta

Komission teksti

Tarkistus

c)  tukemalla poikkeaman tai kriisin teknistä käsittelyä, muun muassa helpottamalla teknisten ratkaisujen jakamista jäsenvaltioiden välillä;

c)  tukemalla oman riippumattoman asiantuntemuksensa ja resurssiensa pohjalta poikkeaman tai kriisin teknistä käsittelyä, muun muassa helpottamalla teknisten ratkaisujen vapaaehtoista jakamista jäsenvaltioiden välillä;

Tarkistus    120

Ehdotus asetukseksi

7 artikla – 8 a kohta (uusi)

Komission teksti

Tarkistus

 

8 a.  Virasto järjestää tarvittaessa keskusteluja ja avustaa jäsenvaltioiden viranomaisia vastatoimiensa koordinoinnissa toissijaisuus- ja suhteellisuusperiaatteiden mukaisesti.

Tarkistus    121

Ehdotus asetukseksi

7 a artikla (uusi)

Komission teksti

Tarkistus

 

7 a artikla

 

Viraston tekniset valmiudet

 

1.   Edellä 7 artiklassa kuvattujen tavoitteiden saavuttamiseksi ja viraston työohjelman mukaisesti virasto kehittää muun muassa seuraavat tekniset valmiudet ja taidot:

 

a)   kyky kerätä tietoa kyberturvallisuusuhkista julkisista lähteistä ja

 

b)   kyky käyttää teknisiä laiteitta, välineitä ja asiantuntemusta etänä.

 

2.   Tämän artiklan 1 kohdassa tarkoitettujen teknisten valmiuksien täyttämiseksi ja asianmukaisten taitojen kehittämiseksi virasto

 

a)   varmistaa, että sen palvelukseenottoprosesseissa otetaan huomioon tarvittavat moninaiset tekniset taidot ja

 

b)   tekee yhteistyötä CERT-EU:n ja Europolin kanssa tämän asetuksen 7 artiklan 2 kohdan mukaisesti.

Tarkistus    122

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – johdantokappale

Komission teksti

Tarkistus

a)  tukee ja edistää tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuussertifiointiin liittyvän, tämän asetuksen III osastolla käyttöön otettavan unionin politiikan kehittämistä ja täytäntöönpanoa tehtävänään

a)  tukee ja edistää tieto- ja viestintätekniikan tuotteiden, palvelujen ja prosessien kyberturvallisuussertifiointiin liittyvän, tämän asetuksen III osastolla käyttöön otettavan unionin politiikan kehittämistä ja täytäntöönpanoa tehtävänään

Tarkistus    123

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – -1 alakohta (uusi)

Komission teksti

Tarkistus

 

-1)  määrittää jatkuvasti standardeja, teknisiä eritelmiä sekä tieto- ja viestintätekniikkaa koskevia teknisiä eritelmiä;

Tarkistus    124

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 1 alakohta

Komission teksti

Tarkistus

1)  valmistella ehdolla olevat eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät tieto- ja viestintätekniikan tuotteille ja palveluille tämän asetuksen 44 artiklan mukaisesti;

1)  valmistella ehdolla olevat eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille tämän asetuksen 44 artiklan mukaisesti yhteistyössä alan sidosryhmien ja standardointiorganisaatioiden kanssa virallisessa, standardoidussa ja avoimessa prosessissa;

Tarkistus    125

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 1 alakohta (uusi)

Komission teksti

Tarkistus

 

1 a)  arvioida yhteistyössä tämän asetuksen 53 artiklan mukaisen jäsenvaltioiden sertifiointiryhmän kanssa menettelyjä, joita tämän asetuksen 51 artiklassa tarkoitetut vaatimustenmukaisuuden arviointilaitokset ovat ottaneet käyttöön eurooppalaisten kyberturvallisuussertifikaattien myöntämistä varten, tarkoituksenaan varmistaa, että vaatimustenmukaisuuden arviointilaitokset soveltavat tätä asetusta yhdenmukaisesti myöntäessään sertifikaatteja;

Tarkistus    126

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 1 b alakohta (uusi)

Komission teksti

Tarkistus

 

1 b)  toteuttaa sertifioitujen tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen säännöllisiä riippumattomia jälkitarkastuksia eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimustenmukaisuuden osalta;

Tarkistus    127

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 2 alakohta

Komission teksti

Tarkistus

2)  avustaa komissiota toimimalla Euroopan kyberturvallisuuden sertifiointiryhmän sihteeristönä tämän asetuksen 53 artiklan mukaisesti;

2)  avustaa komissiota toimimalla jäsenvaltioiden sertifiointiryhmän sihteeristönä tämän asetuksen 53 artiklan mukaisesti;

Tarkistus    128

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 3 alakohta

Komission teksti

Tarkistus

3)  koota ja julkaista ohjeita ja laatia hyviä käytäntöjä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusvaatimuksia, yhteistyössä kansallisten sertifioinnin valvontaviranomaisten ja toimialan kanssa;

3)  koota ja julkaista ohjeita ja laatia hyviä käytäntöjä, myös kyberhygienian periaatteista, jotka koskevat tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen kyberturvallisuusvaatimuksia, yhteistyössä kansallisten sertifioinnin valvontaviranomaisten ja toimialan kanssa virallisessa, standardoidussa ja avoimessa prosessissa;

Tarkistus    129

Ehdotus asetukseksi

8 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  helpottaa tieto- ja viestintäteknisten tuotteiden ja palvelujen riskinhallintaan ja turvallisuuteen liittyvien eurooppalaisten ja kansainvälisten standardien laatimista ja käyttöönottoa sekä antaa yhteistyössä jäsenvaltioiden kanssa neuvoja ja suuntaviivoja keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskeviin turvallisuusvaatimuksiin liittyvistä teknisistä aloista sekä jo olemassa olevista standardeista, mukaan lukien jäsenvaltioiden kansalliset standardit, direktiivin (EU) 2016/1148 19 artiklan 2 kohdan mukaisesti;

b)  helpottaa tieto- ja viestintäteknisten tuotteiden, prosessien ja palvelujen riskinhallintaan ja turvallisuuteen liittyvien eurooppalaisten ja kansainvälisten standardien laatimista ja käyttöönottoa sekä antaa yhteistyössä jäsenvaltioiden ja toimialan kanssa neuvoja ja suuntaviivoja keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskeviin turvallisuusvaatimuksiin liittyvistä teknisistä aloista sekä jo olemassa olevista standardeista, mukaan lukien jäsenvaltioiden kansalliset standardit, direktiivin (EU) 2016/1148 19 artiklan 2 kohdan mukaisesti, ja jakaa nämä tiedot jäsenvaltioiden kanssa;

Tarkistus    130

Ehdotus asetukseksi

9 artikla – 1 kohta – c alakohta

Komission teksti

Tarkistus

c)  tarjoaa yhteistyössä jäsenvaltioiden viranomaisten asiantuntijoiden kanssa neuvoja, ohjeita ja parhaita käytäntöjä, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta ja erityisesti internetinfrastruktuurin ja direktiivin (EU) 2016/1148 liitteessä II mainittuja aloja tukevien infrastruktuurien turvallisuutta;

c)  tarjoaa yhteistyössä jäsenvaltioiden viranomaisten ja asianomaisten sidosryhmien asiantuntijoiden kanssa neuvoja, ohjeita ja parhaita käytäntöjä, jotka koskevat verkko- ja tietojärjestelmien turvallisuutta ja erityisesti internetinfrastruktuurin ja direktiivin (EU) 2016/1148 liitteessä II mainittuja aloja tukevien infrastruktuurien turvallisuutta;

Tarkistus    131

Ehdotus asetukseksi

9 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  lisää suuren yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja antaa yksittäisille käyttäjille ohjeita hyvistä käytännöistä kansalaisten ja organisaatioiden käyttöön;

e)  lisää jatkuvasti suuren yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja antaa yksittäisille käyttäjille koulutusta ja ohjeita hyvistä käytännöistä kansalaisten ja organisaatioiden käyttöön ja edistää ennaltaehkäisevien tietotekniikan turvallisuuteen liittyvien vahvojen toimenpiteiden sekä luotettavien tietoturva- ja yksityisyydensuojatoimien käyttöönottoa;

Tarkistus    132

Ehdotus asetukseksi

9 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  järjestää yhteistyössä jäsenvaltioiden ja unionin toimielinten, elinten, laitosten ja virastojen kanssa säännöllisiä tiedotuskampanjoita kyberturvallisuuden ja sen näkyvyyden parantamiseksi unionissa.

g)  järjestää yhteistyössä jäsenvaltioiden ja unionin toimielinten, elinten, laitosten ja virastojen kanssa säännöllisiä tiedotuskampanjoita laajan julkisen keskustelun aikaansaamiseksi.

Tarkistus    133

Ehdotus asetukseksi

9 artikla – 1 kohta – g a alakohta (uusi)

Komission teksti

Tarkistus

 

g a)  tukee jäsenvaltioiden välistä tiiviimpää koordinointia ja parhaiden käytäntöjen vaihtoa kyberturvallisuutta koskevan koulutuksen ja lukutaidon, kyberhygienian ja tietoisuuden lisäämisen osalta;

Tarkistus    134

Ehdotus asetukseksi

10 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  antaa unionille ja jäsenvaltioille neuvoja kyberturvallisuusalan tutkimustarpeista ja -painopisteistä, jotta nykyisiin ja kehittyviin riskeihin ja uhkiin, myös jos ne liittyvät uusiin ja kehittyviin tieto- ja viestintäteknologioihin, voitaisiin löytää toimivia ratkaisuja ja jotta riskinehkäisytekniikoita voitaisiin käyttää tehokkaasti;

a)  varmistaa asianomaisten käyttäjäryhmien kuulemisen etukäteen ja antaa unionille ja jäsenvaltioille neuvoja kyberturvallisuuden, tietosuojan ja yksityisyydensuojan alojen tutkimustarpeista ja -painopisteistä, jotta nykyisiin ja kehittyviin riskeihin ja uhkiin, myös jos ne liittyvät uusiin ja kehittyviin tieto- ja viestintäteknologioihin, voitaisiin löytää toimivia ratkaisuja ja jotta riskinehkäisytekniikoita voitaisiin käyttää tehokkaasti;

Tarkistus    135

Ehdotus asetukseksi

10 artikla – 1 kohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  toteuttaa omaa tutkimustoimintaansa sellaisilla aloilla, joita unionin nykyiset tutkimusohjelmat eivät vielä kata, mutta jotka tuovat selvää eurooppalaista lisäarvoa.

Tarkistus    136

Ehdotus asetukseksi

11 artikla – 1 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  tarjota neuvoja ja tukea komissiolle yhteistyössä 53 artiklan nojalla perustetun jäsenvaltioiden sertifiointiryhmän kanssa kysymyksissä, jotka liittyvät kolmansien maiden kanssa tehtäviin kyberturvallisuussertifikaattien vastavuoroista tunnustamista koskeviin sopimuksiin.

Tarkistus    137

Ehdotus asetukseksi

12 artikla – 1 kohta – d alakohta

Komission teksti

Tarkistus

d)  pysyvä sidosryhmä, jonka tehtävät vahvistetaan 20 artiklassa.

d)  ENISAn neuvoa-antava ryhmä, jonka tehtävät vahvistetaan 20 artiklassa;

Tarkistus    138

Ehdotus asetukseksi

14 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  arvioi ja hyväksyy viraston toimintaa koskevan vuotuisen konsolidoidun toimintakertomuksen ja toimittaa sen yhdessä arviointinsa kanssa seuraavan vuoden heinäkuun 1 päivään mennessä Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle. Toimintakertomus sisältää tilinpäätöksen ja kuvauksen siitä, kuinka virasto on saavuttanut tulosindikaattorinsa. Toimintakertomus julkistetaan;

e)  arvioi ja hyväksyy viraston toimintaa koskevan vuotuisen konsolidoidun toimintakertomuksen ja toimittaa sen yhdessä arviointinsa kanssa seuraavan vuoden heinäkuun 1 päivään mennessä Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle. Toimintakertomus sisältää tilinpäätöksen, kuvauksen varainkäytön vaikuttavuudesta ja arvion viraston tehokkuudesta sekä siitä, missä määrin se on saavuttanut tulosindikaattorinsa. Toimintakertomus julkistetaan;

Tarkistus    139

Ehdotus asetukseksi

14 artikla – 1 kohta – m alakohta

Komission teksti

Tarkistus

m)  nimittää pääjohtajan ja jatkaa tarvittaessa tämän toimikautta tai erottaa tämän asetuksen 33 artiklan mukaisesti;

m)  nimittää pääjohtajan ammatillisiin kriteereihin perustuvan valintamenettelyn kautta ja jatkaa tarvittaessa tämän toimikautta tai erottaa tämän asetuksen 33 artiklan mukaisesti;

Tarkistus    140

Ehdotus asetukseksi

14 artikla – 1 kohta – o alakohta

Komission teksti

Tarkistus

o)  tekee kaikki päätökset viraston sisäisistä rakenteista ja tarvittaessa niiden muuttamisesta ottaen huomioon viraston toimintatarpeet ja moitteettoman varainhoidon;

o)  tekee kaikki päätökset viraston sisäisistä rakenteista ja tarvittaessa niiden muuttamisesta ottaen huomioon viraston tässä asetuksessa luetellut toimintatarpeet ja moitteettoman varainhoidon;

Tarkistus    141

Ehdotus asetukseksi

16 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Pysyvän sidosryhmän jäsenet voivat osallistua puheenjohtajan kutsusta johtokunnan kokouksiin ilman äänioikeutta.

4.  ENISAn neuvoa-antavan ryhmän jäsenet voivat osallistua puheenjohtajan kutsusta johtokunnan kokouksiin ilman äänioikeutta.

Tarkistus    142

Ehdotus asetukseksi

18 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Hallitukseen kuuluu viisi jäsentä, jotka nimitetään johtokunnan jäsenten keskuudesta ja joista yksi on johtokunnan puheenjohtaja, joka voi myös toimia hallituksen puheenjohtajana, ja yksi on komission edustaja. Pääjohtaja osallistuu hallituksen kokouksiin ilman äänioikeutta.

3.  Hallitukseen kuuluu viisi jäsentä, jotka nimitetään johtokunnan jäsenten keskuudesta ja joista yksi on johtokunnan puheenjohtaja, joka voi myös toimia hallituksen puheenjohtajana, ja yksi on komission edustaja. Pääjohtaja osallistuu hallituksen kokouksiin ilman äänioikeutta. Nimityksissä on pyrittävä sukupuolten tasapuoliseen edustukseen hallituksessa.

Perustelu

Hallituksen nimityksissä on pyrittävä sukupuolten tasapuoliseen edustukseen johtokuntaa koskevan 13 artiklan 3 kohdan säännösten mukaisesti.

Tarkistus    143

Ehdotus asetukseksi

19 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Pääjohtaja raportoi pyydettäessä Euroopan parlamentille tehtäviensä hoidosta. Neuvosto voi pyytää pääjohtajaa raportoimaan tehtäviensä hoidosta.

2.  Pääjohtaja raportoi vuosittain tai pyydettäessä Euroopan parlamentille tehtäviensä hoidosta. Neuvosto voi pyytää pääjohtajaa raportoimaan tehtäviensä hoidosta.

Tarkistus    144

Ehdotus asetukseksi

19 artikla – 5 a kohta (uusi)

Komission teksti

Tarkistus

 

5 a.  Pääjohtajan on myös toimittava Euroopan komission puheenjohtajan kyberturvallisuuspolitiikan institutionaalisena erityisneuvonantajana, jonka toimivaltuudet on määritelty 6 päivänä helmikuuta 2014 annetussa komission päätöksessä C(2014) 541.

Tarkistus    145

Ehdotus asetukseksi

20 artikla – otsikko

Komission teksti

Tarkistus

Pysyvä sidosryhmä

ENISAn neuvoa-antava ryhmä;

 

(Vastaava muutos tehdään kaikkialle tekstiin. Jos tarkistus hyväksytään, koko tekstiin on tehtävä teknisiä muutoksia.)

Tarkistus    146

Ehdotus asetukseksi

20 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Johtokunta perustaa pääjohtajan esityksestä pysyvän sidosryhmän, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, sähköisten viestintäverkkojen tai yleisön saatavilla olevien palvelujen tarjoajia ja kuluttajajärjestöjä, edustavista tunnustetuista asiantuntijoista, tiedeyhteisöä edustavista kyberturvallisuusasiantuntijoista sekä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] mukaisesti ilmoitettujen toimivaltaisten viranomaisten sekä lainvalvonta- ja tietosuojaviranomaisten edustajista.

1.  Johtokunta perustaa avoimella tavalla pääjohtajan esityksestä ENISAn neuvoa-antavan ryhmän, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, muun muassa pk-yrityksiä, kyberturvallisuusdirektiivin mukaisten keskeisten palvelujen tarjoajia, sähköisten viestintäverkkojen tai yleisön saatavilla olevien palvelujen tarjoajia ja kuluttajajärjestöjä, edustavista tunnustetuista turvallisuusasiantuntijoista, tiedeyhteisöä edustavista kyberturvallisuusasiantuntijoista, eurooppalaisten standardointiorganisaatioiden ja EU:n virastojen edustajista sekä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] mukaisesti ilmoitettujen toimivaltaisten viranomaisten sekä lainvalvonta- ja tietosuojaviranomaisten edustajista. Johtokunta varmistaa eri sidosryhmien asianmukaisen tasapainoisen edustuksen.

Tarkistus    147

Ehdotus asetukseksi

20 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Pysyvän sidosryhmän menettelyt, jotka koskevat erityisesti ryhmän jäsenten lukumäärää, sen kokoonpanoa, johtokunnan suorittamaa ryhmän jäsenten nimeämistä, pääjohtajan tekemää esitystä sekä ryhmän toimintaa, määritellään viraston sisäisissä toimintasäännöissä ja julkaistaan.

2.  ENISAn neuvoa-antavan ryhmän menettelyt, jotka koskevat erityisesti ryhmän jäsenten lukumäärää, sen kokoonpanoa, johtokunnan suorittamaa ryhmän jäsenten nimeämistä, pääjohtajan tekemää esitystä sekä ryhmän toimintaa, määritellään viraston sisäisissä toimintasäännöissä ja julkaistaan.

Tarkistus    148

Ehdotus asetukseksi

20 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Pysyvän sidosryhmän puheenjohtajana toimii pääjohtaja tai pääjohtajan tähän tehtävään tapauskohtaisesti nimeämä henkilö.

3.  ENISAn neuvoa-antavan ryhmän puheenjohtajana toimii pääjohtaja tai pääjohtajan tähän tehtävään tapauskohtaisesti nimeämä henkilö.

Tarkistus    149

Ehdotus asetukseksi

20 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Pysyvän sidosryhmän jäsenten toimikausi on kaksi ja puoli vuotta. Johtokunnan jäsenet eivät saa olla pysyvän sidosryhmän jäseniä. Komission ja jäsenvaltioiden asiantuntijoilla on oikeus olla läsnä pysyvän sidosryhmän kokouksissa ja osallistua sen työhön. Muiden pääjohtajan tärkeiksi katsomien elinten edustajia, jotka eivät ole pysyvän sidosryhmän jäseniä, voidaan pyytää saapuville pysyvän sidosryhmän kokouksiin ja osallistumaan sen työhön.

4.  ENISAn neuvoa-antavan ryhmän jäsenten toimikausi on kaksi ja puoli vuotta. Johtokunnan jäsenet eivät saa olla ENISAn neuvoa-antavan ryhmän jäseniä. Komission ja jäsenvaltioiden asiantuntijoilla on oikeus olla läsnä ENISAn neuvoa-antavan ryhmän kokouksissa ja osallistua sen työhön. Muiden pääjohtajan tärkeiksi katsomien elinten edustajia, jotka eivät ole ENISAn neuvoa-antavan ryhmän jäseniä, voidaan pyytää saapuville ENISAn neuvoa-antavan ryhmän kokouksiin ja osallistumaan sen työhön.

Tarkistus    150

Ehdotus asetukseksi

20 artikla – 4 a kohta (uusi)

Komission teksti

Tarkistus

 

4 a.  ENISAn neuvoa-antava ryhmä esittää säännöllisesti vuoden mittaan suunnitelmiensa päivityksiä ja esittää tavoitteensa työohjelmassaan, joka julkaistaan kuuden kuukauden välein avoimuuden varmistamiseksi.

Tarkistus    151

Ehdotus asetukseksi

20 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Pysyvä sidosryhmä neuvoo virastoa sen tehtävien hoidossa. Erityisesti se neuvoo pääjohtajaa tämän laatiessa esitystä viraston työohjelmaksi sekä yhteydenpidossa asianmukaisten sidosryhmien kanssa kaikissa työohjelmaan liittyvissä kysymyksissä.

5.  ENISAn neuvoa-antava ryhmä neuvoo virastoa sen tehtävien hoidossa paitsi tämän asetuksen III osaston soveltamisessa. Erityisesti se neuvoo pääjohtajaa tämän laatiessa esitystä viraston työohjelmaksi sekä yhteydenpidossa asianmukaisten sidosryhmien kanssa työohjelmaan liittyvissä kysymyksissä.

Tarkistus    152

Ehdotus asetukseksi

20 a artikla (uusi)

Komission teksti

Tarkistus

 

20 a artikla

 

Sidosryhmien sertifiointiryhmä

 

1.   Pääjohtaja perustaa sidosryhmien sertifiointiryhmän, joka koostuu yleisestä neuvoa-antavasta komiteasta, joka antaa yleisiä neuvoja tämän asetuksen III osaston soveltamista ja perustaa tilapäisiä komiteoita kunkin ehdolla olevan järjestelmän valmistelemista, kehittämistä ja hyväksymistä varten. Tämän ryhmän jäsenet valitaan asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, muun muassa pk-yrityksiä, kyberturvallisuusdirektiivin mukaisten keskeisten palvelujen tarjoajia, sähköisten viestintäverkkojen tai yleisön saatavilla olevien palvelujen tarjoajia ja kuluttajajärjestöjä, edustavista tunnustetuista turvallisuusasiantuntijoista, tiedeyhteisöä edustavista kyberturvallisuusasiantuntijoista ja eurooppalaisten standardointiorganisaatioiden edustajista sekä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] mukaisesti ilmoitettujen toimivaltaisten viranomaisten sekä lainvalvonta- ja tietosuojaviranomaisten edustajista.

 

2.   Sidosryhmien sertifiointiryhmän menettelyt, jotka koskevat erityisesti ryhmän jäsenten lukumäärää, sen kokoonpanoa ja pääjohtajan suorittamaa ryhmän jäsenten nimeämistä, määritellään viraston sisäisissä toimintasäännöissä, niissä noudatetaan parhaita käytäntöjä kaikkien sidosryhmien oikeudenmukaisen edustuksen ja yhtäläisten oikeuksien varmistamiseksi ja ne julkaistaan.

 

3.   Johtokunnan jäsenet eivät saa olla sidosryhmien sertifiointiryhmän jäseniä. ENISAn neuvoa-antavan ryhmän jäsenet saavat olla myös sidosryhmien sertifiointiryhmän jäseniä. Komission ja jäsenvaltioiden asiantuntijoilla on oikeus olla läsnä sidosryhmien sertifiointiryhmän kokouksissa kutsuttuna. Muiden pääjohtajan tärkeiksi katsomien elinten edustajia voidaan pyytää sidosryhmien sertifiointiryhmän kokouksiin ja osallistumaan sen työhön.

 

4.   Sidosryhmien sertifiointiryhmä neuvoo virastoa sen tehtävien hoidossa tämän asetuksen III osaston osalta. Sillä on erityisesti oikeus ehdottaa komissiolle tämän asetuksen 44 artiklassa tarkoitetun ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän valmistelemista sekä osallistua tämän asetuksen 43–48 ja 53 artiklassa kuvattuihin menettelyihin tällaisten järjestelmien hyväksymiseksi.

Tarkistus    153

Ehdotus asetukseksi

21 a artikla (uusi)

Komission teksti

Tarkistus

 

21 a artikla

 

Virastolle esitettävät pyynnöt

 

1.   Viraston olisi perustettava yhteyspiste, jonka kautta viraston tavoitteisiin ja tehtäviin kuuluvat neuvonta- ja avustamispyynnöt voidaan esittää. Pyyntöihin on liitettävä taustatiedot käsiteltävästä asiasta. Viraston olisi arvioitava pyyntöjen mahdolliset vaikutukset resursseihin ja määritettävä myöhemmin pyyntöjen johdosta toteutettavat toimenpiteet. Jos virasto torjuu pyynnön, sen on perusteltava päätöksensä.

 

2.   Edellä 1 kohdassa tarkoitettuja pyyntöjä voivat esittää:

 

a)   Euroopan parlamentti

 

b)   neuvosto

 

c)   komissio ja

 

d)   kaikki jäsenvaltioiden nimeämät toimivaltaiset elimet, kuten direktiivin 2002/21/EY 2 artiklassa määritellyt kansalliset sääntelyviranomaiset.

 

3.   Johtokunta vahvistaa viraston sisäisissä toimintasäännöissä 1 ja 2 kohdan soveltamista koskevat käytännön järjestelyt erityisesti virastolle osoitettujen pyyntöjen esittämisen, tärkeysjärjestykseen asettamisen ja seurannan sekä tiedottamisen osalta.

Tarkistus    154

Ehdotus asetukseksi

24 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Johtokunnan jäsenten, pääjohtajan, pysyvän sidosryhmän jäsenten, tilapäisiin työryhmiin osallistuvien ulkopuolisten asiantuntijoiden sekä viraston henkilöstön, mukaan lukien ne toimihenkilöt, jotka on otettu palvelukseen jäsenvaltioiden tilapäisesti lähettäminä virkamiehinä, on myös tehtäviensä päätyttyä noudatettava Euroopan unionin toiminnasta tehdyn sopimuksen 339 artiklan mukaista salassapitovelvollisuutta.

2.  Johtokunnan jäsenten, pääjohtajan, ENISAn neuvoa-antavan ryhmän jäsenten, tilapäisiin työryhmiin osallistuvien ulkopuolisten asiantuntijoiden sekä viraston henkilöstön, mukaan lukien ne toimihenkilöt, jotka on otettu palvelukseen jäsenvaltioiden tilapäisesti lähettäminä virkamiehinä, on myös tehtäviensä päätyttyä noudatettava Euroopan unionin toiminnasta tehdyn sopimuksen 339 artiklan mukaista salassapitovelvollisuutta.

Tarkistus    155

Ehdotus asetukseksi

26 artikla – 1 kohta – 1 a alakohta (uusi)

Komission teksti

Tarkistus

 

Alustavan ennakkoarvioesityksen on perustuttava tämän asetuksen 21 artiklan 1 kohdassa tarkoitetun yhtenäisen ohjelma-asiakirjan tavoitteisiin ja odotettuihin tuloksiin, ja siinä on otettava huomioon näiden tavoitteiden ja odotettujen tulosten saavuttamiseksi tarvittavat taloudelliset resurssit tulosbudjetoinnin periaatteen mukaisesti.

Tarkistus    156

Ehdotus asetukseksi

30 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Tilintarkastustuomioistuimella on valtuudet tehdä kaikkien virastolta unionin rahoitusta saaneiden avustuksensaajien, toimeksisaajien ja alihankkijoiden osalta asiakirjoihin perustuvia ja paikan päällä suoritettavia tarkastuksia.

2.  Tilintarkastustuomioistuimella on valtuudet tehdä kaikkien virastolta unionin rahoitusta saaneiden avustuksensaajien, toimeksisaajien ja alihankkijoiden osalta asiakirjoihin perustuvia tarkastuksia ja paikan päällä suoritettavia tarkastuksia.

Tarkistus    157

Ehdotus asetukseksi

36 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Viraston toimihenkilöiden henkilökohtaista vastuuta virastoa kohtaan säännellään sen henkilöstöön sovellettavissa asiaa koskevissa määräyksissä.

5.  Viraston toimihenkilöiden henkilökohtaista vastuuta virastoa kohtaan säännellään sen henkilöstöön sovellettavissa asiaa koskevissa määräyksissä. On varmistettava henkilöstön tehokas palvelukseenotto.

Tarkistus    158

Ehdotus asetukseksi

37 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Euroopan unionin elinten käännöskeskus huolehtii viraston toiminnan edellyttämistä käännöspalveluista.

2.  Euroopan unionin elinten käännöskeskus tai muu käännöspalvelujen tarjoaja huolehtii viraston toiminnan edellyttämistä käännöspalveluista julkisia hankintoja koskevien sääntöjen mukaisesti ja asiaa koskevien varainhoitosääntöjen rajoissa.

Tarkistus    159

Ehdotus asetukseksi

39 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Siltä osin kuin on tarpeen tämän asetuksen tavoitteiden saavuttamiseksi virasto voi tehdä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten ja/tai kansainvälisten järjestöjen kanssa. Virasto voi tätä varten vahvistaa työjärjestelyt näiden kolmansien maiden viranomaisten ja kansainvälisten järjestöjen kanssa, edellyttäen että komissio antaa tähän ennakkohyväksynnän. Näistä järjestelyistä ei seuraa oikeudellisia velvoitteita unionille ja sen jäsenvaltioille.

1.  Siltä osin kuin on tarpeen tämän asetuksen tavoitteiden saavuttamiseksi virasto voi tehdä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten ja/tai kansainvälisten järjestöjen kanssa. Virasto voi tätä varten vahvistaa työjärjestelyt näiden kolmansien maiden viranomaisten ja kansainvälisten järjestöjen kanssa, edellyttäen että komissio antaa tähän ennakkohyväksynnän. Mahdolliseen yhteistyöhön Naton kanssa voi sisältyä yhteisiä kyberturvallisuusharjoituksia ja yhteistä kyberturvallisuuspoikkeamiin reagoimisen koordinointia. Näistä järjestelyistä ei seuraa oikeudellisia velvoitteita unionille ja sen jäsenvaltioille.

Perustelu

Ottaen huomioon kyberpoikkeamien rajatylittävän luonteen ENISAn olisi tarvittaessa tehtävä yhteistyötä muiden Euroopan kyberturvallisuusalan toimijoiden kuten Naton kanssa. Tämä on erityisen tärkeää, koska NATOlla voi olla kybervalmiuksia, joita ENISAlla ei ole, ja päinvastoin. Tapauksessa, jossa valtioita kohtaan kohdistuisi suuri määrä kyberhyökkäyksiä, Euroopan turvallisuuden kannalta on ehdottoman tärkeää, että ENISA tekee yhteistyötä Naton kaltaisten kansainvälisten järjestöjen kanssa kansainvälisellä tasolla.

Tarkistus    160

Ehdotus asetukseksi

41 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Viraston isäntäjäsenvaltion on tarjottava parhaat mahdolliset edellytykset viraston moitteettomalle toiminnalle, mukaan lukien toimivat liikenneyhteydet sijaintipaikalle, henkilöstön jäsenten lapsille soveltuvat koulunkäyntimahdollisuudet, puolisoiden mahdollisuudet päästä työmarkkinoille sekä riittävä sosiaaliturvan ja terveydenhuoltopalvelujen saatavuus lapsille ja puolisoille.

2.  Viraston isäntäjäsenvaltion on tarjottava parhaat mahdolliset edellytykset viraston moitteettomalle toiminnalle, mukaan lukien koko viraston sijoittaminen samaan paikkaan, toimivat liikenneyhteydet sijaintipaikalle, henkilöstön jäsenten lapsille soveltuvat koulunkäyntimahdollisuudet, puolisoiden mahdollisuudet päästä työmarkkinoille sekä riittävä sosiaaliturvan ja terveydenhuoltopalvelujen saatavuus lapsille ja puolisoille.

Perustelu

Viraston nykyinen järjestely, jossa sen hallinto toimii Iráklionissa ja ydintoiminnot hoidetaan Ateenassa, on osoittautunut tehottomaksi ja kalliiksi. ENISAn koko henkilöstön olisi siksi työskenneltävä samassa kaupungissa. Tässä kohdassa mainitut perusteet huomioon ottaen sijaintipaikan olisi oltava Ateena.

Tarkistus    161

Ehdotus asetukseksi

43 artikla – 1 kohta

Komission teksti

Tarkistus

Eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä todistetaan, että tällaisen järjestelmän mukaisesti sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät määritellyt vaatimukset, jotka koskevat niiden kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus.

Eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä todistetaan, että sertifioinnin kattamissa tieto- ja viestintätekniikan tuotteissa, prosesseissa ja palveluissa ei sertifioinnin aikana ole tunnettuja haavoittuvuuksia ja ne täyttävät määritellyt vaatimukset, jotka voivat viitata eurooppalaisiin ja kansainvälisiin standardeihin, teknisiin eritelmiin ja tieto- ja viestintätekniikan teknisiin eritelmiin ja jotka koskevat niiden kykyä suojautua koko elinkaarensa ajan tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus, ja ne täyttävät eritellyt turvallisuustavoitteet.

Tarkistus    162

Ehdotus asetukseksi

44 artikla – -1 kohta (uusi)

Komission teksti

Tarkistus

 

-1.  Komissio antaa tämän asetuksen täydentämiseksi 55 a artiklan mukaisesti delegoituja säädöksiä unionin jatkuvan työohjelman perustamiseksi eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä varten. Näissä delegoiduissa säädöksissä määritetään unionin tasolla toteutettavat yhteiset toimet ja strategiset painopisteet. Unionin jatkuvaan työohjelmaan on sisällyttävä erityisesti eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään soveltuvien tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen prioriteettiluettelo sekä analyysi siitä, onko vaatimustenmukaisuuden arviointilaitosten ja kansallisten sertifioinnin valvontaviranomaisten keskuudessa olemassa vastaavantasoista laatua, osaamista ja asiantuntemusta, ja tarvittaessa ehdotus toimenpiteistä, joilla tällainen vastaavuuden taso voidaan saavuttaa.

 

Ensimmäinen unionin jatkuva työohjelma laaditaan viimeistään ... [kuuden kuukauden kuluttua tämän asetuksen voimaantulosta], ja päivitetään tarpeen vaatiessa mutta siitä lähtien joka tapauksessa ainakin kahden vuoden välein. Unionin jatkuva työohjelma julkistetaan.

 

Ennen unionin jatkuvan työohjelman hyväksymistä tai päivittämistä komissio kuulee jäsenvaltioiden sertifiointiryhmää, virastoa ja sidosryhmien sertifiointiryhmää avoimella, läpinäkyvällä ja osallistavalla kuulemisella.

Tarkistus    163

Ehdotus asetukseksi

44 artikla – -1 a kohta (uusi)

Komission teksti

Tarkistus

 

-1 a.  Jos se on perusteltua, komissio pyytää virastoa laatimaan ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän. Pyyntö perustuu unionin jatkuvaan työohjelmaan.

Tarkistus    164

Ehdotus asetukseksi

44 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Kun komissio on esittänyt asiaa koskevan pyynnön, ENISA valmistelee ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, joka täyttää tämän asetuksen 45, 46 ja 47 artiklassa esitetyt vaatimukset. Jäsenvaltiot tai 53 artiklalla perustettu Euroopan kyberturvallisuuden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’, voivat esittää komissiolle ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän valmistelemista.

1.  Ehdolla olevaa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää koskeva pyyntö sisältää soveltamisalan, 45 artiklassa tarkoitetut sovellettavat turvallisuustavoitteet, 47 artiklassa tarkoitetut sovellettavat osatekijät ja määräajan, johon mennessä tietyn ehdolla olevan järjestelmän on tultava voimaan. Komissio voi pyyntöä laatiessaan kuulla virastoa, jäsenvaltioiden sertifiointiryhmää ja sidosryhmien sertifiointiryhmää.

Tarkistus    165

Ehdotus asetukseksi

44 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Valmistellessaan 1 kohdassa tarkoitettuja ehdolla olevia järjestelmiä ENISA kuulee kaikkia asiaankuuluvia sidosryhmiä ja tekee tiivistä yhteistyötä sertifiointiryhmän kanssa. Sertifiointiryhmä antaa ENISAlle apua ja asiantuntijaneuvontaa, jota ENISA tarvitsee ehdolla olevan järjestelmän valmistelussa, tarvittaessa myös antamalla lausuntoja.

2.  Valmistellessaan –1 kohdassa (uusi) tarkoitettuja ehdolla olevia järjestelmiä virasto kuulee kaikkia asiaankuuluvia sidosryhmiä virallisessa, avoimessa ja osallistavassa kuulemisprosessissa ja tekee tämän asetuksen 20 a artiklan mukaisesti tiivistä yhteistyötä jäsenvaltioiden sertifiointiryhmän, sidosryhmien sertifiointiryhmän, tämän asetuksen 20 a artiklan mukaisten tilapäisten komiteoiden ja eurooppalaisten standardointielinten kanssa. Ne antavat virastolle apua ja asiantuntijaneuvontaa, jota virasto tarvitsee ehdolla olevan järjestelmän valmistelussa, tarvittaessa myös antamalla lausuntoja.

Tarkistus    166

Ehdotus asetukseksi

44 artikla – 3 kohta

Komission teksti

Tarkistus

3.  ENISA toimittaa tämän artiklan 2 kohdan mukaisesti valmistellun ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän komissiolle.

3.  Virasto toimittaa tämän artiklan 1 ja 2 kohdan mukaisesti valmistellun ehdolla olevan järjestelmän komissiolle.

Tarkistus    167

Ehdotus asetukseksi

44 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Komissio voi ENISA:n valmisteleman ehdolla olevan järjestelmän pohjalta hyväksyä 55 artiklan 1 kohdan mukaisesti täytäntöönpanosäädöksiä tieto- ja viestintätekniikan tuotteiden ja palvelujen eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä, jotka täyttävät tämän asetuksen 45, 46 ja 47 artiklan vaatimukset.

4.  Komissio voi viraston valmisteleman ehdolla olevan järjestelmän pohjalta hyväksyä 55 a artiklan mukaisesti delegoituja säädöksiä tämän asetuksen täydentämiseksi tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä, jotka täyttävät 45, 46 ja 47 artiklan vaatimukset.

Tarkistus    168

Ehdotus asetukseksi

44 artikla – 5 kohta

Komission teksti

Tarkistus

5.  ENISA ylläpitää erityistä verkkosivustoa, joka tarjoaa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevaa tiedotusta ja julkisuutta.

5.  Virasto ylläpitää erityistä verkkosivustoa, joka tarjoaa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevaa tiedotusta ja julkisuutta, mukaan lukien peruutetut ja vanhentuneet sertifikaatit sekä sertifioinnin kattamat kansalliset sertifikaatit.

 

Jos eurooppalainen kyberturvallisuuden sertifiointijärjestelmä täyttää vaatimukset, joita sen on tarkoitus noudattaa ja joista säädetään sovellettavassa unionin yhdenmukaistamislainsäädännössä, komissio julkaisee viipymättä sen viitetiedot Euroopan unionin virallisessa lehdessä ja muita keinoja käyttäen sovellettavassa unionin yhdenmukaistamissäädöksessä säädettyjen edellytysten mukaisesti.

Tarkistus    169

Ehdotus asetukseksi

44 artikla – 5 a kohta (uusi)

Komission teksti

Tarkistus

 

5 a.  Virasto tarkastelee hyväksyttyjä järjestelmiä tässä asetuksessa vahvistetun rakenteen mukaisesti niiden voimassaolon päätyttyä 47 artiklan 1 kohdan a c alakohdan mukaisesti tai komission pyynnöstä ja ottaen huomioon asianomaisilta sidosryhmiltä saadun palautteen.

Tarkistus    170

Ehdotus asetukseksi

45 artikla – 1 kohta – johdantokappale

Komission teksti

Tarkistus

Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän suunnittelussa on otettava huomioon soveltuvin osin seuraavat turvallisuustavoitteet:

Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän suunnittelussa on otettava huomioon soveltuvin osin turvallisuustavoitteet, joilla varmistetaan:

Tarkistus    171

Ehdotus asetukseksi

45 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  suojata tallennetut, siirretyt tai muulla tavoin käsitellyt tiedot vahingossa tapahtuvalta tai luvattomalta tallentamiselta, käsittelyltä, käytöltä tai luovuttamiselta;

a)  palvelujen, toimintojen ja tietojen luottamuksellisuus, eheys, saatavuus ja yksityisyys;

Tarkistus    172

Ehdotus asetukseksi

45 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  suojata tallennetut, siirretyt tai muulla tavoin käsitellyt tiedot vahingossa tapahtuvalta tai luvattomalta tuhoamiselta, tahattomalta katoamiselta tai muuttamiselta;

b)  että palveluihin, toimintoihin ja tietoihin pääsevät ja niitä voivat käyttää vain valtuutetut henkilöt ja/tai järjestelmät ja ohjelmat;

Tarkistus    173

Ehdotus asetukseksi

45 artikla – 1 kohta – c alakohta

Komission teksti

Tarkistus

c)  varmistaa, että valtuutettujen henkilöiden, ohjelmien tai koneiden saatavilla on ainoastaan ne tiedot, palvelut tai toiminnot, joihin näillä on käyttöoikeudet;

c)  että käytössä on prosessi, jolla tunnistetaan ja dokumentoidaan kaikki tieto- ja viestintätekniikan tuotteissa, prosesseissa ja palveluissa olevat riippuvuudet ja tunnetut haavoittuvuudet;

Tarkistus    174

Ehdotus asetukseksi

45 artikla – 1 kohta – d alakohta

Komission teksti

Tarkistus

d)  tallentaa tieto siitä, mitkä tiedot, toiminnot tai palvelut on ilmoitettu, sekä ilmoituksen ajankohta ja tekijä;

d)  että tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut eivät sisällä tunnettuja haavoittuvuuksia;

Tarkistus    175

Ehdotus asetukseksi

45 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  varmistaa, että on mahdollista tarkastaa, mitä tietoja, palveluja tai toimintoja on käytetty, sekä käytön ajankohta ja käyttäjä;

e)  että käytössä on prosessi, jolla puututaan tieto- ja viestintäteknisiikan tuotteissa, prosesseissa ja palveluissa äskettäin havaittuihin haavoittuvuuksiin;

Tarkistus    176

Ehdotus asetukseksi

45 artikla – 1 kohta – f alakohta

Komission teksti

Tarkistus

f)  palauttaa tietojen, palvelujen ja toimintojen saatavuus ja käytettävyys mahdollisimman pian fyysisen tai teknisen vian sattuessa;

f)  että tieto- ja viestintätekniikan tuotteiden, prosessien ja palveluiden suojaus on oletusarvoista ja sisäänrakennettua;

Tarkistus    177

Ehdotus asetukseksi

45 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  varmistaa tieto- ja viestintätekniikan tuotteille ja palveluille ajantasainen ohjelmisto, joka ei sisällä tunnettuja haavoittuvuuksia, ja mekanismit, joilla varmistetaan ohjelmistojen turvalliset päivitykset.

g)  että tieto- ja viestintätekniikan tuotteilla ja palveluilla on ajantasainen ohjelmisto, joka ei sisällä tunnettuja haavoittuvuuksia, ja mekanismit, joilla varmistetaan ohjelmistojen turvalliset päivitykset.

Tarkistus    178

Ehdotus asetukseksi

45 artikla – 1 kohta – g a alakohta (uusi)

Komission teksti

Tarkistus

 

g a)  että kyberpoikkeamiin liittyvät muut riskit, kuten henkeen, terveyteen, ympäristöön ja muihin merkittäviin oikeudellisiin etuihin kohdistuvat riskit minimoidaan.

Tarkistus    179

Ehdotus asetukseksi

46 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määritellä yksi tai useampi varmuustaso – perustaso, korotettu ja/tai korkea – kyseisessä järjestelmässä sertifioiduille tieto- ja viestintätekniikan tuotteille ja palveluille.

1.  Eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määritellä yksi tai useampi riskiin perustuva varmuustaso tieto- ja viestintätekniikan tuotteiden, prosessien ja palveluiden asiayhteyden ja aiotun käytön mukaan – perustaso, korotettu ja/tai korkea – kyseisessä järjestelmässä sertifioiduille tieto- ja viestintätekniikan tuotteille, prosesseille ja palveluille.

Tarkistus    180

Ehdotus asetukseksi

46 artikla – 2 kohta – a alakohta

Komission teksti

Tarkistus

a)  perustasolla oleva varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa rajallisen luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää kyberturvallisuuspoikkeamien riskiä;

a)  perustasolla oleva varmuustaso vastaa tieto- ja viestintätekniikan tuotteeseen, prosessiin tai palveluun liittyvää alhaista riskiä yhdistetyn todennäköisyyden ja vahingon osalta ja ottaen huomioon niiden aiotun käytön ja asiayhteyden; perustasolla oleva varmuustaso tuo varmuuden siitä, että tunnetuilta kyberpoikkeamien perustason riskeiltä voidaan suojautua;

Tarkistus    181

Ehdotus asetukseksi

46 artikla – 2 kohta – b alakohta

Komission teksti

Tarkistus

b)  korotettu varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa korotetun luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävästi kyberturvallisuuspoikkeamien riskiä;

b)  korotettu varmuustaso vastaa tieto- ja viestintätekniikan tuotteeseen, prosessiin tai palveluun liittyvää korkeampaa riskiä yhdistetyn todennäköisyyden ja vahingon osalta; korotettu varmuustaso tuo varmuuden siitä, että tunnetut kyberpoikkeamien riskit voidaan estää ja on myös olemassa valmiudet suojautua kyberhyökkäyksiltä, joilla on rajalliset resurssit;

Tarkistus    182

Ehdotus asetukseksi

46 artikla – 2 kohta – c alakohta

Komission teksti

Tarkistus

c)  korkea varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa korotettua varmuustasoa korkeamman luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on ehkäistä kyberturvallisuuspoikkeamat.

c)  korkea varmuustaso vastaa tieto- ja viestintätekniikan tuotteeseen, prosessiin tai palveluun liittyvää vahinkoa koskevaa korkeaa riskiä. Korkea varmuustaso tuo varmuuden siitä, että kyberpoikkeamien riskit voidaan estää ja on myös olemassa valmiudet suojautua kyberhyökkäyksiltä, joihin liittyy uusinta teknologiaa ja huomattavat resurssit;

Tarkistus    183

Ehdotus asetukseksi

46 a artikla (uusi)

Komission teksti

Tarkistus

 

46 a artikla

 

Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien varmuustasojen arviointi

 

1.   Perustasolla olevalla varmuustasolla tieto- ja viestintätekniikan tuotteen, prosessin tai palvelun valmistaja tai tarjoaja voi tehdä itsearvioinnin omalla vastuullaan.

 

2.   Korotetulla varmuustasolla arviointi on tehtävä vähintään tarkistamalla, vastaavatko tuotteen, prosessin tai palvelun turvallisuustoiminnot sen teknisiä asiakirjoja.

 

3.   Korkealla varmuustasolla arviointimenetelmään on kuuluttava ainakin tehokkuustestaus, jossa arvioidaan turvallisuustoimintojen kykyä suojautua hyökkääjiltä, joilla on huomattavat resurssit.

Tarkistus    184

Ehdotus asetukseksi

47 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  sertifioinnin kohde ja soveltamisala, mukaan lukien sen kattamien tieto- ja viestintätekniikan tuotteiden ja palvelujen tyyppi tai luokat;

a)  sertifioinnin kohde ja soveltamisala, mukaan lukien sen kattamien tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen tyyppi tai luokat;

Tarkistus    185

Ehdotus asetukseksi

47 artikla – 1 kohta – a a alakohta (uusi)

Komission teksti

Tarkistus

 

a a)  soveltamisala ja kyberturvallisuusvaatimukset, ja soveltamisalan ja vaatimusten on tarvittaessa vastattava niiden kansallisten kyberturvallisuussertifiointien soveltamisalaa ja vaatimuksia, jotka se korvaa tai joista on annettu säädöksiä;

Tarkistus    186

Ehdotus asetukseksi

47 artikla – 1 kohta – a b alakohta (uusi)

Komission teksti

Tarkistus

 

a b)  sertifiointijärjestelmien voimassaoloaika;

Tarkistus    187

Ehdotus asetukseksi

47 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  yksityiskohtainen erittely kyberturvallisuusvaatimuksista, joihin nähden erityiset tieto- ja viestintätekniikan tuotteet ja palvelut arvioidaan, esimerkiksi viittaamalla unionin tai kansainvälisiin standardeihin tai teknisiin eritelmiin;

b)  yksityiskohtainen erittely kyberturvallisuusvaatimuksista, joihin nähden erityiset tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut arvioidaan, esimerkiksi viittaamalla eurooppalaisiin tai kansainvälisiin standardeihin, teknisiin eritelmiin tai tieto- ja viestintätekniikan teknisiin eritelmiin, jotka on määritelty siten, että sertifiointi voidaan sisällyttää tai se voi perustua tuottajan systemaattisiin turvallisuusprosesseihin, joita noudatetaan kyseisentuotteen tai palvelun kehityksen ja elinkaaren aikana;

Tarkistus    188

Ehdotus asetukseksi

47 artikla – 1 kohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  tiedot tunnetuista kyberuhkista, joita sertifiointi eivät kata, ja ohjeet niiden käsittelemiseksi;

Tarkistus    189

Ehdotus asetukseksi

47 artikla – 1 kohta – c alakohta

Komission teksti

Tarkistus

c)  soveltuvin osin yksi tai useampi varmuustaso;

c)  soveltuvin osin yksi tai useampi varmuustaso ottaen huomioon muun muassa riskiperusteisen lähestymistavan;

Tarkistus    190

Ehdotus asetukseksi

47 artikla – 1 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  maininta siitä, onko itse annettu vaatimustenmukaisuusvakuutus sallittu järjestelmässä, ja menettely, jota sovelletaan vaatimustenmukaisuuden arviointiin tai itse annettuun vaatimustenmukaisuusvakuutukseen tai molempiin;

Tarkistus    191

Ehdotus asetukseksi

47 artikla – 1 kohta – d alakohta

Komission teksti

Tarkistus

d)  yksittäiset arvioinnissa käytettävät perusteet ja menetelmät, mukaan lukien arvioinnin tyypit, jotta voidaan osoittaa, että 45 artiklassa tarkoitetut erityiset tavoitteet saavutetaan;

d)  yksittäiset arviointiperusteet, vaatimustenmukaisuuden arvioinnin tyypit ja menetelmät, jotta voidaan osoittaa, että 45 artiklassa tarkoitetut erityiset tavoitteet saavutetaan;

Tarkistus    192

Ehdotus asetukseksi

47 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  sertifioinnin edellyttämät tiedot, jotka hakijan on toimitettava vaatimustenmukaisuuden arviointilaitoksille;

e)  sertifioinnin edellyttämät tiedot, jotka hakijan on toimitettava vaatimustenmukaisuuden arviointilaitoksille;

Tarkistus    193

Ehdotus asetukseksi

47 artikla – 1 kohta – f alakohta

Komission teksti

Tarkistus

f)  jos järjestelmä tarjoaa käyttöön merkkejä tai merkintöjä, näiden merkkien tai merkintöjen käytön edellytykset;

f)  tämän asetuksen 47 a artiklan mukaiset kyberturvallisuustiedot;

Tarkistus    194

Ehdotus asetukseksi

47 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  jos järjestelmään kuuluu valvonta, säännöt sertifikaattien vaatimusten noudattamisen seurantaa varten, mukaan lukien mekanismit sen osoittamiseksi, että määriteltyjä kyberturvallisuusvaatimuksia noudatetaan jatkuvasti;

g)  säännöt sertifikaattien vaatimusten noudattamisen seurantaa varten, mukaan lukien mekanismit sen osoittamiseksi, että määriteltyjä kyberturvallisuusvaatimuksia noudatetaan jatkuvasti;

Tarkistus    195

Ehdotus asetukseksi

47 artikla – 1 kohta – h alakohta

Komission teksti

Tarkistus

h)  ehdot sertifioinnin myöntämiselle, voimassa pitämiselle ja jatkamiselle sekä sen soveltamisalan laajentamiselle ja supistamiselle;

h)  ehdot sertifikaatin myöntämiselle, voimassa pitämiselle, jatkamiselle ja tarkistamiselle sekä sen soveltamisalan ja voimassaoloajan laajentamiselle ja supistamiselle;

Tarkistus    196

Ehdotus asetukseksi

47 artikla – 1 kohta – h a alakohta (uusi)

Komission teksti

Tarkistus

 

h a)  säännöt, jotka koskevat sertifioinnin jälkeen mahdollisesti ilmenevien haavoittuvuuksien käsittelyä sellaisen dynaamisen ja jatkuvan organisatorisen prosessin avulla, johon osallistuvat tarjoajat ja käyttäjät;

Tarkistus    197

Ehdotus asetukseksi

47 artikla – 1 kohta – i alakohta

Komission teksti

Tarkistus

i)  säännöt seurauksista tapauksissa, joissa sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa sertifiointivaatimuksia;

i)  säännöt seurauksista tapauksissa, joissa itsearvioidut ja sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa sertifiointivaatimuksia;

Tarkistus    198

Ehdotus asetukseksi

47 artikla – 1 kohta – j alakohta

Komission teksti

Tarkistus

j)  säännöt siitä, miten aiemmin tuntemattomat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberhaavoittuvuudet on määrä raportoida ja käsitellä;

j)  säännöt siitä, miten tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberhaavoittuvuudet, jotka eivät olleet julkisessa tiedossa, on määrä raportoida ja käsitellä sen jälkeen, kun ne on havaittu;

Tarkistus    199

Ehdotus asetukseksi

47 artikla – 1 kohta – l alakohta

Komission teksti

Tarkistus

l)  sellaisten kansallisten kyberturvallisuuden sertifiointijärjestelmien yksilöinti, jotka kattavat saman tyypin tai samojen luokkien tieto- ja viestintätekniikan tuotteita ja palveluja;

l)  sellaisten kansallisten tai kansainvälisten kyberturvallisuuden sertifiointijärjestelmien yksilöinti, jotka kattavat saman tyypin tai samojen luokkien tieto- ja viestintätekniikan tuotteita, prosesseja ja palveluja, turvallisuusvaatimuksia ja arviointikriteerejä ja -menetelmiä;

Tarkistus    200

Ehdotus asetukseksi

47 artikla – 1 kohta – m a alakohta (uusi)

Komission teksti

Tarkistus

 

m a)  kolmansien maiden kanssa suoritettavan sertifiointijärjestelmien vastavuoroisen tunnustamisen edellytykset;

Tarkistus    201

Ehdotus asetukseksi

47 artikla – 1 a kohta (uusi)

Komission teksti

Tarkistus

 

1 a.  Päivityksiä sisältävät ylläpitoprosessit eivät saa johtaa sertifioinnin pätemättömyyteen, paitsi jos kyseisillä muutoksilla on huomattava haitallinen vaikutus tieto- ja viestintätekniikan tuotteen, palvelun ja prosessin turvallisuuteen.

Tarkistus    202

Ehdotus asetukseksi

47 a artikla (uusi)

Komission teksti

Tarkistus

 

47 a artikla

 

Sertifioituja tuotteita, prosesseja ja palveluja koskevat kyberturvallisuustiedot

 

1.   Tämän asetuksen mukaiseen sertifiointijärjestelmään kuuluvien tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen valmistaja tai tarjoaja toimittaa loppukäyttäjälle sähköisen tai paperimuodossa olevan asiakirjan, joka sisältää seuraavat tiedot: tieto- ja viestintätekniikan tuotteen, prosessin ja palvelun aiottuun käyttöön liittyvän sertifikaatin varmuustaso; kuvaus riskeistä, joilta suojautumiselta sertifioinnin on tarkoitus antaa varmuus; suosituksia siitä, kuinka käyttäjät voivat edelleen edistää tuotteen, prosessin tai palvelun kyberturvallisuutta, säännönmukaisuutta ja tukijaksoa päivitysten jälkeen; soveltuvin osin tietoa siitä, kuinka käyttäjät voivat säilyttää tuotteen, prosessin tai palvelun pääominaisuudet hyökkäyksen tapahtuessa.

 

2.   Tämän artiklan 1 kohdassa tarkoitetun asiakirjan on oltava saatavilla tuotteen, prosessin tai palvelun koko elinkaaren ajan, kunnes se poistetaan markkinoilta ja vähintään viiden vuoden ajan.

 

3.   Komissio antaa täytäntöönpanosäädöksiä, joilla vahvistetaan malli asiakirjaa varten. Komissio voi pyytää virastoa valmistelemaan malliehdotuksen. Kyseinen täytäntöönpanosäädös hyväksytään tämän asetuksen 55 artiklassa tarkoitettua tarkastelumenettelyä noudattaen.

Tarkistus    203

Ehdotus asetukseksi

48 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Tieto- ja viestintätekniikan tuotteet ja palvelut, jotka on sertifioitu jossain 44 artiklan mukaisesti hyväksytyssä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä, katsotaan kyseisen järjestelmän vaatimusten mukaisiksi.

1.  Tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut, jotka on sertifioitu jossain 44 artiklan mukaisesti hyväksytyssä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä, katsotaan kyseisen järjestelmän vaatimusten mukaisiksi.

Tarkistus    204

Ehdotus asetukseksi

48 artikla – 4 kohta – johdantokappale

Komission teksti

Tarkistus

4.  Poiketen siitä, mitä 3 kohdassa säädetään, asianmukaisesti perustelluissa tapauksissa yksittäisessä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määrätä, että järjestelmästä saatavan eurooppalaisen kyberturvallisuussertifikaatin voi myöntää vain julkinen elin. Tämän julkisen elimen on oltava joko

4.  Poiketen siitä, mitä 3 kohdassa säädetään, ja vain asianmukaisesti perustelluissa tapauksissa, kuten kansalliseen turvallisuuteen liittyvistä syistä, yksittäisessä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määrätä, että järjestelmästä saatavan eurooppalaisen kyberturvallisuussertifikaatin voi myöntää vain julkinen elin. Tämän julkisen elimen on oltava tämän asetuksen 51 artiklan 1 kohdan nojalla vaatimustenmukaisuuden arviointilaitoksena akkreditoitu elin. Luonnollisen henkilön tai oikeushenkilön, joka jättää tieto- ja viestintätekniikan tuotteensa tai palvelunsa sertifioitaviksi, on esitettävä 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot.

Tarkistus    205

Ehdotus asetukseksi

48 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Luonnollisen tai oikeushenkilön, joka jättää tieto- ja viestintätekniikan tuotteensa tai palvelunsa sertifioitaviksi, on toimitettava 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot.

5.  Luonnollisen tai oikeushenkilön, joka jättää tieto- ja viestintätekniikan tuotteensa, palvelunsa tai prosessinsa sertifioitaviksi, on toimitettava 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot, mukaan luettuina tiedot kaikista tunnetuista turvallisuushaavoittuvuuksista. Sertifioitavaksi jättäminen voi tapahtua mille tahansa 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle.

Tarkistus    206

Ehdotus asetukseksi

48 artikla – 6 kohta

Komission teksti

Tarkistus

6.  Sertifikaatit voidaan myöntää enintään kolmeksi vuodeksi, ja ne voidaan uusia samoin edellytyksin, jos sovellettavat vaatimukset täyttävät edelleen.

6.  Sertifikaatit voidaan myöntää kutakin sertifiointijärjestelmää varten tapauskohtaisesti määritetyksi enimmäisajanjaksoksi, joka ei kuitenkaan saa ylittää viittä vuotta, ja ne voidaan uusia samoin edellytyksin, jos sovellettavat vaatimukset täyttävät edelleen.

Perustelu

Näin varmistetaan joustavuus, jotta voimassaoloaikaa voidaan mukauttaa käyttötarkoituksen mukaan.

Tarkistus    207

Ehdotus asetukseksi

48 artikla – 7 kohta

Komission teksti

Tarkistus

7.  Tämän artiklan mukaisesti myönnetty eurooppalainen kyberturvallisuussertifikaatti on tunnustettava kaikissa jäsenvaltioissa.

7.  Tämän artiklan mukaisesti myönnetty eurooppalainen kyberturvallisuussertifikaatti on tunnustettava kyseisen sertifikaatin kattamia tieto- ja viestintätekniikan tuotteita ja prosesseja sekä kuluttajaelektroniikkalaitteita koskevat paikalliset kyberturvallisuusvaatimukset täyttäväksi kaikissa jäsenvaltioissa ottaen huomioon 46 artiklassa tarkoitetut määritellyt varmuustasot, eikä tällaisia sertifikaatteja saa syrjiä alkuperäjäsenvaltion tai 51 artiklassa tarkoitetun sertifikaatin antaneen vaatimustenmukaisuuden arviointilaitoksen perusteella.

Perustelu

Hajanaisuuden välttämiseksi EU:n kyberturvallisuuden sertifiointijärjestelmien tunnustamisessa ja/tai vaatimustenmukaisuudessa artiklassa on painotettava, että syrjintä sertifioinnin myöntämispaikan perusteella ei ole sallittua.

Tarkistus    208

Ehdotus asetukseksi

48 a artikla (uusi)

Komission teksti

Tarkistus

 

48 a artikla

 

Keskeisten palvelujen tarjoajille tarkoitetut sertifiointijärjestelmät

 

1.   Kun eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät on hyväksytty tämän artiklan 2 kohdan mukaisesti, keskeisten palvelujen tarjoajien on direktiivin (EU) 2016/1148 14 artiklan turvallisuusvaatimusten täyttämiseksi käytettävä kyseisten sertifiointijärjestelmien kattamia tuotteita, prosesseja ja palveluita.

 

2.   Kuultuaan direktiivin (EU) 2016/1148 11 artiklassa tarkoitettua yhteistyöryhmää komissio antaa [vuoden kuluttua tämän asetuksen voimaantulosta] 55 a artiklan mukaisesti delegoituja säädöksiä, joilla täydennetään tätä asetusta luettelemalla sellaisten tuotteiden, prosessien ja palvelujen luokat, jotka täyttävät molemmat seuraavista kriteereistä:

 

a)  ne on tarkoitettu keskeisten palvelujen tarjoajien käyttöön ja

 

b)  niiden toimintahäiriöillä olisi erittäin haitallinen vaikutus keskeisen palvelun tarjoamiseen.

 

3.   Komissio antaa 55 a artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan tätä asetusta päivittämällä tarpeen mukaan tämän artiklan 3 kohdassa tarkoitettua tuotteiden, prosessien ja palveluiden luokkien luetteloa.

 

4.   Komissio pyytää virastoa valmistelemaan tämän asetuksen 44 artiklan -1 kohdan mukaisesti ehdolla olevat eurooppalaiset kyberturvallisuuden sertifiointijärjestelmät tämän artiklan 2 ja 3 kohdassa tarkoitetun tuotteiden, prosessien ja palveluiden luokkien luetteloa varten heti kun kyseinen luettelo on hyväksytty tai päivitetty. Tällaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisesti myönnettyjen sertifikaattien on oltava korkealla varmuustasolla.

Tarkistus    209

Ehdotus asetukseksi

48 b artikla (uusi)

Komission teksti

Tarkistus

 

48 b artikla

 

Eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevat vastalauseet

 

1.  Jos jäsenvaltio katsoo, että eurooppalainen kyberturvallisuuden sertifiointijärjestelmä ei täysin täytä niitä vaatimuksia, jotka sen on tarkoitus kattaa ja joista säädetään soveltuvassa unionin yhdenmukaistamislainsäädännössä, sen on ilmoitettava asiasta komissiolle ja toimitettava asiasta yksityiskohtainen selvitys. Kuultuaan asiaa koskevan unionin yhdenmukaistamislainsäädännön mukaisesti perustettua komiteaa tarpeen vaatiessa tai kuultuaan muulla tavalla alan asiantuntijoita, komissio päättää

 

a)  eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän viitetietojen julkaisemisesta tai julkaisematta jättämisestä taikka julkaisemisesta rajoituksin Euroopan unionin virallisessa lehdessä;

 

b)  eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän viitetietojen säilyttämisestä tai säilyttämisestä rajoituksin Euroopan unionin virallisessa lehdessä taikka niiden poistamisesta Euroopan unionin virallisesta lehdestä.

 

2.  Komissio julkaisee verkkosivustollaan tietoa niistä eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä, joihin on sovellettu tämän artiklan 1 kohdassa tarkoitettua päätöstä.

 

3.  Komissio ilmoittaa virastolle tämän artiklan 1 kohdassa tarkoitetusta päätöksestä ja pyytää tarpeen vaatiessa tarkistamaan kyseessä olevaa eurooppalaista kyberturvallisuuden sertifiointijärjestelmää.

 

4.  Tämän artiklan 1 kohdan a alakohdassa tarkoitettu päätös hyväksytään tämän asetuksen 55 artiklan 2 kohdassa tarkoitettua neuvoa-antavaa menettelyä noudattaen.

 

5.  Tämän artiklan 1 kohdan b alakohdassa tarkoitettu päätös hyväksytään tämän asetuksen 55 artiklan 2 a (uusi) kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Tarkistus    210

Ehdotus asetukseksi

49 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, lakkaavat tuottamasta oikeusvaikutuksia alkaen päivästä, joka vahvistetaan 44 artiklan 4 kohdan nojalla hyväksytyssä täytäntöönpanosäädöksessä, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka eivät kuulu jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, pysyvät edelleen voimassa.

1.  Sellaisia tieto- ja viestintätekniikan tuotteita, prosesseja ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, lakkaavat tuottamasta oikeusvaikutuksia alkaen päivästä, joka vahvistetaan 44 artiklan 4 kohdan nojalla hyväksytyssä täytäntöönpanosäädöksessä, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Sellaisia tieto- ja viestintätekniikan tuotteita, prosesseja ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka eivät kuulu jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, pysyvät edelleen voimassa.

Tarkistus    211

Ehdotus asetukseksi

49 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Jäsenvaltiot eivät saa ottaa käyttöön uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä tieto- ja viestintätekniikan tuotteille ja palveluille, jotka kuuluvat jonkin voimassa olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan.

2.  Jäsenvaltiot eivät saa ottaa käyttöön uusia kansallisia kyberturvallisuuden sertifiointijärjestelmiä tieto- ja viestintätekniikan tuotteille, prosesseille ja palveluille, jotka kuuluvat jonkin voimassa olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan.

Tarkistus    212

Ehdotus asetukseksi

49 artikla – 3 a kohta (uusi)

Komission teksti

Tarkistus

 

3 a.  Jäsenvaltioiden on toimitettava komissiolle kaikki kansallisen kyberturvallisuuden sertifiointijärjestelmien laatimista koskevat pyynnöt ja ilmoitettava syyt niiden hyväksymiselle.

Tarkistus    213

Ehdotus asetukseksi

49 artikla – 3 b kohta (uusi)

Komission teksti

Tarkistus

 

3 b.  Jäsenvaltioiden on pyynnöstä toimitettava muille jäsenvaltioille, virastolle tai komissiolle vähintäänkin sähköisessä muodossa luonnokset kansallisiksi kyberturvallisuuden sertifiointijärjestelmiksi.

Tarkistus    214

Ehdotus asetukseksi

49 artikla – 3 c kohta (uusi)

Komission teksti

Tarkistus

 

3 c.  Jäsenvaltioiden on vastattava kolmen kuukauden kuluessa muilta jäsenvaltioilta, virastolta tai komissiolta mahdollisesti saamiinsa huomautuksiin tämän artiklan 3 b kohdassa tarkoitetusta luonnoksesta ja otettava ne asiamukaisesti huomioon, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2015/1535 soveltamista.

Tarkistus    215

Ehdotus asetukseksi

49 artikla – 3 d kohta (uusi)

Komission teksti

Tarkistus

 

3 d.  Jos tämän artiklan 3 kohdan c alakohdan mukaisesti saaduista huomautuksista käy ilmi, että kansallisen kyberturvallisuuden sertifiointijärjestelmän luonnoksella on todennäköisesti kielteinen vaikutus sisämarkkinoiden moitteettomaan toimintaan, huomautuksen saanut jäsenvaltio kuulee virastoa ja komissiota ja ottaa niiden huomautukset tarkasti huomioon ennen järjestelmäluonnoksen hyväksymistä.

Tarkistus    216

Ehdotus asetukseksi

50 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Tämän asetuksen tehokkaan täytäntöönpanon varmistamiseksi on aiheellista, että kyseiset viranomaiset osallistuvat 53 artiklan nojalla perustettuun Euroopan kyberturvallisuuden sertifiointiryhmään aktiivisella, tehokkaalla ja turvallisella tavalla.

5.  Tämän asetuksen tehokkaan täytäntöönpanon varmistamiseksi on aiheellista, että kyseiset viranomaiset osallistuvat 53 artiklan nojalla perustettuun jäsenmaiden sertifiointiryhmään aktiivisella, tehokkaalla ja turvallisella tavalla.

Tarkistus    217

Ehdotus asetukseksi

50 artikla – 6 kohta – a alakohta

Komission teksti

Tarkistus

a)  valvottava tämän osaston säännösten soveltamista ja huolehdittava niiden täytäntöönpanosta kansallisella tasolla sekä valvottava sitä, ovatko niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämät sertifikaatit tämän osaston vaatimusten ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia;

a)  valvottava tämän osaston säännösten soveltamista ja huolehdittava niiden täytäntöönpanosta kansallisella tasolla sekä tarkistettava vaatimustenmukaisuus Euroopan kyberturvallisuuden sertifiointiryhmän 53 artiklan 3 kohdan d a alakohdan nojalla hyväksymien sääntöjen mukaisesti

 

i)   sitä, ovatko niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämät sertifikaatit tämän osaston vaatimusten ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia; ja

 

ii)   sitä, ovatko tieto- ja viestintätekniikan prosessia, tuotetta tai palvelua koskevat jonkin järjestelmän mukaiset itse annetut vaatimustenmukaisuusvakuutukset vaatimusten mukaisia;

Tarkistus    218

Ehdotus asetukseksi

50 artikla – 6 kohta – b alakohta

Komission teksti

Tarkistus

b)  seurattava ja valvottava vaatimustenmukaisuuden arviointilaitosten toimintaa tämän asetuksen soveltamiseksi, mukaan lukien vaatimustenmukaisuuden arviointilaitoksista ilmoittaminen ja siihen liittyvät tehtävät tämän asetuksen 52 artiklan mukaisesti;

b)  seurattava ja valvottava ja vähintään joka toinen vuosi arvioitava vaatimustenmukaisuuden arviointilaitosten toimintaa tämän asetuksen soveltamiseksi, mukaan lukien vaatimustenmukaisuuden arviointilaitoksista ilmoittaminen ja siihen liittyvät tehtävät tämän asetuksen 52 artiklan mukaisesti;

Tarkistus    219

Ehdotus asetukseksi

50 artikla – 6 kohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  suoritettava tarkastuksia varmistaakseen, että unionissa sovelletaan vastaavia vaatimuksia, ja raportoitava tuloksista virastolle ja sertifiointiryhmälle;

Perustelu

Näin voidaan varmistaa, että kaikkialla unionissa sovelletaan samantasoista palvelua ja laatua, sekä estää mahdollinen ”sertifiointishoppailu”.

Tarkistus    220

Ehdotus asetukseksi

50 artikla – 6 kohta – c alakohta

Komission teksti

Tarkistus

c)  käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa;

c)  käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin tai vaatimustenmukaisuuden itsearviointeihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa;

Tarkistus    221

Ehdotus asetukseksi

50 artikla – 6 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  raportoitava a alakohdan mukaisten tarkistusten ja b alakohdan mukaisten arviointien tuloksista virastolle ja Euroopan kyberturvallisuuden sertifiointiryhmälle;

Tarkistus    222

Ehdotus asetukseksi

50 artikla – 6 kohta – d alakohta

Komission teksti

Tarkistus

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia;

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten, kuten kansallisten tietosuojan valvontaviranomaisten, kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet, prosessit ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia;

Tarkistus    223

Ehdotus asetukseksi

50 artikla – 6 kohta – d alakohta

Komission teksti

Tarkistus

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia;

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten, kuten kansallisten tietosuojan valvontaviranomaisten, kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten tietoteknisen turvallisuuden sertifiointijärjestelmien vaatimuksia;

Perustelu

Tämä on otettu Euroopan tietosuojavaltuutetun lausunnosta.

Tarkistus    224

Ehdotus asetukseksi

50 artikla – 7 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  peruuttaa sellaisten kansallisten vaatimustenmukaisuuden arviointilaitosten akkreditointi, jotka eivät ole tämän asetuksen mukaisia;

Tarkistus    225

Ehdotus asetukseksi

50 artikla – 7 kohta – e alakohta

Komission teksti

Tarkistus

e)  peruuttaa kansallisen lainsäädännön mukaisesti sertifikaatit, jotka eivät täytä tämän asetuksen tai eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia;

e)  peruuttaa kansallisen lainsäädännön mukaisesti sertifikaatit, jotka eivät täytä tämän asetuksen tai eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia, ja tiedottaa asiasta vastaavasti kansallisille akkreditointielimille;

Tarkistus    226

Ehdotus asetukseksi

50 artikla – 8 kohta

Komission teksti

Tarkistus

8.  Kansallisten sertifioinnin valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa ja erityisesti vaihdettava tietoja, kokemuksia ja hyviä käytäntöjä tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuussertifioinnista ja niiden kyberturvallisuuteen liittyvistä teknisistä kysymyksistä.

8.  Kansallisten sertifioinnin valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa ja erityisesti vaihdettava tietoja, kokemuksia ja hyviä käytäntöjä tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen kyberturvallisuussertifioinnista ja niiden kyberturvallisuuteen liittyvistä teknisistä kysymyksistä.

Tarkistus    227

Ehdotus asetukseksi

50 artikla – 8 a kohta (uusi)

Komission teksti

Tarkistus

 

8 a.  Kunkin kansallisen sertifioinnin valvontaviranomaisen ja kunkin kansallisen sertifioinnin valvontaviranomaisen jäsenen ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan.

Tarkistus    228

Ehdotus asetukseksi

50 a artikla (uusi)

Komission teksti

Tarkistus

 

50 a artikla

 

Vertaisarviointi

 

1.  Kansallisista sertifioinnin valvontaviranomaisista on tehtävä vertaisarviointi kaikkien niiden viraston järjestämien toimintojen osalta, joita ne suorittavat 50 artiklan mukaisesti.

 

2.   Vertaisarvioinnissa käytetään luotettavia ja avoimia arviointiperusteita ja -menettelyjä, erityisesti kun on kyse rakenteita, henkilöresursseja ja prosesseja koskevista vaatimuksista, luottamuksellisuudesta ja valituksista. On säädettävä tällaisen arvioinnin perusteella tehtäviä päätöksiä koskevista asianmukaisista muutoksenhakumenettelyistä.

 

3.   Vertaisarvioinnissa on arvioitava kansallisten sertifioinnin valvontaviranomaisten käyttöön ottamia menettelyjä, erityisesti menettelyjä, joilla tarkastetaan, että sertifikaatit, vaatimustenmukaisuuden arviointilaitosten toiminnan seurantaa ja valvontaa koskevat menettelyt, henkilöstön pätevyys, tarkastusten ja tarkastus menetelmien oikeellisuus sekä tulosten paikkansapitävyys ovat vaatimusten mukaisia. Vertaisarvioinnissa on myös arvioitava, onko kyseisillä kansallisilla sertifioinnin valvontaviranomaisilla riittävät resurssit tehtäviensä asianmukaiseen hoitamiseen, kuten 50 artiklan 4 kohdassa edellytetään.

 

4.   Kansallisten sertifioinnin valvontaviranomaisten vertaisarvioinnin toteuttavat kaksi muiden jäsenvaltioiden kansallista sertifioinnin valvontaviranomaista ja komissio, ja se toteutetaan vähintään kerran viidessä vuodessa. Virasto voi osallistua vertaisarviointiin ja se päättää osallistumisestaan riskinarviointianalyysin perusteella.

 

5.   Komissio voi antaa 55 a artiklan mukaisesti tätä asetusta täydentäviä delegoituja säädöksiä, joilla vahvistetaan vähintään viideksi vuodeksi vertaisarviointeja varten suunnitelma, jossa esitetään perusteet vertaisarviointiryhmän kokoonpanolle, vertaisarvioinnissa käytetyt menetelmät, aikataulu, arviointien suoritustiheys ja muut arviointiin liittyvät tehtävät. Tällaisia delegoituja säädöksiä antaessaan komissio ottaa asianmukaisesti huomioon jäsenvaltioiden sertifiointiryhmän huomautukset.

 

6.   Jäsenvaltioiden sertifiointiryhmä tarkastelee vertaisarviointien tuloksia. Virasto laatii tuloksista yhteenvedon ja antaa tarvittaessa ohjeita ja parhaita käytäntöjä koskevia asiakirjoja ja julkistaa ne.

Tarkistus    229

Ehdotus asetukseksi

51 artikla – 1 a kohta (uusi)

Komission teksti

Tarkistus

 

1 a.  Kun on kyse korkeasta varmuustasosta, vaatimustenmukaisuuden arviointilaitoksen on akkreditoinnin lisäksi saatava kansallisen sertifioinnin valvontaviranomaisen ilmoitus kyberturvallisuuden arviointiin liittyvästä pätevyydestään ja asiantuntemuksestaan. Kansallisen sertifioinnin valvontaviranomaisen on tehtävä säännöllisesti tarkastuksia ilmoitettujen vaatimustenmukaisuuden arviointilaitosten pätevyydestä ja asiantuntemuksesta.

Perustelu

Korkeat varmuustasot edellyttävät tehokkuustestausta. Tehokkuustestejä suorittavien vaatimustenmukaisuuden arviointilaitosten pätevyys ja asiantuntemus on tarkastettava säännöllisesti, jotta saadaan varmuus testien laadusta.

Tarkistus    230

Ehdotus asetukseksi

51 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  On tehtävä tarkastuksia, jotta voidaan varmistaa, että unionissa sovelletaan vastaavanlaisia vaatimuksia, ja tuloksista on raportoitava virastolle ja sertifiointiryhmälle.

Tarkistus    231

Ehdotus asetukseksi

51 artikla – 2 b kohta (uusi)

Komission teksti

Tarkistus

 

2 b.  Jos valmistajat valitsevat tämän asetuksen 48 artiklan 3 kohdan mukaisen itse annettavan vaatimustenmukaisuusvakuutuksen, vaatimustenmukaisuuden arviointilaitokset ryhtyvät lisätoimiin niiden sisäisten menettelyjen varmentamiseksi, joihin valmistaja on ryhtynyt sen varmistamiseksi, että sen tuotteet ja/tai palvelut ovat eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia.

Tarkistus    232

Ehdotus asetukseksi

52 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Komissio voi täytäntöönpanosäädöksillä määritellä olosuhteet, muotoseikat ja menettelyt tämän artiklan 1 kohdassa tarkoitetuille ilmoituksille. Nämä täytäntöönpanosäädökset hyväksytään 55 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5.  Komissio voi delegoiduilla säädöksillä määritellä olosuhteet, muotoseikat ja menettelyt tämän artiklan 1 kohdassa tarkoitetuille ilmoituksille. Nämä delegoidut säädökset hyväksytään 55 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Tarkistus    233

Ehdotus asetukseksi

53 artikla – otsikko

Komission teksti

Tarkistus

Euroopan kyberturvallisuuden sertifiointiryhmä

Jäsenvaltioiden sertifiointiryhmä

 

(Vastaava muutos tehdään kaikkialle tekstiin. Jos tarkistus hyväksytään, koko tekstiin on tehtävä teknisiä muutoksia.)

Tarkistus    234

Ehdotus asetukseksi

53 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Perustetaan Euroopan kyberturvallisuuden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’.

1.  Perustetaan jäsenmaiden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’.

Tarkistus    235

Ehdotus asetukseksi

53 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Ryhmä koostuu kansallisista sertifioinnin valvontaviranomaisista. Kansallisten sertifioinnin valvontaviranomaisten on oltava edustettuina johtajatasolla tai muulla korkealla tasolla.

2.  Jäsenvaltioiden sertifiointiryhmä koostuu kunkin jäsenvaltion kansallisista sertifioinnin valvontaviranomaisista. Kansallisten sertifioinnin valvontaviranomaisten on oltava edustettuina johtajatasolla tai muulla korkealla tasolla. Sidosryhmien sertifiointiryhmän jäsenet voidaan kutsua ryhmän kokouksiin ja osallistumaan sen työhön.

Tarkistus    236

Ehdotus asetukseksi

53 artikla – 3 kohta – johdantokappale

Komission teksti

Tarkistus

3.  Sertifiointiryhmän tehtävänä on

3.  Jäsenmaiden sertifiointiryhmän tehtävänä on

Tarkistus    237

Ehdotus asetukseksi

53 artikla – 3 kohta – b alakohta

Komission teksti

Tarkistus

b)  avustaa ja neuvoa ENISAa ja tehdä sen kanssa yhteistyötä ehdolla olevan järjestelmän valmistelemisessa tämän asetuksen 44 artiklan mukaisesti;

b)  avustaa ja neuvoa virastoa ja tehdä sen kanssa yhteistyötä ehdolla olevan järjestelmän valmistelemisessa tämän asetuksen 44 artiklan mukaisesti;

Tarkistus    238

Ehdotus asetukseksi

53 artikla – 3 kohta – d a alakohta (uusi)

Komission teksti

Tarkistus

 

d a)  hyväksyä suosituksia, joissa määritetään, kuinka usein kansallisten sertifioinnin valvontaviranomaisten on suoritettava sertifikaattien ja vaatimustenmukaisuuden itsearviointien varmentamisia, sekä näiden varmennusten kriteerit, laajuus ja soveltamisala, ja hyväksyä yhteiset säännöt ja standardit raportoinnille 50 artiklan 6 kohdan mukaisesti.

Tarkistus    239

Ehdotus asetukseksi

53 artikla – 3 kohta – e alakohta

Komission teksti

Tarkistus

e)  tarkastella merkityksellistä kehitystä kyberturvallisuussertifioinnin alalla ja vaihtaa hyviä käytäntöjä kyberturvallisuuden sertifiointijärjestelmistä;

e)  tarkastella merkityksellistä kehitystä kyberturvallisuussertifioinnin alalla ja vaihtaa tietoa ja hyviä käytäntöjä kyberturvallisuuden sertifiointijärjestelmistä;

Tarkistus    240

Ehdotus asetukseksi

53 artikla – 3 kohta – f a alakohta (uusi)

Komission teksti

Tarkistus

 

f a)  helpottaa eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukauttamista kansainvälisesti tunnustettuihin standardeihin muun muassa tarkastamalla nykyisiä eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä ja antamalla tarvittaessa virastolle suosituksia aloista, joilla sen olisi puututtava yhdessä asiaankuuluvien kansainvälisten standardointiorganisaatioiden kanssa saatavilla olevien kansainvälisesti tunnustettujen standardien puutteisiin tai aukkoihin;

Tarkistus    241

Ehdotus asetukseksi

53 artikla – 3 kohta – f b alakohta (uusi)

Komission teksti

Tarkistus

 

f b)  ottaa käyttöön vertaisarviointiprosessi. Prosessi koskee erityisesti kansallisia sertifioinnin valvontaviranomaisia niiden 48 ja 50 artiklassa tarkoitettujen tehtävien toteuttamisen osalta, ja siihen sisältyy tarvittaessa ohjeiden ja parhaita käytäntöjä koskevien asiakirjojen laatiminen, jotta kansalliset sertifioinnin valvontaviranomaiset noudattaisivat paremmin tätä asetusta.

Tarkistus    242

Ehdotus asetukseksi

53 artikla – 3 kohta – f c alakohta (uusi)

Komission teksti

Tarkistus

 

f c)  valvoa sertifikaatin seurantaa ja ylläpitämistä.

Tarkistus    243

Ehdotus asetukseksi

53 artikla – 3 kohta – f d alakohta (uusi)

Komission teksti

Tarkistus

 

f d)  ottaa huomioon ehdolla olevan järjestelmän valmistelun yhteydessä toteutetun sidosryhmien kuulemisen tulokset 44 artiklan mukaisesti;

Tarkistus    244

Ehdotus asetukseksi

53 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Sertifiointiryhmän puheenjohtajana ja sihteeristönä toimii komissio ENISAn avustuksella siten kuin 8 artiklan a alakohdassa säädetään.

4.  Jäsenvaltioiden sertifiointiryhmän puheenjohtajana ja sihteeristönä toimii komissio viraston avustuksella siten kuin 8 artiklan a alakohdassa säädetään.

Tarkistus    245

Ehdotus asetukseksi

53 a artikla (uusi)

Komission teksti

Tarkistus

 

53a artikla

 

Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista tai vaatimustenmukaisuuden arviointilaitosta vastaan

 

1.  Rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin

 

a)  sitä koskevaa vaatimustenmukaisuuden arviointilaitoksen tai kansallisen sertifioinnin valvontaviranomaisen päätöstä vastaan, mukaan lukien soveltuvin osin päätös myöntää, olla myöntämättä tai tunnustamatta henkilön hallussa olevaa eurooppalaista kyberturvallisuussertifikaattia, ja

 

b)  kun kansallinen sertifioinnin valvontaviranomainen ei käsittele sen toimivaltaan kuuluvaa valitusta.

 

2.  Oikeustoimet vaatimustenmukaisuuden arviointilaitosta tai kansallista sertifioinnin valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimessa, johon vaatimustenmukaisuuden arviointilaitos tai kansallinen sertifioinnin valvontaviranomainen on sijoittautunut.

Tarkistus    246

Ehdotus asetukseksi

55 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

Tarkistus    247

Ehdotus asetukseksi

55 a artikla (uusi)

Komission teksti

Tarkistus

 

55 a artikla

 

Siirretyn säädösvallan käyttäminen

 

1.   Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

 

2.   Siirretään komissiolle … päivästä …kuuta … [perussäädöksen voimaantulopäivä] määräämättömäksi ajaksi 44 ja 48 a artiklassa tarkoitettu valta antaa delegoituja säädöksiä.

 

3.   Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 44 ja 48 a artiklassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

 

4.   Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten sopimuksessa vahvistettujen periaatteiden mukaisesti.

 

5.   Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

 

6.   Edellä olevan 44 ja 48 a artiklan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

Tarkistus    248

Ehdotus asetukseksi

56 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Komissio arvioi viimeistään viiden vuoden kuluttua 58 artiklassa tarkoitetusta päivämäärästä ja sen jälkeen viiden vuoden välein viraston ja sen työtapojen vaikutuksen, tehokkuuden ja tuloksellisuuden sekä mahdollisen tarpeen muuttaa viraston toimeksiantoa ja tällaisten muutosten taloudelliset vaikutukset. Arvioinnissa otetaan huomioon viraston toiminnastaan mahdollisesti saama palaute. Jos komissio katsoo, ettei viraston toiminnan jatkaminen ole enää perusteltua sille asetettuihin tavoitteisiin, toimeksiantoon ja tehtäviin nähden, se voi ehdottaa, että tätä asetusta muutetaan virastoa koskevien säännösten osalta.

1.  Komissio arvioi viimeistään kahden vuoden kuluttua 58 artiklassa tarkoitetusta päivämäärästä ja sen jälkeen kahden vuoden välein viraston ja sen työtapojen vaikutuksen, tehokkuuden ja tuloksellisuuden sekä mahdollisen tarpeen muuttaa viraston toimeksiantoa ja tällaisten muutosten taloudelliset vaikutukset. Arvioinnissa otetaan huomioon viraston toiminnastaan mahdollisesti saama palaute. Jos komissio katsoo, ettei viraston toiminnan jatkaminen ole enää perusteltua sille asetettuihin tavoitteisiin, toimeksiantoon ja tehtäviin nähden, se voi ehdottaa, että tätä asetusta muutetaan virastoa koskevien säännösten osalta.

Tarkistus    249

Ehdotus asetukseksi

56 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Arvioinnissa arvioidaan myös III osaston säännösten vaikutusta, tehokkuutta ja tuloksellisuutta suhteessa tavoitteisiin varmistaa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden riittävä taso unionissa ja parantaa sisämarkkinoiden toimintaa.

2.  Arvioinnissa arvioidaan myös III osaston säännösten vaikutusta, tehokkuutta ja tuloksellisuutta suhteessa tavoitteisiin varmistaa tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen kyberturvallisuuden riittävä taso unionissa ja parantaa sisämarkkinoiden toimintaa.

Tarkistus    250

Ehdotus asetukseksi

56 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  Arvioinnissa arvioidaan, ovatko sisämarkkinoille pääsyä koskevat keskeiset kyberturvallisuusvaatimukset tarpeen, jotta voidaan estää sellaisten tuotteiden, palveluiden ja prosessien pääsy unionin markkinoille, jotka eivät täytä kybertuvallisuuden perusvaatimuksia.

Tarkistus    251

Ehdotus asetukseksi

Liite -I (uusi)

Komission teksti

Tarkistus

 

LIITE -I

 

On todennäköistä, että Euroopan kyberturvallisuuden sertifiointikehystä käyttöön otettaessa huomio kiinnittyy välittömästi merkittäviin aloihin uusien teknologioiden haasteisiin vastaamiseksi. Erityisesti esineiden internet on mielenkiinnon kohteena, sillä se koskee sekä kuluttajien että teollisuuden vaatimuksia. Sertifiointikehyksen osalta ehdotetaan seuraavaa prioriteettiluetteloa:

 

1)   Pilvipalvelun tarjonnan sertifiointi.

 

2)   Esineiden internetin laitteiden sertifiointi, mukaan lukien:

 

a.   yksilötason laitteet, kuten puettavat älylaitteet;

 

b.   yhteisötason laitteet, kuten älyautot, älykodit, terveydenhoitolaitteet;

 

c.  yhteiskunnan tason laitteet, kuten älykkäät kaupungit ja älykkäät verkot.

 

3)   Teollisuus 4.0, joka käsittää älykkäät, toisiinsa yhdistetyt kyberfyysiset järjestelmät, joilla automatisoidaan kaikki teollisen toiminnan vaiheet suunnittelusta ja valmistuksesta toimintaan, toimitusketjuun ja palvelujen ylläpitoon;

 

4)   Arkielämässä käytettävän teknologian ja tuotteiden sertifiointi. Esimerkkejä tällaisista voisivat olla verkkolaitteet, kuten kotitalouksien verkkoreitittimet.

Tarkistus    252

Ehdotus asetukseksi

Liite I – 1 kohta – 5 a alakohta (uusi)

Komission teksti

Tarkistus

 

5 a.  Jos vaatimustenmukaisuuden arviointilaitoksen omistaa tai sen toimintaa harjoittaa julkinen taho tai laitos, riippumattomuus ja eturistiriitojen pois sulkeminen on varmistettava ja dokumentoitava sertifioinnin valvontaviranomaisen ja vaatimustenmukaisuuden arviointilaitoksen välillä.

Tarkistus    253

Ehdotus asetukseksi

Liite I – 1 kohta – 8 alakohta

Komission teksti

Tarkistus

8.  Vaatimustenmukaisuuden arviointilaitoksen on kyettävä suorittamaan kaikki vaatimustenmukaisuuden arviointitehtävät, jotka sille on tässä asetuksessa osoitettu, siitä riippumatta, suorittaako vaatimustenmukaisuuden arviointilaitos kyseiset tehtävät itse vai suoritetaanko ne sen puolesta ja sen vastuulla.

8.  Vaatimustenmukaisuuden arviointilaitoksen on kyettävä suorittamaan kaikki vaatimustenmukaisuuden arviointitehtävät, jotka sille on tässä asetuksessa osoitettu, siitä riippumatta, suorittaako vaatimustenmukaisuuden arviointilaitos kyseiset tehtävät itse vai suoritetaanko ne sen puolesta ja sen vastuulla. Kaikki alihankinta tai ulkopuolisen henkilöstön kuuleminen on dokumentoitava asianmukaisesti, siihen ei saa osallistua välittäjiä, ja siitä on laadittava kirjallinen sopimus, jossa sovitaan muun muassa luottamuksellisuudesta ja eturistiriidoista. Kyseisen vaatimustenmukaisuuden arviointilaitoksen on kannettava täysi vastuu suoritetuista tehtävistä.

Tarkistus    254

Ehdotus asetukseksi

Liite I – 1 kohta – 12 alakohta

Komission teksti

Tarkistus

12.  Vaatimustenmukaisuuden arviointilaitosten, niiden ylimmän johdon ja arviointihenkilöstön puolueettomuus on taattava.

12.  Vaatimustenmukaisuuden arviointilaitosten, niiden ylimmän johdon ja arviointihenkilöstön ja alihankkijoiden puolueettomuus on taattava.

Tarkistus    255

Ehdotus asetukseksi

Liite I – 1 kohta – 15 alakohta

Komission teksti

Tarkistus

15.  Vaatimustenmukaisuuden arviointilaitosten henkilöstöllä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, joita se saa suorittaessaan tehtäviään tämän asetuksen tai sen täytäntöön panemiseksi annetun kansallisen lainsäädännön säännösten mukaisesti, paitsi niiden jäsenvaltioiden toimivaltaisiin viranomaisiin nähden, joissa laitoksen toimet suoritetaan.

15.  Vaatimustenmukaisuuden arviointilaitoksen ja sen henkilöstön, komiteoiden, tytäryhtiöiden, alihankkijoiden ja laitokseen yhteydessä olevien elinten tai ulkoisten elinten henkilöstön on ylläpidettävä luottamuksellisuutta ja niillä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, joita ne saavat suorittaessaan tehtäviään tämän asetuksen tai sen täytäntöön panemiseksi annetun kansallisen lainsäädännön säännösten mukaisesti, paitsi kun näihin sovelletaan unionin tai jäsenvaltion lainsäädäntöä, jossa edellytetään niiden julkistamista, lukuun ottamatta niiden jäsenvaltioiden toimivaltaisten viranomaisten osalta, joissa laitoksen toimet suoritetaan. Omistusoikeudet on suojattava. Vaatimustenmukaisuuden arviointilaitoksella on oltava käytössä tämän jakson 15 vaatimusten mukaiset dokumentoidut menettelyt.

Tarkistus    256

Ehdotus asetukseksi

Liite I – 1 kohta – 15 a alakohta (uusi)

Komission teksti

Tarkistus

 

15 a.  Jaksoa 15 lukuun ottamatta tämän liitteen vaatimukset eivät estä millään tavalla teknisten tietojen ja sääntelyohjeistuksen vaihtoa vaatimustenmukaisuuden arviointilaitoksen ja sertifiointia hakevan tai sitä harkitsevan henkilön välillä.

Tarkistus    257

Ehdotus asetukseksi

Liite I – 1 kohta – 15 b alakohta (uusi)

Komission teksti

Tarkistus

 

15 b.  Vaatimustenmukaisuuden arviointilaitosten on toimittava johdonmukaisilla, oikeudenmukaisilla ja kohtuullisilla ehdoilla ja edellytyksillä ja otettava huomioon suosituksessa 2003/361/EY tarkoitettujen pienten ja keskisuurten yritysten maksuihin liittyvät edut.

(1)

EUVL C 227, 28.6.2018, s. 86.


PERUSTELUT

On selvää, että globaali digitaalinen vallankumous ottaa vallan ja leviää talouksissamme, yhteiskunnissamme ja hallinnoissamme ja kaikki tietomme ovat haavoittuvaisia. Kuluttajat, toimialat, instituutiot ja demokratiat paikallisella, kansallisella, eurooppalaisella ja maailmanlaajuisella tasolla ovat olleet kyberhyökkäysten, -vakoilun ja -sabotaasin uhreja, ja me kaikki tiedämme, että tämä lisääntyy huomattavasti lähivuosina.

Miljardeja laitteita kytketään internetiin, ja ne ovat vuorovaikutuksessa uudella tasolla ja uudessa laajuudessa. Nämä laitteet ja niihin liittyvät palvelut voivat parantaa kansalaisten elämää ja talouksiamme. Ihmiset ja organisaatiot osallistuvat kuitenkin täysin digitaaliseen maailmaan tai ovat osa sitä vain, jos nämä luottavat digitaalisiin teknologioihin. Tämä edellyttää sitä, että esineiden internetin laitteet, prosessit ja palvelut ovat turvallisia ja varmoja.

Näiden tavoitteiden saavuttamiseksi komissio on esittänyt ”kyberturvallisuusasetuksen”. Tämä asetus on tärkeä osa Euroopan unionin kyberturvallisuusstrategiaa ja yksi sen välineistä. Strategian tavoitteena on tarjota unionille pitkän aikavälin visio kyberturvallisuudesta ja varmistaa luottamus digitaalisiin teknologioihin. Se on nähtävä osana jo voimassa olevaa lainsäädäntöä: EU on jo perustanut Euroopan unionin verkko- ja tietoturvaviraston (ENISA) ja hyväksynyt kyberturvallisuusdirektiivin, jota jäsenvaltiot parhaillaan saattavat osaksi kansallista lainsäädäntöään.

Kyberturvallisuusasetus koostuu kahdesta osasta: Ensimmäisessä osassa määritetään ENISAn rooli ja toimivaltuudet viraston vahvistamiseksi. Toisessa osassa esitellään eurooppalainen kyberturvallisuuden sertifiointijärjestelmä, joka on vapaaehtoinen kehys, jolla pyritään parantamaan verkkoon liitettyjen laitteiden, digitaalisten tuotteiden ja palveluiden turvallisuutta.

Yleisesti ottaen esittelijä suhtautuu myönteisesti komission ehdotukseen kyberturvallisuusasetuksesta, koska on ratkaisevan tärkeää minimoida tietoturvaan ja verkkojärjestelmiin kohdistuvia riskejä ja uhkia sekä antaa kuluttajille mahdollisuus luottaa tietoteknisiin ratkaisuihin, erityisesti esineiden internettiin. Esittelijä uskoo vahvasti, että unionista voi tulla johtava toimija kyberturvallisuuden alalla. Euroopalla on vahva teollinen perusta, ja näin ollen kulutustavaroihin, teollisiin sovelluksiin ja kriittiseen infrastruktuuriin liittyvän kyberturvallisuuden parantaminen on sekä kuluttajien että toimialan etujen mukaista.

Komission ehdotuksen kumpaakin osaa, sekä ENISAa että sertifiointia koskevaa osaa, olisi muutettava.

ENISAn osalta esittelijä katsoo, että on ratkaisevan tärkeää aikaansaada oikea kehys, jos halutaan vahva ja hyvin toimiva virasto. Esittelijä suhtautuu myönteisesti ENISAn vahvistettuun rooliin, johon kuuluvat sen pysyvät toimivaltuudet sekä määrärahojen ja henkilöstön lisääminen. Tarvitaan kuitenkin myös realistista lähestymistapaa, kun otetaan huomioon ENISAn palveluksessa olevien asiantuntijoiden pieni lukumäärä verrattuna joidenkin kansallisten sertifiointialan valvontaviranomaisten henkilöstöön. ENISAn tehtävinä olisi oltava jatkossakin operatiivisen yhteistyön järjestäminen ottamalla huomioon kyberturvallisuusdirektiivillä saatu asiantuntemus, jäsenvaltioiden valmiuksien rakentamisen tukeminen ja tiedonlähteenä oleminen. Lisäksi ENISAlla olisi oltava vahva rooli eurooppalaisten kyberturvallisuusjärjestelmien perustamisessa yhdessä jäsenvaltioiden ja asiaankuuluvien sidosryhmien kanssa.

Sertifioinnin osalta esittelijä kannattaa ehdotuksen soveltamisalan selkeyttämistä. Ensinnäkin asetuksen olisi katettava tuotteiden ja palveluiden lisäksi koko elinkaari. Siksi soveltamisalaan olisi lisättävä prosessit. Toisaalta soveltamisalan ulkopuolelle olisi selvästi jätettävä tietyt jäsenvaltioiden toimivaltaan kuuluvat alat eli yleinen turvallisuus, puolustus, kansallinen turvallisuus ja rikosoikeuden ala.

Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän osalta esittelijä ehdottaa, että eritellään yksityiskohtaisemmin riskiin perustuva lähestymistapa eikä tyydytä yleispätevään sertifiointijärjestelmään. Lisäksi esittelijä kannattaa vapaaehtoista järjestelmää, mutta pelkästään perustasolle ja korotetuille varmuustasoille. Hänen mielestään pakollinen järjestelmä olisi parempi korkeimman varmuustason tuotteille, prosesseille tai palveluille. Esittelijä ehdottaa myös, että niiden digitaalisten teknologioiden arviointi, joiden varmuustaso on perustasolla, sidotaan uuden lainsäädäntökehykseen lähestymistapaan. Tämä mahdollistaa itsearvioinnin, joka on edullisempi ja kevyempi järjestelmä, joka on osoittautunut toimivaksi eri aloilla.

Esittelijä katsoo, että tieto- ja viestintätekniikan tuotteiden, prosessien ja palvelujen valmistaja tai tarjoaja olisi velvoitettava antamaan tuotetta koskeva pakollinen ilmoitus, joka sisältää jäsenneltyä tietoa sertifioinnista ja esimerkiksi päivitysten saatavuudesta tai sertifioitujen tuotteiden, prosessien tai palveluiden yhteentoimivuudesta. Tämä antaisi kuluttajille laitteen valintaa koskevaa hyödyllistä tietoa. Esittelijä pitää tällaista tuotetta koskevaa ilmoitusta parempana kuin merkkiä tai tavaramerkkiä, joka voi johtaa kuluttajia harhaan.

Esittelijä painottaa, että komission ehdottamaa hallinnointirakennetta on parannettava, jotta se olisi avoimempi kaikkien sidosryhmien kannalta. Esittelijä ehdottaa siksi sellaisen monivuotisen unionin työohjelman hyväksymistä, jossa yksilöidään unionin tasolla toteutettavat yhteiset toimet ja jossa ilmoitetaan alat, joille eurooppalaiset sertifiointijärjestelmät olisi perustettava ensisijaisesti, sekä jäsenvaltioiden arviointi- ja valvontaelinten osaamista ja asiantuntemusta koskeva vastaavuuden taso. Vahvistettu hallinnointi merkitsee myös jäsenvaltioiden ja toimialan vahvempaa osallistumista sertifiointiprosessiin. Jäsenvaltioiden roolia voidaan vahvistaa, kun ehdotuksen 53 artiklan mukaisesti perustettu ja kansallisista sertifioinnin valvontaviranomaisista koostuva sertifiointiryhmä asetetaan samalle tasolle komission kanssa sertifiointijärjestelmän valmisteluprosessissa. Sertifiointiryhmän on hyväksyttävä myös ehdolla oleva eurooppalainen järjestelmä. Kolmanneksi olisi vahvistettava myös toimialan osallistumista sertifiointiprosessiin. Tämä voidaan saavuttaa selkeyttämällä pysyvän sidosryhmän kokoonpanoa ja siten, että ENISA perustaa tilapäisiä neuvoa-antavia ryhmiä, jotta sertifiointiprosessiin saadaan lisää toimialan ja muiden asiaankuuluvien sidosryhmien asiantuntemusta ja osaamista. Esittelijä katsoo, että kaikkien näiden toimenpiteiden avulla pk-yritykset voivat osallistua prosessiin paljon enemmän.

Lopuksi todettakoon, että CENin ja CENELECin kaltaisten eurooppalaisten standardointiorganisaatioiden olisi osallistuttava tiiviimmin eurooppalaiseen sertifiointijärjestelmään, kun kehitetään uusia järjestelmiä. Näin mahdollistettaisiin se, että olemassa olevat ja maailmanlaajuisesti hyväksytyt kansainväliset standardit säilyvät.


SISÄMARKKINA- JA KULUTTAJANSUOJAVALIOKUNNAN LAUSUNTO (22.5.2018)

teollisuus-, tutkimus- ja energiavaliokunnalle

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

(COM(2017)0477 – C8‑0310-2017 – 2017/0225(COD))

Valmistelija: (*) Nicola Danti

(*)  Valiokuntien yhteistyömenettely – työjärjestyksen 54 artikla

LYHYET PERUSTELUT

Digitaalisella aikakaudella kyberturvallisuus on olennainen tekijä Euroopan unionin taloudellisen kilpailukyvyn ja turvallisuuden sekä vapaiden ja demokraattisten yhteiskuntien ja niitä tukevien prosessien eheyden kannalta. Korkeatasoisen kyberresilienssin takaaminen kaikkialla unionissa on ensiarvoisen tärkeää, jotta voidaan saavuttaa kuluttajien luottamus digitaalisia sisämarkkinoita kohtaan ja kehittää edelleen innovatiivisempaa ja kilpailukykyisempää Eurooppaa.

Kyberuhat ja maailmanlaajuiset kyberhyökkäykset – kuten ”Wannacry” ja ”Meltdown” – ovat yhä digitaalisemmassa yhteiskunnassamme asioita, joiden merkitys kasvaa. Heinäkuussa 2017 julkaistun Eurobarometri-kyselyn mukaan 87 prosenttia vastaajista piti kyberrikollisuutta merkittävänä haasteena unionin sisäiselle turvallisuudelle ja enemmistö pelkäsi joutuvansa kyberrikollisuuden eri muotojen uhriksi. Vuoden 2016 alusta lähtien maailmassa on lisäksi tehty yli 4 000 kiristyshaittaohjelmahyökkäystä joka päivä, mikä merkitsee 300 prosentin lisäystä vuoteen 2015 verrattuna ja vaikuttaa 80 prosenttiin unionissa toimivista yrityksistä. Nämä tosiasiat ja havainnot osoittavat selvästi, että unionin on oltava resilientimpi ja tehokkaampi kyberhyökkäysten torjunnassa ja lisättävä valmiuksiaan, jotta se voi paremmin suojella unionin kansalaisia, yrityksiä ja julkisia instituutioita.

Vuoden kuluttua verkko- ja tietoturvadirektiivin voimaantulosta komissio esitteli unionin kyberturvallisuusstrategian laajemmassa kehyksessä asetuksen, jolla pyritään edelleen parantamaan unionin kyberturvallisuuden alan resilienssiä, pelotetta ja puolustusta. Komissio esitti 13. syyskuuta 2017 kyberturvallisuusasetuksen, joka perustuu kahteen pilariin:

1) Euroopan unionin verkko- ja tietoturvavirastolle (ENISA) annetaan pysyvät ja vahvemmat valtuudet avustaa jäsenvaltioita tehokkaasti estämään ja torjumaan kyberhyökkäyksiä, ja 2) luodaan eurooppalainen kyberturvallisuuden sertifiointikehys varmistamaan, että tieto- ja viestintätekniikan tuotteet ja palvelut ovat kyberturvallisia.

Valmistelija suhtautuu yleisesti ottaen myönteisesti komission ehdottamaan lähestymistapaan ja pitää erityisen ilahduttavana sitä, että otetaan käyttöön EU:n laajuisia kyberturvallisuuden sertifiointijärjestelmiä, joilla pyritään lisäämään tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuutta ja välttämään sisämarkkinoiden kalliiksi tuleva hajanaisuus tällä tärkeällä alalla. Vaikka välineen olisi lähtökohtaisesti oltava vapaaehtoinen, valmistelija toivoo, että unionin kyberturvallisuuden sertifiointikehyksestä ja siihen liittyvistä menettelyistä tulee tarpeellinen väline, jolla vahvistetaan kansalaisten ja kuluttajien luottamusta sekä lisätään sisämarkkinoilla olevien tuotteiden ja palvelujen turvallisuutta.

Valmistelija on myös vakuuttunut siitä, että joitakin ehdotuksen kohtia olisi täsmennettävä ja parannettava:

•  Ensinnäkin lisätään asianomaisten sidosryhmien osallistumista hallintojärjestelmän eri vaiheisiin ENISAn valmistellessa ehdolla olevia kyberturvallisuuden sertifiointijärjestelmiä: valmistelijan mielestä on olennaisen tärkeää ottaa keskeisimmät sidosryhmät, kuten tieto- ja viestintätekninen teollisuus, kuluttajajärjestöt, pk-yritykset, unionin standardointiorganisaatiot ja unionin alakohtaiset virastot jne., virallisesti mukaan ja antaa niille mahdollisuus ehdottaa uusia järjestelmiä, tarjota ENISAlle asiantuntemustaan tai tehdä ENISAn kanssa yhteistyötä ehdolla olevan järjestelmän valmistelussa.

•  Toiseksi Euroopan kyberturvallisuuden sertifiointiryhmän (joka koostuu kansallisista viranomaisista ja jota komissio ja ENISA tukevat) koordinoivaa roolia on täydennettävä lisätehtävillä, joita ovat strategisen ohjauksen tarjoaminen ja sertifioinnin alalla unionin tasolla toteutettavia yhteisiä toimia koskevan työohjelman laatiminen sekä tieto- ja viestintätekniikan tuotteiden ja palvelujen prioriteettiluettelon laatiminen ja säännöllinen päivittäminen tapauksissa, joissa se katsoo unionin kyberturvallisuuden sertifiointijärjestelmän olevan tarpeen.

•  Valmistelija uskoo vakaasti, että unionissa olisi vältettävä ”sertifiointishoppailua”, jota on jo havaittu muilla aloilla. ENISAn sekä kansallisten sertifioinnin valvontaviranomaisten seuranta- ja valvontasääntöjä olisi vahvistettava huomattavasti, jotta taataan, että yhdessä jäsenvaltiossa myönnetyllä unionin sertifikaatilla on samat standardit ja vaatimukset kuin toisessa jäsenvaltiossa myönnetyllä. Siksi hän ehdottaa seuraavia:

1) vahvistetaan ENISAn valvontavaltuuksia: ENISAn olisi yhdessä sertifiointiryhmän kanssa arvioitava EU-sertifikaattien myöntämisestä vastaavien viranomaisten käyttämiä menettelyjä

2) kansallisten sertifioinnin valvontaviranomaisten olisi säännöllisesti (vähintään joka toinen vuosi) arvioitava vaatimustenmukaisuuden arviointilaitosten myöntämät unionin sertifikaatit

3) otetaan käyttöön sertifiointiryhmän määrittelemät yhteiset ja sitovat laajuutta, soveltamisalaa ja tiheyttä koskevat kriteerit, joiden mukaisesti kansallisten sertifioinnin valvontaviranomaisten olisi toteutettava 2 kohdassa tarkoitetut arvioinnit.

•  Valmistelija uskoo, että loppukäyttäjiä varten tarkoitetuille sertifioiduille tieto- ja viestintätekniikan tuotteille ja palveluille olisi otettava käyttöön pakollinen EU:n luotettavuusmerkki. Tämä merkki voisi auttaa lisäämään tietoisuutta kyberturvallisuudesta ja antaa kyberturvallisuudessa aiemmin hyvin menestyneille yrityksille kilpailuedun.

•  Valmistelija hyväksyy komission noudattaman yhtenäisen ja yhdenmukaistetun lähestymistavan mutta on vakuuttunut siitä, että sen pitäisi olla joustavampi ja mukautettavissa kunkin tuotteen tai palvelun erityispiirteisiin ja erityisiin haavoittuvuuksiin – ”yhden koon” periaatetta ei voida noudattaa. Siksi valmistelija uskoo, että varmuustasot olisi nimettävä uudelleen ja niitä olisi käytettävä siten, että otetaan huomioon myös tieto- ja viestintätekniikan tuotteiden ja palvelujen suunniteltu käyttötarkoitus. Vastaavasti sertifikaatin voimassaolon kesto olisi arvioitava tapauskohtaisesti.

•  Kukin sertifiointijärjestelmä olisi suunniteltava siten, että se stimuloi ja kannustaa kaikkia kyseisen alan toimijoita kehittämään ja ottamaan käyttöön turvallisuusstandardeja, teknisiä normeja sekä sisäänrakennetun turvallisuuden ja sisäänrakennetun yksityisyyden periaatteita kaikissa tuotteen tai palvelun elinkaaren vaiheissa.

TARKISTUKSET

Sisämarkkina- ja kuluttajansuojavaliokunta pyytää asiasta vastaavaa teollisuus-, tutkimus- ja energiavaliokuntaa ottamaan huomioon seuraavat tarkistukset:

Tarkistus    1

Ehdotus asetukseksi

Johdanto-osan 1 kappale

Komission teksti

Tarkistus

(1)  Verkko- ja tietojärjestelmillä ja televiestintäverkoilla ja -palveluilla on yhteiskunnassa elintärkeä rooli, ja niistä on tullut talouskasvun selkäranka. Tieto- ja viestintätekniikka luo pohjaa monimutkaisille järjestelmille, jotka tukevat yhteiskunnan toimintoja, pitävät talouden pyörät pyörimässä keskeisillä aloilla, kuten terveydenhuollossa, energia-alalla, rahoitusalalla ja liikenteessä, ja erityisesti tukevat sisämarkkinoiden toimintaa

(1)  Verkko- ja tietojärjestelmillä ja televiestintäverkoilla ja -palveluilla on yhteiskunnassa elintärkeä rooli, ja niistä on tullut talouskasvun selkäranka. Tieto- ja viestintätekniikka luo pohjaa monimutkaisille järjestelmille, jotka tukevat yhteiskunnan päivittäisiä toimintoja, pitävät talouden pyörät pyörimässä keskeisillä aloilla, kuten terveydenhuollossa, energia-alalla, rahoitusalalla ja liikenteessä, ja erityisesti tukevat sisämarkkinoiden toimintaa.

Tarkistus    2

Ehdotus asetukseksi

Johdanto-osan 2 kappale

Komission teksti

Tarkistus

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin.

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusominaisuuksista, mikä heikentää digitaalisten sisämarkkinoiden toteuttamisen kannalta olennaista luottamusta digitaalisiin ratkaisuihin.

Tarkistus    3

Ehdotus asetukseksi

Johdanto-osan 3 kappale

Komission teksti

Tarkistus

(3)  Digitalisoinnin ja verkkoyhteyksien yleistyminen lisää kyberturvallisuuteen liittyviä riskejä, jolloin koko yhteiskunta on haavoittuvampi kyberuhkille, ja pahentaa yksilöihin, myös heikommassa asemassa oleviin henkilöihin, kuten lapsiin, kohdistuvia vaaroja. Tämän yhteiskuntaan kohdistuvan riskin lieventämiseksi kyberturvallisuutta on tarpeen parantaa EU:ssa kaikin tarvittavin toimenpitein, jotta kansalaisten, hallintojen ja yritysten – pk-yrityksistä elintärkeiden infrastruktuureiden ylläpitäjiin – käyttämät verkko- ja tietojärjestelmät, televiestintäverkot, digitaaliset tuotteet, palvelut ja laitteet voidaan suojata paremmin kyberuhilta.

(3)  Digitalisoinnin ja verkkoyhteyksien yleistyminen lisää huomattavasti kyberturvallisuuteen liittyviä riskejä, jolloin koko yhteiskunta on haavoittuvampi kyberuhkille, ja pahentaa yksilöihin, myös heikommassa asemassa oleviin henkilöihin, kuten lapsiin, kohdistuvia vaaroja. Yhteiskunta tulee valjastamaan tekoälyn ja koneoppimisen muutosvoiman, mutta niin tulevat tekemään myös kyberrikolliset. Näiden yhteiskuntaan kohdistuvien riskien lieventämiseksi EU:ssa on tarpeen parantaa kaikin tarvittavin toimenpitein suojautumista kyberhyökkäyksiä vastaan, jotta kansalaisten, hallintojen ja yritysten – pk-yrityksistä elintärkeiden infrastruktuureiden ylläpitäjiin – käyttämät verkko- ja tietojärjestelmät, televiestintäverkot, digitaaliset tuotteet, palvelut ja laitteet voidaan suojata paremmin kyberuhilta.

Tarkistus    4

Ehdotus asetukseksi

Johdanto-osan 4 kappale

Komission teksti

Tarkistus

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa ja suojatumpaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

Tarkistus    5

Ehdotus asetukseksi

Johdanto-osan 5 kappale

Komission teksti

Tarkistus

(5)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä ja koordinointia jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tarvitaan myös lisätoimia kansalaisten ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Lisäksi digitaalisiin sisämarkkinoihin tunnettua luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuustasosta. Tätä voidaan helpottaa EU:n laajuisella sertifioinnilla, joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille.

(5)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä ja koordinointia jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tarvitaan myös lisätoimia kansalaisten ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Koska kyberturvallisuuspoikkeamat heikentävät luottamusta digitaalisen palvelun tarjoajia ja itse digitaalisia sisämarkkinoita kohtaan erityisesti kuluttajien keskuudessa, luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuustasosta. Tätä voidaan helpottaa standardoidulla EU:n laajuisella sertifioinnilla, joka tukeutuu eurooppalaisiin tai kansainvälisiin standardeihin ja joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille. Unionin laajuisen sertifioinnin lisäksi on olemassa joukko vapaaehtoisia toimenpiteitä, joita yksityisen sektorin olisi itse toteutettava vahvistaakseen tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuutta kohtaan tunnettua luottamusta erityisesti esineiden internetin laitteiden kasvavan saatavuuden valossa. Olisi esimerkiksi käytettävä tehokkaammin salausta ja muita teknologioita sekä kyberhyökkäysten torjuntateknologioita, kuten lohkoketjuja, jotta voidaan parantaa loppukäyttäjien tietojen ja viestinnän turvallisuutta sekä verkon ja tietojärjestelmien yleistä turvallisuutta unionissa.

Tarkistus    6

Ehdotus asetukseksi

Johdanto-osan 5 a kappale (uusi)

Komission teksti

Tarkistus

 

(5 a)  Vaikka tieto- ja viestintätekniikan prosessien, tuotteiden ja palvelujen sertifioinnilla ja muilla vaatimustenmukaisuuden arviointimuodoilla on tärkeä merkitys, kyberturvallisuuden parantaminen edellyttää monitahoista lähestymistapaa, joka kattaa ihmiset, prosessit ja teknologiat. EU:n olisi myös edelleen korostettava ja edistettävä voimakkaasti muita toimia, mukaan lukien kyberturvallisuuskasvatus, -koulutus ja -taitojen kehittäminen, tietoisuuden lisääminen yritysten johdon ja hallintoneuvostojen tasoilla, vapaaehtoisen kyberuhkia koskevan tietojenvaihdon edistäminen ja uhkiin reagoimista koskevan EU:n lähestymistavan muuttaminen reaktiivisesta proaktiiviseksi korostamalla kyberhyökkäysten torjuntaa.

Tarkistus    7

Ehdotus asetukseksi

Johdanto-osan 7 kappale

Komission teksti

Tarkistus

(7)  Unioni on jo toteuttanut merkittäviä toimia kyberturvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberturvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivillä otettiin käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso.

(7)  Unioni on jo toteuttanut merkittäviä toimia kyberturvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberturvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivillä, jonka menestyminen riippuu voimakkaasti jäsenvaltioissa tapahtuvan täytäntöönpanon tehokkuudesta, otettiin käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso.

Tarkistus    8

Ehdotus asetukseksi

Johdanto-osan 11 kappale

Komission teksti

Tarkistus

(11)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä.

(11)  Unioniin kohdistuvien kyberturvallisuusuhkien ja -haasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä.

Tarkistus    9

Ehdotus asetukseksi

Johdanto-osan 28 kappale

Komission teksti

Tarkistus

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten ja organisaatioiden käyttöön. Viraston pitäisi osaltaan edistää parhaita käytäntöjä ja ratkaisuja yksilöiden ja organisaatioiden tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla raportteja ohjeistuksen antamiseksi yrityksille ja kansalaisille ja yleisen varautumis- ja resilienssitason parantamiseksi. Viraston olisi myös järjestettävä yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, joiden tarkoituksena on edistää turvallisempaa verkkokäyttäytymistä yksilötasolla ja lisätä tietoisuutta verkossa piilevistä mahdollisista uhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen sekä talous- ja pankkipetosten kaltainen kyberrikollisuus, sekä edistää yleisluonteisen neuvonnan antamista aitouden todentamista ja tietosuojaa koskevissa kysymyksissä. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta.

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten ja organisaatioiden käyttöön. Viraston olisi osaltaan edistettävä myös kyberhygienian parhaita käytäntöjä ja ratkaisuja eli yksinkertaisia rutiinitoimenpiteitä, kuten monivaiheinen aitouden todentaminen, paikkaus, salaus ja pääsynhallinta, joita yksilöt ja organisaatiot voivat toteuttaa minimoidakseen kyberuhkien aiheuttamat riskit. Viraston olisi tehtävä tämä keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla ja julkaisemalla raportteja ja ohjeita ohjeistuksen antamiseksi yrityksille ja kansalaisille ja yleisen varautumis- ja resilienssitason parantamiseksi. Viraston olisi myös järjestettävä yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, joiden tarkoituksena on edistää turvallisempaa verkkokäyttäytymistä yksilötasolla ja lisätä tietoisuutta toimenpiteistä, joita voidaan toteuttaa verkossa piileviltä mahdollisilta uhkilta suojautumiseksi, mukaan lukien verkkourkintayritysten, kiristysohjelmahyökkäysten, kaappausten, bottiverkkojen sekä talous- ja pankkipetosten kaltainen kyberrikollisuus, sekä edistää neuvonnan antamista yleisluonteista monivaiheista aitouden todentamista, salausta, paikkausta, pääsynhallintaperiaatteita, tietosuojaa sekä muita turvallisuutta ja yksityisyyttä parantavia teknologioita ja anonymisointivälineitä koskevissa kysymyksissä. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta ja palvelujen turvallisesta käytöstä, ja sen olisi unionin tasolla edistettävä sisäänrakennettua yksityisyyttä sekä sisäänrakennettua turvallisuutta, joka on ensiarvoisen tärkeää, jotta voidaan parantaa verkkoon liitettyjen laitteiden turvallisuutta haavoittuvassa asemassa olevien loppukäyttäjien, kuten lasten, kannalta. Viraston olisi kannustettava kaikkia loppukäyttäjiä toteuttamaan asianmukaisia toimenpiteitä, joilla torjutaan turvallisuuspoikkeamia, jotka vaikuttavat heidän verkkojensa ja tietojärjestelmiensä turvallisuuteen, sekä minimoidaan niiden vaikutukset. Sellaisten akateemisten laitosten kanssa, joilla on tutkimusaloitteita kyberturvallisuuteen liittyvillä asianmukaisilla aloilla, olisi muodostettava kumppanuuksia.

Tarkistus    10

Ehdotus asetukseksi

Johdanto-osan 35 kappale

Komission teksti

Tarkistus

(35)  Viraston olisi kannustettava jäsenvaltioita ja palveluntarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä kyberturvallisuusnormeja. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa ja palvelujensa turvallisuutta, mukaan lukien kyberturvallisuus.

(35)  Viraston olisi kannustettava jäsenvaltioita ja palveluntarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä kyberturvallisuusnormeja. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa turvallisuutta, mukaan lukien kyberturvallisuus. ENISAn olisi julkaistava tällaiset varoitukset verkkosivustolla, jolla annetaan tietoa sertifiointijärjestelmistä. Viraston olisi laadittava ohjeet unionissa myytyjä tai unionista vietäviä tietoteknisiä laitteita koskevista vähimmäistason turvallisuusvaatimuksista. Tällaisissa ohjeissa voitaisiin vaatia valmistajia antamaan kirjallinen vakuutus, jossa vahvistetaan, että laite ei sisällä laitteisto-, ohjelmisto- tai laiteohjelmistokomponentteja, joissa on tunnettuja hyödynnettävissä olevia turvallisuushaavoittuvuuksia tai muuttamattomissa oleva tai suojaamaton salasana tai tunnuskoodi, että se pystyy vastaanottamaan luotettuja ja asianmukaisesti varmennettuja turvallisuuspäivityksiä, että uhkan kohteeksi joutunutta laitetta koskevaan myyjien vastaukseen sisältyy asianmukainen oikeussuojakeinojen hierarkia ja että myyjät ilmoittavat loppukäyttäjille, milloin jonkin laitteen turvallisuustuki päättyy.

Tarkistus    11

Ehdotus asetukseksi

Johdanto-osan 36 a kappale (uusi)

Komission teksti

Tarkistus

 

(36 a)  Standardi on vapaaehtoinen ja markkinavetoinen väline, jolla annetaan teknisiä vaatimuksia ja ohjausta ja joka on syntynyt avoimessa, läpinäkyvässä ja osallistavassa prosessissa. Standardien käyttö helpottaa mahdollisuuksia huolehtia, että tavarat ja palvelut ovat unionin lainsäädännön mukaisia, ja tukee unionin toimintapolitiikkoja eurooppalaisesta standardoinnista annetun asetuksen (EU) N:o 1025/2012 mukaisesti. Viraston olisi kuultava eurooppalaisia standardointiorganisaatioita säännöllisesti ja tehtävä yhteistyötä niiden kanssa erityisesti unionin kyberturvallisuuden sertifiointijärjestelmiä valmistellessaan.

Tarkistus    12

Ehdotus asetukseksi

Johdanto-osan 44 kappale

Komission teksti

Tarkistus

(44)  Virastolla olisi oltava neuvoa-antavana elimenä pysyvä sidosryhmä, jotta voitaisiin varmistaa säännöllinen yhteydenpito yksityisen sektorin, kuluttajajärjestöjen ja muiden asianosaisten sidosryhmien kanssa. Pysyvän sidosryhmän, jonka johtokunta perustaa pääjohtajan ehdotuksesta, olisi keskityttävä sidosryhmiä koskeviin asioihin ja saatettava ne viraston tietoon. Pysyvän sidosryhmän kokoonpanossa ja tälle ryhmälle, jotka kuullaan erityisesti työohjelmaluonnoksesta, annettavissa tehtävissä olisi varmistettava sidosryhmien riittävä edustus viraston työskentelyssä.

(44)  Virastolla olisi oltava neuvoa-antavana elimenä pysyvä sidosryhmä, jotta voitaisiin varmistaa säännöllinen yhteydenpito yksityisen sektorin, kuluttajajärjestöjen, tutkijoiden ja muiden asianosaisten sidosryhmien kanssa. Pysyvän sidosryhmän, jonka johtokunta perustaa pääjohtajan ehdotuksesta, olisi keskityttävä sidosryhmiä koskeviin asioihin ja saatettava ne viraston tietoon. Jotta voidaan taata sidosryhmien asianmukainen osallistuminen kyberturvallisuuden sertifiointikehykseen, pysyvän sidosryhmän olisi myös annettava neuvoja siitä, mitä tieto- ja viestintätekniikan tuotteita ja palveluja tulevilla eurooppalaisen kyberturvallisuuden sertifiointijärjestelmillä katetaan, ja esitettävä komissiolle ehdotuksia, joiden pohjalta virastoa pyydetään valmistelemaan ehdolla olevia järjestelmiä tällaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten joko omasta aloitteestaan tai saatuaan ehdotuksia asianomaisilta sidosryhmiltä. Pysyvän sidosryhmän kokoonpanossa ja tälle ryhmälle, jota kuullaan erityisesti työohjelmaluonnoksesta, annettavissa tehtävissä olisi varmistettava sidosryhmien tehokas ja tasapuolinen edustus viraston työskentelyssä.

Tarkistus    13

Ehdotus asetukseksi

Johdanto-osan 46 kappale

Komission teksti

Tarkistus

(46)  Jotta voidaan varmistaa viraston täydellinen itsemääräämisoikeus ja riippumattomuus ja jotta virasto pystyy suorittamaan uusia ja täydentäviä tehtäviä, myös ennakoimattomia tehtäviä hätätilanteissa, virastolle olisi annettava riittävä ja itsenäinen talousarvio, jonka tulot koostuvat ensisijaisesti unionin rahoitusosuudesta ja viraston työhön osallistuvien kolmansien maiden rahoitusosuuksista. Viraston henkilöstön enemmistön työtehtävien olisi liityttävä suoraan viraston toimeksiannon operatiiviseen täytäntöönpanoon. Viraston isäntäjäsenvaltion tai minkä tahansa muun jäsenvaltion olisi voitava maksaa vapaaehtoisia rahoitusosuuksia virastolle. Unionin talousarviomenettelyä olisi sovellettava edelleen unionin yleisestä talousarviosta maksettaviin tukiin. Lisäksi tilintarkastustuomioistuimen olisi tarkastettava viraston tilit avoimuuden ja vastuuvelvollisuuden varmistamiseksi.

(46)  Jotta voidaan varmistaa viraston täydellinen itsemääräämisoikeus ja riippumattomuus ja jotta virasto pystyy suorittamaan uusia ja täydentäviä tehtäviä, myös ennakoimattomia tehtäviä hätätilanteissa, virastolle olisi annettava riittävä ja itsenäinen talousarvio, jonka tulot koostuvat ensisijaisesti unionin rahoitusosuudesta ja viraston työhön osallistuvien kolmansien maiden rahoitusosuuksista. Viraston henkilöstön enemmistön työtehtävien olisi liityttävä suoraan viraston toimeksiannon operatiiviseen täytäntöönpanoon. Viraston isäntäjäsenvaltion tai minkä tahansa muun jäsenvaltion olisi voitava maksaa vapaaehtoisia rahoitusosuuksia virastolle. Unionin talousarviomenettelyä olisi sovellettava edelleen unionin yleisestä talousarviosta maksettaviin tukiin. Lisäksi tilintarkastustuomioistuimen olisi tarkastettava viraston tilit menoja koskevan avoimuuden, vastuuvelvollisuuden, tehokkuuden ja vaikuttavuuden varmistamiseksi.

Tarkistus    14

Ehdotus asetukseksi

Johdanto-osan 47 kappale

Komission teksti

Tarkistus

(47)  Vaatimustenmukaisuuden arviointi on menettely sen osoittamiseksi, täyttyvätkö tuotteelle, prosessille, palvelulle, järjestelmälle, henkilölle tai elimelle asetetut erityiset vaatimukset. Tätä asetusta sovellettaessa sertifiointi olisi katsottava vaatimustenmukaisuuden arvioinnin tyypiksi, joka koskee tuotteen, prosessin, palvelun, järjestelmän tai näiden yhdistelmän, jäljempänä ’tieto- ja viestintätekniikan tuotteet ja palvelut’, kyberturvallisuusominaisuuksia ja jonka suorittaa riippumaton kolmas osapuoli, joka ei ole tuotteen valmistaja tai palvelun tarjoaja. Sertifiointi ei sinänsä takaa, että sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut ovat kyberturvallisia. Se on pikemminkin menettely ja tekninen menetelmä todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut on testattu ja että ne täyttävät tietyt kyberturvallisuusvaatimukset, jotka on vahvistettu muualla, esimerkiksi teknisissä standardeissa.

(47)  Vaatimustenmukaisuuden arviointi on menettely sen osoittamiseksi, täyttyvätkö tuotteelle, prosessille, palvelulle, järjestelmälle, henkilölle tai elimelle asetetut erityiset vaatimukset. Tätä asetusta sovellettaessa sertifiointi olisi katsottava vaatimustenmukaisuuden arvioinnin tyypiksi, joka koskee tuotteen, prosessin, palvelun, järjestelmän tai näiden yhdistelmän, jäljempänä ’tieto- ja viestintätekniikan tuotteet ja palvelut’, kyberturvallisuusominaisuuksia ja -käytäntöjä ja jonka suorittaa riippumaton kolmas osapuoli tai joka suoritetaan itse annettavaa vaatimustenmukaisuusvakuutusta koskevaa menettelyä noudattaen. Sertifiointi ei sinänsä takaa, että sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut ovat kyberturvallisia, ja loppukäyttäjille olisi kerrottava siitä. Se on pikemminkin menettely ja tekninen menetelmä todistaa, että tieto- ja viestintätekniikan tuotteet ja palvelut sekä niihin liittyvät prosessit ja järjestelmät on testattu ja että ne täyttävät tietyt kyberturvallisuusvaatimukset, jotka on vahvistettu muualla, esimerkiksi teknisissä standardeissa.

Tarkistus    15

Ehdotus asetukseksi

Johdanto-osan 48 kappale

Komission teksti

Tarkistus

(48)  Kyberturvallisuussertifioinnilla on tärkeä rooli lisättäessä tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuutta ja niihin tunnettua luottamusta. Digitaaliset sisämarkkinat ja erityisesti datatalous ja esineiden internet voivat menestyä vain, jos vallitsee yleinen julkinen luottamus siihen, että tuotteissa ja palveluissa varmistetaan kyberturvallisuus tietyllä tasolla. Verkkoyhteyksillä varustetut ja automatisoidut autot, sähköiset terveyspalvelut, teollisuusautomaation ohjausjärjestelmät ja älykkäät verkot ovat joitakin esimerkkejä aloista, joilla sertifiointi on jo laajalti käytössä tai tulee todennäköisesti käyttöön lähitulevaisuudessa. Verkko- ja tietoturvadirektiivillä säännellyt alat ovat samalla aloja, joilla kyberturvallisuussertifioinnilla on ratkaiseva merkitys.

(48)  Eurooppalaisella kyberturvallisuussertifioinnilla on olennainen rooli lisättäessä tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuutta ja niihin tunnettua luottamusta. Digitaaliset sisämarkkinat ja erityisesti datatalous ja esineiden internet voivat menestyä vain, jos vallitsee yleinen julkinen luottamus siihen, että tuotteissa ja palveluissa varmistetaan korkeatasoinen kyberturvallisuus. Verkkoyhteyksillä varustetut ja automatisoidut autot, sähköiset terveyspalvelut, teollisuusautomaation ohjausjärjestelmät ja älykkäät verkot ovat joitakin esimerkkejä aloista, joilla sertifiointi on jo laajalti käytössä tai tulee todennäköisesti käyttöön lähitulevaisuudessa. Verkko- ja tietoturvadirektiivillä säännellyt alat ovat samalla aloja, joilla kyberturvallisuussertifioinnilla on ratkaiseva merkitys.

Tarkistus    16

Ehdotus asetukseksi

Johdanto-osan 50 kappale

Komission teksti

Tarkistus

(50)  Tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuussertifiointia käytetään tällä hetkellä vain vähäisessä määrin. Kun sitä käytetään, käyttö rajoittuu enimmäkseen jäsenvaltioiden tasolle tai teollisuuslähtöisten järjestelmien piiriin. Tässä yhteydessä yhden kansallisen kyberturvallisuusviranomaisen myöntämää sertifikaattia ei periaatteessa tunnusteta muissa jäsenvaltioissa. Yritykset voivat näin ollen joutua sertifioimaan tuotteensa ja palvelunsa useissa jäsenvaltioissa, joissa ne toimivat, esimerkiksi voidakseen osallistua kansallisiin hankintamenettelyihin. Syntymässä on uusia järjestelmiä, mutta vaikuttaa siltä, ettei ole olemassa johdonmukaista ja kokonaisvaltaista lähestymistapaa laaja-alaisiin kyberturvallisuuskysymyksiin esimerkiksi esineiden internetin alalla. Nykyisissä järjestelmissä on merkittäviä puutteita ja eroja, jotka liittyvät niiden tuotekatteeseen, varmuustasoihin, aineellisiin edellytyksiin ja tosiasialliseen käyttöön.

(50)  Tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuussertifiointia käytetään tällä hetkellä vain vähäisessä määrin. Kun sitä käytetään, käyttö rajoittuu enimmäkseen jäsenvaltioiden tasolle tai teollisuuslähtöisten järjestelmien piiriin. Tässä yhteydessä yhden kansallisen kyberturvallisuusviranomaisen myöntämää sertifikaattia ei periaatteessa tunnusteta muissa jäsenvaltioissa. Yritykset voivat näin ollen joutua sertifioimaan tuotteensa ja palvelunsa useissa jäsenvaltioissa, joissa ne toimivat, esimerkiksi voidakseen osallistua kansallisiin hankintamenettelyihin, mikä aiheuttaa yrityksille lisäkustannuksia. Syntymässä on uusia järjestelmiä, mutta vaikuttaa siltä, ettei ole olemassa johdonmukaista ja kokonaisvaltaista lähestymistapaa laaja-alaisiin kyberturvallisuuskysymyksiin esimerkiksi esineiden internetin alalla. Nykyisissä järjestelmissä on merkittäviä puutteita ja eroja, jotka liittyvät niiden tuotekatteeseen, riskiperusteisiin varmuustasoihin, aineellisiin edellytyksiin ja tosiasialliseen käyttöön.

Tarkistus    17

Ehdotus asetukseksi

Johdanto-osan 52 kappale

Komission teksti

Tarkistus

(52)  Edellä esitetyn perusteella on tarpeen perustaa eurooppalainen kyberturvallisuuden sertifiointikehys, jossa vahvistetaan tärkeimmät horisontaaliset vaatimukset kehitettäville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja jonka ansiosta tieto- ja viestintätekniikan tuotteita ja palveluja koskevat sertifikaatit voidaan tunnustaa ja ottaa käyttöön kaikissa jäsenvaltioissa. Eurooppalaisen sertifiointikehyksen tulisi palvella kahta tarkoitusta. Yhtäältä sen pitäisi lisätä luottamusta tieto- ja viestintätekniikan tuotteisiin ja palveluihin, jotka on sertifioitu tällaisten järjestelmien mukaisesti. Toisaalta sen avulla pitäisi välttää tilanne, jossa käytössä on monia keskenään ristiriitaisia tai päällekkäisiä kansallisia kyberturvallisuussertifiointeja, ja vähentää siten digitaalisilla sisämarkkinoilla yrityksille aiheutuvia kustannuksia. Järjestelmien olisi oltava syrjimättömiä ja kansainvälisiin ja/tai unionin standardeihin perustuvia, paitsi jos kyseiset standardit ovat tehottomia tai epäasianmukaisia EU:n oikeutettujen tavoitteiden saavuttamiseksi.

(52)  Edellä esitetyn perusteella on tarpeen omaksua yhteinen lähestymistapa ja perustaa eurooppalainen kyberturvallisuuden sertifiointikehys, jossa vahvistetaan tärkeimmät horisontaaliset vaatimukset kehitettäville eurooppalaisille kyberturvallisuuden sertifiointijärjestelmille ja jonka ansiosta tieto- ja viestintätekniikan tuotteita ja palveluja koskevat sertifikaatit voidaan tunnustaa ja ottaa käyttöön kaikissa jäsenvaltioissa. Tässä yhteydessä on olennaista käyttää perustana nykyisiä kansallisia ja kansainvälisiä järjestelmiä sekä vastavuoroisen tunnustamisen järjestelmiä, erityisesti SOGIS-järjestelmää, sekä mahdollistaa sujuva siirtyminen tällaisten järjestelmien piiriin kuuluvista nykyisistä järjestelmistä eurooppalaisen kehyksen mukaisiin uusiin järjestelmiin. Eurooppalaisen sertifiointikehyksen tulisi palvella kahta tarkoitusta. Yhtäältä sen pitäisi lisätä luottamusta tieto- ja viestintätekniikan tuotteisiin ja palveluihin, jotka on sertifioitu tällaisten järjestelmien mukaisesti. Toisaalta sen avulla pitäisi välttää tilanne, jossa käytössä on monia keskenään ristiriitaisia tai päällekkäisiä kansallisia kyberturvallisuussertifiointeja, ja vähentää siten digitaalisilla sisämarkkinoilla yrityksille aiheutuvia kustannuksia. Jos kansallinen järjestelmä on korvattu eurooppalaisella kyberturvallisuussertifioinnilla, eurooppalaisen järjestelmän mukaan annetut sertifikaatit olisi hyväksyttävä päteviksi tapauksissa, joissa on edellytetty kansallisen järjestelmän mukaista sertifikaattia. Järjestelmien olisi perustuttava sisäänrakennettuun turvallisuuteen ja asetuksessa (EU) 2016/679 tarkoitettuihin periaatteisiin. Niiden olisi myös oltava syrjimättömiä ja kansainvälisiin ja/tai unionin standardeihin perustuvia, paitsi jos kyseiset standardit ovat tehottomia tai epäasianmukaisia EU:n oikeutettujen tavoitteiden saavuttamiseksi.

Tarkistus    18

Ehdotus asetukseksi

Johdanto-osan 52 a kappale (uusi)

Komission teksti

Tarkistus

 

(52 a)  Eurooppalainen kyberturvallisuuden sertifiointikehys olisi toteutettava yhdenmukaisesti kaikissa jäsenvaltioissa, jotta vältetään kustannuksiin tai vaatimustasoon liittyviin jäsenvaltioiden välisiin eroihin perustuva ”sertifiointishoppailu”.

Tarkistus    19

Ehdotus asetukseksi

Johdanto-osan 55 kappale

Komission teksti

Tarkistus

(55)  Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena olisi oltava varmistaa, että tällaisessa järjestelmässä sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät määritellyt vaatimukset. Nämä vaatimukset koskevat kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus tässä asetuksessa tarkoitetussa merkityksessä. Tässä asetuksessa ei ole mahdollista määritellä yksityiskohtaisesti kyberturvallisuusvaatimuksia kaikille tieto- ja viestintätekniikan tuotteille ja palveluille. Tieto- ja viestintätekniikan tuotteet ja palvelut ja niihin liittyvät kyberturvallisuustarpeet ovat niin moninaiset, että on hyvin vaikeaa määritellä yleisiä kyberturvallisuusvaatimuksia, jotka olisivat voimassa kaikkialla. Siksi kyberturvallisuus olisi määriteltävä laajasti ja yleisesti sertifiointitarkoituksia varten ja sitä olisi täydennettävä erityisillä kyberturvallisuustavoitteilla, jotka on tarpeen ottaa huomioon suunniteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. Se, miten tällaiset tavoitteet saavutetaan yksittäisissä tieto- ja viestintätekniikan tuotteissa ja palveluissa, olisi täsmennettävä yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin.

(55)  Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien tarkoituksena olisi oltava loppukäyttäjien korkeatasoisen suojan ja eurooppalaisen kilpailukyvyn edistäminen sekä digitaalisilla sisämarkkinoilla vallitsevan turvallisuustason vahvistaminen ja erityisesti sen varmistaminen, että järjestelmässä sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät määritellyt vaatimukset. Nämä vaatimukset koskevat kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai niihin liittyvien kyseisissä prosesseissa, tuotteissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus tässä asetuksessa tarkoitetussa merkityksessä. Tässä asetuksessa ei ole mahdollista määritellä yksityiskohtaisesti kyberturvallisuusvaatimuksia kaikille tieto- ja viestintätekniikan tuotteille ja palveluille. Tieto- ja viestintätekniikan tuotteet ja palvelut ja niihin liittyvät kyberturvallisuustarpeet ovat niin moninaiset, että on hyvin vaikeaa määritellä yleisiä kyberturvallisuusvaatimuksia, jotka olisivat voimassa kaikkialla. Siksi kyberturvallisuus olisi määriteltävä laajasti ja yleisesti sertifiointitarkoituksia varten ja sitä olisi täydennettävä erityisillä kyberturvallisuustavoitteilla, jotka on tarpeen ottaa huomioon suunniteltaessa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä. Se, miten tällaiset tavoitteet saavutetaan yksittäisissä tieto- ja viestintätekniikan tuotteissa ja palveluissa, olisi täsmennettävä yksityiskohtaisemmin komission hyväksymien yksittäisten sertifiointijärjestelmien tasolla, esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin. On ensisijaisen tärkeää, että kukin eurooppalainen kyberturvallisuuden sertifiointijärjestelmä suunnitellaan siten, että se stimuloi ja kannustaa kaikkia kyseisen alan toimijoita kehittämään ja ottamaan käyttöön turvallisuusstandardeja, teknisiä normeja sekä sisäänrakennetun turvallisuuden periaatteita kaikissa tuotteen ja palvelun elinkaaren vaiheissa. Jos sertifiointijärjestelmä tarjoaa käyttöön merkkejä tai merkintöjä, näiden merkkien tai merkintöjen käytön edellytykset on määriteltävä. Tällainen merkintä voisi olla muodoltaan digitaalinen logo tai QR-koodi, ja sillä ilmoitettaisiin riskit, joita tieto- ja viestintätekniikan tuotteiden ja palvelujen toimintaan ja käyttöön liittyy, ja sen olisi oltava loppukäyttäjän kannalta selkeä ja helppotajuinen.

Tarkistus    20

Ehdotus asetukseksi

Johdanto-osan 55 a kappale (uusi)

Komission teksti

Tarkistus

 

(55 a)  Kun otetaan huomioon innovaatiosuuntaukset sekä esineiden internetin laitteiden yhä parempi saatavuus ja jatkuvasti lisääntyvä määrä kaikilla yhteiskunnan sektoreilla, on kiinnitettävä erityistä huomiota kaikkien, myös yksinkertaisimpienkin, esineiden internetin tuotteiden turvallisuuteen. Koska sertifiointi on keskeinen menetelmä, jolla lisätään luottamusta markkinoihin sekä turvallisuutta ja resilienssiä, uudessa eurooppalaisessa kyberturvallisuuden sertifiointikehyksessä olisi painotettava esineiden internetin tuotteita ja palveluita, jotta niistä voidaan tehdä vähemmän haavoittuvia sekä turvallisempia kuluttajille ja yrityksille.

Tarkistus    21

Ehdotus asetukseksi

Johdanto-osan 56 kappale

Komission teksti

Tarkistus

(56)  Komissiolle olisi annettava valtuudet pyytää ENISAa valmistelemaan yksittäisiä tieto- ja viestintätekniikan tuotteita tai palveluja varten ehdolla olevat järjestelmät. Edelleen komissiolle olisi annettava valtuudet hyväksyä ENISAn valmisteleman ehdolla olevan järjestelmän pohjalta eurooppalainen kyberturvallisuuden sertifiointijärjestelmä täytäntöönpanosäädöksillä. Kun otetaan huomioon tämän asetuksen yleinen tarkoitus ja siinä määritellyt turvallisuustavoitteet, komission hyväksymissä eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi määriteltävä tietyt vähimmäistekijät yksittäisen järjestelmän kohteen, soveltamisalan ja toiminnan osalta. Näihin olisi sisällyttävä muun muassa kyberturvallisuussertifioinnin soveltamisala ja kohde, mukaan lukien sertifioinnin kattamat tieto- ja viestintätekniikan tuotteiden ja palvelujen luokat, yksityiskohtainen eritelmä kyberturvallisuusvaatimuksista esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, yksittäiset arviointiperusteet ja -menetelmät sekä aiottu varmuustaso: perustaso, korotettu ja/tai korkea.

(56)  ENISAn olisi ylläpidettävä erityistä verkkosivustoa, jolla on helppokäyttöinen verkkotyökalu, joka sisältää tiedot hyväksytyistä järjestelmistä, ehdolla olevista järjestelmistä ja komission pyytämistä järjestelmistä. Kun otetaan huomioon tämän asetuksen yleinen tarkoitus ja siinä määritellyt turvallisuustavoitteet, komission hyväksymissä eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä olisi määriteltävä tietyt vähimmäistekijät yksittäisen järjestelmän kohteen, soveltamisalan ja toiminnan osalta. Näihin olisi sisällyttävä muun muassa kyberturvallisuussertifioinnin soveltamisala ja kohde, mukaan lukien sertifioinnin kattamat tieto- ja viestintätekniikan tuotteiden ja palvelujen luokat, yksityiskohtainen eritelmä kyberturvallisuusvaatimuksista esimerkiksi viittaamalla standardeihin tai teknisiin eritelmiin, tieto- ja viestintätekniikan tuotteen, prosessin tai palvelun toimintaan ja käyttöön liittyvät yksittäiset arviointiperusteet ja -menetelmät, niihin liittyvä riski sekä aiottu varmuustaso: toiminnallisesti turvallinen eli turvallisuusasteeltaan toimiva varmuustaso, huomattavan turvallinen, erittäin turvallinen tai mikä tahansa näiden yhdistelmä. Varmuustasojen ei pitäisi viitata ehdottomaan turvallisuuteen, jotta loppukäyttäjää ei johdeta harhaan. Lisäksi olisi huomioitava tuotteen koko elinkaari. Jotta voidaan selventää, mitkä riskit tietty tuote tai palvelu on suunniteltu torjumaan, ENISAn olisi koordinoitava sellaisen tarkistuslistan kokoamista, jossa luetellaan riskit, joita tieto- ja viestintätekniikan prosessiin, tuotteeseen tai palveluun odotetaan kohdistuvan tietyssä käyttäjäluokassa tietyssä ympäristössä.

Tarkistus    22

Ehdotus asetukseksi

Johdanto-osan 56 a kappale (uusi)

Komission teksti

Tarkistus

 

(56 a)  Komissiolle olisi annettava valtuudet pyytää ENISAa valmistelemaan yksittäisiä tieto- ja viestintätekniikan tuotteita tai palveluja varten ehdolla olevat järjestelmät. Komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, jotka koskevat eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien luomista tieto- ja viestintätekniikan tuotteille ja palveluille. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä. Antaessaan kyseiset delegoidut säädökset komission olisi perustettava tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden sertifiointijärjestelmät mahdollisiin asianomaisiin ENISAn valmistelemiin ehdolla oleviin järjestelmiin. Tarkoituksena on lisätä kyberturvallisuuden sertifiointikehystä kohtaan tunnettua luottamusta ja sen ennakoitavuutta sekä lisätä yleisön tietoisuutta siitä.

Tarkistus    23

Ehdotus asetukseksi

Johdanto-osan 56 b kappale (uusi)

Komission teksti

Tarkistus

 

(56 b)  Kuhunkin eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään liittyvissä arviointimenetelmissä ja -menettelyissä olisi edistettävä unionin tasolla eettistä hakkerointia, jonka tavoitteena on paikantaa laitteiden ja tietojärjestelmien heikkoudet ja haavoittuvuudet ennakoimalla ilkivaltaisten hakkereiden aikomat toimet ja taidot.

Tarkistus    24

Ehdotus asetukseksi

Johdanto-osan 58 kappale

Komission teksti

Tarkistus

(58)  Kun eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty, tieto- ja viestintätekniikan tuotteiden valmistajien tai tieto- ja viestintätekniikan palvelujen tarjoajien olisi voitava jättää tuotteidensa tai palvelujensa sertifiointia koskeva hakemus valitsemalleen vaatimustenmukaisuuden arviointilaitokselle. Vaatimustenmukaisuuden arviointilaitosten olisi saatava akkreditointi akkreditointielimeltä, jos ne täyttävät tässä asetuksessa vahvistetut tietyt erityiset vaatimukset. Akkreditointi olisi myönnettävä enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos vaatimustenmukaisuuden arviointilaitos täyttää vaatimukset. Akkreditointielimen olisi peruutettava vaatimustenmukaisuuden arviointilaitoksen akkreditointi, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos vaatimustenmukaisuuden arviointilaitoksen toiminta rikkoo tämän asetuksen säännöksiä.

(58)  Kun eurooppalainen kyberturvallisuuden sertifiointijärjestelmä on hyväksytty, tieto- ja viestintätekniikan tuotteiden valmistajien tai tieto- ja viestintätekniikan palvelujen tarjoajien olisi voitava jättää prosessiensa, tuotteidensa tai palvelujensa sertifiointia koskeva hakemus valitsemalleen vaatimustenmukaisuuden arviointilaitokselle tai vakuuttaa itse, että niiden tuotteet tai palvelut ovat asianomaisen eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisia. Vaatimustenmukaisuuden arviointilaitosten olisi saatava akkreditointi akkreditointielimeltä, jos ne täyttävät tässä asetuksessa vahvistetut tietyt erityiset vaatimukset. Akkreditointi olisi myönnettävä enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos vaatimustenmukaisuuden arviointilaitos täyttää vaatimukset. Akkreditointielimen olisi peruutettava vaatimustenmukaisuuden arviointilaitoksen akkreditointi, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos vaatimustenmukaisuuden arviointilaitoksen toiminta rikkoo tämän asetuksen säännöksiä. Sen varmistamiseksi, että akkreditointi toteutetaan yhdenmukaisesti kaikkialla Euroopan unionissa, kansallisiin sertifioinnin valvontaviranomaisiin olisi sovellettava vertaisarviointia, jossa arvioidaan menetelmiä, joilla tarkastetaan, ovatko kyberturvallisuussertifioinnin alaiset tuotteet vaatimusten mukaisia.

Tarkistus    25

Ehdotus asetukseksi

Johdanto-osan 59 kappale

Komission teksti

Tarkistus

(59)  On tarpeen velvoittaa kaikki jäsenvaltiot nimeämään yksi kyberturvallisuussertifioinnin valvontaviranomainen valvomaan sitä, ovatko niiden alueelle sijoittautuneet vaatimustenmukaisuuden arviointilaitokset ja niiden myöntämät sertifikaatit tämän asetuksen vaatimusten ja asianomaisten kyberturvallisuuden sertifiointijärjestelmien vaatimusten mukaisia. Kansallisten sertifioinnin valvontaviranomaisten olisi käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa. Lisäksi niiden olisi tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten kyberturvallisjärjestelmien vaatimuksia.

(59)  On tarpeen velvoittaa kaikki jäsenvaltiot nimeämään yksi kyberturvallisuussertifioinnin valvontaviranomainen valvomaan sitä, ovatko niiden alueelle sijoittautuneet vaatimustenmukaisuuden arviointilaitokset ja niiden myöntämät sertifikaatit tämän asetuksen vaatimusten ja asianomaisten kyberturvallisuuden sertifiointijärjestelmien vaatimusten mukaisia. Kansallisten sertifioinnin valvontaviranomaisten olisi käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa. Lisäksi niiden olisi tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten kyberturvallisjärjestelmien vaatimuksia. Niiden olisi myös valvottava, että itse annetut vaatimustenmukaisuusvakuutukset ovat vaatimusten mukaisia ja että vaatimustenmukaisuuden arviointilaitosten myöntämät eurooppalaiset kyberturvallisuussertifikaatit ovat tässä asetuksessa esitettyjen vaatimusten mukaisia sekä Euroopan kyberturvallisuuden sertifiointiryhmän hyväksymien sääntöjen ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia, ja todennettava se. Kansallisten sertifioinnin valvontaviranomaisten tehokas yhteistyö on olennaista eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien sekä tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuutta koskevien teknisten seikkojen asianmukaisen täytäntöönpanon kannalta. Komission olisi helpotettava tätä tietojen vaihtoa asettamalla saataville yleinen sähköinen tietotukijärjestelmä, esimerkiksi markkinavalvontaa koskeva tieto- ja viestintäjärjestelmä (ICSMS) tai tuoteturvallisuutta koskeva EU:n nopea tiedonvaihtojärjestelmä (RAPEX), joita markkinavalvontaviranomaiset jo käyttävät asetuksen (EY) N: o 765/2008 mukaisesti.

Tarkistus    26

Ehdotus asetukseksi

Johdanto-osan 63 kappale

Komission teksti

Tarkistus

(63)  Jotta voidaan täsmentää tarkemmin kriteerit vaatimustenmukaisuuden arviointilaitosten akkreditointia varten, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Komissio järjestää valmistelutyönsä aikana asianmukaisia kuulemisia, myös asiantuntijatasolla. Nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

Poistetaan.

Tarkistus    27

Ehdotus asetukseksi

Johdanto-osan 65 kappale

Komission teksti

Tarkistus

(65)  Olisi sovellettava tarkastusmenettelyä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, viraston tutkimusten toteuttamista koskevia yksityiskohtaisia sääntöjä sekä kansallisten sertifioinnin valvontaviranomaisten komissiolle tekemien, akkreditoituja vaatimustenmukaisuuden arviointilaitoksia koskevien ilmoitusten olosuhteita, muotoseikkoja ja menettelyjä.

(65)  Olisi sovellettava tarkastusmenettelyä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat tieto- ja viestintätekniikan prosessien, tuotteiden ja palvelujen eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä, viraston tutkimusten toteuttamista koskevia yksityiskohtaisia sääntöjä sekä kansallisten sertifioinnin valvontaviranomaisten komissiolle tekemien, akkreditoituja vaatimustenmukaisuuden arviointilaitoksia koskevien ilmoitusten olosuhteita, muotoseikkoja ja menettelyjä siten, että otetaan huomioon sähköisen ilmoitusvälineen ”New Approach Notified and Designated Organisations” (NANDO) todettu tehokkuus.

Tarkistus    28

Ehdotus asetukseksi

Johdanto-osan 66 kappale

Komission teksti

Tarkistus

(66)  Viraston toimintaa olisi arvioitava riippumattomasti. Arvioinnissa olisi otettava huomioon viraston tavoitteiden saavuttaminen, sen toimintatavat ja sen tehtävien merkityksellisyys. Arvioinnissa olisi myös arvioitava eurooppalaisen kyberturvallisuuden sertifiointikehyksen vaikutusta, vaikuttavuutta ja tehokkuutta.

(66)  Viraston toimintaa olisi arvioitava riippumattomasti. Arviointiin olisi sisällyttävä viraston menojen legitiimiys ja vaikuttavuus, sen tehokkuus tavoitteidensa saavuttamisessa ja kuvaus sen toimintatavoista ja sen tehtävien merkityksellisyydestä. Arvioinnissa olisi myös arvioitava eurooppalaisen kyberturvallisuuden sertifiointikehyksen vaikutusta, vaikuttavuutta ja tehokkuutta.

Tarkistus    29

Ehdotus asetukseksi

2 artikla – 1 kohta – 11 alakohta

Komission teksti

Tarkistus

11)  ’tieto- ja viestintätekniikan tuotteella tai palvelulla’ mitä tahansa verkko- ja tietojärjestelmien elementtiä tai elementtien ryhmää;

11)  ’tieto- ja viestintätekniikan prosessilla, tuotteella tai palvelulla’ verkko- ja tietojärjestelmien elementin muodostavaa tuotetta, palvelua, prosessia, järjestelmää tai niiden yhdistelmää;

 

(Vastaava muutos tehdään kaikkialle tekstiin. Jos tarkistus hyväksytään, koko tekstiin on tehtävä teknisiä muutoksia.)

Tarkistus    30

Ehdotus asetukseksi

2 artikla – 1 kohta – 11 a alakohta (uusi)

Komission teksti

Tarkistus

 

11 a)  ’kansallisella sertifioinnin valvontaviranomaisella’ jäsenvaltion viranomaista, joka vastaa sen alueella kyberturvallisuuden sertifiointiin liittyvien seuranta-, täytäntöönpano- ja valvontatehtävien hoitamisesta;

Tarkistus    31

Ehdotus asetukseksi

2 artikla – 1 kohta – 16 a alakohta (uusi)

Komission teksti

Tarkistus

 

16 a)  ’itse annettavalla vaatimustenmukaisuusvakuutuksella’ valmistajan lausumaa siitä, että sen tieto- ja viestintätekniikan prosessit, tuotteet tai palvelut ovat tietyn eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaisia.

Tarkistus    32

Ehdotus asetukseksi

3 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Virasto hoitaa sille tämän asetuksen mukaisesti kuuluvia tehtäviä kyberturvallisuuden korkean tason edistämiseksi unionissa.

1.  Virasto hoitaa sille tämän asetuksen mukaisesti kuuluvia tehtäviä kyberturvallisuuden yhteisen korkean tason saavuttamiseksi, jotta voidaan estää kyberhyökkäyksiä unionissa, vähentää sisämarkkinoiden hajanaisuutta ja parantaa niiden toimintaa.

Tarkistus    33

Ehdotus asetukseksi

4 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Virasto lisää kyberturvallisuusvalmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi kyberuhkien ehkäisemisessä ja niihin vastaamisessa erityisesti rajat ylittävien poikkeamien tapauksessa.

5.  Virasto lisää osaltaan kyberturvallisuusvalmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi ja vahvistamiseksi kyberuhkien ehkäisemisessä ja niihin vastaamisessa erityisesti rajat ylittävien poikkeamien tapauksessa.

Tarkistus    34

Ehdotus asetukseksi

4 artikla – 6 kohta

Komission teksti

Tarkistus

6.  Virasto edistää sertifioinnin käyttöä muun muassa osallistumalla kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla tämän asetuksen III osaston mukaisesti, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

6.  Virasto edistää sertifioinnin käyttöä ja välttää samalla hajanaisuutta, joka aiheutuu nykyisten sertifiointijärjestelmien välisen koordinoinnin puutteesta unionissa. Virasto osallistuu kyberturvallisuuden sertifiointikehyksen perustamiseen ja ylläpitoon unionin tasolla 43–54 artiklan [III osasto] mukaisesti, jotta voidaan lisätä avoimuutta tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden varmistuksessa ja tällä tavoin vahvistaa luottamusta digitaalisiin sisämarkkinoihin.

Tarkistus    35

Ehdotus asetukseksi

4 artikla – 7 kohta

Komission teksti

Tarkistus

7.  Virasto edistää tietoisuuden korkeaa tasoa kansalaisten ja yritysten keskuudessa kyberturvallisuuteen liittyvissä kysymyksissä.

7.  Virasto edistää tietoisuuden korkeaa tasoa kansalaisten, viranomaisten ja yritysten keskuudessa kyberturvallisuuteen liittyvissä kysymyksissä.

Tarkistus    36

Ehdotus asetukseksi

5 artikla – 1 kohta – 1 alakohta

Komission teksti

Tarkistus

1.  avustaa ja neuvoa erityisesti antamalla riippumattomia lausuntoja ja tekemällä valmistelutyötä unionin politiikan ja lainsäädännön kehittämisessä ja tarkistamisessa kyberturvallisuuden alalla sekä alakohtaisissa toimintapoliittisissa ja lainsäädännöllisissä aloitteissa, kun niihin liittyy kyberturvallisuuskysymyksiä;

1.  avustaa ja neuvoa unionin politiikan ja lainsäädännön kehittämisessä ja tarkistamisessa kyberturvallisuuden alalla sekä alakohtaisissa toimintapoliittisissa ja lainsäädännöllisissä aloitteissa, kun niihin liittyy kyberturvallisuuskysymyksiä;

Perustelu

Viraston olisi voitava itse valita välineet tehtäviensä toteuttamiseksi.

Tarkistus    37

Ehdotus asetukseksi

5 artikla – 1 kohta – 2 a alakohta (uusi)

Komission teksti

Tarkistus

 

2 a.  auttaa asetuksella (EU) 2016/679 perustettua Euroopan tietosuojaneuvostoa sellaisten suuntaviivojen laatimisessa, joilla määritetään teknisellä tasolla ehdot, jotka antavat rekisterinpitäjille mahdollisuuden henkilötietojen lailliseen käyttöön tietotekniseen turvallisuuteen liittyviä tarkoituksia varten niiden infrastruktuurin suojelemiseksi havaitsemalla ja estämällä niiden tietojärjestelmiin kohdistuvia hyökkäyksiä sovellettaessa seuraavia: i) asetus (EU) 2016/679;1 a; ii) direktiivi (EU) 2016/1148;1 b; ja iii) direktiivi 2002/58/EY1 c;

 

_________________

 

1 a Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

 

1 b Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

 

1 c Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).

Perustelu

Perustetaan asianmukaiset yhteistyömekanismit.

Tarkistus    38

Ehdotus asetukseksi

5 artikla – 1 kohta – 4 alakohta – 2 alakohta

Komission teksti

Tarkistus

2)  sähköisen viestinnän turvallisuuden parantamista muun muassa tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä;

2)  sähköisen viestinnän sekä tiedon varastoinnin ja käsittelyn turvallisuuden parantamista muun muassa tarjoamalla asiantuntemusta ja neuvontaa sekä helpottamalla parhaiden käytäntöjen vaihtoa toimivaltaisten viranomaisten välillä;

Tarkistus    39

Ehdotus asetukseksi

6 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  Virasto helpottaa pitkän aikavälin eurooppalaisen kyberturvallisuutta koskevan hankkeen kehittämistä ja käynnistämistä, jotta voidaan tukea riippumattoman unionin kyberturvallisuustoimialan kasvua sekä valtavirtaistaa kyberturvallisuus kaikkeen unionin tieto- ja viestintätekniseen kehitykseen.

Perustelu

ENISAn olisi neuvottava lainsäätäjiä valmisteltaessa toimintapolitiikkoja, jotka antavat unionille mahdollisuuden saavuttaa kolmansien maiden tietoteknisen turvallisuuden toimialat. Hankkeen olisi oltava laajuudeltaan vastaava kuin mitä ilmailualalla on toteutettu (esimerkkinä Airbus). Tämä on tarpeen, jotta voidaan kehittää vahvempi, itsenäinen ja luotettava unionin tieto- ja viestintätekniikan toimiala (ks. tieteellisten ja teknisten arviointien yksikön (STOA) tutkimus PE 614.531).

Tarkistus    40

Ehdotus asetukseksi

7 artikla – 5 kohta – 1 alakohta

Komission teksti

Tarkistus

Kahden tai useamman sellaisen jäsenvaltion pyynnöstä, jota asia koskee, ja pelkästään neuvonnan tarjoamiseksi uusien poikkeamien ehkäisemistä varten virasto antaa tukea jälkikäteen tehtävälle tekniselle tutkimukselle tai suorittaa tällaisen tutkimuksen sen jälkeen, kun vaikutukseltaan merkittävistä poikkeamista saadaan direktiivin (EU) 2016/1148 mukaisesti ilmoituksia yrityksiltä, joihin nämä poikkeamat ovat vaikuttaneet. Lisäksi virasto suorittaa tällaisen tutkimuksen asianmukaisesti perustellusta pyynnöstä, jonka komissio tekee yhteisymmärryksessä asianomaisten jäsenvaltioiden kanssa tapauksissa, joissa tällaiset poikkeamat vaikuttavat useampaan kuin kahteen jäsenvaltioon.

Yhden tai useamman sellaisen jäsenvaltion pyynnöstä, jota asia koskee, ja pelkästään neuvonnan tarjoamiseksi uusien poikkeamien ehkäisemistä varten virasto antaa tukea jälkikäteen tehtävälle tekniselle tutkimukselle tai suorittaa tällaisen tutkimuksen sen jälkeen, kun vaikutukseltaan merkittävistä poikkeamista saadaan direktiivin (EU) 2016/1148 mukaisesti ilmoituksia yrityksiltä, joihin nämä poikkeamat ovat vaikuttaneet. Lisäksi virasto suorittaa tällaisen tutkimuksen asianmukaisesti perustellusta pyynnöstä, jonka komissio tekee yhteisymmärryksessä asianomaisten jäsenvaltioiden kanssa tapauksissa, joissa tällaiset poikkeamat vaikuttavat useampaan kuin kahteen jäsenvaltioon.

Tarkistus    41

Ehdotus asetukseksi

7 artikla – 8 kohta – a alakohta

Komission teksti

Tarkistus

a)  kokoamalla raportteja kansallisista lähteistä, jotta voidaan edistää yhteistä tilannetietoisuutta;

a)  kokoamalla raportteja kansallisista ja kansainvälisistä lähteistä, jotta voidaan edistää yhteistä tilannetietoisuutta;

Tarkistus    42

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 1 a alakohta (uusi)

Komission teksti

Tarkistus

 

1 a)  arvioida yhteistyössä Euroopan kyberturvallisuuden sertifiointiryhmän kanssa menettelyjä, joita 51 artiklassa tarkoitetut vaatimustenmukaisuuden arviointilaitokset ovat ottaneet käyttöön eurooppalaisten kyberturvallisuussertifikaattien myöntämistä varten, tarkoituksenaan varmistaa, että vaatimustenmukaisuuden arviointilaitokset soveltavat tätä asetusta yhdenmukaisesti myöntäessään sertifikaatteja;

Tarkistus    43

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 1 b alakohta (uusi)

Komission teksti

Tarkistus

 

1 b)  toteuttaa säännöllisiä riippumattomia jälkitarkastuksia, joissa tarkastellaan, ovatko sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukaisia;

Tarkistus    44

Ehdotus asetukseksi

8 artikla – 1 kohta – a alakohta – 3 alakohta

Komission teksti

Tarkistus

3)  koota ja julkaista ohjeita ja laatia hyviä käytäntöjä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusvaatimuksia, yhteistyössä kansallisten sertifioinnin valvontaviranomaisten ja toimialan kanssa;

3)  koota ja julkaista ohjeita ja laatia, myös kyberhygienian periaatteista ja salaisten takaovien estämisestä, hyviä käytäntöjä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusvaatimuksia, yhteistyössä kansallisten sertifioinnin valvontaviranomaisten ja toimialan kanssa virallisessa, standardoidussa ja avoimessa prosessissa;

Tarkistus    45

Ehdotus asetukseksi

8 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  helpottaa tieto- ja viestintäteknisten tuotteiden ja palvelujen riskinhallintaan ja turvallisuuteen liittyvien eurooppalaisten ja kansainvälisten standardien laatimista ja käyttöönottoa sekä antaa yhteistyössä jäsenvaltioiden kanssa neuvoja ja suuntaviivoja keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskeviin turvallisuusvaatimuksiin liittyvistä teknisistä aloista sekä jo olemassa olevista standardeista, mukaan lukien jäsenvaltioiden kansalliset standardit, direktiivin (EU) 2016/1148 19 artiklan 2 kohdan mukaisesti;

b)  kuulla kansainvälisiä standardointielimiä ja eurooppalaisia standardointiorganisaatioita standardien kehityksestä, varmistaa eurooppalaisissa kyberturvallisuuden sertifiointijärjestelmissä käytettyjen standardien asianmukaisuus ja helpottaa tieto- ja viestintäteknisten tuotteiden ja palvelujen riskinhallintaan ja turvallisuuteen liittyvien relevanttien eurooppalaisten ja kansainvälisten standardien laatimista ja käyttöönottoa sekä antaa yhteistyössä jäsenvaltioiden kanssa neuvoja ja suuntaviivoja keskeisten palvelujen tarjoajia ja digitaalisen palvelun tarjoajia koskeviin turvallisuusvaatimuksiin liittyvistä teknisistä aloista sekä jo olemassa olevista standardeista, mukaan lukien jäsenvaltioiden kansalliset standardit, direktiivin (EU) 2016/1148 19 artiklan 2 kohdan mukaisesti;

Tarkistus    46

Ehdotus asetukseksi

8 artikla – 1 kohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  laatia ohjeet siitä, miten ja milloin jäsenvaltioiden on ilmoitettava toisilleen, kun ne saavat tietoa tämän asetuksen III osaston mukaisesti sertifioidun tieto- ja viestintätekniikan prosessin, tuotteen tai palvelun aiemmin tuntemattomasta haavoittuvuudesta, mukaan lukien ohjeet haavoittuvuuksista ilmoittamista koskevien toimintaperiaatteiden koordinoinnista;

Tarkistus    47

Ehdotus asetukseksi

8 artikla – 1 kohta – b b alakohta (uusi)

Komission teksti

Tarkistus

 

b b)  laatii ohjeet unionissa markkinoille saatettuja tai unionista vietäviä tietoteknisiä laitteita koskevista vähimmäistason turvallisuusvaatimuksista;

Tarkistus    48

Ehdotus asetukseksi

9 artikla – 1 kohta – d alakohta

Komission teksti

Tarkistus

d)  kokoaa, järjestää ja saattaa yleisön saataville erityisen portaalin kautta unionin toimielimiltä, virastoilta ja elimiltä saatavaa tietoa kyberturvallisuudesta;

d)  kokoaa, järjestää ja saattaa yleisön saataville erityisen portaalin kautta unionin toimielimiltä, virastoilta ja elimiltä saatavaa tietoa kyberturvallisuudesta, myös tietoa merkittävistä kyberturvallisuuspoikkeamista ja merkittävistä tietoturvaloukkauksista;

Tarkistus    49

Ehdotus asetukseksi

9 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  lisää suuren yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja antaa yksittäisille käyttäjille ohjeita hyvistä käytännöistä kansalaisten ja organisaatioiden käyttöön;

e)  lisää suuren yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä, antaa käyttäjille ohjeita hyvistä käytännöistä kansalaisten ja organisaatioiden käyttöön ja edistää ennaltaehkäisevien vahvojen tietotekniikan turvallisuuteen liittyvien toimenpiteiden sekä luotettavien tietoturva- ja yksityisyydensuojatoimien käyttöönottoa;

Tarkistus    50

Ehdotus asetukseksi

9 artikla – 1 kohta – g a alakohta (uusi)

Komission teksti

Tarkistus

 

g a)  tukee jäsenvaltioiden välistä tiiviimpää yhteistyötä ja parhaiden käytäntöjen vaihtoa kyberturvallisuuskoulutusta, kyberhygieniaa ja kybertietoisuutta koskevissa asioissa;

Tarkistus    51

Ehdotus asetukseksi

10 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  antaa unionille ja jäsenvaltioille neuvoja kyberturvallisuusalan tutkimustarpeista ja -painopisteistä, jotta nykyisiin ja kehittyviin riskeihin ja uhkiin, myös jos ne liittyvät uusiin ja kehittyviin tieto- ja viestintäteknologioihin, voitaisiin löytää toimivia ratkaisuja ja jotta riskinehkäisytekniikoita voitaisiin käyttää tehokkaasti;

a)  varmistaa asianomaisten käyttäjäryhmien kuulemisen etukäteen ja antaa unionille ja jäsenvaltioille neuvoja kyberturvallisuusalan tutkimustarpeista ja -painopisteistä, jotta nykyisiin ja kehittyviin riskeihin ja uhkiin, myös jos ne liittyvät uusiin ja kehittyviin tieto- ja viestintäteknologioihin, voitaisiin löytää toimivia ratkaisuja ja jotta riskinehkäisytekniikoita voitaisiin käyttää tehokkaasti;

Tarkistus    52

Ehdotus asetukseksi

13 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Johtokuntaan kuuluu kustakin jäsenvaltiosta yksi edustaja ja kaksi komission nimittämää edustajaa. Kaikilla edustajilla on äänioikeus.

1.  Johtokuntaan kuuluu kustakin jäsenvaltiosta yksi edustaja ja kaksi komission ja Euroopan parlamentin nimittämää edustajaa. Kaikilla edustajilla on äänioikeus.

Tarkistus    53

Ehdotus asetukseksi

14 artikla – 1 kohta – e alakohta

Komission teksti

Tarkistus

e)  arvioi ja hyväksyy viraston toimintaa koskevan vuotuisen konsolidoidun toimintakertomuksen ja toimittaa sen yhdessä arviointinsa kanssa seuraavan vuoden heinäkuun 1 päivään mennessä Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle. Toimintakertomus sisältää tilinpäätöksen ja kuvauksen siitä, kuinka virasto on saavuttanut tulosindikaattorinsa. Toimintakertomus julkistetaan;

e)  arvioi ja hyväksyy viraston toimintaa koskevan vuotuisen konsolidoidun toimintakertomuksen ja toimittaa sen yhdessä arviointinsa kanssa seuraavan vuoden heinäkuun 1 päivään mennessä Euroopan parlamentille, neuvostolle, komissiolle ja tilintarkastustuomioistuimelle. Toimintakertomus sisältää tilinpäätöksen, kuvauksen menojen vaikuttavuudesta ja arvion viraston tehokkuudesta sekä siitä, missä määrin se on saavuttanut tulosindikaattorinsa. Toimintakertomus julkistetaan;

Tarkistus    54

Ehdotus asetukseksi

14 artikla – 1 kohta – m alakohta

Komission teksti

Tarkistus

m)  nimittää pääjohtajan ja jatkaa tarvittaessa tämän toimikautta tai erottaa tämän asetuksen 33 artiklan mukaisesti;

m)  nimittää pääjohtajan ammatillisiin kriteereihin perustuvan valintamenettelyn kautta ja jatkaa tarvittaessa tämän toimikautta tai erottaa tämän asetuksen 33 artiklan mukaisesti;

Tarkistus    55

Ehdotus asetukseksi

14 artikla – 1 kohta – o alakohta

Komission teksti

Tarkistus

o)  tekee kaikki päätökset viraston sisäisistä rakenteista ja tarvittaessa niiden muuttamisesta ottaen huomioon viraston toimintatarpeet ja moitteettoman varainhoidon;

o)  tekee kaikki päätökset viraston sisäisistä rakenteista ja tarvittaessa niiden muuttamisesta ottaen huomioon viraston tässä asetuksessa luetellut toimintatarpeet ja moitteettoman varainhoidon;

Tarkistus    56

Ehdotus asetukseksi

19 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Pääjohtaja raportoi pyydettäessä Euroopan parlamentille tehtäviensä hoidosta. Neuvosto voi pyytää pääjohtajaa raportoimaan tehtäviensä hoidosta.

2.  Pääjohtaja raportoi vuosittain tai pyydettäessä Euroopan parlamentille tehtäviensä hoidosta. Neuvosto voi pyytää pääjohtajaa raportoimaan tehtäviensä hoidosta.

Tarkistus    57

Ehdotus asetukseksi

20 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Johtokunta perustaa pääjohtajan esityksestä pysyvän sidosryhmän, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa, sähköisten viestintäverkkojen tai yleisön saatavilla olevien palvelujen tarjoajia ja kuluttajajärjestöjä, edustavista tunnustetuista asiantuntijoista, tiedeyhteisöä edustavista kyberturvallisuusasiantuntijoista sekä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] mukaisesti ilmoitettujen toimivaltaisten viranomaisten sekä lainvalvonta- ja tietosuojaviranomaisten edustajista.

1.  Johtokunta perustaa pääjohtajan esityksestä pysyvän sidosryhmän, joka koostuu asiaan liittyviä sidosryhmiä, kuten tieto- ja viestintätekniikan alaa sekä sähköisten viestintäverkkojen tai yleisön saatavilla olevien palvelujen tarjoajia, erityisesti eurooppalaisen viestintätekniikan alan toimijoita ja palveluntarjoajia, pienten ja keskisuurten yritysten yhdistyksiä sekä kuluttajajärjestöjä ja -yhdistyksiä edustavista tunnustetuista asiantuntijoista, kyberturvallisuuden alan tieteellisistä asiantuntijoista, asetuksen (EU) No 1025/2012 2 artiklan 8 kohdassa määriteltyjen eurooppalaisten standardointiorganisaatioiden edustajista, asiaan liittyvien alakohtaisten unionin virastojen ja elinten edustajista sekä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] mukaisesti ilmoitettujen toimivaltaisten viranomaisten sekä lainvalvonta- ja tietosuojaviranomaisten edustajista.

Tarkistus    58

Ehdotus asetukseksi

20 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Pysyvän sidosryhmän jäsenten toimikausi on kaksi ja puoli vuotta. Johtokunnan jäsenet eivät saa olla pysyvän sidosryhmän jäseniä. Komission ja jäsenvaltioiden asiantuntijoilla on oikeus olla läsnä pysyvän sidosryhmän kokouksissa ja osallistua sen työhön. Muiden pääjohtajan tärkeiksi katsomien elinten edustajia, jotka eivät ole pysyvän sidosryhmän jäseniä, voidaan pyytää saapuville pysyvän sidosryhmän kokouksiin ja osallistumaan sen työhön.

4.  Pysyvän sidosryhmän jäsenten toimikausi on kaksi ja puoli vuotta. Johtokunnan ja hallituksen jäsenet pääjohtajaa lukuun ottamatta eivät saa olla pysyvän sidosryhmän jäseniä. Komission ja jäsenvaltioiden asiantuntijoilla on oikeus olla läsnä pysyvän sidosryhmän kokouksissa ja osallistua sen työhön. Muiden pääjohtajan tärkeiksi katsomien elinten edustajia, jotka eivät ole pysyvän sidosryhmän jäseniä, voidaan pyytää saapuville pysyvän sidosryhmän kokouksiin ja osallistumaan sen työhön.

Tarkistus    59

Ehdotus asetukseksi

20 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Pysyvä sidosryhmä neuvoo virastoa sen tehtävien hoidossa. Erityisesti se neuvoo pääjohtajaa tämän laatiessa esitystä viraston työohjelmaksi sekä yhteydenpidossa asianmukaisten sidosryhmien kanssa kaikissa työohjelmaan liittyvissä kysymyksissä.

5.  Pysyvä sidosryhmä neuvoo virastoa sen tehtävien hoidossa. Erityisesti se neuvoo pääjohtajaa tämän laatiessa esitystä viraston työohjelmaksi sekä yhteydenpidossa asianmukaisten sidosryhmien kanssa kaikissa työohjelmaan liittyvissä kysymyksissä. Se voi myös ehdottaa, että komissio pyytää virastoa valmistelemaan ehdolla olevia eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä 44 artiklan mukaisesti joko omasta aloitteestaan tai saatuaan ehdotuksia asianomaisilta sidosryhmiltä.

Tarkistus    60

Ehdotus asetukseksi

20 artikla – 5 a kohta (uusi)

Komission teksti

Tarkistus

 

5 a.  Pysyvä sidosryhmä neuvoo virastoa ehdolla olevien eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien valmistelussa.

Tarkistus    61

Ehdotus asetukseksi

23 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Virasto varmistaa, että suuri yleisö ja kaikki asianomaiset tahot saavat asianmukaista, puolueetonta, luotettavaa ja helposti saatavissa olevaa tietoa erityisesti viraston työn tuloksista. Sen on myös julkistettava 22 artiklan mukaisesti tehdyt sidonnaisuuksia koskevat ilmoitukset.

2.  Virasto varmistaa, että suuri yleisö ja kaikki asianomaiset tahot saavat asianmukaista, puolueetonta, luotettavaa ja helposti saatavissa olevaa tietoa erityisesti viraston keskusteluista ja työn tuloksista. Sen on myös julkistettava 22 artiklan mukaisesti tehdyt sidonnaisuuksia koskevat ilmoitukset.

Perustelu

Avoimuutta on voitava valvoa, ottaen huomioon 24 artiklan soveltaminen.

Tarkistus    62

Ehdotus asetukseksi

43 artikla – 1 kohta

Komission teksti

Tarkistus

Eurooppalaisella kyberturvallisuuden sertifiointijärjestelmällä todistetaan, että tällaisen järjestelmän mukaisesti sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut täyttävät määritellyt vaatimukset, jotka koskevat niiden kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai kyseisissä tuotteissa, prosesseissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus.

Eurooppalainen kyberturvallisuuden sertifiointijärjestelmä perustetaan digitaalisten sisämarkkinoiden turvallisuustason vahvistamiseksi ja yhdenmukaisen lähestymistavan soveltamiseksi eurooppalaiseen sertifiointiin unionin tasolla, jotta varmistetaan, että tieto- ja viestintätekniikan tuotteet, palvelut ja järjestelmät ovat resistenttejä kyberhyökkäyksille.

Sillä todistetaan, että tällaisen järjestelmän mukaisesti sertifioidut tieto- ja viestintätekniikan prosessit, tuotteet ja palvelut täyttävät määritellyt yhteiset vaatimukset ja ominaisuudet, jotka koskevat niiden kykyä suojautua tietyllä varmuustasolla toimilta, joiden tarkoituksena on vaarantaa tallennettujen, siirrettävien tai käsiteltävien tietojen tai kyseisissä prosesseissa, tuotteissa, palveluissa ja järjestelmissä tarjottavien tai välitettävien toimintojen tai palvelujen käytettävyys, aitous, eheys ja luottamuksellisuus.

Tarkistus    63

Ehdotus asetukseksi

43 a artikla (uusi)

Komission teksti

Tarkistus

 

43 a artikla

 

Työohjelma

 

ENISA laatii sertifiointiryhmää ja pysyvää sidosryhmää kuultuaan ja komission hyväksynnän saatuaan työohjelman, jossa esitetään unionin tasolla toteutettavat yhteiset toimet tämän osaston yhdenmukaisen soveltamisen varmistamiseksi ja johon sisällytetään sellaisten tieto- ja viestintätekniikan tuotteiden ja palvelujen prioriteettiluettelo, joiden tapauksessa se katsoo unionin kyberturvallisuuden sertifiointijärjestelmän olevan tarpeen.

 

Työohjelma laaditaan viimeistään [kuuden kuukauden kuluttua tämän asetuksen voimaantulosta], ja uusi työohjelma laaditaan sen jälkeen aina kahden vuoden välein. Työohjelma julkistetaan.

Tarkistus    64

Ehdotus asetukseksi

44 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Kun komissio on esittänyt asiaa koskevan pyynnön, ENISA valmistelee ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, joka täyttää tämän asetuksen 45, 46 ja 47 artiklassa esitetyt vaatimukset. Jäsenvaltiot tai 53 artiklalla perustettu Euroopan kyberturvallisuuden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’, voivat esittää komissiolle ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän valmistelemista.

1.  Kun komissio on esittänyt asiaa koskevan pyynnön, ENISA valmistelee ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän, joka täyttää tämän asetuksen 45, 46 ja 47 artiklassa esitetyt vaatimukset. Jäsenvaltiot, 53 artiklalla perustettu Euroopan kyberturvallisuuden sertifiointiryhmä, jäljempänä ’sertifiointiryhmä’, tai 20 artiklalla perustettu pysyvä sidosryhmä voivat esittää komissiolle ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän valmistelemista.

Tarkistus    65

Ehdotus asetukseksi

44 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Valmistellessaan 1 kohdassa tarkoitettuja ehdolla olevia järjestelmiä ENISA kuulee kaikkia asiaankuuluvia sidosryhmiä ja tekee tiivistä yhteistyötä sertifiointiryhmän kanssa. Sertifiointiryhmä antaa ENISAlle apua ja asiantuntijaneuvontaa, jota ENISA tarvitsee ehdolla olevan järjestelmän valmistelussa, tarvittaessa myös antamalla lausuntoja.

2.  Valmistellessaan 1 kohdassa tarkoitettuja ehdolla olevia järjestelmiä ENISA kuulee pysyvää sidosryhmää ja erityisesti eurooppalaisia standardointiorganisaatioita sekä kaikkia muita asiaankuuluvia sidosryhmiä, myös kuluttajajärjestöjä, virallisessa, standardoidussa ja avoimessa prosessissa, ja tekee tiivistä yhteistyötä sertifiointiryhmän kanssa sekä ottaa huomioon voimassa olevat kansalliset ja kansainväliset standardit. Valmistellessaan kutakin ehdolla olevaa järjestelmää ENISA laatii tarkistuslistan riskeistä ja vastaavista kyberturvallisuusominaisuuksista.

 

Sertifiointiryhmä antaa ENISAlle apua ja asiantuntijaneuvontaa, jota ENISA tarvitsee ehdolla olevan järjestelmän valmistelussa, tarvittaessa myös antamalla lausuntoja.

 

ENISA voi lisäksi tarvittaessa perustaa lisäavun ja -neuvojen tarjoamiseksi sidosryhmien kuulemisen asiantuntijaryhmän, joka koostuu pysyvän sidosryhmän ja muiden asiaankuuluvien sidosryhmien jäsenistä, joilla on erityisasiantuntemusta tietyn ehdolla olevan järjestelmän alalta.

Tarkistus    66

Ehdotus asetukseksi

44 artikla – 3 kohta

Komission teksti

Tarkistus

3.  ENISA toimittaa tämän artiklan 2 kohdan mukaisesti valmistellun ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän komissiolle.

3.  ENISA toimittaa tämän artiklan 2 kohdan mukaisesti valmistellun ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän komissiolle, joka arvioi sen sopivuuden 1 kohdassa tarkoitetun pyynnön tavoitteiden saavuttamiseen.

Tarkistus    67

Ehdotus asetukseksi

44 artikla – 3 a kohta (uusi)

Komission teksti

Tarkistus

 

3 a.  ENISA noudattaa salassapitovelvollisuutta kaikkien tämän asetuksen mukaisten tehtävien suorittamisen aikana saatujen tietojen osalta.

Tarkistus    68

Ehdotus asetukseksi

44 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Komissio voi ENISA:n valmisteleman ehdolla olevan järjestelmän pohjalta hyväksyä 55 artiklan 1 kohdan mukaisesti täytäntöönpanosäädöksiä tieto- ja viestintätekniikan tuotteiden ja palvelujen eurooppalaisista kyberturvallisuuden sertifiointijärjestelmistä, jotka täyttävät tämän asetuksen 45, 46 ja 47 artiklan vaatimukset.

4.  Siirretään komissiolle valta antaa 55 a artiklan mukaisesti delegoituja säädöksiä, jotka koskevat tieto- ja viestintätekniikan tuotteiden ja palvelujen sellaisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien perustamista, jotka täyttävät tämän asetuksen 45, 46 ja 47 artiklan vaatimukset. Antaessaan kyseiset delegoidut säädökset komissio perustaa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuuden sertifiointijärjestelmät mahdollisiin asianomaisiin ENISAn valmistelemiin ehdolla oleviin järjestelmiin. Komissio voi kuulla Euroopan tietosuojaneuvostoa ja ottaa sen näkemyksen huomioon ennen tällaisten delegoitujen säädösten hyväksymistä.

Tarkistus    69

Ehdotus asetukseksi

44 artikla – 5 kohta

Komission teksti

Tarkistus

5.  ENISA ylläpitää erityistä verkkosivustoa, joka tarjoaa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevaa tiedotusta ja julkisuutta.

5.  ENISA ylläpitää erityistä verkkosivustoa, joka tarjoaa eurooppalaisia kyberturvallisuuden sertifiointijärjestelmiä koskevaa tiedotusta ja julkisuutta, mukaan lukien tiedot kaikista ehdolla olevista järjestelmistä, jotka komissio on pyytänyt ENISAa valmistelemaan.

Tarkistus    70

Ehdotus asetukseksi

45 artikla – 1 kohta – johdantokappale

Komission teksti

Tarkistus

Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän suunnittelussa on otettava huomioon soveltuvin osin seuraavat turvallisuustavoitteet:

Kunkin Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän suunnittelussa on otettava huomioon soveltuvin osin ainakin seuraavat turvallisuustavoitteet:

Tarkistus    71

Ehdotus asetukseksi

45 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  varmistaa tieto- ja viestintätekniikan tuotteille ja palveluille ajantasainen ohjelmisto, joka ei sisällä tunnettuja haavoittuvuuksia, ja mekanismit, joilla varmistetaan ohjelmistojen turvalliset päivitykset.

g)  varmistaa tieto- ja viestintätekniikan tuotteille ja palveluille ajantasainen ohjelmisto ja laitteisto, joka ei sisällä tunnettuja haavoittuvuuksia; varmistaa, että ne on suunniteltu ja toteutettu siten, että rajoitetaan tehokkaasti niiden alttiutta haavoittuvuuksille, ja varmistaa, että niissä on mekanismit, joilla varmistetaan ohjelmistojen turvalliset päivitykset, mukaan lukien laitteiston päivitykset ja automaattiset turvallisuuspäivitykset;

Tarkistus    72

Ehdotus asetukseksi

45 artikla – 1 kohta – g a alakohta (uusi)

Komission teksti

Tarkistus

 

g a)  varmistaa, että tieto- ja viestintätekniikan tuotteita ja palveluja kehitetään ja käytetään siten, että niihin on esikonfiguroitu korkea kyberturvallisuuden ja tietosuojan taso sisäänrakennetun turvallisuuden periaatteen mukaisesti.

Tarkistus    73

Ehdotus asetukseksi

46 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määritellä yksi tai useampi varmuustaso – perustaso, korotettu ja/tai korkea – kyseisessä järjestelmässä sertifioiduille tieto- ja viestintätekniikan tuotteille ja palveluille.

1.  Kussakin eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määritellä yksi tai useampi riskiperusteinen varmuustaso – ”toiminnallisesti turvallinen”, ”huomattavan turvallinen” ja/tai ”erittäin turvallinen” – kyseisessä järjestelmässä sertifioiduille tieto- ja viestintätekniikan tuotteille ja palveluille.

 

Kunkin ehdolla olevan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän varmuustaso määritetään 44 artiklan 2 kohdan mukaisesti laaditussa tarkistuslistassa määritettyjen riskien perusteella ja sellaisten kyberturvallisuusominaisuuksien saatavuuden perusteella, joilla kyseisiä riskejä voidaan torjua tieto- ja viestintätekniikan tuotteissa ja palveluissa, joihin sertifiointijärjestelmää sovelletaan.

Tarkistus    74

Ehdotus asetukseksi

46 artikla – 1 a kohta (uusi)

Komission teksti

Tarkistus

 

1 a.  Kussakin järjestelmässä on määritettävä arviointimenetelmä tai -prosessi, jota on noudatettava myönnettäessä sertifikaatteja kullakin varmuustasolla, riippuen kyseisessä järjestelmässä sertifioitujen tieto- ja viestintätekniikan tuotteiden ja palvelujen suunnitellusta käyttötarkoituksesta ja niihin sisältyvästä riskistä.

Tarkistus    75

Ehdotus asetukseksi

46 artikla – 2 kohta – johdantokappale

Komission teksti

Tarkistus

2.  Varmuustasojen perustaso, korotettu ja korkea on täytettävä seuraavat vaatimukset:

2.  Varmuustasojen ”toiminnallisesti turvallinen”, ”huomattavan turvallinen” ja ”erittäin turvallinen” on täytettävä seuraavat vaatimukset:

Tarkistus    76

Ehdotus asetukseksi

46 artikla – 2 kohta – a alakohta

Komission teksti

Tarkistus

a)  perustasolla oleva varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa rajallisen luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää kyberturvallisuuspoikkeamien riskiä;

a)  ”toiminnallisesti turvallinen” varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa riittävän luottamustason tieto- ja viestintätekniikan prosessin, tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää kyberturvallisuuspoikkeamien riskiä;

Tarkistus    77

Ehdotus asetukseksi

46 artikla – 2 kohta – b alakohta

Komission teksti

Tarkistus

b)  korotettu varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa korotetun luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävästi kyberturvallisuuspoikkeamien riskiä;

b)  ”huomattavan turvallinen” varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa korotetun luottamustason tieto- ja viestintätekniikan prosessin, tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävästi kyberturvallisuuspoikkeamien riskiä;

Tarkistus    78

Ehdotus asetukseksi

46 artikla – 2 kohta – c alakohta

Komission teksti

Tarkistus

c)  korkea varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa korotettua varmuustasoa korkeamman luottamustason tieto- ja viestintätekniikan tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on ehkäistä kyberturvallisuuspoikkeamat.

c)  ”erittäin turvallinen” varmuustaso viittaa eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän yhteydessä myönnettyyn sertifikaattiin, joka antaa ”huomattavan turvallista” varmuustasoa korkeamman luottamustason tieto- ja viestintätekniikan prosessin, tuotteen tai palvelun väitetyille tai esitetyille kyberturvallisuusominaisuuksille ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on ehkäistä kyberturvallisuuspoikkeamat. Tätä sovelletaan erityisesti tuotteisiin ja palveluihin, jotka on tarkoitettu direktiivin 2016/1148/EU 4 artiklan 4 kohdassa määriteltyjen keskeisten palvelujen tarjoajien käyttöön.

Tarkistus    79

Ehdotus asetukseksi

47 artikla – 1 kohta – johdantokappale

Komission teksti

Tarkistus

1.  Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän on sisällettävä seuraavat osatekijät:

1.  Kunkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän on sisällettävä soveltuvin osin vähintään seuraavat osatekijät:

Tarkistus    80

Ehdotus asetukseksi

47 artikla – 1 kohta – a alakohta

Komission teksti

Tarkistus

a)  sertifioinnin kohde ja soveltamisala, mukaan lukien sen kattamien tieto- ja viestintätekniikan tuotteiden ja palvelujen tyyppi tai luokat;

a)  sertifiointijärjestelmän kohde ja soveltamisala, mukaan lukien sen kattamat mahdolliset erityisalat ja sen kattamien tieto- ja viestintätekniikan tuotteiden ja palvelujen tyyppi tai luokat;

Tarkistus    81

Ehdotus asetukseksi

47 artikla – 1 kohta – b alakohta

Komission teksti

Tarkistus

b)  yksityiskohtainen erittely kyberturvallisuusvaatimuksista, joihin nähden erityiset tieto- ja viestintätekniikan tuotteet ja palvelut arvioidaan, esimerkiksi viittaamalla unionin tai kansainvälisiin standardeihin tai teknisiin eritelmiin;

b)  yksityiskohtainen erittely kyberturvallisuusvaatimuksista, joihin nähden erityiset tieto- ja viestintätekniikan tuotteet ja palvelut arvioidaan, erityisesti viittaamalla kansainvälisiin, eurooppalaisiin tai kansallisiin standardeihin tai teknisiin eritelmiin;

Tarkistus    82

Ehdotus asetukseksi

47 artikla – 1 kohta – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  yksityiskohtainen erittely siitä, voiko myönnettyä sertifikaattia soveltaa ainoastaan yksittäiseen tuotteeseen vai voiko sitä soveltaa tuoteryhmään, esimerkiksi saman perustuoterakenteen eri versioihin tai malleihin;

Tarkistus    83

Ehdotus asetukseksi

47 artikla – 1 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  maininta siitä, onko itse annettu vaatimustenmukaisuusvakuutus sallittu järjestelmässä, ja menettely, jota sovelletaan vaatimustenmukaisuuden arviointiin tai itse annettuun vaatimustenmukaisuusvakuutukseen tai molempiin;

Tarkistus    84

Ehdotus asetukseksi

47 artikla – 1 kohta – c b alakohta (uusi)

Komission teksti

Tarkistus

 

c b)  sertifiointivaatimukset, jotka on määritetty siten, että sertifiointi voidaan sisällyttää tai se voi perustua tuottajan systemaattisiin kyberturvallisuusprosesseihin, joita noudatetaan tieto- ja viestintätekniikan prosessin, tuotteen tai palvelun suunnittelun, kehittämisen ja elinkaaren aikana;

Tarkistus    85

Ehdotus asetukseksi

47 artikla – 1 kohta – f alakohta

Komission teksti

Tarkistus

f)  jos järjestelmä tarjoaa käyttöön merkkejä tai merkintöjä, näiden merkkien tai merkintöjen käytön edellytykset;

f)  jos järjestelmä tarjoaa käyttöön merkkejä tai merkintöjä, kuten EU:n kyberturvallisuuden vaatimustenmukaisuusmerkintä, joka osoittaa, että tieto- ja viestintätekniikan prosessi, tuote tai palvelu on eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän kriteerien mukainen, näiden merkkien tai merkintöjen käytön edellytykset;

Tarkistus    86

Ehdotus asetukseksi

47 artikla – 1 kohta – g alakohta

Komission teksti

Tarkistus

g)  jos järjestelmään kuuluu valvonta, säännöt sertifikaattien vaatimusten noudattamisen seurantaa varten, mukaan lukien mekanismit sen osoittamiseksi, että määriteltyjä kyberturvallisuusvaatimuksia noudatetaan jatkuvasti;

g)  säännöt sertifikaattien vaatimusten noudattamisen seurantaa varten, mukaan lukien mekanismit sen osoittamiseksi, että määriteltyjä kyberturvallisuusvaatimuksia, kuten tarpeen ja mahdollisuuksien mukaan asianomaista tieto- ja viestintätekniikan prosessia, tuotetta tai palvelua koskevia pakollisia päivityksiä, parannuksia tai paikkauksia, noudatetaan jatkuvasti;

Tarkistus    87

Ehdotus asetukseksi

47 artikla – 1 kohta – h alakohta

Komission teksti

Tarkistus

h)  ehdot sertifioinnin myöntämiselle, voimassa pitämiselle ja jatkamiselle sekä sen soveltamisalan laajentamiselle ja supistamiselle;

h)  ehdot sertifioinnin myöntämiselle, voimassa pitämiselle, jatkamiselle ja uusimiselle sekä sen soveltamisalan laajentamiselle ja supistamiselle;

Tarkistus    88

Ehdotus asetukseksi

47 artikla – 1 kohta – i alakohta

Komission teksti

Tarkistus

i)  säännöt seurauksista tapauksissa, joissa sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa sertifiointivaatimuksia;

i)  säännöt seurauksista tapauksissa, joissa sertifioidut tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa sertifiointivaatimuksia, ja yleiset tiedot tämän asetuksen 54 artiklassa säädetyistä seuraamuksista;

Tarkistus    89

Ehdotus asetukseksi

47 artikla – 1 kohta – j alakohta

Komission teksti

Tarkistus

j)  säännöt siitä, miten aiemmin tuntemattomat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberhaavoittuvuudet on määrä raportoida ja käsitellä;

j)  säännöt siitä, miten aiemmin tuntemattomat tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberhaavoittuvuudet on määrä raportoida ja käsitellä muun muassa haavoittuvuuksista ilmoittamista koskevien koordinoitujen prosessien avulla;

Tarkistus    90

Ehdotus asetukseksi

47 artikla – 1 kohta – l alakohta

Komission teksti

Tarkistus

l)  sellaisten kansallisten kyberturvallisuuden sertifiointijärjestelmien yksilöinti, jotka kattavat saman tyypin tai samojen luokkien tieto- ja viestintätekniikan tuotteita ja palveluja;

l)  sellaisten kansallisten tai kansainvälisten kyberturvallisuuden sertifiointijärjestelmien tai voimassa olevien vastavuoroista tunnustamista koskevien kansainvälisten sopimusten yksilöinti, jotka kattavat saman tyypin tai samojen luokkien tieto- ja viestintätekniikan tuotteita ja palveluja;

Tarkistus    91

Ehdotus asetukseksi

47 artikla – 1 kohta – m a alakohta (uusi)

Komission teksti

Tarkistus

 

m a)  sertifikaattien enimmäisvoimassaoloaika;

Tarkistus    92

Ehdotus asetukseksi

47 artikla – 1 kohta – m b alakohta (uusi)

Komission teksti

Tarkistus

 

m b)  varmuustason ”erittäin turvallinen” resistenssi- ja resilienssitestausta koskevat säännöt.

Tarkistus    93

Ehdotus asetukseksi

47 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Jos unionin säädöksessä niin säädetään, eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista sertifiointia voidaan käyttää osoittamaan, että kyseisen säädöksen vaatimusten suhteen vallitsee vaatimustenmukaisuusolettama.

3.  Jos tulevassa unionin säädöksessä niin säädetään, eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukaista sertifiointia voidaan käyttää osoittamaan, että kyseisen säädöksen vaatimusten suhteen vallitsee vaatimustenmukaisuusolettama.

Tarkistus    94

Ehdotus asetukseksi

48 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Sertifiointi on vapaaehtoinen, jollei unionin lainsäädännössä toisin säädetä.

2.  Eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän mukainen sertifiointi on pakollinen sellaisille tieto- ja viestintätekniikan tuotteille, joihin sisältyy suuri riski ja jotka on tarkoitettu nimenomaisesti direktiivin 2016/1148/EU 4 artiklan 4 kohdassa määriteltyjen keskeisten palvelujen tarjoajien käyttöön. Kaikkien muiden tieto- ja viestintätekniikan tuotteiden ja palvelujen osalta sertifiointi on vapaaehtoinen, jollei unionin lainsäädännössä toisin säädetä.

Tarkistus    95

Ehdotus asetukseksi

48 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Tämän artiklan mukaisen eurooppalaisen kyberturvallisuussertifikaatin antavat 51 artiklassa tarkoitetut vaatimustenmukaisuuden arviointilaitokset perustuen kriteereihin, jotka sisältyvät 44 artiklan mukaisesti hyväksyttyyn eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään.

3.  Tämän artiklan mukaiset eurooppalaiset kyberturvallisuussertifikaatit antavat 51 artiklassa tarkoitetut vaatimustenmukaisuuden arviointilaitokset perustuen kriteereihin, jotka sisältyvät 44 artiklan mukaisesti hyväksyttyyn eurooppalaiseen kyberturvallisuuden sertifiointijärjestelmään.

 

Vaihtoehtona vaatimustenmukaisuuden arviointilaitoksen suorittamalle sertifioinnille tuotteen valmistajat ja palvelun tarjoajat voivat siinä tapauksessa, että kyseisessä järjestelmässä tarjotaan sellainen mahdollisuus, antaa itse annetun vaatimustenmukaisuusvakuutuksen, jossa ne vakuuttavat, että prosessi, tuote tai palvelu on sertifiointijärjestelmän kriteerien mukainen. Tällaisissa tapauksissa tuotteen valmistajan tai palvelun tarjoajan on pyynnöstä esitettävä itse annettu vaatimustenmukaisuusvakuutus sitä pyytävälle kansalliselle sertifioinnin valvontaviranomaiselle ja ENISAlle.

Tarkistus    96

Ehdotus asetukseksi

48 artikla – 4 kohta – johdantokappale

Komission teksti

Tarkistus

4.  Poiketen siitä, mitä 3 kohdassa säädetään, asianmukaisesti perustelluissa tapauksissa yksittäisessä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määrätä, että järjestelmästä saatavan eurooppalaisen kyberturvallisuussertifikaatin voi myöntää vain julkinen elin. Tämän julkisen elimen on oltava joko

4.  Poiketen siitä, mitä 3 kohdassa säädetään, asianmukaisesti perustelluissa tapauksissa, kuten kansalliseen turvallisuuteen liittyvistä syistä, yksittäisessä eurooppalaisessa kyberturvallisuuden sertifiointijärjestelmässä voidaan määrätä, että järjestelmästä saatavan eurooppalaisen kyberturvallisuussertifikaatin voi myöntää vain julkinen elin. Tämän julkisen elimen on oltava joko

Tarkistus    97

Ehdotus asetukseksi

48 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Luonnollisen tai oikeushenkilön, joka jättää tieto- ja viestintätekniikan tuotteensa tai palvelunsa sertifioitaviksi, on toimitettava 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot.

5.  Luonnollisen tai oikeushenkilön, joka jättää tieto- ja viestintätekniikan tuotteensa tai palvelunsa sertifioitaviksi, on toimitettava 51 artiklassa tarkoitetulle vaatimustenmukaisuuden arviointilaitokselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot, mukaan lukien tiedot kaikista tunnetuista turvallisuushaavoittuvuuksista.

Tarkistus    98

Ehdotus asetukseksi

48 artikla – 6 kohta

Komission teksti

Tarkistus

6.  Sertifikaatit voidaan myöntää enintään kolmeksi vuodeksi, ja ne voidaan uusia samoin edellytyksin, jos sovellettavat vaatimukset täyttävät edelleen.

6.  Sertifikaatit voidaan myöntää kussakin sertifiointijärjestelmässä määritellyksi enimmäisajaksi, ja ne pysyvät voimassa kyseisen enimmäisajan ja voidaan uusia samoin edellytyksin, jos sovellettavat kyseisen järjestelmän vaatimukset, mukaan lukien kaikki tarkistetut tai muutetut vaatimukset, täyttyvät edelleen.

Tarkistus    99

Ehdotus asetukseksi

48 artikla – 6 a kohta (uusi)

Komission teksti

Tarkistus

 

6 a.  Sertifikaatit pysyvät voimassa prosessin, tuotteen tai palvelun kaikkien uusien versioiden osalta, jos uuden version pääasiallisena tarkoituksena on paikata tai korjata tiedossa olevia tai mahdollisia turvallisuuteen liittyviä haavoittuvuuksia tai uhkia tai muulla tavoin puuttua niihin.

Tarkistus    100

Ehdotus asetukseksi

49 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, lakkaavat tuottamasta oikeusvaikutuksia alkaen päivästä, joka vahvistetaan 44 artiklan 4 kohdan nojalla hyväksytyssä täytäntöönpanosäädöksessä, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka eivät kuulu jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, pysyvät edelleen voimassa.

1.  Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka kuuluvat jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, lakkaavat tuottamasta oikeusvaikutuksia alkaen päivästä, joka vahvistetaan 44 artiklan 4 kohdan nojalla hyväksytyssä delegoidussa säädöksessä, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Komissio valvoo tämän alakohdan noudattamista, jotta vältytään järjestelmien rinnakkaisuudelta. Sellaisia tieto- ja viestintätekniikan tuotteita ja palveluja varten voimassa olevat kansalliset kyberturvallisuuden sertifiointijärjestelmät ja niihin liittyvät menettelyt, jotka eivät kuulu jonkin eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän soveltamisalaan, pysyvät edelleen voimassa.

Tarkistus    101

Ehdotus asetukseksi

49 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Kansallisissa kyberturvallisuuden sertifiointijärjestelmissä myönnetyt voimassa olevat sertifikaatit pysyvät voimassa niiden voimassaolon päättymispäivään asti.

3.  Kansallisissa kyberturvallisuuden sertifiointijärjestelmissä myönnetyt ja eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän kattamat voimassa olevat sertifikaatit pysyvät voimassa niiden voimassaolon päättymispäivään asti.

Tarkistus    102

Ehdotus asetukseksi

50 artikla – 3 kohta

Komission teksti

Tarkistus

3.  Kunkin kansallisen sertifioinnin valvontaviranomaisen on oltava organisaatioltaan, rahoituspäätöksiltään, oikeudelliselta rakenteeltaan ja päätöksenteoltaan riippumaton yksiköistä, joita ne valvovat.

3.  Kunkin kansallisen sertifioinnin valvontaviranomaisen on oltava organisaatioltaan, rahoituspäätöksiltään, oikeudelliselta rakenteeltaan ja päätöksenteoltaan riippumaton yksiköistä, joita ne valvovat, eivätkä ne saa olla vaatimustenmukaisuuden arviointilaitoksia tai kansallisia akkreditointielimiä.

Tarkistus    103

Ehdotus asetukseksi

50 artikla – 6 kohta – a alakohta

Komission teksti

Tarkistus

a)  valvottava tämän osaston säännösten soveltamista ja huolehdittava niiden täytäntöönpanosta kansallisella tasolla sekä valvottava sitä, ovatko niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämät sertifikaatit tämän osaston vaatimusten ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia;

a)  valvottava tämän osaston säännösten soveltamista ja huolehdittava niiden täytäntöönpanosta kansallisella tasolla sekä valvottava Euroopan kyberturvallisuuden sertifiointiryhmän 53 artiklan 3 kohdan d a alakohdan nojalla hyväksymien sääntöjen mukaisesti

 

i)  sitä, ovatko niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämät sertifikaatit tämän osaston vaatimusten ja vastaavan eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia; ja

 

ii)  sitä, ovatko tieto- ja viestintätekniikan prosessia, tuotetta tai palvelua koskevat jonkin järjestelmän mukaiset itse annetut vaatimustenmukaisuusvakuutukset vaatimusten mukaisia;

Tarkistus    104

Ehdotus asetukseksi

50 artikla – 6 kohta – b alakohta

Komission teksti

Tarkistus

b)  seurattava ja valvottava vaatimustenmukaisuuden arviointilaitosten toimintaa tämän asetuksen soveltamiseksi, mukaan lukien vaatimustenmukaisuuden arviointilaitoksista ilmoittaminen ja siihen liittyvät tehtävät tämän asetuksen 52 artiklan mukaisesti;

b)  seurattava, valvottava ja vähintään joka toinen vuosi arvioitava vaatimustenmukaisuuden arviointilaitosten toimintaa tämän asetuksen soveltamiseksi, mukaan lukien vaatimustenmukaisuuden arviointilaitoksista ilmoittaminen ja siihen liittyvät tehtävät tämän asetuksen 52 artiklan mukaisesti;

Tarkistus    105

Ehdotus asetukseksi

50 artikla – 6 kohta – c alakohta

Komission teksti

Tarkistus

c)  käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa;

c)  käsiteltävä luonnollisten tai oikeushenkilöiden tekemät valitukset, jotka liittyvät niiden alueelle sijoittautuneiden vaatimustenmukaisuuden arviointilaitosten myöntämiin sertifikaatteihin tai itse annettuihin vaatimustenmukaisuusvakuutuksiin, tutkittava asianmukaisessa määrin valituksen kohde ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä ja tuloksesta kohtuullisessa ajassa;

Tarkistus    106

Ehdotus asetukseksi

50 artikla – 6 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  raportoitava a alakohdan mukaisen valvonnan ja b alakohdan mukaisten arviointien tuloksista ENISAlle ja Euroopan kyberturvallisuuden sertifiointiryhmälle;

Tarkistus    107

Ehdotus asetukseksi

50 artikla – 6 kohta – d alakohta

Komission teksti

Tarkistus

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia;

d)  tehtävä yhteistyötä muiden kansallisten sertifioinnin valvontaviranomaisten, kansallisten akkreditointielinten tai muiden viranomaisten kanssa esimerkiksi jakamalla tietoa mahdollisista tapauksista, joissa tieto- ja viestintätekniikan tuotteet ja palvelut eivät vastaa tämän asetuksen tai yksittäisten eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien vaatimuksia, mukaan lukien sertifiointia koskevat vilpilliset, virheelliset tai petokselliset väitteet;

Tarkistus    108

Ehdotus asetukseksi

50 artikla – 7 kohta – c a alakohta (uusi)

Komission teksti

Tarkistus

 

c a)  peruuttaa sellaisten kansallisten vaatimustenmukaisuuden arviointilaitosten akkreditointi, jotka eivät ole tämän asetuksen mukaisia;

Tarkistus    109

Ehdotus asetukseksi

50 artikla – 7 kohta – e alakohta

Komission teksti

Tarkistus

e)  peruuttaa kansallisen lainsäädännön mukaisesti sertifikaatit, jotka eivät täytä tämän asetuksen tai eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia;

e)  peruuttaa kansallisen lainsäädännön mukaisesti sertifikaatit, jotka eivät täytä tämän asetuksen tai eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimuksia, ja ilmoittaa asiasta kansallisille akkreditointielimille;

Tarkistus    110

Ehdotus asetukseksi

50 artikla – 7 kohta – f a alakohta (uusi)

Komission teksti

Tarkistus

 

f a)  ehdottaa ENISAlle asiantuntijoita, jotka voisivat olla mukana 44 artiklan 2 kohdassa tarkoitetussa sidosryhmien kuulemisen asiantuntijaryhmässä;

Tarkistus    111

Ehdotus asetukseksi

50 artikla – 8 kohta – 1 a alakohta (uusi)

Komission teksti

Tarkistus

 

Komissio asettaa tätä vaihtoa varten saataville yleisen sähköisen tietotukijärjestelmän.

Tarkistus    112

Ehdotus asetukseksi

50 a artikla (uusi)

Komission teksti

Tarkistus

 

50 a artikla

 

Vertaisarviointi

 

1.  Kansallisten sertifioinnin valvontaviranomaisten kaikesta niiden tämän asetuksen 50 artiklan nojalla suorittamasta toiminnasta tehdään vertaisarviointi.

 

2.  Vertaisarvioinnissa on arvioitava kansallisten sertifioinnin valvontaviranomaisten käyttöön ottamia menettelyjä, erityisesti menettelyjä, joilla tarkastetaan kyberturvallisuuden sertifioinnin kohteena olevien tuotteiden vaatimustenmukaisuus, henkilöstön pätevyys, tarkastusten ja tarkastusmenetelmien oikeellisuus sekä tulosten oikeellisuus. Vertaisarvioinnissa on myös arvioitava, onko kyseisillä kansallisilla sertifioinnin valvontaviranomaisilla riittävät resurssit tehtäviensä asianmukaiseen hoitamiseen, kuten 50 artiklan 4 kohdassa edellytetään.

 

3.  Kansallisten sertifioinnin valvontaviranomaisten vertaisarvioinnin suorittavat kaksi muiden jäsenvaltioiden kansallista sertifioinnin valvontaviranomaista ja komissio, ja vertaisarviointi suoritetaan vähintään viiden vuoden välein. ENISA voi osallistua vertaisarviointiin, ja se päättää osallistumisestaan riskinarviointianalyysin perusteella.

 

4.  Siirretään komissiolle valta antaa 55 a artiklan mukaisesti delegoituja säädöksiä, joissa vahvistetaan vähintään viideksi vuodeksi vertaisarviointeja varten suunnitelma, jossa esitetään perusteet vertaisarviointiryhmän kokoonpanolle, arvioinnissa käytetyt menetelmät, aikataulu, arviointien suoritustiheys ja muut arviointiin liittyvät tehtävät. Antaessaan tällaisia delegoituja säädöksiä komissio ottaa asianmukaisesti huomioon ryhmän näkemykset.

 

5.  Ryhmä tarkastelee vertaisarviointien tuloksia. ENISA laatii tuloksista yhteenvedon ja julkistaa sen.

Tarkistus    113

Ehdotus asetukseksi

51 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  Jos valmistajat valitsevat tämän asetuksen 48 artiklan 3 kohdassa mukaisen itse annettavan vaatimustenmukaisuusvakuutuksen, vaatimustenmukaisuuden arviointilaitokset ryhtyvät lisätoimiin niiden sisäisten menettelyjen varmentamiseksi, joihin valmistaja on ryhtynyt sen varmistamiseksi, että sen tuotteet ja/tai palvelut ovat eurooppalaisen kyberturvallisuuden sertifiointijärjestelmän vaatimusten mukaisia.

Tarkistus    114

Ehdotus asetukseksi

53 artikla – 3 kohta – d a alakohta (uusi)

Komission teksti

Tarkistus

 

d a)  hyväksyä sitovia sääntöjä, joilla määritellään, miten usein kansallisten sertifioinnin valvontaviranomaisten on suoritettava sertifikaattien ja itse annettujen vaatimustenmukaisuusvakuutusten varmentamisia, sekä näiden varmennusten kriteerit, laajuus ja soveltamisala ja hyväksyä yhteiset säännöt ja standardit raportoinnille 50 artiklan 6 kohdan mukaisesti;

Tarkistus    115

Ehdotus asetukseksi

53 artikla – 3 kohta – e alakohta

Komission teksti

Tarkistus

e)  tarkastella merkityksellistä kehitystä kyberturvallisuussertifioinnin alalla ja vaihtaa hyviä käytäntöjä kyberturvallisuuden sertifiointijärjestelmistä;

e)  tarkastella merkityksellistä kehitystä kyberturvallisuussertifioinnin alalla ja vaihtaa tietoa ja hyviä käytäntöjä kyberturvallisuuden sertifiointijärjestelmistä;

Tarkistus    116

Ehdotus asetukseksi

53 artikla – 3 kohta – f a alakohta (uusi)

Komission teksti

Tarkistus

 

f a)  vaihtaa parhaita käytäntöjä, jotka liittyvät vaatimustenmukaisuuden arviointilaitoksia, eurooppalaisen kyberturvallisuussertifikaatin haltijoita ja itse annettavan vaatimustenmukaisuusvakuutuksen antaneita valmistajia ja palveluntarjoajia koskeviin tutkimuksiin;

Tarkistus    117

Ehdotus asetukseksi

53 artikla – 3 kohta – f b alakohta (uusi)

Komission teksti

Tarkistus

 

f b)  helpottaa eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien mukauttamista kansainvälisesti tunnettuihin standardeihin ja tarvittaessa suositella ENISAlle aloja, joilla sen olisi oltava yhteydessä asianomaisiin kansainvälisiin ja eurooppalaisiin standardointiorganisaatioihin, jotta voidaan puuttua kansainvälisesti tunnustettujen standardien puutteisiin tai aukkoihin;

Tarkistus    118

Ehdotus asetukseksi

53 artikla – 3 kohta – f c alakohta (uusi)

Komission teksti

Tarkistus

 

f c)  antaa ENISAlle 43 a artiklassa tarkoitettua työohjelmaa laadittaessa neuvoja sellaisista tieto- ja viestintätekniikan tuotteista ja palveluista laadittavasta prioriteettiluettelosta, joiden tapauksessa se katsoo unionin kyberturvallisuuden sertifiointijärjestelmän olevan tarpeen;

Tarkistus    119

Ehdotus asetukseksi

53 artikla – 4 kohta – 1 a alakohta (uusi)

Komission teksti

Tarkistus

 

ENISAn on varmistettava, että sen esityslistat, pöytäkirjat ja kirjatut päätökset rekisteröidään ja että näiden asiakirjojen julkaistut versiot asetetaan yleisön saataville ENISAn verkkosivustolla sertifiointiryhmän kunkin kokouksen jälkeen.

Tarkistus    120

Ehdotus asetukseksi

55 a artikla (uusi)

Komission teksti

Tarkistus

 

55 a artikla

 

Siirretyn säädösvallan käyttäminen

 

Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

 

Siirretään komissiolle [perussäädöksen voimaantulopäivästä] viiden vuoden ajaksi 44 artiklan 4 kohdassa ja 50 a artiklan 4 kohdassa tarkoitettu valta antaa delegoituja säädöksiä. Komissio laatii siirrettyä säädösvaltaa koskevan kertomuksen viimeistään yhdeksän kuukautta ennen tämän viiden vuoden kauden päättymistä. Säädösvallan siirtoa jatketaan ilman eri toimenpiteitä samanpituisiksi kausiksi, jollei Euroopan parlamentti tai neuvosto vastusta tällaista jatkamista viimeistään kolme kuukautta ennen kunkin kauden päättymistä.

 

Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 44 artiklan 4 kohdassa ja 50 a artiklan 4 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

 

Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

 

Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

 

Edellä olevan 44 artiklan 4 kohdan ja 50 a artiklan 4 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole [kahden kuukauden] kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan [kahdella kuukaudella].

ASIAN KÄSITTELYLAUSUNNON ANTAVASSA VALIOKUNNASSA

Otsikko

Asetus EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

Viiteasiakirjat

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Asiasta vastaava valiokunta

 Ilmoitettu istunnossa (pvä)

ITRE

23.10.2017

 

 

 

Lausunnon antanut valiokunta

 Ilmoitettu istunnossa (pvä)

IMCO

23.10.2017

Valiokuntien yhteistyömenettely - Ilmoitettu istunnossa (pvä)

18.1.2018

Valmistelija

 Nimitetty (pvä)

Nicola Danti

25.9.2017

Valiokuntakäsittely

21.2.2018

21.3.2018

 

 

Hyväksytty (pvä)

17.5.2018

 

 

 

Lopullisen äänestyksen tulos

+:

–:

0:

31

2

1

Lopullisessa äänestyksessä läsnä olleet jäsenet

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Lopullisessa äänestyksessä läsnä olleet varajäsenet

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Lopullisessa äänestyksessä läsnä olleet sijaiset (200 art. 2 kohta)

Inés Ayala Sender, Flavio Zanonato

LOPULLINEN ÄÄNESTYS NIMENHUUTOÄÄNESTYKSENÄLAUSUNNON ANTAVASSA VALIOKUNNASSA

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Symbolien selitys:

+  :  puolesta

-  :  vastaan

0  :  tyhjää


BUDJETTIVALIOKUNNAN LAUSUNTO (16.5.2018)

teollisuus-, tutkimus- ja energiavaliokunnalle

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))

Valmistelija: Jens Geier

LYHYET PERUSTELUT

Valmistelija suhtautuu yleisesti ottaen myönteisesti komission ehdotukseen kyberturvallisuusasetuksesta, jotta voidaan edelleen lujittaa Euroopan unionin verkko- ja tietoturvaviraston (ENISA) roolia, sillä kyberturvallisuus on selkeästi rajat ylittävä asia ja se edellyttää unionin laajuista lähestymistapaa. Valmistelija pitää erityisen ilahduttavana komission ehdotusta antaa ENISAlle pysyvä mandaatti, jotta voidaan ottaa huomioon sen tehtävien merkityksen lisääntyminen ja turvata viraston henkilöstön asema. Komissio ehdottaa, että AD/AST-henkilöstöä lisätään 41 toimella vuoteen 2022 mennessä(1) ja viraston vuosittainen talousarvio nostetaan 23 miljoonaan euroon vuonna 2022(2).

Valmistelija katsoo, että nykyinen toimipaikkajärjestely, eli viraston toimipaikat sekä Heraklionissa että Ateenassa, estää viraston mandaatin tehokkaan hoitamisen. Toimielinten välinen virastojen resursseja käsittelevä työryhmä, joka perustettiin vuoden 2014 talousarviota koskevan sopimuksen jälkeen, suosittelee komissiolle, että se suorittaisi arvioinnin virastojen useista toimipaikoista (kahden toimipaikan järjestely, teknisen toimipaikan olemassaolo varsinaisen toimipaikan lisäksi, paikalliset toimistot ja henkilöstön sijoittaminen päätoimipaikan ulkopuolelle) noudattaen johdonmukaista lähestymistapaa ja käyttäen selkeitä ja läpinäkyviä kriteerejä erityisesti lisäarvon arvioimiseksi, myös aiheutuvien kustannusten taustaa vasten. Kaikki EU:n toimielimet hyväksyivät tämän suosituksen ja valmistelija katsoo, että tällainen arviointi olisi toteutettava nopeasti. Arvioinnin jälkeen toimielinten olisi tehtävä viipymättä tarvittavat johtopäätökset.

Valmistelija katsoo lisäksi, että asiantuntemuksen antamista koskevaa viraston mandaattia voitaisiin lujittaa edelleen myöntämällä virastolle talousarvio, jotta se voi suunnata omia määrärahojaan tutkimus- ja kehitystoimintaan. Tällaista talousarviota varten virastolla olisi oltava tarvittavat resurssit.

Lisäsäästöjä voitaisiin saada, kun virastolle annettaisiin lupa vastaanottaa käännöspalveluja muilta palveluntarjoajilta. Viraston demokraattista valvontaa voitaisiin lujittaa nimittämällä johtokuntaan Euroopan parlamentin edustaja virastoja koskevan yhteisen lähestymistavan mukaisesti.

TARKISTUKSET

Budjettivaliokunta pyytää asiasta vastaavaa teollisuus-, tutkimus- ja energiavaliokuntaa ottamaan huomioon seuraavat tarkistukset:

Tarkistus    1

Ehdotus asetukseksi

Johdanto-osan 3 a kappale (uusi)

Komission teksti

Tarkistus

 

(3 a)  ENISAn olisi annettava enemmän tietoon perustuvaa ja käytännön tukea unionin kyberturvallisuusalalle, erityisesti pk- ja startup-yrityksille, jotka ovat tärkeitä innovatiivisten ratkaisujen kehittäjiä kyberpuolustusalalla, ja edistettävä tiiviimpää yhteistyötä yliopistojen tutkimuslaitosten ja suurten toimijoiden kanssa, jotta voidaan vähentää riippuvuutta ulkoisista lähteistä peräisin olevista kyberturvallisuustuotteista ja luoda strateginen toimitusketju unionin sisälle.

Tarkistus    2

Ehdotus asetukseksi

Johdanto-osan 4 kappale

Komission teksti

Tarkistus

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Kyberpuolustusalan koulutustarpeet ovat suuret ja lisääntyvät koko ajan, ja niihin vastataan tehokkaimmin unionin tason yhteistoiminnalla. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

Tarkistus    3

Ehdotus asetukseksi

Johdanto-osan 10 kappale

Komission teksti

Tarkistus

(10)  Eurooppa-neuvoston kokouksessa 13 päivänä joulukuuta 2003 hyväksytyllä päätöksellä 2004/97/EY, Euratom, jäsenvaltioiden edustajat päättivät, että ENISAn kotipaikaksi tulee Kreikan hallituksen myöhemmin nimeämä kaupunki Kreikassa. Viraston isäntäjäsenvaltion olisi huolehdittava siitä, että virastolla on parhaat mahdolliset toimintaedellytykset. Viraston tehtävien moitteettoman ja tehokkaan suorittamisen, henkilöstön palvelukseenoton ja sitouttamisen sekä verkostoitumisen tehokkuuden kannalta on ehdottoman tärkeää, että virasto sijaitsee soveltuvassa paikassa, jossa on muun muassa toimivat liikenneyhteydet ja palveluja viraston henkilöstön mukana tuleville puolisoille ja lapsille. Tarvittavat järjestelyt olisi vahvistettava viraston ja isäntäjäsenvaltion välisessä sopimuksessa, joka tehdään sen jälkeen kun viraston johtokunta on antanut hyväksyntänsä.

(10)  Eurooppa-neuvoston kokouksessa 13 päivänä joulukuuta 2003 hyväksytyllä päätöksellä 2004/97/EY, Euratom, jäsenvaltioiden edustajat päättivät, että ENISAn kotipaikaksi tulee Kreikan hallituksen myöhemmin nimeämä kaupunki Kreikassa. Viraston isäntäjäsenvaltion olisi huolehdittava siitä, että virastolla on parhaat mahdolliset toimintaedellytykset. Viraston tehtävien moitteettoman ja tehokkaan suorittamisen, henkilöstön palvelukseenoton ja sitouttamisen sekä verkostoitumisen tehokkuuden kannalta on ehdottoman tärkeää, että virasto sijaitsee soveltuvassa paikassa, jossa on muun muassa toimivat liikenneyhteydet ja palveluja viraston henkilöstön mukana tuleville puolisoille ja lapsille. Tarvittavat järjestelyt olisi vahvistettava viraston ja isäntäjäsenvaltion välisessä sopimuksessa, joka tehdään sen jälkeen kun viraston johtokunta on antanut hyväksyntänsä. Kyseistä sopimusta olisi tarkistettava sen jälkeen, kun komissio on toteuttanut toimielinten välisen virastojen resursseja käsittelevän työryhmän suositusten mukaisen arvioinnin, jotta voidaan lisätä viraston tehokkuutta ja tarkastella uudelleen viraston sijaintia.

Tarkistus    4

Ehdotus asetukseksi

Johdanto-osan 12 kappale

Komission teksti

Tarkistus

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa. Lisäksi viraston olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Viraston tehtävänannossa olisi vahvistettava, miten viraston on määrä saavuttaa tavoitteensa niin, että se pystyy toimimaan joustavasti.

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa, vältettävä päällekkäisyyksiä sekä edistettävä synergiaa ja täydentävyyttä ja siten huolehdittava koordinoidun toiminnan ja säästöjen aikaansaamisesta. Lisäksi viraston olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Viraston tehtävänannossa olisi vahvistettava, miten viraston on määrä saavuttaa tavoitteensa niin, että se pystyy toimimaan joustavasti.

Tarkistus    5

Ehdotus asetukseksi

Johdanto-osan 15 a kappale (uusi)

Komission teksti

Tarkistus

 

(15 a)  Kybertoimintaympäristöön sovelletaan kansainvälistä oikeutta, ja YK:n alaisen hallitustenvälisen tietoturva-asiantuntijaryhmän UNGGE:n vuosina 2013 ja 2015 julkaisemissa raporteissa annetaan asiaa koskevia suuntaviivoja, erityisesti valtioita koskevasta kiellosta harjoittaa tai tietoisesti tukea sellaista kybertoimintaa, joka on vastoin niiden kansainvälisten sääntöjen mukaisia velvoitteita. Kyberoperaatioihin sovellettavaa kansainvälistä oikeutta käsittelevä käsikirja ”Tallinn Manual 2.0” muodostaa erinomaisen perustan keskustelulle siitä, miten kansainvälistä oikeutta sovelletaan kybertoimintaympäristöön, ja jäsenvaltioiden on tärkeää alkaa nyt analysoida ja soveltaa tätä käsikirjaa.

Tarkistus    6

Ehdotus asetukseksi

Johdanto-osan 36 kappale

Komission teksti

Tarkistus

(36)  Viraston olisi otettava täysimääräisesti huomioon meneillään olevat tutkimus-, kehittämis- ja teknologian arviointitoimet erityisesti unionin eri tutkimusaloitteissa antaakseen unionin toimielimille, elimille, virastoille ja laitoksille sekä tarvittaessa jäsenvaltioille pyynnöstä neuvoja verkko- ja tietoturva-alan tutkimustarpeista varsinkin kyberturvallisuuskysymyksissä.

(36)  Viraston olisi otettava täysimääräisesti huomioon meneillään olevat tutkimus-, kehittämis- ja teknologian arviointitoimet erityisesti unionin eri tutkimusaloitteissa antaakseen unionin toimielimille, elimille, virastoille ja laitoksille sekä tarvittaessa jäsenvaltioille pyynnöstä neuvoja verkko- ja tietoturva-alan tutkimustarpeista varsinkin kyberturvallisuuskysymyksissä. Virastolle olisi myönnettävä lisätalousarvio tutkimus- ja kehitystoimintaa varten täydentämään olemassa olevia unionin tutkimusohjelmia.

Tarkistus    7

Ehdotus asetukseksi

Johdanto-osan 46 a kappale (uusi)

Komission teksti

Tarkistus

 

(46 a)  Viraston talousarviota laadittaessa olisi noudatettava tulosbudjetoinnin periaatetta ja otettava huomioon viraston tavoitteet ja sen tehtävistä odotetut tulokset.

Tarkistus    8

Ehdotus asetukseksi

4 artikla – 4 kohta

Komission teksti

Tarkistus

4.  Virasto edistää yhteistyötä ja koordinointia unionin tasolla jäsenvaltioiden, unionin toimielinten, virastojen ja elinten sekä asiaankuuluvien sidosryhmien välillä, mukaan lukien yksityinen sektori, kyberturvallisuuteen liittyvissä kysymyksissä.

4.  Virasto edistää yhteistyötä ja koordinointia unionin tasolla jäsenvaltioiden, unionin toimielinten, virastojen ja elinten sekä asiaankuuluvien sidosryhmien välillä, mukaan lukien yksityinen sektori, kyberturvallisuuteen liittyvissä kysymyksissä toiminnan koordinoimiseksi ja säästöjen aikaansaamiseksi, päällekkäisyyksien estämiseksi ja synergian sekä täydentävyyden edistämiseksi niiden toiminnassa.

Tarkistus    9

Ehdotus asetukseksi

9 artikla – 1 kohta – g a alakohta (uusi)

Komission teksti

Tarkistus

 

g a)  julkaisee tietoja toiminnastaan ja työnsä tuloksista sekä tuo niitä esille lisätäkseen näkyvyyttään ja kansalaisten tietoisuutta.

Tarkistus    10

Ehdotus asetukseksi

10 artikla – b a alakohta (uusi)

Komission teksti

Tarkistus

 

b a)  toteuttaa omaa tutkimustoimintaansa sellaisilla aloilla, joita olemassa olevat unionin tutkimusohjelmat eivät vielä kata, mutta jotka tuovat selvää eurooppalaista lisäarvoa.

Tarkistus    11

Ehdotus asetukseksi

13 artikla – 1 kohta

Komission teksti

Tarkistus

1.  Johtokuntaan kuuluu kustakin jäsenvaltiosta yksi edustaja ja kaksi komission nimittämää edustajaa. Kaikilla edustajilla on äänioikeus.

1.  Johtokuntaan kuuluu kustakin jäsenvaltiosta yksi edustaja, yksi Euroopan parlamentin nimittämä edustaja ja kaksi komission nimittämää edustajaa. Kaikilla edustajilla on äänioikeus.

Tarkistus    12

Ehdotus asetukseksi

26 artikla – 1 kohta – 1 alakohta (uusi)

Komission teksti

Tarkistus

 

Alustava ennakkoarvioesitys perustuu 21 artiklan 1 kohdassa tarkoitetun yhtenäisen ohjelma-asiakirjan tavoitteisiin ja odotettuihin tuloksiin, ja siinä on otettava huomioon näiden tavoitteiden ja odotettujen tulosten saavuttamiseksi tarvittavat taloudelliset resurssit tulosbudjetoinnin periaatteen mukaisesti.

Tarkistus    13

Ehdotus asetukseksi

36 artikla – 5 kohta

Komission teksti

Tarkistus

5.  Viraston toimihenkilöiden henkilökohtaista vastuuta virastoa kohtaan säännellään sen henkilöstöön sovellettavissa asiaa koskevissa määräyksissä.

5.  Viraston toimihenkilöiden henkilökohtaista vastuuta virastoa kohtaan säännellään sen henkilöstöön sovellettavissa asiaa koskevissa määräyksissä. Henkilöstön tehokas palvelukseenotto on varmistettava.

Tarkistus    14

Ehdotus asetukseksi

37 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Euroopan unionin elinten käännöskeskus huolehtii viraston toiminnan edellyttämistä käännöspalveluista.

2.  Euroopan unionin elinten käännöskeskus tai muu käännöspalvelujen tarjoaja huolehtii viraston toiminnan edellyttämistä käännöspalveluista julkisia hankintoja koskevien sääntöjen mukaisesti ja asiaa koskevien varainhoitosääntöjen rajoissa.

Tarkistus    15

Ehdotus asetukseksi

41 artikla – 2 kohta

Komission teksti

Tarkistus

2.  Viraston isäntäjäsenvaltion on tarjottava parhaat mahdolliset edellytykset viraston moitteettomalle toiminnalle, mukaan lukien toimivat liikenneyhteydet sijaintipaikalle, henkilöstön jäsenten lapsille soveltuvat koulunkäyntimahdollisuudet, puolisoiden mahdollisuudet päästä työmarkkinoille sekä riittävä sosiaaliturvan ja terveydenhuoltopalvelujen saatavuus lapsille ja puolisoille.

2.  Viraston isäntäjäsenvaltion on tarjottava parhaat mahdolliset edellytykset viraston moitteettomalle toiminnalle, mukaan lukien koko viraston sijoittaminen yhteen ainoaan paikkaan, toimivat liikenneyhteydet sijaintipaikalle, henkilöstön jäsenten lapsille soveltuvat koulunkäyntimahdollisuudet, puolisoiden mahdollisuudet päästä työmarkkinoille sekä riittävä sosiaaliturvan ja terveydenhuoltopalvelujen saatavuus lapsille ja puolisoille.

Perustelu

Viraston nykyinen järjestely, jossa sen hallinto toimii Iraklionissa ja ydintoiminnot hoidetaan Ateenassa, on osoittautunut tehottomaksi ja kalliiksi. ENISAn koko henkilöstön olisi siksi työskenneltävä samassa kaupungissa. Tässä kohdassa mainitut perusteet huomioon ottaen sijaintipaikan olisi oltava Ateena.

Tarkistus    16

Ehdotus asetukseksi

41 artikla – 2 a kohta (uusi)

Komission teksti

Tarkistus

 

2 a.  Sen jälkeen, kun komissio on toteuttanut toimielinten välisen virastojen resursseja käsittelevän työryhmän suositusten mukaisen arvioinnin, tarkistetaan viraston toimipaikkasopimusta ja tarkastellaan vastaavasti viraston sijaintipaikkaa.

ASIAN KÄSITTELYLAUSUNNON ANTAVASSA VALIOKUNNASSA

Otsikko

EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

Viiteasiakirjat

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Asiasta vastaava valiokunta

       Ilmoitettu istunnossa (pvä)

ITRE

23.10.2017

 

 

 

Lausunnon antanut valiokunta

       Ilmoitettu istunnossa (pvä)

BUDG

23.10.2017

Valmistelija

       Nimitetty (pvä)

Jens Geier

26.9.2017

Valiokuntakäsittely

21.3.2018

 

 

 

Hyväksytty (pvä)

16.5.2018

 

 

 

Lopullisen äänestyksen tulos

+:

–:

0:

22

4

0

Lopullisessa äänestyksessä läsnä olleet jäsenet

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Lopullisessa äänestyksessä läsnä olleet varajäsenet

Ivana Maletić, Andrey Novakov

LOPULLINEN ÄÄNESTYS NIMENHUUTOÄÄNESTYKSENÄLAUSUNNON ANTAVASSA VALIOKUNNASSA

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Symbolien selitys:

+  :  puolesta

-  :  vastaan

0  :  tyhjää

(1)

Tähän sisältyy 26 AD-toimea, 6 AST-toimea ja 9 kansallista asiantuntijaa. Siihen ei sisälly emopääosaston arvioituja tarpeita, sopimussuhteisia toimihenkilöitä eikä ulkoisia toimeksisaajia.

(2)

Arvio, jossa ei ole otettu huomioon EU:n rahoitusta vuoden 2020 jälkeen.


KANSALAISVAPAUKSIEN SEKÄ OIKEUS- JA SISÄASIOIDEN VALIOKUNNAN LAUSUNTO (16.3.2018)

teollisuus-, tutkimus- ja energiavaliokunnalle

ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))

Valmistelija: Jan Philipp Albrecht

LYHYET PERUSTELUT

Valmistelija suhtautuu myönteisesti komission ehdotukseen kyberturvallisuusasetukseksi(1), koska siinä määritellään paremmin ENISAn rooli muuttuneessa tietoteknisen turvallisuuden toimintaympäristössä ja kehitetään tietoteknisiin turvallisuusstandardeihin, -sertifiointiin ja -merkintöihin kohdistuvia toimenpiteitä, jotta tieto- ja viestintätekniikkaan perustuvien järjestelmien, kuten verkkoon liitettyjen laitteiden, turvallisuutta voidaan parantaa.

Valmistelija kuitenkin katsoo, että lisäparannuksia voitaisiin tehdä. Valmistelija uskoo vakaasti, että tietoturvallisuus on ensisijaisen tärkeää Euroopan perusoikeuskirjassa vahvistettujen kansalaisten perusoikeuksien suojelun sekä kyberrikollisuuden torjumisen ja demokratian ja oikeusvaltioperiaatteen suojaamisen kannalta.

Perusoikeudet: Huonosti suojatut järjestelmät voivat johtaa tietoturvaloukkauksiin tai identiteettivarkauksiin, jotka voivat aiheuttaa ihmisille todellista haittaa ja häiriötä, mukaan lukien ihmishenkeen, yksityisyyteen, ihmisarvoon tai omaisuuteen kohdistuvat riskit. Esimerkiksi todistajat saattavat joutua alttiiksi pelottelulle ja fyysiselle vahingolle tai naiset perheväkivallalle, jos heidän kotiosoitteensa paljastetaan. Esineiden internet sisältää myös fyysisiä toimilaitteita eikä vain antureita, ja ihmisten fyysinen koskemattomuus ja ihmishenki saattavat vaarantua tietojärjestelmiin kohdistuvien hyökkäysten vuoksi. Valmistelijan ehdottamissa tarkistuksissa keskitytään erityisesti EU:n perusoikeuskirjan 1, 2, 3, 6, 7, 8, 11 ja 17 artiklan suojeluun. Muodostumassa on myös valtiosääntöoikeudellista oikeuskäytäntöä, jossa yleisistä henkilöoikeuksista johdetaan erityinen ”perusoikeus tietoteknisten järjestelmien luottamuksellisuuteen ja koskemattomuuteen”(2) nykyiseen digitaaliseen maailmaan mukautettuna.

Kyberrikollisuuden torjunta: Joihinkin verkkorikollisuuden muotoihin, kuten verkkourkintaan tai talous- ja pankkipetoksiin, liittyy luottamuksen väärinkäyttöä, jota ei voida torjua tietoteknisillä turvallisuustoimenpiteillä, ja näiden rikosten osalta valmistelija pitää tervetulleena ehdotettuja säännöllisiä tiedotus- ja valistuskampanjoita, jotka on suunnattu loppukuluttajille ja jotka ENISA järjestää. Muihin verkkorikollisuuden muotoihin liittyy hyökkäyksiä tietojärjestelmiä vastaan, kuten hakkerointi tai palvelunestohyökkäykset, ja näiden rikosten osalta valmistelija uskoo, että tietoteknisen turvallisuuden vahvistaminen lujittaa tehokkaasti kyberrikollisuuden torjuntaa ja erityisesti sen ehkäisemistä.

Demokratia ja oikeusvaltioperiaate: Hallitusten ja valtiosta riippumattomien toimijoiden hyökkäykset tietoteknisiä järjestelmiä vastaan muodostavat selkeän ja kasvavan uhan demokratialle, kun niillä puututaan vapaisiin ja oikeudenmukaisiin vaaleihin esimerkiksi manipuloimalla tosiasioita ja mielipiteitä, vaikuttamalla kansalaisten äänestyskäyttäytymiseen, sekaantumalla vaaliprosessiin ja muuttamalla vaalitulosta tai horjuttamalla luottamusta vaalien rehellisyyttä kohtaan.

Valmistelija ehdottaa siksi LIBE-valiokunnan lausuntoluonnoksessaan komission ehdotuksen muuttamista siten, että keskitytään seuraaviin LIBE-valiokunnan kannalta tärkeisiin kysymyksiin:

•  Virastolla olisi oltava selkeämpi rooli, kun pyritään edistämään sitä, että kaikki eurooppalaisen tietoyhteiskunnan toimijat ottavat käyttöön ennaltaehkäiseviä ja vahvoja yksityisyyden suojaa parantavia tekniikoita ja tietoteknisiä turvallisuustoimenpiteitä.

•  Viraston olisi esitettävä toimintapolitiikkoja, joissa vahvistetaan selkeät vastuut kaikille tieto- ja viestintätekniikan toimintaympäristöön osallistuville, jos asianmukaisen tietoteknistä turvallisuutta koskevan huolellisuusvelvoitteen laiminlyönti voisi johtaa vakaviin turvallisuusvaikutuksiin tai valtaviin ympäristötuhoihin taikka laukaista systeemisen finanssi- tai talouskriisin.

•  Viraston olisi esitettävä selkeitä ja pakollisia tietoteknisen turvallisuuden perusvaatimuksia alan asiantuntijoita kuultuaan.

•  Viraston olisi esitettävä tietoteknisen turvallisuuden sertifiointijärjestelmää, jotta tieto- ja viestintätekniikan myyjät voivat antaa kuluttajille avoimemmin tietoa versiopäivitysmahdollisuuksista ja ohjelmistotuen kestosta. Tällaisen sertifiointijärjestelmän on oltava dynaaminen, koska turvallisuus on prosessi, jota on jatkuvasti parannettava.

•  Viraston olisi tehtävä tieto- ja viestintätekniikan tuotteiden valmistajien kannalta helpommaksi ja edullisemmaksi panna täytäntöön sisäänrakennetun turvallisuuden periaatteita julkaisemalla suuntaviivoja ja parhaita käytäntöjä.

•  Viraston olisi unionin toimielinten, elinten, toimistojen ja virastojen sekä jäsenvaltioiden pyynnöstä toteutettava niiden kriittisten infrastruktuurien säännöllisiä ennaltaehkäiseviä tietoteknisiä turvallisuustarkastuksia (tarkastamisoikeus).

•  Viraston olisi viipymättä raportoitava tietoteknisistä turvallisuushaavoittuvuuksista, jotka eivät vielä ole julkisesti valmistajien tiedossa. Virasto ei saisi salata tai hyödyntää yritysten ja tuotteiden julkistamattomia haavoittuvuuksia omiin tarkoituksiinsa. Kehittämällä, ostamalla ja hyödyntämällä tietoteknisten järjestelmien takaovia veronmaksajien rahoilla hallintoelimet vaarantavat kansalaisten turvallisuuden. Jotta voidaan suojella muita sidosryhmiä, jotka suhtautuvat tällaisiin haavoittuvuuksiin vastuullisesti, viraston olisi ehdotettava vastuullista tietojenvaihtoa varten toimintapolitiikkoja, jotka koskevat toistaiseksi julkistamattomia ”nollapäivän aukkoja” ja muita turvallisuushaavoittuvuuksia ja helpottavat niiden korjaamista.

•  Viraston olisi määriteltävä ja aloitettava unionissa pitkän aikavälin tietoteknistä turvallisuutta koskeva hanke, joka on laajuudeltaan vastaava kuin mitä ilmailualalla on toteutettu Airbusin yhteydessä, jotta unioni voi saavuttaa kolmansien maiden tietoteknisen turvallisuuden alan yritykset.

Komission ehdotuksessa olisi vältettävä ”kyberturvallisuus”-termin käyttöä, koska se on oikeudellisesti epämääräinen ja voi johtaa epävarmuuteen. Sen sijasta valmistelija ehdottaa ”kyberturvallisuuden” korvaamista ”tietoteknisellä turvallisuudella” oikeusvarmuuden parantamiseksi.

TARKISTUKSET

Kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta pyytää asiasta vastaavaa teollisuus-, tutkimus- ja energiavaliokuntaa ottamaan huomioon seuraavat tarkistukset:

Tarkistus    1

Ehdotus asetukseksi

Otsikko

Komission teksti

Tarkistus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

Euroopan verkko- ja tietoturvavirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan tietoteknisestä turvallisuussertifioinnista (”tietoteknistä turvallisuutta koskeva asetus”)

 

(Vastaava muutos tehdään kaikkialle tekstiin.)

Perustelu

Etuliite ”kyber” on peräisin 1960-luvun tieteiskirjallisuudesta, ja sitä on käytetty yhä enenevässä määrin kuvaamaan internetin kielteisiä piirteitä (kyberhyökkäys, kyberrikollisuus jne.), mutta se on oikeudellisesti perin epämääräinen. Valmistelija ehdottaa termin ”kyberturvallisuus” muuttamista ”tietotekniseksi turvallisuudeksi” oikeusvarmuuden nimissä.

Tarkistus    2

Ehdotus asetukseksi

Johdanto-osan 2 kappale

Komission teksti

Tarkistus

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin kyberturvallisuudessa. Sertifioinnin vähäinen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen kyberturvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin.

(2)  Verkko- ja tietojärjestelmien käyttö on nykyisin laajalla levinnyttä kansalaisten, yritysten ja julkishallinnon piirissä kaikkialla unionissa. Digitoinnista ja verkkoyhteyksistä on tulossa keskeisiä ominaisuuksia yhä useammissa tuotteissa ja palveluissa, ja esineiden internetin myötä EU:ssa ennakoidaan otettavan käyttöön miljoonia, ellei miljardeja, verkkoon kytkettyjä digitaalisia laitteita seuraavan vuosikymmenen aikana. Yhä useammat laitteet liitetään internetiin huolehtimatta samalla siitä, että turvallisuus ja resilienssi ovat riittävällä tavalla sisäänrakennettuja, mikä johtaa puutteisiin tietoteknisessä turvallisuudessa. Sertifioinnin vähäinen ja hajanainen käyttö johtaa tässä yhteydessä siihen, että organisaatiot ja yksittäiset käyttäjät eivät saa riittävästi tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen tietoteknisistä turvallisuusominaisuuksista, mikä heikentää luottamusta digitaalisiin ratkaisuihin. Tieto- ja viestintätekniikan verkot muodostavat digitaalituotteiden ja -palvelujen tukirakenteen, ja niillä voidaan tukea kansalaisten kaikkia elämänaloja ja edistää Euroopan talouskasvua. Jotta varmistetaan, että digitaalisten sisämarkkinoiden tavoitteet saavutetaan kaikilta osin, on huolehdittava siitä, että käytössä on välttämättömät teknologiset rakenneosat, joista ovat riippuvaisia sellaiset tärkeät alat kuin sähköiset terveyspalvelut, esineiden internet, tekoäly, kvanttiteknologia sekä älykkäät liikennejärjestelmät ja kehittyneet valmistusmenetelmät.

Tarkistus    3

Ehdotus asetukseksi

Johdanto-osan 4 kappale

Komission teksti

Tarkistus

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, kyberturvallisuusviranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että kyberturvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

(4)  Kyberhyökkäyksiä tapahtuu yhä enemmän, ja verkottunut talous ja yhteiskunta, jotka ovat alttiimpia kyberuhille ja -hyökkäyksille, edellyttävät vahvempaa ja suojatumpaa puolustusvalmiutta. Vaikka kyberhyökkäykset ovat usein rajatylittäviä, tietoteknisestä turvallisuudesta vastaavien viranomaisten poliittiset vastatoimet ja lainvalvontavaltuudet ovat enimmäkseen kansallisia. Laajamittaiset kyberturvallisuuspoikkeamat voivat häiritä keskeisten palvelujen tarjoamista koko EU:ssa. Tämä edellyttää tehokasta EU-tason reagointia ja kriisinhallintaa, jossa nojaudutaan kohdennettuihin politiikkoihin ja laaja-alaisempiin eurooppalaisen yhteisvastuun ja keskinäisen avunannon välineisiin. Politiikan laatijoille, toimialalle ja käyttäjille on tärkeää, että tietoteknisen turvallisuuden ja resilienssin tilaa unionissa arvioidaan säännöllisesti luotettavan unionin tiedon pohjalta ja että laaditaan järjestelmällisesti ennusteita tulevista kehityskuluista, haasteista ja uhkista sekä unionin tasolla että maailmanlaajuisesti.

Tarkistus    4

Ehdotus asetukseksi

Johdanto-osan 5 kappale

Komission teksti

Tarkistus

(5)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä ja koordinointia jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tarvitaan myös lisätoimia kansalaisten ja yritysten tietoisuuden lisäämiseksi kyberturvallisuuteen liittyvistä kysymyksistä. Lisäksi digitaalisiin sisämarkkinoihin tunnettua luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuustasosta. Tätä voidaan helpottaa EU:n laajuisella sertifioinnilla, joka tuo käyttöön yhteiset kyberturvallisuusvaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille.

(5)  Unioniin kohdistuvien tietoteknisten turvallisuushaasteiden lisääntymisen vuoksi tarvitaan kattava joukko toimenpiteitä, jotka pohjautuvat aiempaan unionin toimintaan ja edistävät toisiaan vahvistavia tavoitteita. Tähän sisältyy tarve lisätä jäsenvaltioiden ja yritysten valmiuksia ja varautumiskykyä sekä parantaa yhteistyötä ja koordinointia jäsenvaltioiden ja EU:n toimielinten, virastojen ja elinten välillä. Koska kyberuhkat ovat luonteeltaan rajattomia, on myös tarpeen lisätä valmiuksia unionin tasolla jäsenvaltioiden toimien täydentämiseksi erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien ja -kriisien tapauksessa. Tarvitaan myös lisätoimia koordinoitujen EU-tason toimien aikaansaamiseksi sekä kansalaisten ja yritysten tietoisuuden lisäämiseksi tietotekniseen turvallisuuteen liittyvistä kysymyksistä. Lisäksi digitaalisiin sisämarkkinoihin tunnettua luottamusta olisi edelleen parannettava tarjoamalla avointa tietoa tieto- ja viestintätekniikan tuotteiden ja palvelujen turvallisuustasosta. Tätä voidaan helpottaa EU:n laajuisella sertifioinnilla, joka tuo käyttöön yhteiset tietoteknistä turvallisuutta koskevat vaatimukset ja arviointiperusteet kansallisille markkinoille ja sektoreille. Unionin laajuisen sertifioinnin lisäksi on olemassa joukko markkinoilla laajasti hyväksyttyjä vapaaehtoisia toimenpiteitä, jotka koskevat tiettyä tuotetta, palvelua, käyttöä tai standardia. Olisi syytä edistää näitä toimenpiteitä sekä toimialan alhaalta ylöspäin suuntautuvaa lähestymistapaa, mukaan lukien sisäänrakennetun turvallisuuden käyttö, vivutus ja kansainvälisiin standardeihin vaikuttaminen.

Tarkistus    5

Ehdotus asetukseksi

Johdanto-osan 7 kappale

Komission teksti

Tarkistus

(7)  Unioni on jo toteuttanut merkittäviä toimia kyberturvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia kyberturvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä kyberturvallisuusalan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivillä otettiin käyttöön vaatimukset kansallisista valmiuksista kyberturvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa kyberturvallisuuden korkea taso.

(7)  Unioni on jo toteuttanut merkittäviä toimia tietoteknisen turvallisuuden varmistamiseksi ja luottamuksen lisäämiseksi digitaaliteknologioihin. Vuonna 2013 hyväksyttiin EU:n kyberturvallisuusstrategia ohjaamaan unionin poliittisia vastatoimia tietoteknisiin turvallisuusuhkiin ja -riskeihin. Tarjotakseen eurooppalaisille paremman suojan verkkoympäristössä unioni hyväksyi vuonna 2016 ensimmäisenä tietoteknisen turvallisuuden alan säädöksenä direktiivin (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa, jäljempänä ’verkko- ja tietoturvadirektiivi’. Verkko- ja tietoturvadirektiivi on digitaalisten sisämarkkinoiden strategian mukainen, ja yhdessä muiden välineiden, kuten [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun] direktiivin .../..., Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/6791 a ja Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY1 b, kanssa sillä otetaan käyttöön vaatimukset kansallisista valmiuksista tietoteknisen turvallisuuden alalla, ensimmäiset mekanismit jäsenvaltioiden strategisen ja operatiivisen yhteistyön tehostamiseksi sekä velvoitteet toteuttaa turvallisuustoimenpiteitä ja tehdä ilmoitukset poikkeamista talouden ja yhteiskunnan kannalta olennaisilla aloilla, kuten energia, liikenne, vesihuolto, pankkitoiminta, rahoitusmarkkinoiden infrastruktuurit, terveydenhuolto ja digitaalinen infrastruktuuri sekä keskeisten digitaalisten palvelujen (hakukoneet, pilvipalvelut ja verkossa toimivat markkinapaikat) tarjoajat. ENISAlle annettiin keskeinen rooli tukea direktiivin täytäntöönpanoa. Lisäksi kyberrikollisuuden tehokas torjunta on tärkeä prioriteetti Euroopan turvallisuusagendassa, joka tältä osin edistää yleistä tavoitetta saavuttaa tietoteknisen turvallisuuden korkea taso.

 

_______________

 

1 a Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

 

1 b Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

Tarkistus    6

Ehdotus asetukseksi

Johdanto-osan 8 kappale

Komission teksti

Tarkistus

(8)  Yleisesti tunnustetaan, että sen jälkeen, kun EU:n kyberturvallisuusstrategia hyväksyttiin vuonna 2013 ja viraston toimeksiantoa viimeksi tarkistettiin, yleinen poliittinen tilanne on muuttunut merkittävästi, myös epävarmemman ja vähemmän turvatun globaalin toimintaympäristön vuoksi. Tässä yhteydessä ja osana uutta unionin kyberturvallisuuspolitiikkaa on tarpeen tarkistaa ENISAn toimeksiantoa, jotta voidaan määritellä sen rooli muuttuneessa kyberturvallisuuden toimintaympäristössä ja varmistaa, että se auttaa tehokkaasti unionia vastaamaan tästä perusteellisesti muuttuneesta uhkaympäristöstä johtuviin kyberturvallisuushaasteisiin. Kuten viraston arvioinnissa todetaan, sen nykyinen toimeksianto ei ole riittävä näiden haasteiden kannalta.

(8)  Yleisesti tunnustetaan, että sen jälkeen, kun EU:n kyberturvallisuusstrategia hyväksyttiin vuonna 2013 ja viraston toimeksiantoa viimeksi tarkistettiin, yleinen poliittinen tilanne on muuttunut merkittävästi, myös epävarmemman ja vähemmän turvatun globaalin toimintaympäristön vuoksi. Tässä yhteydessä ja osana uutta unionin tietoteknistä turvallisuutta koskevaa politiikkaa on tarpeen tarkistaa ENISAn toimeksiantoa, jotta voidaan määritellä sen rooli muuttuneessa tietoteknisen turvallisuuden toimintaympäristössä ja varmistaa, että se omaksuu johtavan roolin, joka parantaa tehokkaasti unionin vastausta tästä perusteellisesti muuttuneesta uhkaympäristöstä johtuviin tietoteknisiin turvallisuushaasteisiin. Kuten viraston arvioinnissa todetaan, sen nykyinen toimeksianto ei ole riittävä näiden haasteiden kannalta.

Tarkistus    7

Ehdotus asetukseksi

Johdanto-osan 11 kappale

Komission teksti

Tarkistus

(11)  Unioniin kohdistuvien kyberturvallisuushaasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä.

(11)  Unioniin kohdistuvien tietoteknisten turvallisuushaasteiden lisääntyessä viraston määrärahoja ja henkilöresursseja olisi lisättävä siten, että ne vastaavat sen uutta roolia ja tehtäviä sekä sen keskeistä asemaa eurooppalaista digitaalista toimintaympäristöä puolustavassa organisaatioiden ekosysteemissä. Viraston valmiuksien lisäämiseen entisestään olisi kiinnitettävä asianmukaista huomiota.

Perustelu

On olennaisen tärkeää, että puutteet viraston valmiuksissa korjataan. On myös pyrittävä antamaan oikea suunta viraston pidemmälle menevälle kehittämiselle, koska kyberturvallisuus on nykyään kriittisen tärkeä ala ja varsinkin koska se on tulevaisuudessa vieläkin tärkeämpi. Tässä asiassa on otettava huomioon Venäjän puuttuminen vaaleihin, maailman supervaltojen ja valtioiden kasvavat valmiudet sekä keskeisten alojen välitön digitalisaatio.

Tarkistus    8

Ehdotus asetukseksi

Johdanto-osan 11 a kappale (uusi)

Komission teksti

Tarkistus

 

(11 a)  Tietoteknisen turvallisuuden alan haasteet kytkeytyvät digitaalisella aikakaudella usein läheisesti yhteen tietosuojaan, yksityiselämän suojaan ja sähköisen viestinnän suojaan liittyvien haasteiden kanssa. Jotta virasto pystyy vastaamaan näihin haasteisiin asianmukaisesti, on tarpeen taata tiivis yhteistyö Euroopan parlamentin ja neuvoston asetuksen (EY) 45/20011 a, asetuksen (EU) 2016/679, direktiivin (EU) 2016/680 ja asetuksen (EY) N:o 1211/2009 mukaisesti perustettujen elinten samoin kuin toimialan ja kansalaisyhteiskunnan kanssa sekä niiden usein tapahtuva kuuleminen.

 

________________

 

1 a Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

Tarkistus    9

Ehdotus asetukseksi

Johdanto-osan 12 kappale

Komission teksti

Tarkistus

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa. Lisäksi viraston olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Viraston tehtävänannossa olisi vahvistettava, miten viraston on määrä saavuttaa tavoitteensa niin, että se pystyy toimimaan joustavasti.

(12)  Viraston olisi kehitettävä ja ylläpidettävä korkealaatuista asiantuntemusta ja toimittava viitetahona, joka vahvistaa uskoa ja luottamusta sisämarkkinoihin riippumattomuutensa, antamansa neuvonnan ja levittämänsä tiedon laadun, menettelyjensä ja toimintatapojensa avoimuuden sekä tehtäviensä suorittamisessa osoittamansa huolellisuuden ansiosta. Viraston olisi aktiivisesti edistettävä kansallisia ja unionin toimia ja suoritettava tehtävänsä täydessä yhteistyössä unionin toimielinten, elinten, laitosten ja virastojen sekä jäsenvaltioiden kanssa. Lisäksi viraston olisi hyödynnettävä yksityisen sektorin ja muiden asiaankuuluvien sidosryhmien näkemyksiä ja niiden kanssa tehtävää yhteistyötä. Olisi määriteltävä selkeä toimintasuunnitelma sekä tehtävänanto ja tavoitteet, jotka viraston on määrä saavuttaa, ottaen kuitenkin asianmukaisesti huomioon, että se pystyy toimimaan tarvittavan joustavasti. Mahdollisuuksien mukaan olisi säilytettävä korkein avoimuuden ja tietojen levittämisen taso.

Tarkistus    10

Ehdotus asetukseksi

Johdanto-osan 14 kappale

Komission teksti

Tarkistus

(14)  Viraston lähtökohtaisena tehtävänä on edistää asianomaisen lainsäädännön johdonmukaista täytäntöönpanoa ja erityisesti verkko- ja tietoturvadirektiivin tehokasta täytäntöönpanoa, millä on olennainen merkitys kyberresilienssin lisäämisen kannalta. Koska kyberuhkaympäristö muuttuu nopeasti, on selvää, että jäsenvaltioita on tuettava omaksumalla kokonaisvaltaisempi, monialainen lähestymistapa kyberresilienssin rakentamiseen.

(14)  Viraston lähtökohtaisena tehtävänä on edistää asianomaisen lainsäädännön johdonmukaista täytäntöönpanoa ja erityisesti verkko- ja tietoturvadirektiivin, [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun] direktiivin .../..., asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY tehokasta täytäntöönpanoa, millä on olennainen merkitys kyberresilienssin lisäämisen kannalta. Koska tietotekninen turvallisuusuhkaympäristö muuttuu nopeasti, on selvää, että jäsenvaltioita on tuettava omaksumalla kokonaisvaltaisempi, monialainen lähestymistapa kyberresilienssin rakentamiseen.

Tarkistus    11

Ehdotus asetukseksi

Johdanto-osan 21 a kappale (uusi)

Komission teksti

Tarkistus

 

(21 a)  Komission olisi ehdotettava jäsenvaltioiden välisen pakollisen yhteistyön aloittamista kriittisen tietoinfrastruktuurin suojaamisessa.

Tarkistus    12

Ehdotus asetukseksi

Johdanto-osan 26 kappale

Komission teksti

Tarkistus

(26)  Ymmärtääkseen paremmin kyberturvallisuuteen liittyviä haasteita ja tarjotakseen strategista pitkän aikavälin neuvontaa jäsenvaltioille ja unionin toimielimille viraston on tarpeen analysoida nykyisiä ja kehittymässä olevia riskejä. Tätä varten viraston olisi yhteistyössä jäsenvaltioiden ja tarvittaessa tilastokeskusten ja muiden elinten kanssa kerättävä tarvittavaa tietoa sekä tehtävä analyysejä uusista teknologioista ja aihekohtaisia arviointeja teknologisten innovaatioiden odotettavissa olevista yhteiskunnallisista, oikeudellisista, taloudellisista ja sääntelyyn liittyvistä vaikutuksista verkko- ja tietoturvallisuuden ja erityisesti kyberturvallisuuden kannalta. Viraston olisi myös tuettava jäsenvaltioita ja unionin toimielimiä, virastoja ja elimiä kyberturvallisuuteen liittyvien uusien kehityssuuntausten kartoittamisessa ja kyberturvallisuuteen liittyvien ongelmien ehkäisyssä tekemällä analyyseja uhkista ja poikkeamista.

(26)  Ymmärtääkseen paremmin tietotekniseen turvallisuuteen liittyviä haasteita ja tarjotakseen strategista pitkän aikavälin neuvontaa jäsenvaltioille ja unionin toimielimille viraston on tarpeen analysoida nykyisiä ja kehittymässä olevia riskejä, poikkeamia ja haavoittuvuuksia. Tätä varten viraston olisi yhteistyössä jäsenvaltioiden ja tarvittaessa tilastokeskusten ja muiden elinten kanssa kerättävä tarvittavaa tietoa sekä tehtävä analyysejä uusista teknologioista ja aihekohtaisia arviointeja teknologisten innovaatioiden odotettavissa olevista yhteiskunnallisista, oikeudellisista, taloudellisista ja sääntelyyn liittyvistä vaikutuksista verkko- ja tietoturvallisuuden ja erityisesti tietoteknisen turvallisuuden kannalta. Viraston olisi myös tuettava jäsenvaltioita ja unionin toimielimiä, virastoja ja elimiä kyberturvallisuuteen liittyvien uusien kehityssuuntausten kartoittamisessa ja kyberturvallisuuteen liittyvien ongelmien ehkäisyssä tekemällä analyyseja uhkista, poikkeamista ja haavoittuvuuksista.

Tarkistus    13

Ehdotus asetukseksi

Johdanto-osan 28 kappale

Komission teksti

Tarkistus

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta kyberturvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten ja organisaatioiden käyttöön. Viraston pitäisi osaltaan edistää parhaita käytäntöjä ja ratkaisuja yksilöiden ja organisaatioiden tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla raportteja ohjeistuksen antamiseksi yrityksille ja kansalaisille ja yleisen varautumis- ja resilienssitason parantamiseksi. Viraston olisi myös järjestettävä yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita, joiden tarkoituksena on edistää turvallisempaa verkkokäyttäytymistä yksilötasolla ja lisätä tietoisuutta verkossa piilevistä mahdollisista uhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen sekä talous- ja pankkipetosten kaltainen kyberrikollisuus, sekä edistää yleisluonteisen neuvonnan antamista aitouden todentamista ja tietosuojaa koskevissa kysymyksissä. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta.

(28)  Viraston olisi autettava lisäämään yleisön tietoisuutta tietotekniseen turvallisuuteen liittyvistä riskeistä ja annettava yksittäisille käyttäjille ohjeita hyvistä toimintatavoista kansalaisten ja organisaatioiden käyttöön. Yleisen varautumis- ja resilienssitason parantamiseksi viraston pitäisi osaltaan edistää parhaita käytäntöjä ja ratkaisuja yksilöiden ja organisaatioiden tasolla keräämällä ja analysoimalla julkisesti saatavilla olevia tietoja merkittävistä poikkeamista ja kokoamalla raportteja ohjeistuksen antamiseksi yrityksille, kansalaisille ja asiaankuuluville viranomaisille unionin ja kansallisella tasolla. Viraston olisi myös järjestettävä yhteistyössä jäsenvaltioiden sekä unionin toimielinten, elinten, virastojen ja laitosten kanssa säännöllisiä loppukäyttäjille suunnattuja tiedotus- ja valistuskampanjoita. Näillä kampanjoilla olisi edistettävä tietoteknistä turvallisuuskasvatusta ja turvallisempaa verkkokäyttäytymistä yksilötasolla ja lisättävä tietoisuutta verkossa piilevistä mahdollisista uhkista, mukaan lukien verkkourkintayritysten, bottiverkkojen sekä talous- ja pankkipetosten, väärentämisen ja laittoman sisällön kaltainen kyberrikollisuus, sekä edistettävä tietosuojaa ja aitouden todentamista tieto- ja identiteettivarkauksien estämiseksi. Virastolla olisi oltava keskeinen rooli pyrittäessä lisäämään loppukäyttäjien tietoisuutta laitteiden turvallisuudesta.

Tarkistus    14

Ehdotus asetukseksi

Johdanto-osan 28 a kappale (uusi)

Komission teksti

Tarkistus

 

(28 a)  Viraston olisi lisättävä yleisön tietoisuutta riskeistä, jotka liittyvät tietopetostapahtumiin ja tietovarkauksiin, joilla voi olla vakavia vaikutuksia yksilöiden perusoikeuksiin ja jotka voivat uhata oikeusvaltioperiaatetta ja vaarantaa demokraattisten yhteiskuntien ja myös jäsenvaltioiden demokraattisten prosessien vakauden.

Tarkistus    15

Ehdotus asetukseksi

Johdanto-osan 30 kappale

Komission teksti

Tarkistus

(30)  Varmistaakseen tavoitteidensa täysimittaisen saavuttamisen viraston olisi oltava yhteydessä asiaankuuluviin toimielimiin, virastoihin ja elimiin, mukaan lukien CERT-EU, Europolissa toimiva Euroopan kyberrikostorjuntakeskus (EC3), Euroopan puolustusvirasto (EDA), laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), Euroopan lentoturvallisuusvirasto (EASA) sekä muut kyberturvallisuuteen liittyviä kysymyksiä käsittelevät EU:n virastot. Sen olisi oltava yhteydessä myös tietosuoja-asioita käsitteleviin viranomaisiin, jotta voidaan vaihtaa tietotaitoa ja parhaita käytäntöjä ja antaa neuvontaa kyberturvallisuusnäkökohdista, joilla voi olla vaikutusta niiden toimintaan. Kansallisten ja unionin lainvalvonta- ja tietosuojaviranomaisten edustajien olisi voitava olla edustettuina viraston pysyvässä sidosryhmässä. Ollessaan yhteydessä lainvalvontaviranomaisiin sellaisissa verkko- ja tietoturvakysymyksissä, joilla voi olla vaikutusta niiden toimintaan, viraston olisi käytettävä olemassa olevia tiedonvaihtokanavia ja vakiintuneita verkostoja.

(30)  Varmistaakseen tavoitteidensa täysimittaisen saavuttamisen viraston olisi oltava yhteydessä asiaankuuluviin toimielimiin, virastoihin ja elimiin, mukaan lukien CERT-EU, Europolissa toimiva Euroopan kyberrikostorjuntakeskus (EC3), Euroopan puolustusvirasto (EDA), laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), Euroopan lentoturvallisuusvirasto (EASA), Euroopan GNSS-virasto (GSA) sekä muut tietotekniseen turvallisuuteen liittyviä kysymyksiä käsittelevät EU:n virastot. Sen olisi oltava yhteydessä myös tietosuoja-asioita käsitteleviin unionin ja kansallisiin viranomaisiin, jotta voidaan vaihtaa tietotaitoa ja parhaita käytäntöjä ja antaa neuvontaa tietoteknisistä turvallisuusnäkökohdista, joilla voi olla vaikutusta niiden toimintaan. Kansallisten ja unionin lainvalvonta- ja tietosuojaviranomaisten edustajien olisi voitava olla edustettuina viraston pysyvässä sidosryhmässä. Ollessaan yhteydessä lainvalvontaviranomaisiin sellaisissa verkko- ja tietoturvakysymyksissä, joilla voi olla vaikutusta niiden toimintaan, viraston olisi käytettävä olemassa olevia tiedonvaihtokanavia ja vakiintuneita verkostoja.

Perustelu

Koska Galileossa ja varsinkin sen maasegmenteissä on ilmennyt kyberturvallisuusongelmia, yhteistyö Euroopan GNSS-viraston kanssa itse asiassa vahvistaa ENISAn roolia ja parantaa samalla Galileon uskottavuutta.

Tarkistus    16

Ehdotus asetukseksi

Johdanto-osan 35 kappale

Komission teksti

Tarkistus

(35)  Viraston olisi kannustettava jäsenvaltioita ja palveluntarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman kyberturvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä kyberturvallisuusnormeja. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen kyberturvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa ja palvelujensa turvallisuutta, mukaan lukien kyberturvallisuus.

(35)  Viraston olisi kannustettava jäsenvaltioita, laitteistojen ja ohjelmistojen valmistajia sekä verkkopalvelujen tarjoajia tiukentamaan yleisiä turvallisuusnormejaan, jotta kaikki internetin käyttäjät voivat toteuttaa tarvittavat toimenpiteet oman tietoteknisen turvallisuutensa varmistamiseksi. Erityisesti palveluntarjoajien ja tuotteiden valmistajien olisi poistettava tuotannosta tai kierrätettävä tuotteet ja palvelut, jotka eivät täytä tietoteknisiä turvallisuusnormeja. ENISA voi yhteistyössä toimivaltaisten viranomaisten kanssa levittää tietoa sisämarkkinoilla tarjottavien tuotteiden ja palvelujen tietoteknisestä turvallisuustasosta ja antaa varoituksia palveluntarjoajille ja valmistajille ja vaatia niitä parantamaan tuotteidensa ja palvelujensa tietoteknistä turvallisuutta. Viraston olisi tehtävä yhteistyötä sidosryhmien kanssa unionin laajuisen lähestymistavan kehittämiseksi haavoittuvuuksien vastuulliseen julkistamiseen ja edistettävä parhaita käytäntöjä tällä alalla.