Postupak : 2017/0225(COD)
Faze dokumenta na plenarnoj sjednici
Odabrani dokument : A8-0264/2018

Podneseni tekstovi :

A8-0264/2018

Rasprave :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Glasovanja :

PV 12/03/2019 - 9.17
Objašnjenja glasovanja

Doneseni tekstovi :

P8_TA(2019)0151

IZVJEŠĆE     ***I
PDF 1945kWORD 244k
30.7.2018
PE 619.373v03-00 A8-0264/2018

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Odbor za industriju, istraživanje i energetiku

Izvjestiteljica: Angelika Niebler

Izvjestitelj za mišljenje (*):

Nicola Danti, Odbor za unutarnje tržište i zaštitu potrošača

(*) Pridruženi odbor – Članak 54. Poslovnika

AMANDMANI
NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA
 OBRAZLOŽENJE
 MIŠLJENJE Odbora za unutarnje tržište i zaštitu potrošača
 MIŠLJENJE Odbora za proračune
 MIŠLJENJE Odbora za građanske slobode, pravosuđe i unutarnje poslove
 POSTUPAK U NADLEŽNOM ODBORU
 KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U NADLEŽNOM ODBORU

NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Redovni zakonodavni postupak: prvo čitanje)

Europski parlament,

–  uzimajući u obzir Prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2017)0477),

–  uzimajući u obzir članak 294. stavak 2. i članak 114. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela prijedlog Parlamentu (C8-0310/2017),

–  uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije,

–  uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora od 14. veljače 2018.(1),

–  uzimajući u obzir članak 59. Poslovnika,

–   uzimajući u obzir obrazloženo mišljenje francuskog Senata, podneseno u okviru protokola br. 2 o primjeni načela supsidijarnosti i proporcionalnosti, u kojemu se izjavljuje da nacrt zakonodavnog akta nije u skladu s načelom supsidijarnosti,

–  uzimajući u obzir izvješće Odbora za industriju, istraživanje i energetiku te mišljenja Odbora za unutarnje tržište i zaštitu potrošača, Odbora za proračun te Odbora za građanske poslove, pravosuđe i unutarnje poslove (A8-0264/2018),

1.  usvaja sljedeće stajalište u prvom čitanju;

2.  poziva Komisiju da predmet ponovno uputi Parlamentu ako zamijeni, bitno izmijeni ili namjerava bitno izmijeniti svoj Prijedlog;

3.  nalaže svojem predsjedniku da stajalište Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima.

Amandman    1

Prijedlog uredbe

Uvodna izjava 1.

Tekst koji je predložila Komisija

Izmjena

(1)  Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija podupire složene sustave kojima se podupiru društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(1)  Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija (IKT) podupire složene sustave kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

Amandman    2

Prijedlog uredbe

Uvodna izjava 2.

Tekst koji je predložila Komisija

Izmjena

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda, procesa i usluga, što smanjuje povjerenje u digitalna rješenja. Ta je ambicija u središtu plana reforme Europske komisije s ciljem postizanja jedinstvenog digitalnog tržišta jer mreže IKT-a čine okosnicu digitalnih proizvoda i usluga, koji imaju potencijal za podupiranje svih aspekata naših života i poticanje gospodarskog rasta Europe. Kako bi se osiguralo potpuno ispunjenje ciljeva jedinstvenog digitalnog tržišta, osnovne tehnološke sastavnice na koje se nadovezuju važna područja kao što su e-zdravstvo, internet stvari, umjetna inteligencija, kvantna tehnologija te inteligentni prometni sustavi i napredna proizvodnja moraju već biti u funkciji.

Amandman    3

Prijedlog uredbe

Uvodna izjava 3.

Tekst koji je predložila Komisija

Izmjena

(3)  Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

(3)  Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji. Akcijski plan za digitalno obrazovanje koji je Europska komisija objavila 17. siječnja 2018. u tom je pogledu korak u dobrom smjeru, a posebice kampanja povećanja osviještenosti o sigurnosti na internetu, kiberhigijeni i medijskoj pismenosti koja se provodi diljem EU-a i koja je usmjerena na učitelje, roditelje i učenike te inicijativa podučavanja o kibersigurnosti koja se temelji na okviru digitalne kompetencije za građane, kako bi se ljudima omogućilo da samouvjereno i odgovorno koriste tehnologiju.

Amandman    4

Prijedlog uredbe

Uvodna izjava 3.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(3 a)  Vjeruje da bi se ciljevi i zadaće ENISA-e trebali dodatno uskladiti s dijelovima Zajedničke komunikacije u kojima se govori o promicanju kiberhigijene i svijesti o njoj; napominje da se kiberotpornost može postići provedbom osnovnih načela kiberhigijene;

Amandman    5

Prijedlog uredbe

Uvodna izjava 3.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(3b)  ENISA bi u praksi trebala davati snažniju potporu kibersigurnosnoj industriji u Uniji utemeljenu na informacijama, posebno malim i srednjim poduzeća te inovativnim novoosnovanim poduzećima, koja su ključni izvori inovativnih rješenja u području kiberobrane, te bi trebala promicati tješnju suradnju s akademskim istraživačkim organizacijama i drugim velikim dionicima kako bi se smanjila ovisnost o kibersigurnosnim proizvodima koji ne potječu iz Unije i uspostavio strateški lanac opskrbe unutar Unije;

Amandman    6

Prijedlog uredbe

Uvodna izjava 4.

Tekst koji je predložila Komisija

Izmjena

(4)  Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(4)  Kibernapadi su sve češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Potrebe za osposobljavanjem u području kiberobrane znatne su i sve se više povećavaju, a na njih se najučinkovitije može odgovoriti suradnjom na razini Unije; Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman    7

Prijedlog uredbe

Uvodna izjava 5.

Tekst koji je predložila Komisija

Izmjena

(5)  Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacije u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

(5)  Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje, koordinacije i razmjene informacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza uz istovremeno isticanje važnosti održavanja i daljnjeg poboljšavanja nacionalnih sposobnosti za odgovaranje na kiberprijetnje svih razmjera. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, budući da kiberincidenti narušavaju povjerenje u pružatelje digitalnih usluga i u samo jedinstveno digitalno tržište, posebno u redovima potrošača, ono bi se trebalo dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda, procesa i usluga uz što je potrebno istaknuti da čak i visoka razina kibersigurnosne certifikacije nije jamstvo da su proizvod ili usluga IKT-a potpuno sigurni. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima, kao i promicanjem kiberpismenosti. Uz certifikaciju na razini EU-a i s obzirom na sve veću dostupnost povezanih digitalnih uređaja (uređaja interneta stvari – IoT), postoji niz dobrovoljnih mjera koje bi trebale biti poduzete u privatnom sektoru kako bi se ojačalo povjerenje u sigurnost IKT proizvoda, procesa i usluga, poput kriptiranja i tehnologija lanca blokova. Proračunska sredstava dodijeljena Agenciji trebala bi biti razmjerna izazovima koji se postavljaju kako bi se osigurala najbolja funkcionalnost pod trenutačnim okolnostima.

Amandman    8

Prijedlog uredbe

Uvodna izjava 5.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(5 a)  U svrhu jačanja europske sigurnosti i struktura kiberobrane, važno je održati i razviti sposobnosti država članica da daju sveobuhvatan odgovor na kiberprijetnje, uključujući prekogranične incidente dok koordinacija na razina EU-a koju provodi Agencija ne bi trebala voditi umanjivanju sposobnosti ili napora u državama članicama.

Amandman    9

Prijedlog uredbe

Uvodna izjava 5.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(5b)  Poduzeća, kao i pojedinačni klijenti, trebali bi imati točne informacije u pogledu sigurnosti svojih IKT proizvoda. Istovremeno je potrebno razumjeti da nijedan proizvod nije kibersiguran i da je potrebno promicati i prioritizirati osnovna pravila kiberhigijene.

Amandman    10

Prijedlog uredbe

Uvodna izjava 7.

Tekst koji je predložila Komisija

Izmjena

(7)  Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

(7)  Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS, čiji uspjeh uvelike ovisi o njezinoj učinkovitoj provedbi u državama članicama, zadovoljava se strategija jedinstvenog digitalnog tržišta, te se, zajedno s drugim instrumentima, kao što su Direktiva o Europskom zakoniku elektroničkih komunikacija, Uredba (EU) 2016/679 i Direktiva 2002/58/EZ, utvrđuju zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljaju prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvode obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

Amandman    11

Prijedlog uredbe

Uvodna izjava 8.

Tekst koji je predložila Komisija

Izmjena

(8)  Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

(8)  Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u kontekstu pozitivne uloge koju je Agencija imala tijekom proteklih godina u okupljanju stručnjaka, koordinaciji i izgradnji kapaciteta te u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

Amandman    12

Prijedlog uredbe

Uvodna izjava 11.

Tekst koji je predložila Komisija

Izmjena

(11)  S obzirom na sve veće izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

(11)  S obzirom na sve veće prijetnje izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav koji bi ENISA-i omogućili da učinkovito izvršava zadaće koje su joj dodijeljene ovom Uredbom.

Amandman    13

Prijedlog uredbe

Uvodna izjava 12.

Tekst koji je predložila Komisija

Izmjena

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama te izbjegavati dupliciranje posla, promicati sinergiju i komplementarnost te tako postići koordinaciju i fiskalne uštede. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog i javnog sektora i suradnji s njim i drugim relevantnim dionicima. Trebalo bi definirati jasan plan te skup zadataka i ciljeva kojima bi se utvrdilo na koji način Agencija treba ostvariti svoje ciljeve, pri čemu treba uzeti u obzir fleksibilnost koja je potrebna u njezinu radu. Kad je to moguće, treba održati najviši stupanj transparentnosti i širenja informacija.

Amandman    14

Prijedlog uredbe

Uvodna izjava 12.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(12 a)  Uloga Agencije trebala bi biti podložna kontinuiranim ocjenama i pravovremenim revizijama, posebice u pogledu njezine uloge koordiniranja država članica i njihovih nacionalnih tijela te buduće mogućnosti da će preuzeti ulogu jedinstvene kontaktne točke za države članice i tijela i institucije EU-a. Isto tako bi trebalo ocjenjivati ulogu Agencije u izbjegavanju fragmentacije unutarnjeg tržišta i mogućeg uvođenja obveznih programa certifikacije kibersigurnosti, ako situacija u budućnosti bude zahtijevala takav pomak, kao i ulogu Agencije u ocjeni proizvoda iz trećih zemalja koji ulaze na tržište EU-a te stavljanju poduzeća koji ne ispunjavaju kriterije EU-a na crnu listu.

Amandman    15

Prijedlog uredbe

Uvodna izjava 12.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(12b)  ENISA bi trebala dodatno ojačati svoje vlastite tehničke sposobnosti i stručnost kako bi državama članicama mogla pružiti odgovarajuću potporu u pogledu operativne suradnje. U tu svrhu Agencija bi trebala postupno osnažiti svoje osoblje zaduženo za tu zadaću kako bi samostalno mogla prikupljati i analizirati velik broj kibersigurnosnih prijetnji i zlonamjernih softvera različitih vrsta, provoditi forenzičku analizu i pomoći državama članicama u odgovoru na incidente velikih razmjera. Kako bi se izbjeglo udvostručavanje postojećih sposobnosti u državama članicama, ENISA bi na temelju postojećih resursa država članica trebala proširiti svoje znanje i kapacitete, prije svega privremenim upućivanjem nacionalnih stručnjaka u Agenciju, formiranjem udruženja stručnjaka, programima razmjene osoblja itd. Pri odabiru osoblja koje bi snosilo odgovornost u tom području, Agencija bi na postupan način trebala osigurati da ono zadovoljava određene kriterije za pružanje adekvatne potpore.

Amandman    16

Prijedlog uredbe

Uvodna izjava 13.

Tekst koji je predložila Komisija

Izmjena

(13)  Agencija bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i reviziju politike i zakonodavstva u području kibersigurnosti, uključujući zaštitu kritične informacijske infrastrukture i kiberotpornost. Agencija bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i zakonodavnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti.

(13)  Agencija bi trebala pomagati Komisiji davanjem savjeta, mišljenja i analiza u vezi sa svim pitanjima Unije koja se odnose na razvoj, ažuriranje i reviziju politike i zakonodavstva u području kibersigurnosti, uključujući zaštitu kritične informacijske infrastrukture i kiberotpornost. Agencija bi trebala djelovati kao referentna točka za pružanje savjeta i stručnog znanja o sektorskoj politici i zakonodavnim inicijativama Unije kada je riječ o pitanjima kibersigurnosti. Njezino stručno znanje bit će posebno potrebno u pripremi višegodišnjeg programa rada Unije za europske programe kibersigurnosne certifikacije. Agencija bi trebala redovito izvještavati Parlament o analizama i revizijama u području kibersigurnosti i razvoju svojih zadaća.

Amandman    17

Prijedlog uredbe

Uvodna izjava 14.

Tekst koji je predložila Komisija

Izmjena

(14)  Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(14)  Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, Direktive o Europskom zakoniku elektroničkih komunikacija, Uredbe (EU) 2016/679 i Direktive 2002/58/EZ, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

Amandman    18

Prijedlog uredbe

Uvodna izjava 15.

Tekst koji je predložila Komisija

Izmjena

(15)  Agencija bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti u cilju sprječavanja i otkrivanja problema i incidenata u području kibersigurnosti i odgovaranja na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. Agencija bi posebno trebala poduprijeti razvoj i jačanje nacionalnih CSIRT-ova u cilju postizanja visoke zajedničke razine njihove zrelosti u Uniji. Agencija bi trebala pomagati i u razvoju i ažuriranju strategija Unije i država članica o sigurnosti mrežnih i informacijskih sustava, posebno o kibersigurnosti, promicati njihovo širenje i pratiti napredak u njihovoj provedbi. Agencija bi trebala nuditi i osposobljavanja i obrazovne materijale javnim tijelima i, prema potrebi „osposobljavati voditelje osposobljavanja” kako bi pomogla državama članicama da razviju vlastite sposobnosti za osposobljavanje.

(15)  Agencija bi trebala pomagati državama članicama i institucijama, tijelima, uredima i agencijama Unije u njihovim naporima usmjerenima na izgradnju i jačanje sposobnosti i pripravnosti u cilju sprječavanja i otkrivanja problema i incidenata u području kibersigurnosti i odgovaranja na njih te u vezi sa sigurnošću mrežnih i informacijskih sustava. Agencija bi posebno trebala poduprijeti razvoj i jačanje nacionalnih CSIRT-ova u cilju postizanja visoke zajedničke razine njihove zrelosti u Uniji. Agencija bi trebala pomagati i u razvoju i ažuriranju strategija Unije i država članica o sigurnosti mrežnih i informacijskih sustava, posebno o kibersigurnosti, promicati njihovo širenje i pratiti napredak u njihovoj provedbi. S obzirom na to da su ljudske greške jedne od glavnih opasnosti za kibersigurnost, Agencija bi trebala nuditi i osposobljavanja i obrazovne materijale javnim tijelima i, u najvećoj mogućoj mjeri „osposobljavati voditelje osposobljavanja” kako bi pomogla državama članicama i institucijama i agencijama Unije da razviju vlastite sposobnosti za osposobljavanje. Agencija bi trebala poslužiti i kao kontaktna točka za države članice i institucije Unije koje bi trebali moći zatražiti pomoć od Agencije u okviru nadležnosti i uloga koje su joj dodijeljene.

Amandman    19

Prijedlog uredbe

Uvodna izjava 18.

Tekst koji je predložila Komisija

Izmjena

(18)  Agencija bi trebala objedinjavati i analizirati nacionalna izvješća CSIRT-ova i CERT-EU-a utvrđivanjem zajedničkih pravila, jezika i terminologije za razmjenu informacija. Agencija bi trebala uključiti i privatni sektor, u okviru Direktive NIS kojom je utvrđena osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini stvaranjem mreže CSIRT-ova.

(18)  Agencija bi trebala objedinjavati i analizirati nacionalna izvješća CSIRT-ova i CERT-EU-a utvrđivanjem zajedničkih pravila, jezika i terminologije za razmjenu informacija. Agencija bi trebala uključiti privatni i javni sektor, u okviru Direktive NIS kojom je utvrđena osnova za dobrovoljnu razmjenu tehničkih informacija na operativnoj razini stvaranjem mreže CSIRT-ova.

Amandman    20

Prijedlog uredbe

Uvodna izjava 19.

Tekst koji je predložila Komisija

Izmjena

(19)  Agencija bi trebala pridonijeti odgovoru na razini EU-a u slučaju prekograničnih kiberincidenata i kiberkriza velikih razmjera. Ta funkcija trebala bi uključivati prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te donositelja odluka koji su odgovorni za upravljanje krizom. Nadalje, Agencija bi mogla pružati tehničku pomoć u slučaju incidenata olakšavanjem odgovarajuće tehničke razmjene rješenja među državama članicama i obavješćivanjem javnosti. Agencija bi trebala poduprijeti postupak ispitivanjem načina takve suradnje s pomoću godišnjih vježbi u području kibersigurnosti.

(19)  Agencija bi trebala pridonijeti odgovoru na razini EU-a u slučaju prekograničnih kiberincidenata i kiberkriza velikih razmjera. Ta funkcija trebala bi uključivati sazivanje tijela država članica i pomaganje u koordinaciji njihova odgovora, prikupljanje relevantnih informacija i posredovanje između mreže CSIRT-ova i tehničke zajednice te donositelja odluka koji su odgovorni za upravljanje krizom. Nadalje, Agencija bi mogla pružati tehničku pomoć u slučaju incidenata, primjerice olakšavanjem odgovarajuće tehničke razmjene rješenja među državama članicama i obavješćivanjem javnosti. Agencija bi trebala poduprijeti postupak ispitivanjem načina takve suradnje s pomoću godišnjih vježbi u području kibersigurnosti. Agencija bi trebala poštovati nadležnosti država članica u pogledu kibersigurnosti, posebice one koje se odnose na javnu sigurnost, obranu, nacionalnu sigurnost i aktivnosti države u području kaznenog prava.

Amandman    21

Prijedlog uredbe

Uvodna izjava 25.

Tekst koji je predložila Komisija

Izmjena

(25)  Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći Agenciji ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija.

(25)  Države članice mogu pozvati poduzeća pogođena incidentom da surađuju pružanjem potrebnih informacija i pomoći Agenciji ne dovodeći u pitanje njihovo pravo na zaštitu poslovno osjetljivih informacija i informacija koje se odnose na javnu sigurnost.

Amandman    22

Prijedlog uredbe

Uvodna izjava 26.

Tekst koji je predložila Komisija

Izmjena

(26)  Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji i incidenata, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

(26)  Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike, incidente, prijetnje i ranjivosti. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji, incidenata i ranjivosti, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

Amandman    23

Prijedlog uredbe

Uvodna izjava 27.

Tekst koji je predložila Komisija

Izmjena

(27)  U cilju povećanja otpornosti Unije Agencija bi trebala razvijati izvrsnost u području sigurnosti internetske infrastrukture i ključnih infrastruktura pružanjem savjeta, smjernica i najbolje prakse. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, Agencija bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, agencija i tijela na razini EU-a i nacionalnoj razini.

(27)  U cilju povećanja otpornosti Unije Agencija bi trebala razvijati izvrsnost u području sigurnosti internetske infrastrukture i ključnih infrastruktura pružanjem savjeta, smjernica i najbolje prakse. Kako bi osigurala lakši pristup bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima, Agencija bi trebala razviti i održavati „informativni centar” Unije, središnji portal na kojem će javnost moći na jednom mjestu dobiti informacije o kibersigurnosti koje potječu od institucija, agencija i tijela na razini EU-a i nacionalnoj razini. Olakšavanje pristupa bolje strukturiranim informacijama o kibersigurnosnim rizicima i mogućim lijekovima trebalo bi pomoći državama članicama da ojačaju svoje kapacitete i usklade svoje prakse, čime bi povećale svoju ukupnu otpornost na kibernapade.

Amandman    24

Prijedlog uredbe

Uvodna izjava 28.

Tekst koji je predložila Komisija

Izmjena

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću, uključujući promicanjem obrazovanja, i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane, organizacije i poduzeća. Agencija bi trebala pridonositi i promicanju najbolje prakse kiberhigijene, što obuhvaća nekoliko praksi koje bi se trebale uvesti i redovno provoditi u cilju zaštite korisnika i poduzeća na internetu, i rješenja na razini pojedinaca, organizacija i poduzeća prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima te sastavljanjem i objavljivanjem izvješća i uputa u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. ENISA bi također trebala težiti tome da potrošačima pruži relevantne informacije o mjerodavnim prijedlozima programa, na primjer davanjem smjernica i preporuka o internetskim i neinternetskim tržištima. Agencija bi, nadalje, u skladu s akcijskim planom o digitalnom obrazovanju i u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, digitalne pismenosti i podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o višestrukoj autentikaciji, zakrpama, enkripciji, anonimizaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja i sigurnom korištenju usluga te širenju informacija na razini EU-a u pogledu integrirane sigurnosti, integrirane privatnosti te incidenata i odgovarajućih rješenja. U postizanju tog cilja Agencija bi trebala najbolje iskoristiti dostupne najbolje prakse i iskustva, posebice akademskih institucija i istraživača informatičke sigurnosti. S obzirom na to da su pogreške pojedinaca i neosviještenost o kiberrizicima glavni čimbenik nesigurnosti u kibersigurnosti, Agenciji bi se u najvećoj mogućoj mjeri na raspolaganje trebali staviti adekvatni resursi za izvršavanje njezine funkcije.

Amandman    25

Prijedlog uredbe

Uvodna izjava 28.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(28a)  Agencija bi trebala podizati razinu osviještenosti javnosti o rizicima od prijevara povezanih s podacima i od krađe podataka, koji mogu ozbiljno utjecati na temeljna prava pojedinaca te ugroziti vladavinu prava i stabilnost demokratskih društava, uključujući i demokratske procese u državama članicama.

Amandman    26

Prijedlog uredbe

Uvodna izjava 30.

Tekst koji je predložila Komisija

Izmjena

(30)  Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA) i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

(30)  Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, nadzornim tijelima EU-a i drugim nadležnim vlastima, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Agencijom za europski GNSS (GSA), Uredom tijela europskih regulatora za elektroničke komunikacije (BEREC), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom središnjom bankom (ESB), Europskim nadzornim tijelom za bankarstvo (EBA), Europskim odborom za zaštitu podataka (EDPB), Europskom agencijom za sigurnost zračnog prometa (EASA), i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s europskim organizacijama za normizaciju, relevantnim dionicima i nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u savjetodavnoj skupini ENISA-e. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže. Trebalo bi uspostaviti partnerstva s akademskim ustanovama u kojima su pokrenute istraživačke inicijative u relevantnim područjima, a za doprinos organizacija potrošača i ostalih organizacija trebali bi postojati odgovarajući kanali i te bi doprinose uvijek trebalo analizirati.

Amandman    27

Prijedlog uredbe

Uvodna izjava 31.

Tekst koji je predložila Komisija

Izmjena

(31)  Agencija, kao članica koja osigurava i tajništvo mreže CSIRT-ova, trebala bi podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u skladu sa svim relevantnim zadaćama mreže CSIRT-ova, kako su definirane u Direktivi NIS. Nadalje, Agencija bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima upravljaju ili koje oni štite i koje uključuju ili mogu uključivati najmanje dva CERT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova.

(31)  Agencija, kao članica koja osigurava i tajništvo mreže CSIRT-ova, trebala bi podupirati CSIRT-ove u državama članicama i CERT-EU u operativnoj suradnji u skladu sa svim relevantnim zadaćama mreže CSIRT-ova, kako su definirane u Direktivi NIS. Nadalje, Agencija bi trebala poticati i podržavati suradnju između relevantnih CSIRT-ova u slučaju incidenata, napada ili poremećaja mreža ili infrastrukture kojima upravljaju ili koje oni štite i koje uključuju ili mogu uključivati najmanje dva CERT-a uzimajući u obzir standardne operativne postupke mreže CSIRT-ova. Agencija na zahtjev Komisije ili države članice može provoditi redovite neovisne revizije informatičke sigurnosti ključne prekogranične infrastrukture u cilju identificiranja mogućih rizika i utvrđivanja preporuka za jačanje njezine otpornosti.

Amandman    28

Prijedlog uredbe

Uvodna izjava 33.

Tekst koji je predložila Komisija

Izmjena

(33)  Agencija bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. Agencija bi trebala promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim pridonošenjem uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije i njegovu održavanju, u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

(33)  Agencija bi trebala dalje razvijati i održavati svoje stručno znanje u području kibersigurnosne certifikacije radi potpore politici Unije u tom području. Agencija bi se trebala oslanjati na postojeće najbolje prakse i promicati prihvaćanje kibersigurnosne certifikacije u Uniji, među ostalim pridonošenjem uspostavi okvira za kibersigurnosnu certifikaciju na razini Unije i njegovu održavanju, u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

Amandman    29

Prijedlog uredbe

Uvodna izjava 35.

Tekst koji je predložila Komisija

Izmjena

(35)  Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

(35)  Agencija bi trebala poticati države članice, proizvođače i pružatelje usluga da povećaju opće sigurnosne standarde svojih proizvoda, procesa, usluga i sustava IKT-a koji bi trebali biti usklađeni s načelima integrirane i zadane sigurnosti, posebno pružanjem potrebnih ažuriranja, kako bi svi korisnici interneta bili osigurani i kako bi ih se potaknulo da poduzmu potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi opozvati, povući ili reciklirati proizvode i usluge koji ne zadovoljavaju osnovne obveze u pogledu kibersigurnosti, dok bi uvoznici i distributeri trebali osigurati da proizvodi, procesi, usluge i sustavi IKT-a koje stavljaju na tržište EU-a ispunjavaju primjenjive zahtjeve i ne predstavljaju rizik za europske potrošače. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda, procesa, usluga i sustava. Agencija bi trebala surađivati s dionicima u pogledu razvoja pristupa na razini EU-a za odgovorno otkrivanje ranjivosti te promicati najbolju praksu u tom području.

Amandman    30

Prijedlog uredbe

Uvodna izjava 36.

Tekst koji je predložila Komisija

Izmjena

(36)  Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti.

(36)  Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti. Konkretnije, trebalo bi uspostaviti suradnju s Europskim istraživačkim vijećem (ERC) i Europskim institutom za inovacije i tehnologiju (EIT) te u Deveti okvirni program za istraživanje i program Obzor 2020. uključiti istraživanja u području sigurnosti.

Amandman    31

Prijedlog uredbe

Uvodna izjava 36.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(36 a)  Norme su dobrovoljan i tržišno uvjetovan alat kojim se postavljaju tehnički zahtjevi i daju smjernice i koji proizlazi iz otvorenog, transparentnog i uključivog postupka. Agencija bi se trebala redovito savjetovati s europskim organizacijama za normizaciju i blisko surađivati s njima, osobito kad priprema europske programe kibersigurnosne certifikacije.

Amandman    32

Prijedlog uredbe

Uvodna izjava 37.

Tekst koji je predložila Komisija

Izmjena

(37)  Problemi kibersigurnosti globalni su problemi. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja sigurnosnih standarda, uključujući definiciju zajedničkih normi ponašanja, razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i zajednički globalni pristup tim pitanjima. U tu svrhu Agencija bi trebala, pružanjem, prema potrebi, potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije, podupirati daljnje uključivanje Unije i njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

(37)  Problemi kibersigurnosti globalni su problemi. Potrebna je i bliža međunarodna suradnja radi unaprjeđenja sigurnosnih standarda, uključujući definiciju zajedničkih normi i kodeksa ponašanja, korištenje međunarodnih standarda i razmjenu informacija, poticanje brže međunarodne suradnje kao odgovor na pitanja mrežne i informacijske sigurnosti, kao i zajednički globalni pristup tim pitanjima. U tu svrhu Agencija bi trebala, pružanjem, prema potrebi, potrebnog stručnog znanja i analize relevantnim institucijama, tijelima, uredima i agencijama Unije, podupirati daljnje uključivanje Unije i njezinu suradnju s trećim zemljama i međunarodnim organizacijama.

Amandman    33

Prijedlog uredbe

Uvodna izjava 40.

Tekst koji je predložila Komisija

Izmjena

(40)  Upravljački odbor sastavljen od država članica i Komisije trebao bi definirati opće usmjerenje rada Agencije i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru njegova izvršenja, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka Agencije, donošenje jedinstvenog programskog dokumenta, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora.

(40)  Upravljački odbor koji predstavlja države članice i Komisiju te dionike relevantne za ispunjavanje ciljeva Agencije trebao bi definirati opće usmjerenje rada Agencije i osigurati da ona obavlja svoje zadaće u skladu s ovom Uredbom. Upravljačkom odboru trebalo bi povjeriti ovlasti potrebne za izradu proračuna, provjeru njegova izvršenja, donošenje odgovarajućih financijskih pravila, uspostavu transparentnih radnih postupaka za donošenje odluka Agencije, donošenje jedinstvenog programskog dokumenta, donošenje svog poslovnika, imenovanje izvršnog direktora i odlučivanje o produljenju ili prestanku mandata izvršnog direktora. S obzirom na izrazito tehničke i znanstvene zadaće Agencije, članovi upravnog odbora morali bi imati odgovarajuće iskustvo i visoku razinu stručnog znanja u područjima koje potpadaju pod djelokrug zadaća Agencije.

Amandman    34

Prijedlog uredbe

Uvodna izjava 41.

Tekst koji je predložila Komisija

Izmjena

(41)  U cilju pravilnog i djelotvornog funkcioniranja Agencije Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo u područjima njezina djelovanja. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada.

(41)  U cilju pravilnog i djelotvornog funkcioniranja Agencije Komisija i države članice trebale bi osigurati da osobe koje će imenovati u Upravljački odbor imaju odgovarajuća stručna znanja i iskustvo u područjima njezina djelovanja. Komisija i države članice također bi trebale ograničiti učestalost izmjena njihovih predstavnika u Upravljačkom odboru kako bi se osigurao kontinuitet njihova rada. Zbog visoke tržišne vrijednosti vještina potrebnih u radu Agencije neophodno je zajamčiti da su plaće i socijalni uvjeti ponuđeni svom osoblju Agencije konkurentni te osigurati da se u Agenciju privuku najbolji stručnjaci.

Obrazloženje

Kako bi se osigurala odgovarajuća razina stručnog znanja, ENISA treba biti konkurentni poslodavac na veoma konkurentnom tržištu.

Amandman    35

Prijedlog uredbe

Uvodna izjava 42.

Tekst koji je predložila Komisija

Izmjena

(42)  Kako bi se osiguralo nesmetano funkcioniranje Agencije, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost, a svoje dužnosti obavlja potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog programa rada Agencije i poduzeti sve potrebne korake kako bi osigurao njegovo pravilno izvršenje. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, sastaviti nacrt izvješća o procjenama prihoda i rashoda Agencije te izvršavati proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim standardima struke, uzimajući pritom u obzir ravnotežu među predstavnicima kada je to potrebno s obzirom na predmetna specifična pitanja, između javnih uprava država članica, institucija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

(42)  Kako bi se osiguralo nesmetano funkcioniranje Agencije, njezin izvršni direktor imenuje se na temelju zasluga i dokazanih administrativnih i rukovoditeljskih sposobnosti, kao i sposobnosti i iskustava relevantnih za kibersigurnost, a svoje dužnosti obavlja potpuno neovisno. Izvršni direktor trebao bi, nakon prethodnog savjetovanja s Komisijom, pripremiti prijedlog programa rada Agencije i poduzeti sve potrebne korake kako bi osigurao njegovo pravilno izvršenje. Izvršni direktor trebao bi izraditi godišnje izvješće koje se dostavlja Upravljačkom odboru, sastaviti nacrt izvješća o procjenama prihoda i rashoda Agencije te izvršavati proračun. Nadalje, izvršni direktor trebao bi imati mogućnost osnivanja ad hoc radnih skupina za rješavanje određenih pitanja, a posebno pitanja znanstvene, tehničke, pravne ili socioekonomske prirode. Izvršni direktor trebao bi osigurati odabir članova ad hoc radnih skupina u skladu s najvišim standardima struke, uzimajući pritom u obzir ravnotežu među predstavnicima i ravnotežu spolova kada je to potrebno s obzirom na predmetna specifična pitanja, između javnih uprava država članica, institucija Unije i privatnog sektora, uključujući industriju, korisnike i akademske stručnjake iz područja mrežne i informacijske sigurnosti.

Amandman    36

Prijedlog uredbe

Uvodna izjava 44.

Tekst koji je predložila Komisija

Izmjena

(44)  Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije.

(44)  Agencija bi trebala imati Savjetodavnu skupinu ENISA-e kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Savjetodavna skupina ENISA-e, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastavom Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebala bi se osigurati dostatna zastupljenost dionika u radu Agencije. S obzirom na važnost zahtjeva u pogledu certifikacije, da bi se osiguralo povjerenje u internet stvari, Komisija će posebno razmotriti provedbene mjere kojima bi se zajamčilo usklađivanje sigurnosnih normi za uređaje povezane internetom stvari na razini EU-a.

Amandman    37

Prijedlog uredbe

Uvodna izjava 44.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(44 a)  Agencija bi trebala imati Interesnu skupinu za postupak certificiranja kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Interesna skupina za postupak certificiranja koju osniva izvršni direktor trebala bi se sastojati od općeg savjetodavnog odbora koji će pružati informacije o tome koje proizvode i usluge IKT-a treba obuhvatiti budućim europskim programima informatičke sigurnosne certifikacije te ad hoc odbore koji će pružati informacije u pogledu predlaganja, razvoja i donošenja predloženih europskih kibersigurnosnih programa.

Amandman    38

Prijedlog uredbe

Uvodna izjava 46.

Tekst koji je predložila Komisija

Izmjena

(46)  Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti.

(46)  Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Prikladan proračun od presudne je važnosti kako bi se osiguralo da Agencija ima dovoljne kapacitete za ispunjavanje svih svojih zadaća i ciljeva, koji su sve brojniji. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti te svrsishodnosti rashoda.

Amandman    39

Prijedlog uredbe

Uvodna izjava 47.

Tekst koji je predložila Komisija

Izmjena

(47)  Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, proces, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, procesa, usluge, sustava ili njihove kombinacije („IKT proizvodi i usluge”) koju obavlja neovisna treća strana koja nije proizvođač proizvoda ili pružatelj usluge. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(47)  Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, proces, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, procesa, usluge, sustava ili njihove kombinacije („IKT proizvodi, procesi i usluge”) koju obavlja neovisna treća strana ili, kada je to dozvoljeno, proizvođač proizvoda ili pružatelj usluge. Samoocjenu može provoditi proizvođač proizvoda, mala i srednja poduzeća ili pružatelj usluga, kako je utvrđeno u ovoj Uredbi, i, ako je primjenjivo, kako je predviđeno novim zakonodavnim okvirom. Samoocjenu može, međutim, provoditi proizvođač proizvoda ili operator ako se ne očekuje velika ili znatna vjerojatnost incidenta povezanog s kibersigurnošću i/ili vjerojatnost da će takav incident nanijeti znatnu štetu društvu ili njegovom velikom dijelu, uzimajući u obzir namijenjenu upotrebu dotičnog proizvoda ili usluge koju je proizvođač proizvoda ili pružatelj usluge predvidio. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda, procesa i usluga i o tome se propisno moraju obavijestiti potrošači i poduzeća. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi, procesi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama. Te tehničke norme uključuju i naznaku o tome mogu li IKT proizvod, proces i usluga izvršavati svoje redovite funkcije ako nisu spojeni na internet.

Amandman    40

Prijedlog uredbe

Uvodna izjava 48.

Tekst koji je predložila Komisija

Izmjena

(48)  Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava određena razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS. U Komunikaciji iz 2016.

(48)  Europska kibersigurnosna certifikacija ima ključnu ulogu u jačanju povjerenja u IKT proizvode, procese i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava visoka razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS. U Komunikaciji iz 2016.

Amandman    41

Prijedlog uredbe

Uvodna izjava 49.

Tekst koji je predložila Komisija

Izmjena

(49)  „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda i usluga na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i postupaka certificiranja na razini EU-a neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. S jedne strane, time je europskim poduzećima otežano tržišno natjecanje na nacionalnoj, europskoj i svjetskoj razini. S druge strane, ograničen je izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima. Slično tomu, u preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi i navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosnog certificiranja u području IKT-a moglo očuvati povjerenje u internet i riješiti trenutačni problem rascjepkanosti kibersigurnosnog tržišta.

(49)  „Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti” Komisija je istaknula potrebu za visokokvalitetnim, povoljnim i interoperabilnim proizvodima i rješenjima za kibersigurnost. Ponuda IKT proizvoda, procesa i usluga na jedinstvenom tržištu vrlo je zemljopisno rascjepkana. To je zato što se industrija kibersigurnosti u Europi u velikoj mjeri razvila na temelju potražnje nacionalnih vlada. Nadalje, nepostojanje interoperabilnih rješenja (tehničke norme), praksi i postupaka certificiranja na razini EU-a neki su od nedostataka koji utječu na jedinstveno tržište kibersigurnosti. S jedne strane, time je europskim poduzećima otežano tržišno natjecanje na nacionalnoj, europskoj i svjetskoj razini. S druge strane, ograničen je izbor održivih i iskoristivih kibersigurnosnih tehnologija koje su dostupne građanima i poduzećima. Slično tomu, u preispitivanju provedbe Strategije jedinstvenog digitalnog tržišta na sredini provedbenog razdoblja Komisija je istaknula da su potrebni sigurni povezani proizvodi i sustavi i navela je da bi se stvaranjem europskog okvira za sigurnost IKT-a kojim se utvrđuju pravila o organizaciji sigurnosnog certificiranja u području IKT-a moglo očuvati povjerenje u internet i riješiti trenutačni problem rascjepkanosti kibersigurnosnog tržišta.

Amandman    42

Prijedlog uredbe

Uvodna izjava 50.

Tekst koji je predložila Komisija

Izmjena

(50)  Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

(50)  Trenutačno se kibersigurnosna certifikacija IKT proizvoda, procesa i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode, procese i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, što će povećati njihove troškove. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razina jamstva utemeljenih na riziku, materijalnih kriterija i stvarne upotrebe. Međusobno priznavanje i povjerenje među državama članicama ključan je element u tom pogledu. ENISA ima važnu ulogu u pružanju pomoći državama članicama kako bi one razvile čvrste institucijske strukture i stručno znanje u području zaštite od mogućih kibernapada. Potreban je pristup kojim se svaki slučaj uzima u obzir posebno kako bi se osiguralo da usluge, procesi i proizvodi podliježu odgovarajućim programima certifikacije. K tome, potreban je pristup utemeljen na riziku za učinkovitu identifikaciju i ublažavanje rizika, pri čemu treba uvidjeti da univerzalni program nije moguć.

Amandman    43

Prijedlog uredbe

Uvodna izjava 52.

Tekst koji je predložila Komisija

Izmjena

(52)  S obzirom na navedeno nužno je uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

(52)  S obzirom na navedeno nužno je usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito Skupinu viših dužnosnika za sigurnost informacijskih sustava (SOG-IS), te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode, procese i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Ako je europski program kibersigurnosne certifikacije zamijenio nacionalni program, certifikati izdani u okviru europskog programa trebali bi se prihvaćati kao valjani u slučajevima u kojima je potrebna certifikacija na temelju nacionalnog programa. Programi certificiranja trebali bi se u načelu voditi integriranom sigurnošću i načelima iz Uredbe (EU) 2016/679. Trebali bi također biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman    44

Prijedlog uredbe

Uvodna izjava 52.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(52a)  Taj europski okvir za kibersigurnosnu certifikaciju treba na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u troškovima i razini zahtjevnosti među državama članicama.

Amandman    45

Prijedlog uredbe

Uvodna izjava 52.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(52b)  Napominje da bi se programi certifikacije trebali temeljiti na onome što već postoji na nacionalnoj i međunarodnoj razini, pri čemu je potrebno učiti od sadašnjih pozitivnih primjera te analizirati i ispraviti nedostatke.

Amandman    46

Prijedlog uredbe

Uvodna izjava 52.c (nova)

Tekst koji je predložila Komisija

Izmjena

 

(52c)  Potrebna su fleksibilna rješenja kako bi taj sektor bio korak ispred zlonamjernih napada i prijetnji te bi se stoga trebalo osigurati da programi certifikacije brzo ne postanu zastarjeli.

Amandman    47

Prijedlog uredbe

Uvodna izjava 53.

Tekst koji je predložila Komisija

Izmjena

(53)  Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda i usluga. Programe bi trebala provoditi i nadzirati nacionalna tijela za nadzor certifikacije, a certifikati izdani na temelju tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certificiranja kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene Uredbe. Međutim, tijela koja provode takve programe mogu Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa.

(53)  Komisija bi trebala imati ovlasti donositi europske programe kibersigurnosne certifikacije za određene skupine IKT proizvoda, procesa i usluga. Programe bi trebala provoditi i nadzirati nacionalna tijela za nadzor certifikacije, a certifikati izdani na temelju tih programa trebali bi biti valjani i priznati u cijeloj Uniji. Programi certificiranja kojima upravlja industrija ili privatne organizacije trebali bi biti izvan područja primjene Uredbe. Međutim, tijela koja provode takve programe mogu Komisiji predložiti da razmotri odobravanje tih programa kao europskih programa. Agencija bi trebala identificirati i ocijeniti programe koje industrija ili privatne organizacije već koriste radi odabira najboljih praksi koje bi mogle postati dio europskog programa. Akteri u sektoru mogu provesti samoocjenu svojih proizvoda ili usluga prije certifikacije, čime pokazuju da su njihovi proizvodi ili usluge spremni za postupak certifikacije ako to bude potrebno ili ako se zatraži.

Amandman    48

Prijedlog uredbe

Uvodna izjava 53.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(53 a)  Agencija i Komisija trebale bi na najbolji mogući način iskoristiti već postojeće programe certifikacije na razini EU-a i/ili na međunarodnoj razini. ENISA bi trebala moći ocijeniti koji su postojeći programi adekvatni te ih se može uvrstiti u europsko zakonodavstva u suradnji s europskim organizacijama za normizaciju i, koliko je to moguće, međunarodno priznati. Postojeće dobre prakse trebalo bi prikupljati i dijeliti među državama članicama.

Amandman    49

Prijedlog uredbe

Uvodna izjava 54.

Tekst koji je predložila Komisija

Izmjena

(54)  Odredbama ove Uredbe ne bi se trebalo dovoditi u pitanje zakonodavstvo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda i usluga. U Uredbi (EU) 2016/679 (Opća uredba o zaštiti podataka) propisane su odredbe o uspostavi programa certificiranja te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim postupcima certificiranja i pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih proizvoda i usluga. Ovom Uredbom ne dovodi se u pitanje certificiranje postupaka obrade podataka, uključujući kada su ti postupci ugrađeni u proizvode i usluge, u skladu s Općom uredbom o zaštiti podataka.

(54)  Odredbama ove Uredbe ne bi se trebalo dovoditi u pitanje zakonodavstvo Unije kojim se propisuju posebna pravila o certifikaciji IKT proizvoda, procesa i usluga. U Uredbi (EU) 2016/679 (Opća uredba o zaštiti podataka) propisane su odredbe o uspostavi programa certificiranja te pečata i oznaka za zaštitu podataka za potrebe dokazivanja usklađenosti s Uredbom postupaka obrade koje obavljaju voditelji ili izvršitelji obrade. Tim postupcima certificiranja i pečatima i oznakama za zaštitu podataka trebalo bi se osobama čiji se podaci obrađuju omogućiti da brzo ocijene razinu zaštite podataka relevantnih proizvoda i usluga. Ovom Uredbom ne dovodi se u pitanje certificiranje postupaka obrade podataka, uključujući kada su ti postupci ugrađeni u proizvode i usluge, u skladu s Općom uredbom o zaštiti podataka.

Amandman    50

Prijedlog uredbe

Uvodna izjava 55.

Tekst koji je predložila Komisija

Izmjena

(55)  Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, procesa, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

(55)  Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi, usluge i procesi koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini rizika, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, procesa, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima, uslugama i procesima. IKT proizvodi, usluge i procesi i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima, uslugama i procesima trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije. Sve aktere u opskrbnom lancu trebalo bi poticati da razviju i usvoje sigurnosne norme, tehničke norme i načela integrirane sigurnosti u svim fazama životnog ciklusa proizvoda, usluge ili procesa; svi programi europske kibersigurnosne certifikacije trebali bi biti oblikovani tako da ostvare taj cilj.

Amandman    51

Prijedlog uredbe

Uvodna izjava 56.

Tekst koji je predložila Komisija

Izmjena

(56)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

(56)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode, procese ili usluge na temelju opravdanih razloga, ponajprije postojećih nacionalnih programa kibersigurnosne certifikacije koji fragmentiraju unutarnje tržište; trenutačne ili buduće potrebe da se podupre zakonodavstvo Unije; ili mišljenja skupine država članica za certifikaciju ili interesne skupine za certifikaciju. Nakon procjene prijedloga programa koje je predložila ENISA na zahtjev Komisije, Komisija bi trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u tim bi europskim programima kibersigurnosne certifikacije trebalo odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

Amandman    52

Prijedlog uredbe

Uvodna izjava 56.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56 a)  Agencija bi trebala biti referentna točka za informacije o europskim programima za kibersigurnost. Na njezinim internetskim stranicama trebale bi biti dostupne sve relevantne informacije, uključujući one koje se odnose na certifikate koji su povučeni ili im je istekao rok valjanosti te na nacionalne certifikate. Agencija bi trebala osigurati da odgovarajući dio sadržaja njezine internetske stranice bude razumljiv potrošačima.

Amandman    53

Prijedlog uredbe

Uvodna izjava 56.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56 b)  Definiranje razina jamstva za certifikate potrebno je kako bi se krajnjim korisnicima naznačilo koje se očekivane vrste kiberprijetnji mjerama kibersigurnosti u okviru proizvoda, procesa ili usluge nastoje spriječiti. Kiberprijetnje se moraju definirati uzimajući u obzir očekivani rizik i sposobnosti autora ili autora napada u kontekstu očekivane uporabe IKT proizvoda, procesa ili usluga. „Osnovna” razina jamstva odnosi se na sposobnost sprječavanja napada koji se mogu izbjeći osnovnim mjerama kibersigurnosti i koji se mogu jednostavno provjeriti preispitivanjem tehničke dokumentacije. „Znatna” razina jamstva odnosi se na sposobnost sprečavanja poznatih vrsta napada koje izvodi napadač s određenom razinom sofistikacije, ali s ograničenim sredstvima. „Visoka” razina jamstva odnosi se na sposobnost sprečavanja nepoznatih ranjivosti i sofisticiranih napada s pomoću najnovijih tehnika i znatnih resursa, kao što su financirani multidisciplinarni timovi.

Amandman    54

Prijedlog uredbe

Uvodna izjava 56.c (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56 c)  Kako bi se izbjegla fragmentacija unutarnjeg tržišta zbog nacionalnih programa kibersigurnosti, poduprlo buduće zakonodavstvo te povećalo povjerenje i sigurnost, Komisiji treba delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije u vezi s određivanjem prioriteta u pogledu europskog programa kibersigurnosne certifikacije, donošenja kliznog programa te donošenja europskih programa certificiranja. Posebno je važno da Komisija provodi odgovarajuća savjetovanja tijekom pripremnog rada, uključujući na stručnoj razini, te da se ta savjetovanja provode u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

Amandman    55

Prijedlog uredbe

Uvodna izjava 56.d (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56d)  Među metodama ocjenjivanja i postupcima procjene povezanima s europskim programom kibersigurnosne certifikacije trebalo bi promicati etičko hakiranje, čiji je cilj lociranje slabosti i osjetljivosti uređaja i informatičkih sustava predviđanjem planiranih akcija i vještina zlonamjernih hakera.

Amandman    56

Prijedlog uredbe

Uvodna izjava 57.

Tekst koji je predložila Komisija

Izmjena

(57)  Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije.

(57)  Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode, postupke i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi delegiranim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije. Međutim, ova Uredba ne bi trebala dovesti u pitanje nacionalne programe prema kojima su države članice nadležne kada je riječ o upravljanju IKT proizvodima, procesima i uslugama koji se koriste za potrebe u okviru njihove suverene domene.

Amandman    57

Prijedlog uredbe

Uvodna izjava 57.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(57 a)  Obveza izdavanja deklaracije proizvoda koja sadrži strukturirane informacije o certifikaciji tog proizvoda, procesa ili usluge uvedena je kako bi se potrošačima pružilo više informacija i omogućio utemeljen odabir.

Amandman    58

Prijedlog uredbe

Uvodna izjava 57.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(57b)  Pri predlaganju novih europskih programa kibersigurnosti, ENISA i druga relevantna tijela trebali bi obratiti pozornost na dinamiku tržišnog natjecanja prijedloga, posebno vodeći računa o tome da ako u predmetnom sektoru ima mnogo malih i srednjih poduzeća, kao što su poduzeća za razvoj softvera, programi certificiranja ne predstavljaju prepreku ulasku novih poduzeća i inovacijama.

Amandman    59

Prijedlog uredbe

Uvodna izjava 57.c (nova)

Tekst koji je predložila Komisija

Izmjena

 

(57c)  Europski programi kibersigurnosti pomoći će u usklađivanju i ujednačavanju kibersigurnosnih praksi u Uniji. Oni, međutim, ne smiju predstavljati minimalne razine kibersigurnosti. Pri osmišljavanju europskih programa kibersigurnosti također treba voditi računa o razvoju inovacija u području kibersigurnosti te ostaviti prostor za to.

Amandman    60

Prijedlog uredbe

Uvodna izjava 58.

Tekst koji je predložila Komisija

Izmjena

(58)  Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

(58)  Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda, procesa ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru, bilo gdje u Uniji. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba. Agencija bi trebala provoditi revizije kako bi se osigurala ujednačena razina kvalitete i obavljanja zadaća tijela za ocjenjivanje sukladnosti s ciljem izbjegavanja regulatorne arbitraže. Rezultate bi trebalo dostaviti Agenciji, Komisiji i Parlamentu te bi trebali biti javno dostupni.

Amandman    61

Prijedlog uredbe

Uvodna izjava 58.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(58 a)  Obvezna uporaba europske kibersigurnosne certifikacije trebala bi biti ograničena na slučajeve u kojima analiza rizika opravdava trošak za industriju, građane i potrošače. Incidenti kojima se remeti pružanje ključnih usluga mogu ugroziti gospodarsku aktivnost, prouzročiti znatne financijske gubitke, narušiti povjerenje korisnika i nanijeti znatnu štetu gospodarstvu Unije. Obvezna uporaba europske kibersigurnosne certifikacije od strane operatora koji pružaju ključne usluge trebala bi biti ograničena na one elemente koji su ključni za njihovo funkcioniranje i ne bi trebala obuhvaćati proizvode, procese i usluge za opću uporabu, čime bi se stvorio neopravdani trošak za industriju i potrošače. Komisija bi zajedno sa skupinom za suradnju, osnovanom u skladu s člankom 11. Direktive (EU) 2016/1148, trebala raditi na definiranju popisa kategorija proizvoda, procesa i usluga koji su posebno namijenjeni za operatore ključnih usluga i čije bi neispravno djelovanje u slučaju incidenta moglo imati znatan negativan učinak na pružanje ključne usluge. Taj bi se popis trebao izrađivati postepeno te po potrebi ažurirati. Za operatore ključnih usluga obvezni bi trebali biti samo proizvodi, procesi i usluge s tog popisa.

Amandman    62

Prijedlog uredbe

Uvodna izjava 58.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(58 b)  Unakrsno upućivanje u nacionalnom zakonodavstvu koje se odnosi na nacionalnu normu koja je prestala proizvoditi pravne učinke zbog stupanja na snagu Europskog programa certifikacije može biti izvor zabune kod proizvođača i krajnjih korisnika. Kako bi se izbjeglo da proizvođači nastave provoditi specifikacije koje odgovaraju nacionalnim certifikatima koji više nisu na snazi, države bi članice trebale, u skladu sa svojim obvezama prema Ugovorima, prilagoditi svoje nacionalno zakonodavstvo kako bi se uzelo u obzir usvajanje Europskog programa certifikacije.

Amandman    63

Prijedlog uredbe

Uvodna izjava 59.

Tekst koji je predložila Komisija

Izmjena

(59)  Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije.

(59)  Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije, te da se pobrinu za to da su europski certifikati o sigurnosti priznati na njihovu državnom području. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, ili u pogledu navodnih nepriznavanja certifikata na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije, ili o nepriznavanju europskih certifikata o kibersigurnosti. Nadalje, ona bi trebala nadzirati i provjeravati sukladnost vlastitih izjava o sukladnosti, kao i to jesu li europske kibersigurnosne certifikate izdala tijela za ocjenjivanje sukladnosti prema zahtjevima iz ove Uredbe, uključujući pravila koja je usvojila Europska skupina za kibersigurnosnu certifikaciju i zahtjeve odgovarajućeg europskog programa kibersigurnosne certifikacije. Učinkovita suradnja nacionalnih tijela za nadzor certifikacije ključna je za ispravnu provedbu europskih programa za kibersigurnosnu certifikaciju i tehničkih pitanja koja se odnose na kibersigurnost IKT proizvoda i usluga. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i Sustava brzog uzbunjivanja za opasne neprehrambene proizvode (RAPEX) kojima se koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

Amandman    64

Prijedlog uredbe

Uvodna izjava 60.

Tekst koji je predložila Komisija

Izmjena

(60)  Radi osiguranja dosljedne primjene europskog okvira kibersigurnosne certifikacije trebalo bi osnovati Europsku skupinu za kibersigurnosnu certifikaciju („skupina”) koja se sastoji od nacionalnih tijela za nadzor certifikacije. Glavne bi zadaće skupine trebale biti savjetovanje Komisije i pomoć Komisiji u radu kako bi se osigurala dosljedna provedba i primjena europskog okvira za kibersigurnosnu certifikaciju; pomoć Agenciji i suradnju s njome u izradi prijedloga programa kibersigurnosne certifikacije; preporuka Komisiji da od Agencije zatraži izradu prijedloga europskog programa kibersigurnosne certifikacije i donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije.

(60)  Radi osiguranja dosljedne primjene europskog okvira kibersigurnosne certifikacije trebalo bi osnovati Skupinu država članica za certifikaciju koja se sastoji od nacionalnih tijela za nadzor certifikacije. Glavne bi zadaće Skupine država članica za certifikaciju trebale biti savjetovanje Komisije i pomoć Komisiji u radu kako bi se osigurala dosljedna provedba i primjena europskog okvira za kibersigurnosnu certifikaciju; pomoć Agenciji i suradnju s njome u izradi prijedloga programa kibersigurnosne certifikacije; preporuka Komisiji da od Agencije zatraži izradu prijedloga europskog programa kibersigurnosne certifikacije; i donošenje mišljenja upućenih Komisiji o održavanju i preispitivanju postojećih europskih programa kibersigurnosne certifikacije.

Amandman    65

Prijedlog uredbe

Uvodna izjava 60.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(60 a)  Kako bi se osigurala istovrijednost razine osposobljenosti tijela za ocjenjivanje sukladnosti, olakšalo uzajamno priznavanje i promicalo opće prihvaćanje potvrda o certifikaciji i rezultata ocjenjivanja sukladnosti koje izdaju tijela za ocjenjivanje sukladnosti, nacionalna tijela za nadzor certifikacije trebaju koristiti strog i transparentan sustav uzajamnog vrednovanja i redovito provoditi takva vrednovanja.

Amandman    66

Prijedlog uredbe

Uvodna izjava 60.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(60 b)  Učinkovita suradnja između nacionalnih tijela za nadzor certifikacije ključna je za pravilnu provedbu uzajamnog vrednovanja i s obzirom na prekograničnu akreditaciju. Zbog transparentnosti je stoga potrebno predvidjeti obvezu da nacionalna tijela za nadzor certifikacije međusobno razmjenjuju informacije i dostavljaju odgovarajuće podatke nacionalnim tijelima i Komisiji. Ažurirani i točni podaci o dostupnosti akreditacijskih djelatnosti koje provode nacionalna akreditacijska tijela trebaju također biti javni te prema tomu dostupni posebno za tijela za ocjenjivanje sukladnosti.

Amandman    67

Prijedlog uredbe

Uvodna izjava 61.

Tekst koji je predložila Komisija

Izmjena

(61)  U cilju podizanja razine osviještenosti i radi lakšeg prihvaćanja budućih programa kibersigurnosti EU-a Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda i usluga.

(61)  U cilju podizanja razine osviještenosti i radi lakšeg prihvaćanja budućih programa kibersigurnosti EU-a Europska komisija može izdati opće ili sektorske smjernice u području kibersigurnosti, na primjer o dobroj praksi u području kibersigurnosti ili odgovornom ponašanju povezanom s kibersigurnošću, ističući pozitivan učinak uporabe certificiranih IKT proizvoda, procesa i usluga.

Amandman    68

Prijedlog uredbe

Uvodna izjava 63.

Tekst koji je predložila Komisija

Izmjena

(63)  Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije koje se bave izradom delegiranih akata.

(63)  Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima i relevantnim dionicima, prema potrebi. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije koje se bave izradom delegiranih akata.

Amandman    69

Prijedlog uredbe

Uvodna izjava 65.

Tekst koji je predložila Komisija

Izmjena

(65)  Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(65)  Nadalje, mogli bi se donijeti delegirani akti o europskim programima kibersigurnosne certifikacije za IKT proizvode, procese i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

Amandman    70

Prijedlog uredbe

Uvodna izjava 66.

Tekst koji je predložila Komisija

Izmjena

(66)  Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

(66)  Rad Agencije trebao bi se ocjenjivati kontinuirano i neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća, posebno njezinu koordinacijsku ulogu u odnosu na države članice i njihova nacionalna tijela. U slučaju preispitivanja, Komisija bi trebala ocijeniti sposobnost Agencije da djeluje kao jedinstvena kontaktna točka za države članice te institucije i tijela Unije.

Amandman    71

Prijedlog uredbe

Uvodna izjava 66.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(66 a)  Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje. U slučaju preispitivanja Komisija bi trebala ocijeniti ulogu Agencije u procjeni proizvoda i usluga iz trećih zemalja koji ulaze na tržište Unije te njezinu sposobnost sastavljanja crne liste poduzeća koja ne poštuju pravila Unije.

Amandman    72

Prijedlog uredbe

Uvodna izjava 66.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(66 b)  Tom bi se ocjenom trebala analizirati razina kibersigurnosti proizvoda i usluga koji se prodaju u Uniji. U slučaju preispitivanja Komisija bi trebala ocijeniti treba li uključiti ključne zahtjeve o kibersigurnosti kao uvjet za pristup unutarnjem tržištu.

Amandman    73

Prijedlog uredbe

Članak 1. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  utvrđuju se ciljevi, zadaće i ustrojstveni aspekti ENISA-e (agencije EU-a za kibersigurnost), dalje u tekstu „Agencija”; i

(a)  utvrđuju se ciljevi, zadaće i ustrojstveni aspekti Agencije Europske unije za mrežnu i informacijsku sigurnost („Agencija”); i

Amandman    74

Prijedlog uredbe

Članak 1. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

(b)  utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe izbjegavanja fragmentacije programa certifikacije u Uniji i osiguranja prikladne razine kibersigurnosti IKT proizvoda, procesa i usluga u Uniji koji se primjenjuje ne dovodeći u pitanje posebne odredbe o dobrovoljnoj i, po potrebi, obveznoj certifikaciji u skladu s ovom Uredbom ili drugim aktima Unije.

Amandman    75

Prijedlog uredbe

Članak 1. – stavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Agencija obavlja svoje zadaće ne dovodeći u pitanje kompetencije država članica u pogledu kibersigurnosti, a posebno, kompetencije država članica u pogledu javne sigurnosti, obrane, nacionalne sigurnosti i kaznenog prava.

Amandman    76

Prijedlog uredbe

Članak 2. – stavak 1. – točka 1.

Tekst koji je predložila Komisija

Izmjena

(1)  „kibersigurnost” obuhvaća sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, njihovih korisnika i osoba na koje utječu;

(1)  „kibersigurnost” znači sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, njihovih korisnika i osoba na koje utječu;

Amandman    77

Prijedlog uredbe

Članak 2. – stavak 1. – točka 2.

Tekst koji je predložila Komisija

Izmjena

(2)  „mrežni i informacijski sustav” znači sustav u smislu članka 4. točke 1. Direktive (EU) 2016/1148;

(2)  „mrežni i informacijski sustav” znači mrežni i informacijski sustav kako je utvrđeno člankom 4. točkom 1. Direktive (EU) 2016/1148;

Amandman    78

Prijedlog uredbe

Članak 2. – stavak 1. – točka 3.

Tekst koji je predložila Komisija

Izmjena

(3)  „nacionalna strategija za sigurnost mrežnih i informacijskih sustava” znači okvir u smislu članka 4. točke 3. Direktive (EU) 2016/1148;

(3)  „nacionalna strategija za sigurnost mrežnih i informacijskih sustava” znači nacionalna strategija za sigurnost mrežnih i informacijskih sustava kako je utvrđeno člankom 4. točkom 3. Direktive (EU) 2016/1148;

Amandman    79

Prijedlog uredbe

Članak 2. – stavak 1. – točka 4.

Tekst koji je predložila Komisija

Izmjena

(4)  „operator ključne usluge” znači javni ili privatni subjekt definiran u članku 4. točki 4. Direktive (EU) 2016/1148;

(4)  „operator ključne usluge” znači operator ključne usluge definiran u članku 4. točki 4. Direktive (EU) 2016/1148;

Amandman    80

Prijedlog uredbe

Članak 2. – stavak 1. – točka 5.

Tekst koji je predložila Komisija

Izmjena

(5)  „pružatelj digitalnih usluga” znači svaka pravna osoba koja pruža digitalnu uslugu kako je definirano člankom 4. točkom 6. Direktive (EU) 2016/1148;

(5)  „pružatelj digitalnih usluga” znači pružatelj digitalnih usluga kako je definirano člankom 4. točkom 6. Direktive (EU) 2016/1148;

Amandman    81

Prijedlog uredbe

Članak 2. – stavak 1. – točka 6.

Tekst koji je predložila Komisija

Izmjena

(6)  „incident” znači bilo koji događaj kako je definiran u članku 4. točki 7. Direktive (EU) 2016/1148;

(6)  „incident” znači incident kako je definiran u članku 4. točki 7. Direktive (EU) 2016/1148;

Amandman    82

Prijedlog uredbe

Članak 2. – stavak 1. – točka 7.

Tekst koji je predložila Komisija

Izmjena

(7)  „rješavanje incidenta” znači svi postupci kako su definirani u članku 4. točki 8. Direktive (EU) 2016/1148;

(7)  „rješavanje incidenta” znači rješavanje incidenta kako je definirano u članku 4. točki 8. Direktive (EU) 2016/1148;

Amandman    83

Prijedlog uredbe

Članak 2. – stavak 1. – točka 8.

Tekst koji je predložila Komisija

Izmjena

(8)  „kiberprijetnja” znači svaka moguća okolnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

(8)  „kiberprijetnja” znači svaka moguća okolnost, događaj ili bilo koja namjerna radnja, uključujući automatski nalog, koji bi mogli oštetiti, poremetiti ili na drugi način negativno utjecati na mrežne i informacijske sustave, njihove korisnike i pogođene osobe.

Amandman    84

Prijedlog uredbe

Članak 2. – stavak 1. – točka 8.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(8 a)  „kiberhigijena” znači jednostavne rutinske mjere koje, kada ih na internetu korisnici i poduzeća primjenjuju i redovito provode, smanjuju njihovu izloženost rizicima od kibernetičkih prijetnji.

Amandman    85

Prijedlog uredbe

Članak 2. – stavak 1. – točka 9.

Tekst koji je predložila Komisija

Izmjena

(9)  „europski program kibersigurnosne certifikacije” znači sveobuhvatni skup pravila, tehničkih zahtjeva, normi i postupaka definiranih na razini Unije koji se primjenjuju na certificiranje proizvoda i usluga informacijske i komunikacijske tehnologije (IKT) obuhvaćenih područjem primjene tog programa;

(9)  „europski program kibersigurnosne certifikacije” znači sveobuhvatni skup pravila, tehničkih zahtjeva, normi i postupaka definiranih na razini Unije i u skladu s međunarodnim i europskim normama i IKT specifikacijama koje je odobrila Agencija, koji se primjenjuju na certificiranje proizvoda, procesa i usluga informacijske i komunikacijske tehnologije (IKT) obuhvaćenih područjem primjene tog programa;

Amandman    86

Prijedlog uredbe

Članak 2. – stavak 1. – točka 10.

Tekst koji je predložila Komisija

Izmjena

(10)  „europski kibersigurnosni certifikat” znači dokument koji izdaje tijelo za ocjenjivanje sukladnosti kojim se potvrđuje da IKT proizvod ili usluga ispunjavaju određene zahtjeve utvrđene u europskom programu kibersigurnosne certifikacije;

(10)  „europski kibersigurnosni certifikat” znači dokument koji izdaje tijelo za ocjenjivanje sukladnosti kojim se potvrđuje da IKT proizvod ili usluga ili proces ispunjavaju određene zahtjeve utvrđene u europskom programu kibersigurnosne certifikacije;

Amandman    87

Prijedlog uredbe

Članak 2. – stavak 1. – točka 11.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(11 a)  „IKT proces” znači bilo koji skup aktivnosti koje se provode u cilju osmišljavanja, razvoja, održavanja i isporuke IKT proizvoda ili usluge;

Amandman    88

Prijedlog uredbe

Članak 2. – stavak 1. – točka 11.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(11 b)  „potrošački elektronički uređaj” znači uređaji koji se sastoje od hardvera i softvera koji obrađuju osobne podatke ili se spajaju na internet u svrhu kućne automatizacije i rada kontrolnih kućanskih uređaja, uredskih uređaja, opreme za usmjeravanje i uređaja koji se povezuju na mrežu, kao što su pametni televizori, igračke i igraće konzole, virtualni ili osobni asistenti, povezani uređaji za prijenos (streaming), nosiva elektronika, sustavi za glasovne naredbe i virtualnu stvarnost;

Amandman    89

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.

Tekst koji je predložila Komisija

Izmjena

(16)  „norma” znači norma kako je definirana u članku 2. točki 1. Uredbe (EU) br. 1025/2012.

(16)  „norma, tehnička specifikacija i IKT tehnička specifikacija” znači norma, tehnička specifikacija i IKT tehnička specifikacija kako je definirana u članku 2. točkama 1., 4. i 5. Uredbe (EU) br. 1025/2012;

Amandman    90

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(16 a)  „nacionalno tijelo za nadzor certifikacije” znači tijelo koje imenuje svaka država članica u skladu s člankom 50. ove Uredbe;

Amandman    91

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(16 b)  „samoocjena” znači izjava kojom proizvođač izjavljuje da su ispunjeni određeni zahtjevi utvrđeni programom certifikacije koji se odnose na proizvode, procese i usluge;

Amandman    92

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.c (nova)

Tekst koji je predložila Komisija

Izmjena

 

(16 c)  „zadana sigurnost” znači situaciju u kojoj bi, ako se proizvod, softver ili proces može instalirati na način kojim se jamči najviši stupanj sigurnosti, prvi korisnik trebao dobiti zadanu konfiguraciju s najsigurnijim mogućim postavkama. Ako se na pojedinačnoj osnovi analiza rizika i upotrebljivosti pokaže da takve postavke nisu ostvarive, korisnike bi trebalo upozoriti da se odluče za najsigurniju postavku.

Amandman    93

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.d (nova)

Tekst koji je predložila Komisija

Izmjena

 

(16 d)  „operatori ključne usluge” znači operatori ključne usluge kako je definirano u članku 4. točki 4. Direktive (EU) 2016/1148.

Amandman    94

Prijedlog uredbe

Članak 3. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi pridonijela ostvarivanju visoke razine kibersigurnosti u Uniji.

1.  Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom te joj se pruža pomoć kako bi pridonijela ostvarivanju visoke zajedničke razine informacijske sigurnosti, u cilju sprečavanja kibernapada u Uniji, smanjenja fragmentacije na unutarnjem tržištu i poboljšanja njegova funkcioniranja te jamčenja dosljednosti uzimanjem u obzir postignuća država članica na planu suradnje u skladu s Direktivom NIS.

Amandman    95

Prijedlog uredbe

Članak 4. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Agencija djeluje kao stručni centar za kibersigurnost zahvaljujući svojoj neovisnosti, znanstvenoj i tehničkoj kvaliteti savjeta i pomoći koje pruža i informacija koje stavlja na raspolaganje, transparentnosti svojih operativnih postupaka i načina rada te revnosti u obavljanju zadaća.

1.  Agencija djeluje kao centar tehničke i praktične stručnosti za kibersigurnost zahvaljujući svojoj neovisnosti, znanstvenoj i tehničkoj kvaliteti savjeta i pomoći koje pruža i informacija koje stavlja na raspolaganje, transparentnosti svojih operativnih postupaka i načina rada te revnosti u obavljanju zadaća.

Amandman    96

Prijedlog uredbe

Članak 4. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Agencija pomaže institucijama, agencijama i tijelima Unije te državama članicama u razvoju i provedbi politika povezanih s kibersigurnošću.

2.  Agencija pomaže institucijama, agencijama i tijelima Unije te državama članicama u razvoju i provedbi politika povezanih s kibersigurnošću te u podizanju osviještenosti među građanima i poduzećima.

Amandman    97

Prijedlog uredbe

Članak 4. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Agencija podupire jačanje kapaciteta i pripravnosti u cijeloj Uniji na način da Uniji, državama članicama i javnim i privatnim dionicima pomaže da povećaju zaštitu svojih mrežnih i informacijskih sustava, razviju vještine i sposobnosti u području kibersigurnosti i postanu kiberotporne.

3.  Agencija podupire jačanje kapaciteta i pripravnosti u cijeloj Uniji na način da institucijama, agencijama i tijelima Unije, državama članicama i javnim i privatnim dionicima pomaže da povećaju zaštitu svojih mrežnih i informacijskih sustava, razviju i poboljšaju kiberotpornost i sposobnost reagiranja na prijetnje, povećaju razinu svijesti i razviju vještine i sposobnosti u području kibersigurnosti te postanu kiberotporne.

Amandman    98

Prijedlog uredbe

Članak 4. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću.

4.  Agencija promiče suradnju, koordinaciju i dijeljenje informacija na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, u pitanjima povezanima s kibersigurnošću.

Amandman    99

Prijedlog uredbe

Članak 4. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Agencija povećava kibersigurnosne sposobnosti na razini Unije kako bi dopunila djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

5.  Agencija doprinosi povećavanju kibersigurnosne sposobnosti na razini Unije kako bi dopunila djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata, i kako bi provodila svoju zadaću pomaganja institucijama Unije u izradi politika povezanih s kibersigurnošću.

Amandman    100

Prijedlog uredbe

Članak 4. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6.  Agencija promiče uporabu certifikacije, među ostalim i pridonošenjem uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti kibersigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište.

6.  Agencija promiče uporabu certifikacije kako bi se izbjegla fragmentiranost unutarnjeg tržišta i poboljšalo njegovo funkcioniranje, među ostalim i pridonošenjem uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti kibersigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište te povećanja kompatibilnosti između postojećih nacionalnih i međunarodnih programa certificiranja.

Amandman    101

Prijedlog uredbe

Članak 4. – stavak 7.

Tekst koji je predložila Komisija

Izmjena

7.  Agencija promiče visoku razinu osviještenosti građana i poduzeća o pitanjima povezanima s kibersigurnošću.

7.  Agencija promiče i podupire projekte koji doprinose visokoj razini osviještenosti, kiberhigijene i kiberpismenosti građana i poduzeća o pitanjima povezanima s kibersigurnošću.

Amandman    102

Prijedlog uredbe

Članak 5. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

1.  pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja i analize relevantnih aktivnosti u kiberprostoru, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

Amandman    103

Prijedlog uredbe

Članak 5. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području kibersigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

2.  pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području kibersigurnosti, posebno u vezi s Direktivom (EU) 2016/1148, Direktivom ... o Europskom zakoniku elektroničkih komunikacija, Uredbom (EU) 2016/679 i Direktivom 2002/58/EZ među ostalim i s pomoću mišljenja, smjernica, savjeta i najbolje prakse o temama kao što su razvoj sigurnog softvera i sigurnih sustava, upravljanje rizikom, izvješćivanje o incidentima i razmjena informacija, tehničke i organizacijske mjere, posebno uspostava programa koordiniranog otkrivanja ranjivosti, te olakšavanjem razmjene najbolje prakse među nadležnim tijelima u tom pogledu;

Amandman    104

Prijedlog uredbe

Članak 5. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2 a.  razvoja i promicanja politika kojima bi se održavala općenita dostupnost ili integritet javne osnove otvorenog interneta, koji internetu kao cjelini pružaju temeljnu funkcionalnost i osnova su njegova normalnog funkcioniranja, uključujući ali i ne ograničavajući se na sigurnost i stabilnost ključnih protokola (posebno DNS, BGP, i IPv6), rad sustava naziva domena (DNS), uključujući one svih vršnih domena, te rad korijenske zone (Root Zone).

Amandman    105

Prijedlog uredbe

Članak 5. – stavak 4. – točka 2.

Tekst koji je predložila Komisija

Izmjena

(2)  promicanja pojačane razine sigurnosti elektroničkih komunikacija, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

(2)  promicanja pojačane razine sigurnosti elektroničkih komunikacija, pohrane podataka i obrade podataka, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

Amandman    106

Prijedlog uredbe

Članak 5. – stavak 5.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

5 a.  pružanjem pomoći državama članicama u dosljednoj provedbi politike i prava Unije u području zaštite podataka, osobito Uredbe (EU) 2016/679, te pružanjem pomoći Europskom odboru za zaštitu podataka u izradi smjernica u vezi s provedbom Uredbe (EU) 2016/679 za potrebe kibersigurnosti. Europski odbor za zaštitu podataka trebao bi se savjetovati s Agencijom svaki put kada izdaje mišljenje ili donosi odluku o provedbi Opće uredbe o zaštiti podataka i o kibersigurnosti, te ne tako iscrpno u vezi s pitanjima koja se odnose na procjene učinka na privatnost, obavijestima o povredi povjerljivosti podataka, sigurnosnom obradom, sigurnosnim zahtjevima i integriranom privatnošću.

Amandman    107

Prijedlog uredbe

Članak 6. – stavak 1. – točka aa (nova)

Tekst koji je predložila Komisija

Izmjena

 

(a a)  državama članicama i institucijama Unije pri uspostavi i provedbi politika koordiniranog otkrivanja ranjivosti i postupaka revizije otkrivanja ranjivosti u državnim sustavima, čije bi prakse i zaključci trebali biti transparentni i podložni neovisnom nadzoru;

Amandman    108

Prijedlog uredbe

Članak 6. – stavak 1. – točka ab (nova)

Tekst koji je predložila Komisija

Izmjena

 

(a b)  Agencija olakšava osnivanje i pokretanje dugoročnog europskog projekta informatičke sigurnosti radi daljnjeg poticanja istraživanja kibersigurnosti u Uniji i državama članicama u suradnji s Europskim istraživačkim vijećem (ERC) i Europskim institutom za inovacije i tehnologiju (EIT) te vodeći računa o istraživačkim programima Unije;

Amandman    109

Prijedlog uredbe

Članak 6. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  državama članicama organiziranjem godišnjih opsežnih kibersigurnosnih vježbi velikih razmjera na razini Unije iz članka 7. stavka 6. i pružanjem preporuka politike na temelju postupka ocjenjivanja vježbi i stečenog iskustva tijekom tih vježbi;

(g)  državama članicama organiziranjem redovnih opsežnih kibersigurnosnih vježbi velikih razmjera na razini Unije iz članka 7. stavka 6. barem jednom godišnje te pružanjem preporuka politike i razmjenom najbolje prakse na temelju postupka ocjenjivanja vježbi i stečenog iskustva tijekom tih vježbi;

Amandman    110

Prijedlog uredbe

Članak 6. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Agencija olakšava uspostavu centara za razmjenu i analizu informacija (ISAC) i stalno ih podupire, posebno u sektorima navedenima u Prilogu II. Direktivi (EU) 2016/1148 pružanjem najbolje prakse i smjernica o dostupnim alatima, postupku i o tome kako riješiti regulatorne probleme povezane s razmjenom informacija.

2.  Agencija olakšava uspostavu centara za razmjenu i analizu informacija (ISAC) i stalno ih podupire, posebno u sektorima navedenima u Prilogu II. Direktivi (EU) 2016/1148 pružanjem najbolje prakse i smjernica o dostupnim alatima, postupku, načelima kiberhigijene i o tome kako riješiti regulatorne probleme povezane s razmjenom informacija.

Amandman    111

Prijedlog uredbe

Članak 7. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Agencija podupire operativnu suradnju nadležnih javnih tijela i dionika.

1.  Agencija podupire operativnu suradnju između država članica, institucija, agencija i tijela Unije te između dionika u cilju ostvarivanja suradnje, i to analizom i ocjenom postojećih nacionalnih programa, razvojem i provedbom plana te koristeći se odgovarajućim instrumentima kako bi se postigla najviša razina kibersigurnosti certificiranja u Uniji i državama članicama.

Amandman    112

Prijedlog uredbe

Članak 7. – stavak 4. – podstavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  pružanjem, na njihov zahtjev, tehničke pomoći u slučaju incidenata sa značajnim ili znatnim učinkom;

(b)  pružanjem, na njihov zahtjev, tehničke pomoći u obliku razmjene informacija i stručnosti u slučaju incidenata sa značajnim ili znatnim učinkom;

Amandman    113

Prijedlog uredbe

Članak 7. – stavak 4. – podstavak 1. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  ako situacija zahtijeva hitno djelovanje, ako incident ima znatan negativa učinak, država članica može za procjenu stanja zatražiti pomoć stručnjaka iz Agencije. Zahtjev mora uključivati opis stanja, moguće ciljeve i predviđene potrebe.

Amandman    114

Prijedlog uredbe

Članak 7. – stavak 5. – podstavak 1.

Tekst koji je predložila Komisija

Izmjena

Na zahtjev najmanje dviju pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Na zahtjev jedne ili više pogođenih država članica i u isključivu svrhu pružanja pomoći bilo u obliku savjeta za sprječavanje budućih incidenata bilo u obliku pomoći pri odgovoru na velike trenutačne incidente, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija navedene aktivnosti provodi primanjem relevantnih informacija od pogođenih država članica i korištenjem vlastitih resursa za analizu prijetnje kao i resursa za odgovor u slučaju incidenta. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje jednu državu članicu. Pri tome se Agencija mora pobrinuti da se ne objave mjere koje države članice poduzimaju za zaštitu svojih temeljnih državnih funkcija, posebno one koje se odnose na nacionalnu sigurnost.

Amandman    115

Prijedlog uredbe

Članak 7. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6.  Agencija organizira godišnje vježbe u području kibersigurnosti na razini Unije i, na zahtjev, podupire države članice i institucije, agencije i tijela EU-a pri organizaciji takvih vježbi. Godišnje vježbe na razini Unije uključuju tehničke, operativne i strateške elemente i pomoć u pripremi usklađenog odgovora na razini Unije na prekogranične kiberincidente velikih razmjera. Agencija pridonosi i sektorskim vježbama u području kibersigurnosti i, prema potrebi, u suradnji s relevantnim ISAC-ovima pomaže u njihovoj organizaciji te dopušta ISAC-ovima da sudjeluju i u kibersigurnosnim vježbama na razini Unije.

6.  Agencija organizira redovite, i u svakom slučaju, barem godišnje vježbe u području kibersigurnosti na razini Unije i, na zahtjev, podupire države članice i institucije, agencije i tijela EU-a pri organizaciji takvih vježbi. Godišnje vježbe na razini Unije uključuju tehničke, operativne i strateške elemente i pomoć u pripremi usklađenog odgovora na razini Unije na prekogranične kiberincidente velikih razmjera. Agencija pridonosi i sektorskim vježbama u području kibersigurnosti i, prema potrebi, u suradnji s relevantnim ISAC-ovima pomaže u njihovoj organizaciji te dopušta ISAC-ovima da sudjeluju i u kibersigurnosnim vježbama na razini Unije.

Amandman    116

Prijedlog uredbe

Članak 7. – stavak 7.

Tekst koji je predložila Komisija

Izmjena

7.  Agencija sastavlja redovito tehničko izvješće o stanju kibersigurnosti u EU-u u pogledu incidenata i prijetnji na temelju informacija iz otvorenih izvora, vlastite analize i izvješća koje dostavljaju, među ostalim: CSIRT-ovi država članica (dobrovoljno) ili jedinstvene kontaktne točke iz Direktive NIS (u skladu s člankom 14. stavkom 5. Direktive NIS); Europski centar za kiberkriminal (EC3) pri Europolu, CERT-EU.

7.  Agencija sastavlja redovito i temeljito tehničko izvješće o stanju kibersigurnosti u EU-u u pogledu incidenata i prijetnji na temelju informacija iz otvorenih izvora, vlastite analize i izvješća koje dostavljaju, među ostalim: CSIRT-ovi država članica (dobrovoljno) ili jedinstvene kontaktne točke iz Direktive NIS (u skladu s člankom 14. stavkom 5. Direktive NIS); Europski centar za kiberkriminal (EC3) pri Europolu, CERT-EU. Izvršni direktor po potrebi podnosi rezultate izvješća Europskom parlamentu.

Amandman    117

Prijedlog uredbe

Članak 7. – stavak 7.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

7 a.  Agencija, po potrebi i podložno prethodnom odobrenju od strane Komisije, doprinosi suradnji u području kibersigurnosti s NATO-ovim Centrom izvrsnosti za suradnju u području kiberobrane i NATO-ovom Komunikacijskom i informacijskom akademijom.

Amandman    118

Prijedlog uredbe

Članak 7. – stavak 8. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

(a)  analizom i objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

Amandman    119

Prijedlog uredbe

Članak 7. – stavak 8. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  podupiranjem tehničkog rješavanja incidenta ili krize, među ostalim olakšavanjem razmjene tehničkih rješenja među državama članicama;

(c)  podupiranjem tehničkog rješavanja incidenta ili krize, na temelju vlastitog neovisnog stručnog znanja i resursa, među ostalim olakšavanjem dobrovoljne razmjene tehničkih rješenja među državama članicama;

Amandman    120

Prijedlog uredbe

Članak 7. – stavak 8.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

8 a.  Agencija organizira razmjenu mišljenja kada je to potrebno te pomaže tijelima država članica u koordinaciji njihovog odgovora u skladu s načelima supsidijarnosti i proporcionalnosti.

Amandman    121

Prijedlog uredbe

Članak 7.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 7.a

 

Tehničke sposobnosti Agencije

 

1. Kako bi mogla ostvarivati ciljeve opisane u članku 7. i u skladu s radnim programom Agencije, Agencija između ostalog razvija sljedeće tehničke sposobnosti i vještine:

 

(a) sposobnost prikupljanja informacija o kibersigurnosnim prijetnjama iz otvorenih izvora i

 

(b) sposobnost primjene tehničke opreme, alata i stručnog znanja na daljinu.

 

2. Kako bi mogla ostvariti tehničke sposobnosti opisane u stavku 1. ovog članka i razviti relevantne vještine, Agencija:

 

(a) osigurava da se u njezinim postupcima zapošljavanja uzimaju u obzir različite tehničke vještine koje su potrebne i

 

(b) surađuje s CERT EU-om i Europolom u skladu s člankom 7. stavkom 2. ove Uredbe.

Amandman    122

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – uvodni dio

Tekst koji je predložila Komisija

Izmjena

(a)  podupire i promiče razvoj i provedbu politike Unije o kibersigurnosnoj certifikaciji IKT proizvoda i usluga, kako je utvrđeno u glavi III. ove Uredbe na sljedeće načine:

(a)  podupire i promiče razvoj i provedbu politike Unije o kibersigurnosnoj certifikaciji IKT proizvoda, usluga i postupaka, kako je utvrđeno u glavi III. ove Uredbe na sljedeće načine:

Amandman    123

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka -1. (nova)

Tekst koji je predložila Komisija

Izmjena

 

(-1)  stalnim utvrđivanjem normi, tehničkih specifikacija i tehničkih IKT specifikacija;

Amandman    124

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 1.

Tekst koji je predložila Komisija

Izmjena

(1)  izradom prijedloga europskih programa kibersigurnosne certifikacije za IKT proizvode i usluge u skladu s člankom 44. ove Uredbe;

(1)  izradom prijedloga europskih programa kibersigurnosne certifikacije za IKT proizvode, usluge i postupke u skladu s člankom 44. ove Uredbe te u suradnji s dionicima iz industrije i organizacijama za normizaciju u okviru formalnog, standardiziranog i transparentnog postupka;

Amandman    125

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 1.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(1 a)  ocjenjivanjem, u suradnji sa Skupinom država članica za certifikaciju u skladu s člankom 53. ove Uredbe, postupaka za izdavanje europskih kibersigurnosnih certifikata koje su uspostavila tijela za ocjenjivanje sukladnosti iz članka 51. ove Uredbe, s ciljem da se osigura da tijela za ocjenjivanje sukladnosti na isti način primjenjuju ovu Uredbu kad izdaju certifikate;

Amandman    126

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 1.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(1 b)  provedbom neovisnih periodičnih ex post provjera sukladnosti certificiranih IKT proizvoda, procesa i usluga s europskim programima kibersigurnosne certifikacije;

Amandman    127

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 2.

Tekst koji je predložila Komisija

Izmjena

(2)  pomaganjem Komisiji u osiguravanju tajništva Europske skupine za kibersigurnosno certificiranje u skladu s člankom 53. ove Uredbe;

(2)  pomaganjem Komisiji u osiguravanju tajništva Skupine država članica za certificiranje u skladu s člankom 53. ove Uredbe;

Amandman    128

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 3.

Tekst koji je predložila Komisija

Izmjena

(3)  sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom;

(3)  sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse, među ostalim o načelima kiberhigijene, u pogledu kibersigurnosnih zahtjeva za IKT proizvode, procese i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom i u okviru formalnog, standardiziranog i transparentnog postupka;

Amandman    129

Prijedlog uredbe

Članak 8. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  olakšavanjem uspostave i prihvaćanja europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148.

(b)  olakšavanjem uspostave i prihvaćanja europskih i/ili međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda, procesa i usluga te izradom, u suradnji s državama članicama i sektorom, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148 te razmjenom tih informacija među državama članicama.

Amandman    130

Prijedlog uredbe

Članak 9. – stavak 1. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  pruža, u suradnji sa stručnjacima iz tijela država članica, savjete, smjernice i najbolju praksu za sigurnost mrežnih i informacijskih sustava, posebno za sigurnost internetske infrastrukture i infrastruktura kojima se podupiru sektori navedeni u Prilogu II. Direktivi (EU) 2016/1148;

(c)  pruža, u suradnji sa stručnjacima iz tijela država članica i relevantnim dionicima iz industrije, savjete, smjernice i najbolju praksu za sigurnost mrežnih i informacijskih sustava, posebno za sigurnost internetske infrastrukture i infrastruktura kojima se podupiru sektori navedeni u Prilogu II. Direktivi (EU) 2016/1148;

Amandman    131

Prijedlog uredbe

Članak 9. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću i daje smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije;

(e)  stalno podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću i daje tečajeve i smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije te promiče donošenje preventivnih snažnih mjera informatičke sigurnosti i pouzdane zaštite podataka i privatnosti;

Amandman    132

Prijedlog uredbe

Članak 9. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije, redovite informativne kampanje u cilju povećanja kibersigurnosti i svoje vidljivosti u Uniji.

(g)  organizira, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije, redovite komunikacijske kampanje u cilju poticanja šire javne rasprave;

Amandman    133

Prijedlog uredbe

Članak 9. – stavak 1. – točka ga (nova)

Tekst koji je predložila Komisija

Izmjena

 

(g a)  podupire tješnju tješnju koordinaciju i razmjenu najboljih praksi među državama članicama u pogledu obrazovanja i pismenosti o kibersigurnosti, kiberhigijene i podizanja razine osviještenosti.

Amandman    134

Prijedlog uredbe

Članak 10. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u području kibersigurnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

(a)  osigurava prethodno savjetovanje s relevantnim korisničkim skupinama i savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u područjima kibersigurnosti, zaštite podataka i privatnosti, kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

Amandman    135

Prijedlog uredbe

Članak 10. – stavak 1. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  naručuje vlastite istraživačke aktivnosti u područjima od interesa koja još nisu obuhvaćena postojećim istraživačkim programima Unije, u slučajevima kada je prisutna jasna europska dodana vrijednost.

Amandman    136

Prijedlog uredbe

Članak 11. – stavak 1. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  pružanjem savjeta i potpore Komisiji, u suradnji sa Skupinom država članica za certifikaciju osnovanom u skladu s člankom 53., u vezi s pitanjima koja se tiču sporazuma o uzajamnom priznavanju kibersigurnosnih certifikata s trećim zemljama.

Amandman    137

Prijedlog uredbe

Članak 12. – stavak 1. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  Stalne interesne skupine koja obavlja funkcije iz članka 20.

(d)  Savjetodavne skupine ENISA-e koja obavlja funkcije iz članka 20.

Amandman    138

Prijedlog uredbe

Članak 14. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje kako je Agencija ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

(e)  ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje učinkovitost potrošenih sredstava te ocjenjuje djelotvornost Agencije i kako je ona ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

Amandman    139

Prijedlog uredbe

Članak 14. – stavak 1. – točka m

Tekst koji je predložila Komisija

Izmjena

(m)  imenuje izvršnog direktora i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

(m)  imenuje izvršnog direktora s pomoću postupka odabira utemeljenog na kriterijima stručnosti i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

Amandman    140

Prijedlog uredbe

Članak 14. – stavak 1. – točka o

Tekst koji je predložila Komisija

Izmjena

o)  donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti te razumno financijsko upravljanje;

o)  donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti navedenih u ovoj Uredbi te razumno financijsko upravljanje;

Amandman    141

Prijedlog uredbe

Članak 16. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Članovi Stalne interesne skupine mogu na poziv predsjednika sudjelovati na sastancima Upravljačkog odbora, bez prava glasa.

4.  Članovi Savjetodavne skupine ENISA-e mogu na poziv predsjednika sudjelovati na sastancima Upravljačkog odbora, bez prava glasa.

Amandman    142

Prijedlog uredbe

Članak 18. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Izvršni odbor sastavljen je od pet članova imenovanih iz redova članova Upravljačkog odbora, uključujući predsjednika Upravljačkog odbora koji može i predsjedati Izvršnim odborom, a jedan od članova predstavnik je Komisije. Izvršni direktor sudjeluje na sastancima Izvršnog odbora, ali nema pravo glasa.

3.  Izvršni odbor sastavljen je od pet članova imenovanih iz redova članova Upravljačkog odbora, uključujući predsjednika Upravljačkog odbora koji može i predsjedati Izvršnim odborom, a jedan od članova predstavnik je Komisije. Izvršni direktor sudjeluje na sastancima Izvršnog odbora, ali nema pravo glasa. U pogledu imenovanja nastoji se postići uravnotežena rodna zastupljenost u Izvršnom odboru.

Obrazloženje

Kad je riječ o imenovanjima, Izvršni odbor treba voditi računa o rodnoj ravnoteži. To je u skladu s odredbama za Upravljački odbor (čl. 13 točka 3.).

Amandman    143

Prijedlog uredbe

Članak 19. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Izvršni direktor na poziv izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

2.  Izvršni direktor na poziv ili svake godine izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

Amandman    144

Prijedlog uredbe

Članak 19. – stavak 5.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

5a.  Izvršni direktor također ima ovlasti da djeluje kao posebni institucijski savjetnik za kibersigurnosnu politiku predsjedniku Europske komisije, a njegov je mandat određen Odlukom Komisije C(2014) 541 od 6. veljače 2014.

Amandman    145

Prijedlog uredbe

Članak 20. – naslov

Tekst koji je predložila Komisija

Izmjena

Stalna interesna skupina

Savjetodavna skupina ENISA-e

 

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra; ako bude prihvaćena bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman    146

Prijedlog uredbe

Članak 20. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

1.  Upravljački odbor, djelujući na prijedlog izvršnog direktora, na transparentan način osniva Savjetodavnu skupinu ENISA-e sastavljenu od priznatih stručnjaka za sigurnost koji zastupaju relevantne interesne skupine, kao što su IKT industrija, uključujući mala i srednja poduzeća, operatori ključnih usluga u skladu s Direktivom NIS, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost, europske organizacije za normizaciju i agencije EU-a te predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka. Upravljački odbor osigurava odgovarajuću ravnotežu među različitim interesnim skupinama.

Amandman    147

Prijedlog uredbe

Članak 20. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Postupci koji se odnose na Stalnu interesnu skupinu, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane Upravljačkog odbora, prijedlog izvršnog direktora i rad Skupine utvrđuju se u unutarnjem pravilniku o radu Agencije te se objavljuju.

2.  Postupci koji se odnose na Savjetodavnu skupinu ENISA-e, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane Upravljačkog odbora, prijedlog izvršnog direktora i rad Skupine utvrđuju se u unutarnjem pravilniku o radu Agencije te se objavljuju.

Amandman    148

Prijedlog uredbe

Članak 20. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Stalnom interesnom skupinom predsjeda izvršni direktor ili bilo koja osoba koju, zasebno za svaki slučaj, imenuje izvršni direktor.

3.  Savjetodavnom skupinom ENISA-e predsjeda izvršni direktor ili bilo koja osoba koju, zasebno za svaki slučaj, imenuje izvršni direktor.

Amandman    149

Prijedlog uredbe

Članak 20. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji nisu članovi Stalne interesne skupine.

4.  Mandat članova Savjetodavne skupine ENISA-e traje dvije i pol godine. Članovi Upravljačkog odbora ne smiju biti članovi Savjetodavne skupine ENISA-e. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Savjetodavne skupine ENISA-e i sudjelovati u njezinu radu. Na sastanke Savjetodavne skupine ENISA-e i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima i koji nisu članovi Savjetodavne skupine ENISA-e.

Amandman    150

Prijedlog uredbe

Članak 20. – stavak 4.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

4 a.  Savjetodavna skupina ENISA-e pruža redovite informacije o svojim planovima tijekom cijele godine i određuje ciljeve u svojem programu rada koji se objavljuje svakih šest mjeseci kako bi se osigurala transparentnost;

Amandman    151

Prijedlog uredbe

Članak 20. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

5.  Savjetodavna skupina ENISA-e savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti, osim u pogledu primjene glave III. ove Uredbe. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

Amandman    152

Prijedlog uredbe

Članak 20.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 20.a

 

Interesna skupina za certificiranje

 

1.   Izvršni direktor uspostavlja Interesnu skupinu za certificiranje koja se sastoji od općeg savjetodavnog odbora koji daje opće savjete o primjeni glave III. ove Uredbe te uspostavlja ad hoc odbore za predlaganje, razvoj i donošenje svakog prijedloga programa. Članovi te skupine biraju se među priznatim stručnjacima u području sigurnosti koji zastupaju relevantne interesne skupine, kao što su IKT industrija, uključujući mala i srednja poduzeća, operatori ključnih usluga u skladu s Direktivom NIS, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost, europske organizacije za normizaciju i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te predstavnici tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

 

2.   Postupci koji se odnose na Interesnu skupinu za certificiranje, posebno u pogledu broja, sastava i imenovanja njezinih članova od strane izvršnog direktora utvrđuju se u unutarnjem pravilniku o radu Agencije, prate najbolje prakse pri jamčenju pravedne zastupljenosti i jednakih prava za sve zainteresirane strane te se objavljuju.

 

3.   Članovi Upravljačkog odbora ne smiju biti članovi Interesne skupine za certificiranje. Članovi Savjetodavne skupine ENISA-e također mogu biti članovi Interesne skupine za certificiranje. Stručnjaci iz Komisije i država članica imaju pravo da uz poziv prisustvuju sjednicama Interesne skupine za certificiranje. Na sastanke Interesne skupine za certificiranje i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima.

 

4.   Interesna skupina za certificiranje savjetuje Agenciju u pogledu izvršavanja njezinih aktivnosti u vezi s glavom III. ove Uredbe. Osobito ima pravo da, u skladu s člankom 44. ove Uredbe, Komisiji predloži pripremu prijedloga europskog programa kibersigurnosne certifikacije te da sudjeluje u postupcima odobravanja tih programa opisanima u člancima 43. - 48. i članku 53. ove Uredbe.

Amandman    153

Prijedlog uredbe

Članak 21.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 21.

 

Zahtjev upućen Agenciji

 

1. Agencija bi trebala utvrditi jedinstvenu točku preko koje se mogu rješavati zahtjevi za savjet i pomoć u okviru ciljeva i zadaća Agencije te bi trebala njome upravljati. Ti bi zahtjevi trebali biti popraćeni informacijama o kontekstu koje objašnjavaju pitanje koje se treba riješiti. Agencija bi trebala sastaviti potencijalne implikacije za resurse i pravovremeno odgovoriti na zahtjeve. U slučaju odbijanja zahtjeva, Agencija je dužna dati obrazloženje.

 

2. Zahtjeve iz stavka 1. mogu podnijeti:

 

a) Europski parlament

 

b) Vijeće

 

c) Komisija i

 

d) svako nadležno tijelo koje je imenovala država članica, kao što je nacionalno regulatorno tijelo definirano člankom 2. Direktive 2002/21/EZ.

 

3. Praktična rješenja za primjenu stavaka 1. i 2., posebno u vezi s podnošenjem zahtjeva, određivanjem prioriteta, praćenjem i obavješćivanjem Upravljački odbor u unutarnjim pravilima rada Agencije.

Amandman    154

Prijedlog uredbe

Članak 24. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Članovi Upravljačkog odbora, izvršni direktor, članovi Stalne interesne skupine, vanjski stručnjaci koji sudjeluju u radu ad hoc radnih skupina i članovi osoblja Agencije, uključujući službenike koje privremeno upućuju države članice, poštuju zahtjeve u pogledu povjerljivosti iz članka 339. Ugovora o funkcioniranju Europske unije (UFEU) čak i nakon prestanka njihovih dužnosti.

2.  Članovi Upravljačkog odbora, izvršni direktor, članovi Savjetodavne skupine ENISA-e, vanjski stručnjaci koji sudjeluju u radu ad hoc radnih skupina i članovi osoblja Agencije, uključujući službenike koje privremeno upućuju države članice, poštuju zahtjeve u pogledu povjerljivosti iz članka 339. Ugovora o funkcioniranju Europske unije (UFEU) čak i nakon prestanka njihovih dužnosti.

Amandman    155

Prijedlog uredbe

Članak 26. – stavak 1. – podstavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Privremeni nacrt izvještaja o prihodima i rashodima Agencije temelji se na ciljevima i očekivanim rezultatima jedinstvenog programskog dokumenta iz članka 21. stavka 1. ove Uredbe i uzima u obzir financijske resurse potrebne za postizanje tih ciljeva i očekivanih rezultata u skladu s načelom izrade proračuna zasnovane na uspješnosti.

Amandman    156

Prijedlog uredbe

Članak 30. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

2.  Revizorski sud ovlašten je za provedbu revizije, na temelju dokumenata i inspekcija na terenu, svih korisnika bespovratnih sredstava, ugovaratelja i podugovaratelja koji su primili sredstva Unije od Agencije.

Amandman    157

Prijedlog uredbe

Članak 36. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje.

5.  Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje. Osigurava se učinkovito zapošljavanje osoblja.

Amandman    158

Prijedlog uredbe

Članak 37. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije.

2.  Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije ili drugi pružatelji prevoditeljskih usluga u skladu s pravilima javne nabave i unutar granica utvrđenih relevantnim financijskim pravilima.

Amandman    159

Prijedlog uredbe

Članak 39. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Ako je to nužno za ostvarivanje ciljeva utvrđenih u ovoj Uredbi, Agencija može surađivati s nadležnim tijelima trećih zemalja ili s međunarodnim organizacijama ili i s jedinima i s drugima. U tu svrhu Agencija može, uz prethodno odobrenje Komisije, utvrditi radne aranžmane s tijelima trećih zemalja i međunarodnim organizacijama. Tim se aranžmanima ne stvaraju pravne obveze za Uniju i njezine države članice.

1.  Ako je to nužno za ostvarivanje ciljeva utvrđenih u ovoj Uredbi, Agencija može surađivati s nadležnim tijelima trećih zemalja ili s međunarodnim organizacijama ili i s jedinima i s drugima. U tu svrhu Agencija može, uz prethodno odobrenje Komisije, utvrditi radne aranžmane s tijelima trećih zemalja i međunarodnim organizacijama. Suradnja s NATO-om, ako postoji, može uključivati zajedničke kibersigurnosne vježbe i zajedničku koordinaciju odgovora na kiberincidente. Tim se aranžmanima ne stvaraju pravne obveze za Uniju i njezine države članice.

Obrazloženje

S obzirom na prekograničnu narav kiberincidenata ENISA bi trebala surađivati s akterima u području kibersigurnosti u Europi, kao što je NATO, ako je to primjereno. To je osobito važno s obzirom na činjenicu da NATO možda ima kibersposobnosti koje ENISA nema i obrnuto. U okolnostima pojačanih kibernapada na države u cjelini ENISA radi sigurnosti Europe mora na međunarodnoj razini surađivati s međunarodnim organizacijama kao što je NATO.

Amandman    160

Prijedlog uredbe

Članak 41. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

2.  Država članica domaćin Agencije osigurava najbolje moguće uvjete kako bi se osiguralo pravilno funkcioniranje Agencije, uključujući jedinstvenu lokaciju za cijelu Agenciju, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

Obrazloženje

Aktualna struktura Agencije čije je administrativno sjedište u Heraklionu, a operativno u Ateni, pokazala se neučinkovitom i skupom. Stoga bi svi zaposlenici ENISA-e trebali raditi u istom gradu. S obzirom na kriterije navedene u ovom stavku lokacija Agencije trebala bi biti u Ateni.

Amandman    161

Prijedlog uredbe

Članak 43. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

Europskim programom kibersigurnosne certifikacije potvrđuje se da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zahtjevima u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, procesima, uslugama ili sustavima ili koje su preko njih dostupne.

Europskim programom kibersigurnosne certifikacije potvrđuje se da obuhvaćeni IKT proizvodi, procesi i usluge nemaju poznatih manjkavosti u vrijeme certificiranja i da su usklađeni s posebnim zahtjevima koji se mogu odnositi na europske ili međunarodne norme, tehničke specifikacije i IKT tehničke specifikacije u pogledu njihove sposobnosti da se za svoga životnog ciklusa odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, procesima i uslugama i koje su preko njih dostupne, te da zadovoljavaju određene sigurnosne ciljeve.

Amandman    162

Prijedlog uredbe

Članak 44. – stavak -1. (novi)

Tekst koji je predložila Komisija

Izmjena

 

-1.  Komisija donosi delegirane akte u skladu s člankom 55.a, čime će se ova Uredba dopuniti uspostavom kliznog programa rada Unije za europske programe kibersigurnosne certifikacije. Tim delegiranim aktima utvrđuju se zajedničke aktivnosti koje je potrebno poduzeti na razini Unije te strateški prioriteti. Klizni program rada Unije posebno uključuje prioritetni popis IKT proizvoda, procesa i usluga koji su prikladni da budu predmet europskog programa kibersigurnosne certifikacije, kao i analizu toga postoji li jednakovrijedna razina kvalitete, znanja i stručnosti među tijelima za ocjenjivanje sukladnosti i nacionalnim tijelima za nadzor certifikacije te, po potrebi, prijedlog mjera kako se ta jednakovrijedna razina može postići.

 

Prvotni klizni program rada Unije utvrđuje se najkasnije [šest mjeseci nakon stupanja na snagu ove Uredbe] te se po potrebi ažurira i to svakako barem svake dvije godine nakon toga. Klizni program rada Unije javno je dostupan.

 

Prije donošenja ili ažuriranja kliznog programa rada Unije, Komisija se na otvoren, transparentan i uključiv način savjetuje sa skupinom država članica za certifikaciju, Agencijom i interesnom skupinom za certifikaciju.

Amandman    163

Prijedlog uredbe

Članak 44. – stavak -1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

-1a.  Kada za to postoji razlog, Komisija od Agencije može zatražiti izradu prijedloga europskog programa kibersigurnosne certifikacije. Zahtjev se temelji na kliznom programu rada Unije.

Amandman    164

Prijedlog uredbe

Članak 44. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice ili Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

1.  Zahtjev za prijedlog europskog programa kibersigurnosne certifikacije sadrži područje primjene, primjenjive sigurnosne ciljeve iz članka 45., primjenjive elemente iz članka 47. i rok do kojeg bi određeni prijedlog programa trebao stupiti na snagu. Pri izradi zahtjeva Komisija se može savjetovati s Agencijom, skupinom država članica za certifikaciju i interesnom skupinom za certifikaciju.

Amandman    165

Prijedlog uredbe

Članak 44. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se savjetuje sa svim relevantnim dionicima i blisko surađuje sa Skupinom. Skupina pruža ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

2.  Pri izradi prijedloga programa iz stavka -1. (Novi), Agencija se savjetuje sa svim relevantnim dionicima u okviru formalnog, otvorenog, transparentnog i uključivog postupka savjetovanja i blisko surađuje sa skupinom država članica za certifikaciju, interesnom skupinom za certifikaciju i ad hoc odborima u skladu s člankom 20.a ove Uredbe i europskim tijelima za normizaciju. Oni pružaju Agenciji pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

Amandman    166

Prijedlog uredbe

Članak 44. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka.

3.  Agencija dostavlja Komisiji prijedlog programa izrađenog u skladu sa stavcima 1. i 2. ovog članka.

Amandman    167

Prijedlog uredbe

Članak 44. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Komisija, na temelju prijedloga programa koji je izradila ENISA, može donositi provedbene akte, u skladu s člankom 55. stavkom 1., kojima su predviđeni europski programi kibersigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe.

4.  Komisija, na temelju prijedloga programa koji je izradila Agencija, može donositi delegirane akte, u skladu s člankom 55.a kojim se dopunjuje ova Uredba predviđanjem europskih programa kibersigurnosne certifikacije za IKT proizvode, procese i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe.

Amandman    168

Prijedlog uredbe

Članak 44. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije.

5.  Agencija održava posebno web-mjesto na kojem pruža informacije i promiče europske programe kibersigurnosne certifikacije, uključujući certifikate koji su povučeni ili im je istekao rok valjanosti te uključene nacionalne certifikate.

 

Kad europski program kibersigurnosne certifikacije udovoljava zahtjevima kojima nastoji poštovati odgovarajuće zakonodavstvo Unije o usklađivanju, Komisija u Službenom listu Europske unije ili pomoću drugih sredstava bez odlaganja objavljuje uputu na taj program certifikacije, u skladu s uvjetima koji su utvrđeni u odgovarajućem aktu zakonodavstva Unije o usklađivanju.

Amandman    169

Prijedlog uredbe

Članak 44. – stavak 5.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

5 a.  Agencija preispituje donesene programe u skladu sa strukturom utvrđenom na temelju ove Uredbe na kraju njihove valjanosti u skladu s člankom 47. točkom (1.ac) ili na zahtjev Komisije, uzimajući u obzir povratne informacije dobivene od relevantnih dionika.

Amandman    170

Prijedlog uredbe

Članak 45. – stavak 1. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir, prema potrebi, sljedeći sigurnosni ciljevi:

Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir , prema potrebi, sigurnosni ciljevi kojima se jamči:

Amandman    171

Prijedlog uredbe

Članak 45. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  zaštititi pohranjene, poslane ili na drugačiji način obrađene podatke od slučajnog ili neovlaštenog pohranjivanja, obrade, pristupa ili objave;

(a)  osigurati povjerljivost, cjelovitost, dostupnost i privatnost usluga, funkcija i podataka;

Amandman    172

Prijedlog uredbe

Članak 45. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  zaštititi pohranjene, poslane ili na drugačiji način obrađene podatke od slučajnog ili neovlaštenog uništavanja, slučajnog gubitka ili izmjene;

(b)  da isključivo ovlaštene osobe i/ili ovlašteni sustavi i programi mogu pristupiti i koristiti se uslugama, funkcijama i podacima;

Amandman    173

Prijedlog uredbe

Članak 45. – stavak 1. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  osigurati da ovlaštene osobe, programi ili strojevi mogu pristupiti isključivo podacima, uslugama ili funkcijama na koje se odnose njihova prava pristupa;

(c)  da je uspostavljen postupak za identificiranje i dokumentiranje svih ovisnosti i poznatih slabosti IKT proizvoda, procesa i usluga;

Amandman    174

Prijedlog uredbe

Članak 45. – stavak 1. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  evidentirati koji su podaci, funkcije ili usluge priopćeni, kada i tko ih je priopćio;

(d)  da IKT proizvodi, procesi i usluge ne sadrže poznate slabosti;

Amandman    175

Prijedlog uredbe

Članak 45. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  osigurati da je moguće provjeriti kojim se podacima, uslugama ili funkcijama pristupilo odnosno koji su podaci, usluge ili funkcije upotrijebljeni, kada i tko im je pristupio ili ih upotrijebio;

(e)  da je uspostavljen postupak za rješavanje novootkrivenih slabosti IKT proizvoda, procesa i usluga;

Amandman    176

Prijedlog uredbe

Članak 45. – stavak 1. – točka f

Tekst koji je predložila Komisija

Izmjena

(f)  pravodobno osigurati ponovnu dostupnost podataka i pristup podacima, uslugama i funkcijama u slučaju fizičkog ili tehničkog incidenta;

(f)  da su IKT proizvodi, procesi i usluge unaprijed i u načelu sigurni

Amandman    177

Prijedlog uredbe

Članak 45. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  osigurati da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi u usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

(g)  da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi i usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

Amandman    178

Prijedlog uredbe

Članak 45. – stavak 1. – točka ga (nova)

Tekst koji je predložila Komisija

Izmjena

 

(g a)  da su ostali rizici povezani s kibernetičkim incidentima, kao što su rizici za život, zdravlje, okoliš i drugi značajni pravni interesi svedeni na najmanju moguću mjeru.

Amandman    179

Prijedlog uredbe

Članak 46. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva ili više njih: osnovna, znatna i/ ili visoka za IKT proizvode i usluge certificirane u skladu s tim programom.

1.  Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva utemeljenih na riziku ili više njih prema kontekstu i predviđenoj uporabi IKT proizvoda, procesa i usluga: osnovna, znatna i/ ili visoka za IKT proizvode, procese i usluge certificirane u skladu s tim programom.

Amandman    180

Prijedlog uredbe

Članak 46. – stavak 2. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  osnovna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava ograničeni stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

(a)  Osnovna razina jamstva odgovara niskom riziku, u smislu kombinirane vjerojatnosti i štete, koji se odnosi na IKT proizvod, proces i uslugu, njihovu predviđenu uporabu i kontekst. Osnovna razina jamstva pruža sigurnost da se poznatim osnovnim kibernetičkim rizicima može odoljeti.

Amandman    181

Prijedlog uredbe

Članak 46. – stavak 2. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  znatna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava znatan stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha znatno smanjiti rizik od kiberincidenata;

(b)  Znatna razina jamstva odgovara većem riziku, u smislu kombinirane vjerojatnosti i štete, koji se odnosi na IKT proizvod, proces i uslugu. Znatna razina jamstva pruža sigurnost da se poznati osnovni kibernetički rizici mogu spriječiti te da je moguće odoljeti kibernetičkim napadima uz ograničena sredstva.

Amandman    182

Prijedlog uredbe

Članak 46. – stavak 2. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  visoka razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava viši stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge nego certifikatima o znatnoj razini jamstva i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha spriječiti kiberincidente.

(c)  Visoka razina jamstva odgovara visokom riziku u smislu štete koja se odnosi na IKT proizvod, proces i uslugu. Visoka razina jamstva pruža sigurnost da se kibernetički rizici mogu spriječiti te da je moguće odoljeti najnaprednijim kibernetičkim napadima uz ograničena sredstva.

Amandman    183

Prijedlog uredbe

Članak 46.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 46.a

 

Evaluacija razine jamstva europskih programa kibersigurnosne certifikacije

 

1.   Za osnovnu razinu jamstva, proizvođač ili pružatelj IKT proizvoda, procesa ili usluga može provesti samoocjenu sukladnosti na svoju isključivu odgovornost.

 

2.   Za znatnu razinu jamstva, evaluacija se provodi u najmanju ruku provjerom sukladnosti sigurnosnih funkcija proizvoda, procesa ili usluge s njihovom tehničkom dokumentacijom;

 

3.   Za znatnu razinu jamstva, metodologija evaluacije temelji se barem na ispitivanju učinkovitosti kojim se procjenjuje otpornost sigurnosnih funkcija na napade izvedene uz pomoć znatnih resursa.

Amandman    184

Prijedlog uredbe

Članak 47. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

(a)  predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda, procesa i usluga;

Amandman    185

Prijedlog uredbe

Članak 47. – stavak 1. – točka aa (nova)

Tekst koji je predložila Komisija

Izmjena

 

(a a)  područje primjene i kibersigurnosni zahtjevi i, prema potrebi, to područje primjene i ti zahtjevi odražavaju zahtjeve nacionalnih kibersigurnosnih certifikacija koje zamjenjuju ili koji su predviđeni u pravnim aktima;

Amandman    186

Prijedlog uredbe

Članak 47. – stavak 1. – točka ab (nova)

Tekst koji je predložila Komisija

Izmjena

 

(a b)  razdoblje valjanosti programa certifikacije;

Amandman    187

Prijedlog uredbe

Članak 47. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i usluge ocjenjuju, na primjer upućivanjem na norme Unije ili međunarodne norme ili tehničke specifikacije;

(b)  iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi, procesi i usluge ocjenjuju, na primjer upućivanjem na europske ili međunarodne norme ili tehničke specifikacije ili IKT tehničke specifikacije, definiranu na način da se certifikat može ugraditi u proizvođačev postupak sustavne sigurnosti, koji se prati tijekom razvoja i životnog ciklusa dotičnog proizvoda ili usluge, ili se na njemu temeljiti;

Amandman    188

Prijedlog uredbe

Članak 47. – stavak 1. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  informacije o poznatim kibernetičkim prijetnjama koje nisu obuhvaćene certifikacijom i upute za njihovo rješavanje;

Amandman    189

Prijedlog uredbe

Članak 47. – stavak 1. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  jednu ili više razina jamstva, ovisno o slučaju;

(c)  jednu ili više razina jamstva, ovisno o slučaju, uzimajući u obzir, među ostalim, pristup temeljen na riziku;

Amandman    190

Prijedlog uredbe

Članak 47. – stavak 1. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  naznaku je li samoocjena sukladnosti dopuštena u okviru programa te mjerodavni postupak za ocjenjivanje sukladnosti ili vlastitu izjavu o sukladnosti ili oboje;

Amandman    191

Prijedlog uredbe

Članak 47. – stavak 1. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  posebne kriterije i metode ocjenjivanja, uključujući vrste ocjenjivanja, koji se upotrebljavaju za dokazivanje da su ostvareni posebni ciljevi iz članka 45.;

(d)  posebne kriterije ocjenjivanja, vrste procjenjivanja sukladnosti i metode ocjenjivanja koji se upotrebljavaju za dokazivanje da su ostvareni posebni ciljevi iz članka 45.;

Amandman    192

Prijedlog uredbe

Članak 47. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  informacije koje podnositelj zahtjeva mora dostaviti tijelima za ocjenjivanje sukladnosti, a koje su nužne za certificiranje;

(e)  informacije koje podnositelj zahtjeva mora dostaviti tijelima za ocjenjivanje sukladnosti, a koje su nužne za certificiranje;

Amandman    193

Prijedlog uredbe

Članak 47. – stavak 1. – točka f

Tekst koji je predložila Komisija

Izmjena

(f)  ako su programom predviđeni oznake ili znakovi, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

(f)  informacije o kibersigurnosti u skladu s člankom 47. ove Uredbe;

Amandman    194

Prijedlog uredbe

Članak 47. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  ako je nadzor dio programa, pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

(g)  pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

Amandman    195

Prijedlog uredbe

Članak 47. – stavak 1. – točka h

Tekst koji je predložila Komisija

Izmjena

(h)  uvjete za izdavanje, održavanje i produljenje certifikata te za proširenje ili smanjenje njegova opsega;

(h)  uvjete za izdavanje, održavanje, obnovu, ocjenu i produljenje certifikata te za proširenje ili smanjenje njegova opsega i razdoblja valjanosti;

Amandman    196

Prijedlog uredbe

Članak 47. – stavak 1. – točka ha (nova)

Tekst koji je predložila Komisija

Izmjena

 

(h a)  pravila kojima je cilj rješavanje nedostataka do kojih može doći nakon izdavanja certifikata, i to uspostavom dinamičnog i kontinuiranog organizacijskog procesa u kojem sudjeluju i pružatelji i korisnici;

Amandman    197

Prijedlog uredbe

Članak 47. – stavak 1. – točka i

Tekst koji je predložila Komisija

Izmjena

(i)  pravila u vezi s posljedicama nesukladnosti certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

(i)  pravila u vezi s posljedicama nesukladnosti samoocijenjenih i certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

Amandman    198

Prijedlog uredbe

Članak 47. – stavak 1. – točka j

Tekst koji je predložila Komisija

Izmjena

(j)  pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja;

(j)  pravila o tome kako prijaviti kibersigurnosne ranjivosti IKT proizvoda i usluga koje do tada još nisu bile javno poznate i postupiti u slučaju njihova otkrivanja;

Amandman    199

Prijedlog uredbe

Članak 47. – stavak 1. – točka l

Tekst koji je predložila Komisija

Izmjena

(l)  utvrđivanje nacionalnih programa kibersigurnosne certifikacije kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

(l)  utvrđivanje nacionalnih ili međunarodnih programa kibersigurnosne certifikacije kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda, procesa i usluga, sigurnosnih zahtjeva te kriterija i metoda ocjenjivanja;

Amandman    200

Prijedlog uredbe

Članak 47. – stavak 1. – točka ma (nova)

Tekst koji je predložila Komisija

Izmjena

 

(m a)  uvjete za uzajamno priznavanje programa certifikacije s trećim zemljama.

Amandman    201

Prijedlog uredbe

Članak 47. – stavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

1 a.  Postupcima održavanja koji uključuju ažuriranja certifikacija se ne poništava, osim ako takva ažuriranja nemaju znatan negativan učinak na sigurnost IKT proizvoda, procesa i usluga.

Amandman    202

Prijedlog uredbe

Članak 47.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 47.a

 

Informacije o kibersigurnosti za certificirane proizvode, procese i usluge

 

1.   Proizvođač ili pružatelj IKT proizvoda, procesa i usluga obuhvaćenih programom certifikacije u skladu s ovom Uredbom krajnjem korisniku dostavlja dokument, u elektroničkom ili papirnatom obliku, koji sadržava barem sljedeće informacije: razinu jamstva certifikata koja se odnosi na predviđenu uporabu IKT proizvoda, procesa ili usluge; opis rizika kojima se moguće oduprijeti s obzirom na razinu povjerljivosti koja se pruža certifikacijom; preporuke o tome kako korisnici mogu dodatno pozitivno utjecati na kibersigurnost proizvoda, procesa ili usluge, redovitost ažuriranja i razdoblja potpore nakon ažuriranja; prema potrebi, informacije o tome kako korisnici mogu očuvati glavne značajke proizvoda, procesa ili usluge u slučaju napada.

 

2.   Dokument iz stavka 1. ovog članka dostupan je tijekom čitavog životnog ciklusa proizvoda, procesa ili usluga do njihova diskontinuiteta s tržišta i tijekom razdoblja od najmanje pet godina.

 

3.   Komisija donosi provedbene akte kojima se uspostavlja zajednički format za taj dokument. Komisija od Agencije može zatražiti da iznese prijedlog formata. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 55. ove Uredbe.

Amandman    203

Prijedlog uredbe

Članak 48. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Smatra se da su IKT proizvodi i usluge koji su certificirani u okviru europskog programa kibersigurnosne certifikacije donesenog u skladu s člankom 44. sukladni sa zahtjevima tog programa.

1.  Smatra se da su IKT proizvodi, procesi i usluge koji su certificirani u okviru europskog programa kibersigurnosne certifikacije donesenog u skladu s člankom 44. sukladni sa zahtjevima tog programa.

Amandman    204

Prijedlog uredbe

Članak 48. – stavak 4. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

4.  Odstupajući od stavka 3. u opravdanim se slučajevima u europskom kibersigurnosnom programu može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

4.  Odstupajući od stavka 3. i samo u opravdanim slučajevima, kao primjerice iz razloga nacionalne sigurnosti, europskim programom kibersigurnosne certifikacije može se predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo jest tijelo koje je akreditirano kao tijelo za ocjenjivanje sukladnosti u skladu s člankom 51. stavkom 1. ove Uredbe. Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

Amandman    205

Prijedlog uredbe

Članak 48. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

5.  Pravna ili fizička osoba koja prijavi svoje IKT proizvode, usluge ili procese za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije, uključujući informacije o svim poznatim sigurnosnim slabostima. Informacije se mogu dostaviti bilo kojem tijelu za ocjenjivanje sukladnosti iz članka 51.

Amandman    206

Prijedlog uredbe

Članak 48. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6.  Certifikati se izdaju na najviše tri godine i mogu se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

6.  Certifikati se izdaju na najdulje razdoblje utvrđeno za svaki pojedinačni slučaj i za svaki program, uzimajući u obzir razuman životni vijek koji ni u kojem slučaju ne premašuje pet godina, i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

Obrazloženje

Ovime se omogućuje fleksibilnost prilagodbe razdoblja valjanosti predviđenoj uporabi.

Amandman    207

Prijedlog uredbe

Članak 48. – stavak 7.

Tekst koji je predložila Komisija

Izmjena

7.  Europski certifikat o kibersigurnosti izdan u skladu s ovim člankom priznaje se u svim državama članicama.

7.  Europski certifikat o kibersigurnosti izdan u skladu s ovim člankom priznaje se u svim državama članicama i smatra se da ispunjava lokalne kibersigurnosne zahtjeve u pogledu IKT proizvoda, procesa i potrošačkih elektroničkih uređaja na koje se taj certifikat odnosi, uzimajući u obzir navedenu razinu jamstva iz članka 46., te se te certifikate ne smije diskriminirati na temelju države članice podrijetla ili tijela za ocjenjivanje sukladnosti iz članka 51. koje je izdalo certifikat.

Obrazloženje

Kako bi se izbjegla fragmentacija u priznavanju i/ili sukladnosti programa kibersigurnosne certifikacije EU-a, u članku treba naglasiti da mjesto izdavanja certifikata ne smije biti razlog diskriminacije.

Amandman    208

Prijedlog uredbe

Članak 48.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 48.a

 

Program certifikacije za operatore ključnih usluga

 

1.   Kada se europski programi kibrsigurnosne certifikacije donesu u skladu sa stavkom 2. ovog članka, operatori ključnih usluga, kako bi zadovoljili sigurnosne zahtjeve iz članka 14. Direktive (EU) 2016/1148, koriste se proizvodima, procesima i uslugama obuhvaćenima tim programima certifikacije.

 

2.   Do [godinu dana nakon stupanja na snagu ove Uredbe] Komisija, nakon savjetovanja sa skupinom za suradnju iz članka 11. Direktive (EU) 2016/1148, donosi delegirane akte u skladu s člankom 55.a kojima se ova Uredba dopunjuje popisom kategorija proizvoda, procesa i usluga koji ispunjavaju oba sljedeća kriterija:

 

(a)  namijenjeni su korištenju od strane operatora ključnih usluga i

 

(b)  njihovo neispravno djelovanje moglo bi imati znatan negativan učinak na pružanje ključne usluge.

 

3.   Komisija donosi delegirane akte u skladu s člankom 55.a, čime se, po potrebi, izmjenjuje ova Uredba ažuriranjem popisa kategorija proizvoda, procesa i usluga iz stavka 3. ovog članka.

 

4.   Komisija od Agencije zahtijeva izradu prijedloga europskih programa kibersigurnosti u skladu s člankom 44. stavkom -1. ove Uredbe za popis kategorija proizvoda, procesa i usluga iz stavaka 2. i 3. ovog članka čim se taj popis donese ili ažurira. Certifikatima koji se izdaju u skladu s takvim europskim programima kibersigurnosne certifikacije pruža se visoka razina jamstva.

Amandman    209

Prijedlog uredbe

Članak 48.b (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 48.b

 

Službeni prigovori na europske programe kibersigurnosne certifikacije

 

1.  Ako država članica smatra da europski program kibersigurnosne certifikacije ne zadovoljava u potpunosti zahtjeve koje nastoji ispuniti i koji su utvrđeni u relevantnom zakonodavstvu Unije o usklađivanju, obavješćuje Komisiju i dostavlja detaljno objašnjenje. Komisija nakon savjetovanja s odborom osnovanim u skladu s relevantnim zakonodavstvom Unije o usklađivanju, ako je primjenjivo, ili nakon drugih oblika savjetovanja sa stručnjacima iz tog sektora donosi odluku:

 

(a)  o objavljivanju, neobjavljivanju ili objavljivanju uz ograničenja uputa na dotični europski program kibersigurnosne certifikacije u Službenom listu Europske unije;

 

(b)  o zadržavanju, zadržavanju uz ograničenja ili povlačenju uputa na dotični europski program kibersigurnosne certifikacije u Službenom listu Europske unije ili iz njega.

 

2.  Komisija na svojoj web-stranici objavljuje informacije o europskim programima kibersigurnosne certifikacije koji podliježu odluci iz stavka 1. ovog članka.

 

3.  Komisija obavješćuje Agenciju o odluci iz stavka 1. ovog članka i, po potrebi, traži reviziju dotičnog europskog programa kibersigurnosne certifikacije.

 

4.  Odluka iz stavka 1. točke (a) ovog članka donosi se u skladu sa savjetodavnim postupkom iz članka 55. stavka 2. ove Uredbe.

 

5.  Odluka iz stavka 1. točke (b) ovog članka donosi se u skladu sa savjetodavnim postupkom iz članka 55. stavka 2.a (novi) ove Uredbe.

Amandman    210

Prijedlog uredbe

Članak 49. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

1.  Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, procese i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode, procese i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

Amandman    211

Prijedlog uredbe

Članak 49. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Države članice ne uvode nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga obuhvaćenih europskim programom kibersigurnosne certifikacije koji je na snazi.

2.  Države članice ne uvode nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda, procesa i usluga obuhvaćenih europskim programom kibersigurnosne certifikacije koji je na snazi.

Amandman    212

Prijedlog uredbe

Članak 49. – stavak 3.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

3 a.  Države članice priopćuju Komisiji sve zahtjeve za izradu nacionalnih programa kibersigurnosne certifikacije i navode razloge za njihovo donošenje.

Amandman    213

Prijedlog uredbe

Članak 49. – stavak 3.b (novi)

Tekst koji je predložila Komisija

Izmjena

 

3 b.  Države članice na zahtjev dostavljaju drugim državama članicama, Agenciji ili Komisiji nacrt nacionalnih programa kibersigurnosne certifikacije barem u elektroničkom obliku.

Amandman    214

Prijedlog uredbe

Članak 49. – stavak 3.c (novi)

Tekst koji je predložila Komisija

Izmjena

 

3 c.  Ne dovodeći u pitanje Direktivu (EU) 2015/1535, države članice u roku od tri mjeseca propisno razmatraju svaku primjedbu koju zaprime od bilo koje druge države članice, Agencije ili Komisije u vezi s nacrtom iz stavka 3.b ovog članka i šalju svoj odgovor.

Amandman    215

Prijedlog uredbe

Članak 49. – stavak 3.d (novi)

Tekst koji je predložila Komisija

Izmjena

 

3 d.  Kada primjedbe primljene na temelju stavka 3. točke (c) ovog članka upućuju na to da bi nacrt nacionalnog programa kibersigurnosne certifikacije vjerojatno imao negativan utjecaj na pravilno funkcioniranje unutarnjeg tržišta, država članica primatelj savjetuje se i u najvećoj mogućoj mjeri uzima u obzir primjedbe Agencije i Komisije prije donošenja nacrta programa.

Amandman    216

Prijedlog uredbe

Članak 50. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Kako bi se Uredba mogla djelotvorno provoditi, ta tijela trebala bi na aktivan, djelotvoran, učinkovit i siguran način sudjelovati u Europskoj skupini za kibersigurnosnu certifikaciju uspostavljenu u skladu s člankom 53.

5.  Kako bi se Uredba mogla djelotvorno provoditi, ta tijela trebala bi na aktivan, djelotvoran, učinkovit i siguran način sudjelovati u skupini država članica za certifikaciju uspostavljenu u skladu s člankom 53.

Amandman    217

Prijedlog uredbe

Članak 50. – stavak 6. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i nadziru sukladnost certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije;

(a)  prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i u skladu s pravilima koje je donijela Europska skupina za kibersigurnosnu certifikaciju na temelju članka 53. stavka 3. točke (da) nadziru sukladnost:

 

i)   certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije i

 

ii)   vlastitih izjava o sukladnosti izdanih u sklopu programa za IKT proces, proizvod ili uslugu;

Amandman    218

Prijedlog uredbe

Članak 50. – stavak 6. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  prate i nadziru aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

(b)  prate i nadziru te barem svake dvije godine ocjenjuju aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

Amandman    219

Prijedlog uredbe

Članak 50. – stavak 6. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  provode revizije kako bi se zajamčilo da se u Uniji primjenjuju jednakovrijedne norme i dostavljaju rezultate Agenciji i Skupini;

Obrazloženje

Na ovaj se način osigurava da se u cijelom EU-u primjenjuje jednaka razine usluge i kvalitete te se doprinosi sprječavanju prakse traženja najpovoljnije certifikacije.

Amandman    220

Prijedlog uredbe

Članak 50. – stavak 6. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

(c)  obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području ili u pogledu provedenih samoocjena sukladnosti, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

Amandman    221

Prijedlog uredbe

Članak 50. – stavak 6. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(ca)  izvješćuju Agenciju i Europsku skupinu za kibersigurnosnu certifikaciju o rezultatima provjera iz točke (a) i ocjenjivanja iz točke (b);

Amandman    222

Prijedlog uredbe

Članak 50. – stavak 6. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, kao što su nacionalna nadzorna tijela za zaštitu podataka, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda, procesa i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

Amandman    223

Prijedlog uredbe

Članak 50. – stavak 6. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, kao što su nacionalna nadzorna tijela za zaštitu podataka, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima informatičke sigurnosne certifikacije;

Obrazloženje

Iz mišljenja Europskog nadzornika za zaštitu podataka.

Amandman    224

Prijedlog uredbe

Članak 50. – stavak 7. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  povući akreditaciju tijela za ocjenjivanje sukladnosti koja se ne pridržavaju ove Uredbe;

Amandman    225

Prijedlog uredbe

Članak 50. – stavak 7. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije;

(e)  povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije i o tome obavijestiti nacionalna akreditacijska tijela;

Amandman    226

Prijedlog uredbe

Članak 50. – stavak 8.

Tekst koji je predložila Komisija

Izmjena

8.  Nacionalna tijela za nadzor certifikacije surađuju međusobno i s Komisijom i, posebno, razmjenjuju informacije, iskustva i dobru praksu u području kibersigurnosne certifikacije i tehničkih pitanja povezanih s kibersigurnošću IKT proizvoda i usluga.

8.  Nacionalna tijela za nadzor certifikacije surađuju međusobno i s Komisijom i, posebno, razmjenjuju informacije, iskustva i dobru praksu u području kibersigurnosne certifikacije i tehničkih pitanja povezanih s kibersigurnošću IKT proizvoda, procesa i usluga.

Amandman    227

Prijedlog uredbe

Članak 50. – stavak 8.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

8a.  Svako nacionalno tijelo za nadzor certifikacije i svaki član i osoblje svakog nacionalnog tijela za nadzor certifikacije podliježu, u skladu s pravom Unije ili pravom države članice, obvezi čuvanja profesionalne tajne i za vrijeme mandata i nakon njegova završetka, s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih dužnosti ili izvršavanja svojih ovlasti.

Amandman    228

Prijedlog uredbe

Članak 50.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 50.a

 

Stručna revizija

 

1.  Nacionalna tijela za nadzor certifikacije podliježu istorazinskoj ocjeni, u organizaciji Agencije, u pogledu svih aktivnosti koje provode na temelju članka 50. ove Uredbe.

 

2.   Uzajamno vrednovanje se provodi na temelju valjanih i jasnih kriterija i postupaka vrednovanja, a posebno što se tiče zahtjeva u pogledu strukture, ljudskih resursa i postupaka, povjerljivosti i pritužbi. Potrebno je predvidjeti odgovarajuće žalbene postupke s obzirom na odluke donesene kao rezultat takvog vrednovanja.

 

3.   Istorazinskom ocjenom obuhvaćeni su svi postupci koje provode nacionalna tijela za nadzor certifikacije, posebice postupci provjere sukladnosti certifikata, postupci za praćenje i nadzor aktivnosti tijela za ocjenjivanje sukladnosti, stručnosti osoblja, ispravnosti provjera i metodologije inspekcija, kao i točnosti rezultata. U okviru istorazinske ocjene također se ocjenjuje imaju li dotična nacionalna tijela za nadzor certifikacije dovoljno resursa za ispravno obavljanje svojih dužnosti kako je određeno člankom 50. stavkom 4.

 

4.   Istorazinsku ocjenu nacionalnog tijela za nadzor certifikacije provode dva nacionalna tijela za nadzor certifikacije iz drugih država članica i Komisija te se ona provodi barem jednom svakih pet godina. Agencija može sudjelovati u istorazinskoj ocjeni i odlučuje o svom sudjelovanju na temelju analize procjene rizika.

 

5.   Komisija u skladu s člankom 55.a ima ovlasti donositi delegirane akte, čime se ova Uredba dopunjuje donošenjem plana za istorazinsku ocjenu kojim se obuhvaća razdoblje od najmanje pet godina, definiraju kriteriji za sastav tima za istorazinsku ocjenu, metodologija koja se primjenjuje za istorazinsku ocjenu, raspored, učestalost i druge zadaće povezane s istorazinskom ocjenom. Pri donošenju tih delegiranih akata Komisija u obzir uzima napomene skupine država članica za certifikaciju.

 

6.   Skupina država članica za certifikaciju ispituje ishod istorazinske ocjene. Agencija sastavlja sažetak rezultata te, kada je to potrebno, pruža smjernice i dokumente o najboljoj praksi te ih objavljuje.

Amandman    229

Prijedlog uredbe

Članak 51. – stavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

1a.  Za visoku razinu jamstva tijelo za ocjenjivanje sukladnosti mora, uz akreditaciju, biti prijavljeno od strane nacionalnog tijela za nadzor certifikacije u pogledu svoje nadležnosti i stručnosti za procjenu kibersigurnosti. Nacionalno tijelo za nadzor certifikacije provodi redovite provjere stručnosti i sposobnosti prijavljenih tijela za ocjenjivanje sukladnosti.

Obrazloženje

Za visoke razine jamstva potrebni su testovi djelotvornosti. Stručno znanje i sposobnosti tijela za ocjenjivanje sukladnosti koja provode testove djelotvornosti moraju se redovito provjeravati kako bi se posebno osigurala kvaliteta testova.

Amandman    230

Prijedlog uredbe

Članak 51. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2 a.  Revizije se provode kako bi se u Uniji osigurala primjena jednakih normi, čiji se rezultati dostavljaju Agenciji i Skupini.

Amandman    231

Prijedlog uredbe

Članak 51. – stavak 2.b (novi)

Tekst koji je predložila Komisija

Izmjena

 

2b.  Ako proizvođači izaberu „vlastitu izjavu o sukladnosti” u skladu s člankom 48. stavkom 3., tijela za ocjenjivanje sukladnosti poduzet će dodatne korake kako bi provjerila interne postupke koje je proizvođač proveo da bi zajamčio sukladnost svojih proizvoda i/ili usluga sa zahtjevima europskog programa kibersigurnosne certifikacije.

Amandman    232

Prijedlog uredbe

Članak 52. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Komisija može provedbenim aktima definirati okolnosti, formate i postupke prijava iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 55. stavka 2.

5.  Komisija može delegiranim aktima definirati okolnosti, formate i postupke prijava iz stavka 1. ovog članka. Ti se delegirani akti donose u skladu s postupkom iz članka 55. stavka 2.

Amandman    233

Prijedlog uredbe

Članak 53. – naslov

Tekst koji je predložila Komisija

Izmjena

Europska skupina za kibersigurnosnu certifikaciju

Skupina država članica za certifikaciju

 

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra; ako bude prihvaćena bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman    234

Prijedlog uredbe

Članak 53. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Osniva se Europska skupina za kibersigurnosnu certifikaciju („Skupina”).

1.  Osniva se Skupina država članica za certifikaciju.

Amandman    235

Prijedlog uredbe

Članak 53. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Skupina je sastavljena od nacionalnih tijela za nadzor certifikacije. Ta tijela predstavljaju njihovi čelnici ili drugi predstavnici nacionalnih tijela za nadzor certifikacije na visokoj razini.

2.  Skupina država članica za certifikaciju sastavljena je od nacionalnih tijela za nadzor certifikacije iz svake države članice. Ta tijela predstavljaju njihovi čelnici ili drugi predstavnici nacionalnih tijela za nadzor certifikacije na visokoj razini. Članovi Interesne skupine za certificiranje imaju pravo biti pozvani prisustvovati sastancima Skupine i sudjelovati u njezinu radu.

Amandman    236

Prijedlog uredbe

Članak 53. – stavak 3. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

3.  Skupina ima sljedeće zadaće:

3.  Skupina država članica za certifikaciju ima sljedeće zadaće:

Amandman    237

Prijedlog uredbe

Članak 53. – stavak 3. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  pomagati ENISA-i, savjetovati je i surađivati s njome u pogledu izrade prijedloga programa u skladu s člankom 44. ove Uredbe;

(b)  pomagati Agenciji, savjetovati je i surađivati s njome u pogledu izrade prijedloga programa u skladu s člankom 44. ove Uredbe;

Amandman    238

Prijedlog uredbe

Članak 53. – stavak 3. – točka da (nova)

Tekst koji je predložila Komisija

Izmjena

 

(d a)  donijeti preporuke kojima se utvrđuju učestalost provjera certifikata i samoocjena sukladnosti koje provode nacionalna tijela za nadzor certifikacije te kriteriji, razmjer i opseg tih provjera i donijeti zajednička pravila i standarde za izvješćivanje u skladu s člankom 50. stavkom 6.

Amandman    239

Prijedlog uredbe

Članak 53. – stavak 3. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati dobru praksu o programima kibersigurnosne certifikacije;

(e)  analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati informacije i dobru praksu o programima kibersigurnosne certifikacije;

Amandman    240

Prijedlog uredbe

Članak 53. – stavak 3. – točka fa (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f a)  olakšati usklađivanje europskih programa kibersigurnosti s međunarodno priznatim standardima, uključujući preispitivanjem postojećih europskih programa kibersigurnosti te, po potrebi, davanjem preporuka Agenciji u pogledu suradnje s relevantnim međunarodnim organizacijama za normizaciju kako bi se riješili nedostaci ili manjkavosti u dostupnim međunarodno priznatim normama;

Amandman    241

Prijedlog uredbe

Članak 53. – stavak 3. – točka fb (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f b)  uspostaviti postupak stručne revizije. Taj proces posebno uzima u obzir potrebnu tehničku stručnost nacionalnih tijela za nadzor certifikacije u ispunjavanju njihovih zadaća, kako je navedeno u člancima 48. i 50., i po potrebi obuhvaća izradu smjernica i dokumenata o najboljim praksama kako bi se poboljšala sukladnost nacionalnih tijela za nadzor certifikacije s ovom Uredbom;

Amandman    242

Prijedlog uredbe

Članak 53. – stavak 3. – točka fc (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f c)  nadzirati praćenje i održavanje certifikata;

Amandman    243

Prijedlog uredbe

Članak 53. – stavak 3. – točka fd (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f d)  uzimati u obzir rezultate savjetovanja s dionicima provedenih tijekom pripreme prijedloga programa, u skladu s člankom 44.

Amandman    244

Prijedlog uredbe

Članak 53. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Skupinom predsjeda Komisija i osigurava joj tajništvo uz pomoć ENISA-e, kako je predviđeno u članku 8. točki (a).

4.  Skupinom država članica za certifikaciju predsjeda Komisija i osigurava joj tajništvo uz pomoć Agencije, kako je predviđeno u članku 8. točki (a).

Amandman    245

Prijedlog uredbe

Članak 53.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 53.a

 

Pravo na učinkovit pravni lijek protiv nadzornog tijela ili tijela za ocjenjivanje sukladnosti

 

1.  Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka fizička ili pravna osoba ima pravo na učinkovit pravni lijek:

 

(a)  protiv odluke tijela za ocjenjivanje sukladnosti ili nacionalnog tijela za nadzor certifikacije koja se odnosi na tu osobu, među ostalim, ako je primjenjivo, u pogledu izdavanja, neizdavanja ili priznavanja europskog kibersigurnosnog certifikata koji ta osoba posjeduje; i

 

(b)  u slučaju kada nacionalno tijelo za nadzor certifikacije ne riješi pritužbu za koju je nadležno.

 

2.  Postupak protiv tijela za ocjenjivanje sukladnosti ili nacionalnog tijela za nadzor certifikacije vodi se pred sudovima države članice u kojoj tijelo za ocjenjivanje sukladnosti ili nacionalno tijelo za nadzor certifikacije ima poslovni nastan.

Amandman    246

Prijedlog uredbe

Članak 55. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2 a.  U slučaju upućivanja na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Amandman    247

Prijedlog uredbe

Članak 55.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 55.a

 

Izvršavanje delegiranja ovlasti

 

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

 

2.   Ovlast za donošenje delegiranih akata iz članaka 44. i 48.a dodjeljuje se Komisiji na neodređeno razdoblje počevši od ... (datum stupanja na snagu temeljnog zakonodavnog akta).

 

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članaka 44. i 48.a. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

 

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

 

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

 

6.   Delegirani akt donesen na temelju članka 44. stavka 48.a stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za [dva mjeseca] na inicijativu Europskog parlamenta ili Vijeća.

Amandman    248

Prijedlog uredbe

Članak 56. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Najkasnije pet godina od datuma iz članka 58. i svakih pet godina nakon toga Komisija ocjenjuje učinak, djelotvornost i učinkovitost Agencije i njezina načina rada kao i moguću potrebu za izmjenom mandata Agencije te financijske posljedice takve izmjene. Ocjenom iz stavka 1. uzimaju se u obzir sve povratne informacije pružene Agenciji kao odgovor na njezine aktivnosti. Ako Komisija smatra da daljnje postojanje Agencije više nije opravdano s obzirom na ciljeve, mandat i zadaće koji su joj dodijeljeni, ona može predložiti izmjenu odredaba ove Uredbe koje se odnose na Agenciju.

1.  Najkasnije dvije godine od datuma iz članka 58. i svake dvije godine nakon toga Komisija ocjenjuje učinak, djelotvornost i učinkovitost Agencije i njezina načina rada kao i moguću potrebu za izmjenom mandata Agencije te financijske posljedice takve izmjene. Ocjenom iz stavka 1. uzimaju se u obzir sve povratne informacije pružene Agenciji kao odgovor na njezine aktivnosti. Ako Komisija smatra da daljnje postojanje Agencije više nije opravdano s obzirom na ciljeve, mandat i zadaće koji su joj dodijeljeni, ona može predložiti izmjenu odredaba ove Uredbe koje se odnose na Agenciju.

Amandman    249

Prijedlog uredbe

Članak 56. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Ocjenjivanjem se ocjenjuje i učinak, djelotvornost i učinkovitost odredaba iz glave III. u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta.

2.  Ocjenjivanjem se ocjenjuje i učinak, djelotvornost i učinkovitost odredaba iz glave III. u pogledu ciljeva osiguranja prikladne razine kibersigurnosti IKT proizvoda, procesa i usluga u Uniji i poboljšanja funkcioniranja unutarnjeg tržišta.

Amandman    250

Prijedlog uredbe

Članak 56. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2 a.  Evaluacijom se ocjenjuje jesu li ključni zahtjevi kibersigurnosti za pristup unutarnjem tržištu potrebni kako bi se spriječilo da proizvodi, usluge i postupci koji ne ispunjavaju temeljne zahtjeve u pogledu kibersigurnosti uđu na tržište Unije.

Amandman    251

Prijedlog uredbe

Prilog -I.(novi)

Tekst koji je predložila Komisija

Izmjena

 

PRILOG -I.

 

Nakon uspostave okvira EU-a za kibersigurnosnu certifikaciju vrlo je vjerojatno da će se pozornost usmjeriti na područja koja su od neposrednog interesa kako bi se odgovorilo na izazov koji predstavljaju nove tehnologije. Područje interneta stvari od posebnog je interesa jer obuhvaća i zahtjeve u pogledu potrošača i u pogledu industrije. Predlaže se sljedeća lista prioriteta za uključivanje u okvir certifikacije:

 

(1) Certifikacija usluga u oblaku.

 

(2) Certifikacija uređaja povezanih internetom stvari, uključujući:

 

a. uređaje na razini pojedinca, kao što su pametni nosivi uređaji;

 

b. uređaje na razini zajednice, kao što su pametni automobili, pametne kuće, zdravstveni uređaji;

 

c. uređaje na razini društva, kao što su pametni gradovi i pametne mreže.

 

(3) Industrija 4.0 koja obuhvaća inteligentne, međusobno povezane kiberfizičke sustave koji automatiziraju sve faze industrijskih aktivnosti, od dizajniranja i proizvodnje do rada, lanca opskrbe i održavanja.

 

(4) Certifikacija tehnologija i proizvoda koji se koriste u svakodnevnom životu. Primjer su toga mrežni uređaji, kao što su kućni usmjernici za internet.

Amandman    252

Prijedlog uredbe

Prilog I. – stavak 1. – točka 5.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

5a.  Ako je tijelo za ocjenjivanje sukladnosti u vlasništvu ili pod upravljanjem javnog subjekta ili institucije, neovisnost i nepostojanje sukoba interesa osigurava se i dokumentira između, s jedne strane, tijela za nadzor certifikacije i, s druge strane, tijela za ocjenjivanje sukladnosti.

Amandman    253

Prijedlog uredbe

Prilog I. – stavak 1. – točka 8.

Tekst koji je predložila Komisija

Izmjena

8.  Tijelo za ocjenjivanje sukladnosti u stanju je obavljati sve zadaće ocjenjivanja sukladnosti koje su mu dodijeljene u skladu s ovom Uredbom, bez obzira na to obavlja li te zadaće samo ili se obavljaju u njegovo ime i pod njegovom odgovornošću.

8.  Tijelo za ocjenjivanje sukladnosti u stanju je obavljati sve zadaće ocjenjivanja sukladnosti koje su mu dodijeljene u skladu s ovom Uredbom, bez obzira na to obavlja li te zadaće samo ili se obavljaju u njegovo ime i pod njegovom odgovornošću. Svako podugovaranje ili savjetovanje s vanjskim osobljem uredno se dokumentira, ne uključuje nikakve posrednike, i predmetom je pisanog sporazuma kojim su obuhvaćeni, među ostalim, povjerljivost i sukobi interesa. Dotično tijelo za ocjenjivanje sukladnosti preuzima punu odgovornost za zadaće koje obavlja.

Amandman    254

Prijedlog uredbe

Prilog I. – stavak 1. – točka 12.

Tekst koji je predložila Komisija

Izmjena

12.  Nepristranost tijela za ocjenjivanje sukladnosti, njihovog visokog rukovodstva i osoblja zaduženih za ocjenjivanje mora biti zajamčena.

12.  Nepristranost tijela za ocjenjivanje sukladnosti, njihovog visokog rukovodstva i osoblja i podugovaratelja zaduženih za ocjenjivanje mora biti zajamčena.

Amandman    255

Prijedlog uredbe

Prilog I. – stavak 1. – točka 15.

Tekst koji je predložila Komisija

Izmjena

15.  Osoblje tijela za ocjenjivanje sukladnosti čuva poslovnu tajnu koja se odnosi na sve informacije prikupljene pri obavljanju zadaća u skladu s ovom Uredbom ili na temelju bilo koje odredbe nacionalnoga prava kojom se ona provodi, osim kad ih zahtijeva nadležno tijelo države članice u kojoj se provode njegove aktivnosti.

15.  Tijelo za ocjenjivanje sukladnosti i njegovo osoblje, odbori, ovisni subjekti, podugovoratelji i sva povezana tijela ili osoblje vanjskih tijela postupaju u skladu s načelima povjerljivosti i čuvaju poslovnu tajnu koja se odnosi na sve informacije prikupljene pri obavljanju zadaća u skladu s ovom Uredbom ili na temelju bilo koje odredbe nacionalnoga prava kojom se ona provodi, osim u slučajevima kada se otkrivanje informacija zahtijeva zakonodavstvom Unije ili države članice koje je mjerodavno za te osobe, osim u pogledu nadležnih tijela država članica u kojoj se provode njegove aktivnosti. Vlasnička su prava zaštićena. Tijelo za ocjenjivanje sukladnosti ima uspostavljene dokumentirane postupke u pogledu zahtjeva iz odjeljka 15.

Amandman    256

Prijedlog uredbe

Prilog I. – stavak 1. – točka 15.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

15a.  Uz iznimku odjeljka 15., zahtjevi iz ovog Priloga ni na koji način ne isključuju razmjenu tehničkih informacija i regulatornih smjernica između tijela za ocjenjivanje sukladnosti i osobe koje podnose zahtjev za certifikaciju ili razmatraju mogućnost podnošenja zahtjeva.

Amandman    257

Prijedlog uredbe

Prilog I. – stavak 1. – točka 15.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

15b.  Tijela za ocjenjivanje sukladnosti djeluju u skladu s nizom dosljednih, pravednih i razumnih uvjeta, uzimajući u obzir interese malih i srednjih poduzeća, kako su definirana u Preporuci 2003/361/EZ, u pogledu naknada.

(1)

SL C 227, 28.6.2018., str. 86.


OBRAZLOŽENJE

Činjenica je da je globalna digitalna revolucija sve snažnija i da se širi na naša gospodarstva, društva i države, zbog čega su svi naši podaci ugroženi. Potrošači, industrije, institucije i demokracije na lokalnoj, nacionalnoj, europskoj i globalnoj razini žrtve su kibernapada, kiberšpijunaže i kibersabotaže, a svi smo svjesni toga da će se narednih godina to još više intenzivirati.

Milijarde uređaja spojene su na internet i međusobno djeluju na novim razinama i u novom opsegu. Ti uređaji i povezane usluge mogu poboljšati život građana i naša gospodarstva. Međutim, građani i organizacije u potpunosti će biti ili postati dio digitalnog svijeta samo ako imaju povjerenja u digitalne tehnologije. Zbog toga uređaji, procesi i usluge koji su povezani internetom stvari moraju biti sigurni.

Kako bi se postigli ti ciljevi, Komisija je predložila „Akt o kibersigurnosti”. Ova je Uredba važan dio i alat nove strategije Europske unije o kibersigurnosti, čiji je cilj pružiti Europi dugoročnu viziju kibersigurnosti i osigurati povjerenje u digitalne tehnologije. Potrebno ju je razmatrati u kontekstu zakonodavstva koje je već na snazi: EU je već osnovao Agenciju Europske unije za mrežnu i informacijsku sigurnost (ENISA) i donio Direktivu o mrežnoj i informacijskoj sigurnosti (Direktiva NIS), koju države članice trenutačno prenose u svoja zakonodavstva.

Akt o kibersigurnosti sastoji se od dva dijela: u prvom su dijelu određeni uloga i mandat ENISA-e s ciljem jačanja Agencije. U drugom se dijelu europski program kibersigurnosne certifikacije uvodi kao oblik dobrovoljnog okvira za poboljšanje sigurnosti povezanih uređaja, digitalnih proizvoda i usluga.

Općenito govoreći izvjestiteljica pozdravlja prijedlog Komisije o europskom aktu o kibersigurnosti jer je on ključan za maksimalno smanjenje rizika i prijetnji za informacijsku sigurnost i mrežne sustave te za izgradnju povjerenja u IT rješenja kod potrošača, posebno u pogledu interneta stvari. Izvjestiteljica čvrsto vjeruje da Europa može postati predvodnica u području kibersigurnosti. Europa ima jaku industrijsku bazu te je stoga rad na poboljšanju kibersigurnosti u pogledu potrošačke robe, industrijske primjene i ključne infrastrukture u interesu i potrošača i industrije.

Prijedlog Komisije trebalo bi izmijeniti i to dio o ENISA-i i dio o certificiranju:

kad je riječ o ENISA-i, izvjestiteljica vjeruje da je ključno uspostaviti pravi okvir ako želimo imati snažnu i funkcionalnu Agenciju. Izvjestiteljica pozdravlja važniju ulogu ENISA-e, koja obuhvaća trajni mandat i povećanje njezina proračuna i broja zaposlenika, no potreban je realističan pristup s obzirom na to da je u usporedbi s brojem zaposlenih u nekim nacionalnim tijelima za nadzor certifikacije u ENISA-i i dalje zaposlen mali broj stručnjaka. Zadatak ENISA-e i dalje bi trebala biti organizacija operativne suradnje, uzimajući u obzir stručno znanje stečeno u okviru Direktive NIS, podupiranje izgradnje kapaciteta u državama članicama i pružanje informacija. Nadalje, ENISA treba imati jaku ulogu u uspostavi europskih programa kibersigurnosne certifikacije zajedno s državama članicama i relevantnim dionicima.

Kad je riječ o certificiranju, izvjestiteljica se zalaže za jasnije područje primjene Prijedloga. Kao prvo, ovom Uredbom trebali bi biti obuhvaćeni ne samo proizvodi i usluge, već čitav životni ciklus. Stoga u područje primjene treba uključiti i procese. Međutim, trebalo bi jasno isključiti područja nadležnosti država članica, odnosno područja javne sigurnosti, obrane, nacionalne sigurnosti i kaznenog prava.

U pogledu europskog programa kibersigurnosne certifikacije izvjestiteljica predlaže da se detaljnije precizira pristup utemeljen na riziku, a ne univerzalan program certifikacije. Nadalje, izvjestiteljica se zalaže za dobrovoljan sustav, ali samo za osnovnu i znatnu razinu jamstva. Za proizvode, procese ili usluge koje potpadaju pod najveću razinu jamstva izvjestiteljica smatra da je primjereniji obvezan program. Kad je riječ o evaluaciji digitalnih tehnologija koje potpadaju pod osnovnu razinu jamstva, izvjestiteljica predlaže povezivanje s pristupom iz novog zakonodavnog okvira. Time će se omogućiti samoocjena, jeftiniji i manje opterećujući sustav za koji se pokazalo da dobro funkcionira u različitim specifičnim područjima.

Izvjestiteljica smatra da bi proizvođač ili pružatelj IKT proizvoda, procesa i usluga trebao imati obvezu izdavanja deklaracije proizvoda sa strukturiranim informacija o certifikaciji, u kojoj bi na primjer bila navedena dostupnost ažuriranja ili interoperabilnost certificiranih proizvoda, procesa ili usluge. Na taj bi način potrošač prilikom odabira uređaja raspolagao korisnim informacijama. Izvjestiteljica daje prednost deklaraciji proizvoda u odnosu na etiketu ili oznaku koje bi mogle zavarati potrošače.

Čvrsto vjeruje da je strukturu upravljanja kako ju je predložila Komisija potrebno poboljšati da bi bila transparentnija za sve uključene dionike. Izvjestiteljica stoga predlaže da se usvoji višegodišnji program rada Unije u kojem će se utvrditi zajedničke mjere koje je potrebno provesti na razini Unije i u kojem će biti navedena područja za koja bi prvo trebalo uvesti europske programe certifikacije te razina ekvivalentnosti znanja i stručnosti tijela za ocjenjivanje i nadzor u državama članicama. Čvršće upravljanje također podrazumijeva veću uključenost država članica i industrije u postupku certifikacije: uloga država članica može se ojačati kad Skupina, osnovana u skladu s člankom 53. Prijedloga i koja se sastoji od nacionalnih tijela za nadzor certifikacije, bude na istoj razini kao i Komisija prilikom pripreme programa certifikacije. Skupina će također morati odobriti prijedlog europskog programa. Trebalo bi isto tako ojačati sudjelovanje industrije u postupku certifikacije. To se može postići tako što će se pojasniti sastav Stalne interesne skupine i tako što će ENISA osnivati ad hoc savjetodavne skupine kako bi dobila daljnje stručno znanje i iskustvo iz industrijskog sektora i od relevantnih dionika u okviru postupka certifikacije. Izvjestiteljica vjeruje da će te mjere pomoći MSP-ovima da u tom postupku sudjeluju u većoj mjeri.

Najzad, europskom sustavu certificiranja prilikom razvoja novih programa potrebno je veće sudjelovanje europskih organizacija za normizaciju kao što su CEN i CENELEC. Time bi se omogućilo da postojeće i globalno prihvaćene međunarodne norme prevladaju.


MIŠLJENJE Odbora za unutarnje tržište i zaštitu potrošača (22.5.2018)

upućeno Odboru za industriju, istraživanje i energetiku

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: (*) Nicola Danti

(*)  Pridruženi odbor – članak 54. Poslovnika

KRATKO OBRAZLOŽENJE

U digitalnom dobu kibersigurnost je ključan element za gospodarsku konkurentnost i sigurnost Europske unije te za integritet naših slobodnih i demokratskih društava i procesa na kojima se temelje. Zajamčena visoka razina kiberotpornosti diljem EU-a iznimno je važna za postizanje povjerenja potrošača u jedinstveno digitalno tržište i za daljnji razvoj inovativnije i konkurentnije Europe.

Nema sumnje u to da su kiberprijetnje i globalni kibernapadi – kao što su „Wannacry” i „Meltdown” – pitanja od sve veće važnosti u našem u sve većoj mjeri digitaliziranom društvu. Prema ispitivanju Eurobarometra objavljenom u srpnju 2017., 87 % ispitanika smatra kiberkriminalitet „važnim izazovom za unutarnju sigurnost EU-a”, a većina njih „zabrinuta je da su žrtve raznih oblika kiberkriminaliteta”. Štoviše, od početka 2016. svaki dan diljem svijeta dogodilo se više od 4 000 napada ucjenjivačkim softverima, uz povećanje od 300 % od 2015. i s učinkom na 80 % trgovačkih društava iz EU-a. Ove činjenice i saznanja jasno ukazuju na potrebu da EU bude otporniji i učinkovitiji u borbi protiv kibernapada te da poveća svoje sposobnosti kako bi bolje zaštitio građane Europe, poduzeća i javne institucije.

Godinu dana nakon stupanja na snagu Direktive NIS Europska je komisija u širem okviru strategije EU-a za kibersigurnost predstavila uredbu kojoj je cilj dodatno povećanje otpornosti, odvraćanja i obrane EU-a u području kibersigurnosti. Dana 13. rujna 2017. Komisija je predstavila „Akt o kibersigurnosti” na osnovi dvaju stupova, kako slijedi:

1. trajan i snažniji mandat za Agenciju Europske unije za mrežnu i informacijsku sigurnost (ENISA) kako bi se pomoglo državama članicama u učinkovitom sprječavanju kibernapada i odgovoru na njih i 2. uspostava okvira EU-a za kibersigurnosnu certifikaciju kako bi se zajamčilo da su IKT proizvodi i usluge kibersigurni.

Općenito, izvjestitelj pozdravlja pristup koji predlaže Europska komisija i osobito podržava uvođenje programa kibersigurnosne certifikacije na razini EU-a, kojima je cilj jačanje sigurnosti IKT proizvoda i usluga i izbjegavanje skupe rascjepkanosti jedinstvenog tržišta u tom ključnom području. Iako bi to prvenstveno trebalo ostati dobrovoljan alat, izvjestitelj se nada da će okvir EU-a za kibersigurnosnu certifikaciju i srodni postupci postati nužan alat za jačanje povjerenja naših građana i korisnika te povećanje sigurnosti proizvoda i usluga koji se kreću na jedinstvenom tržištu.

Dakako, također je uvjeren da niz stavki prijedloga treba razjasniti i poboljšati:

•  Prije svega, više uključiti relevantne dionike u različite faze sustava upravljanja za pripremu ENISA-inih prijedloga programa kibersigurnosne certifikacije: prema mišljenju izvjestitelja, nužno je formalno uključiti najrelevantnije dionike kao što su industrije IKT-a, organizacije potrošača, MSP-ovi, normizacijska tijela EU-a i sektorske agencije EU-a itd. i dati im mogućnost da podnose nove prijedloge programa, savjetuju ENISA-u svojim stručnim znanjem ili surađuju s ENISA-om u pripremi prijedloga programa.

•  Kao drugo, postoji potreba za jačanjem koordinacijske uloge Europske skupine za kibersigurnosnu certifikaciju (sastavljene od nacionalnih tijela i s podrškom Komisije i ENISA-e) dodatnim zadacima da pruža strateško vođenje i uspostavi program rada za zajedničko djelovanje koje treba poduzeti na razini Unije u području certifikacije te da uspostavi i periodički ažurira prioritetni popis IKT proizvoda i usluga za koje smatra da im je potreban europski program kibersigurnosne certifikacije.

•  Izvjestitelj čvrsto vjeruje da bismo trebali izbjegavati praksu traženja najpovoljnije certifikacije EU-a („shopping”), što se već dogodilo u drugim sektorima. Potrebno je izrazito ojačati odredbe za praćenje i nadzor koje se odnose na ENISA-u i nacionalna tijela za nadzor certifikacije kako bi se zajamčilo da europski certifikat izdan u jednoj državi članici ima iste standarde i zahtjeve kao i certifikat izdan u drugoj državi članici. Stoga predlaže:

1. jačanje nadzornih ovlasti ENISA-e: ENISA bi trebala zajedno sa Skupinom za certifikaciju ocijeniti postupke koje su uspostavila tijela odgovorna za izdavanje certifikata EU-a;

2. da nacionalna tijela za nadzor certifikacije provode periodička ocjenjivanja (barem svake dvije godine) certifikata EU-a koje su izdala tijela za ocjenjivanje sukladnosti;

3. uvođenje zajedničkih obvezujućih kriterija koje će definirati Skupina kako bi se postavili razmjer, opseg i učestalost ocjenjivanja iz točke 2. koja će provoditi nacionalna tijela za nadzor certifikacije.

•  Izvjestitelj smatra da bi trebalo uvesti obveznu oznaku povjerenja EU-a za certificirane IKT proizvode i usluge koji su namijenjeni krajnjim korisnicima. Ta bi oznaka pomogla u podizanju razine osviještenosti, a trgovačkim društvima s dobrim kibersigurnosnim certifikatima povećala bi konkurentnost.

•  Izvjestitelj se slaže s jedinstvenim i usklađenim pristupom Komisije, ali stajališta je da bi trebao biti fleksibilniji i prilagodljiviji posebnim značajkama i slabostima svakog proizvoda i usluge umjesto primjene načela jedinstvenog pristupa. Stoga izvjestitelj smatra da je potrebno preimenovati razine jamstva i primjenjivati ih uzimajući u obzir i planiranu namjenu IKT proizvoda i usluga. Isto tako, trajanje valjanosti certifikata trebalo bi se definirati na osnovi pojedinačnog programa.

•  Svaki program certifikacije trebao bi biti osmišljen tako da stimulira i potiče sve dionike uključene u predmetni sektor da razvijaju i usvajaju sigurnosne standarde, tehničke norme i načela integrirane sigurnosti i integrirane privatnosti u svim fazama životnog vijeka proizvoda ili usluge.

AMANDMANI

Odbor za unutarnje tržište i zaštitu potrošača poziva Odbor za industriju, istraživanje i energiju da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman    1

Prijedlog uredbe

Uvodna izjava 1.

Tekst koji je predložila Komisija

Izmjena

(1)  Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija podupire složene sustave kojima se podupiru društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

(1)  Mrežni i informacijski sustavi i telekomunikacijske mreže i usluge imaju ključnu ulogu u društvu i postali su okosnica gospodarskog rasta. Informacijska i komunikacijska tehnologija (IKT) podupire složene sustave kojima se podupiru svakodnevne društvene aktivnosti, osigurava neprekinuto funkcioniranje naših gospodarstava u ključnim sektorima poput zdravstva, energetike, financija i prometa te se posebno podupire funkcioniranje unutarnjeg tržišta.

Amandman    2

Prijedlog uredbe

Uvodna izjava 2.

Tekst koji je predložila Komisija

Izmjena

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost ne ugrađuju se dostatno kao standardni element, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja koje je nužno za uspostavu jedinstvenog digitalnog tržišta.

Amandman    3

Prijedlog uredbe

Uvodna izjava 3.

Tekst koji je predložila Komisija

Izmjena

(3)  Rast digitalizacije i povezivosti donose veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Kako bi se ublažio taj rizik za društvo, treba poduzeti sve nužne mjere za poboljšanje kibersigurnosti u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

(3)  Rast digitalizacije i povezivosti donose znatno veće kibersigurnosne rizike zbog čega je društvo u cjelini osjetljivije na prijetnje kibersigurnosti, a građani se suočavaju sa sve većim opasnostima, uključujući ranjive osobe kao što su djeca. Transformativnu moć umjetne inteligencije i strojnog učenja iskoristit će cijelo društvo, ali i kiberkriminalci. Kako bi se ublažili ti rizici za društvo, treba poduzeti sve nužne mjere za poboljšanje zaštite od kibernapada u EU-u u cilju bolje zaštite mrežnih i informacijskih sustava, telekomunikacijskih mreža, digitalnih proizvoda, usluga i uređaja kojima se koriste građani, vlade i poduzeća, od MSP-ova do operatora ključnih infrastruktura, od kiberprijetnji.

Amandman    4

Prijedlog uredbe

Uvodna izjava 4.

Tekst koji je predložila Komisija

Izmjena

(4)  Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(4)  Kibernapadi su sve češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman    5

Prijedlog uredbe

Uvodna izjava 5.

Tekst koji je predložila Komisija

Izmjena

(5)  Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

(5)  Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacije u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granice, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, s obzirom na to da kiberincidenti narušavaju povjerenje u pružatelje digitalnih usluga i jedinstveno digitalno tržište kao takvo, osobito među potrošačima, povjerenje bi trebalo dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati standardiziranim certificiranjem na razini EU-a, koje se temelji na europskim ili međunarodnim normama i kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima. Osim certifikacije na razini cijele Unije postoji niz dobrovoljnih mjera koje sâm privatni sektor treba poduzeti za jačanje povjerenja u sigurnost IKT proizvoda i usluga, osobito u pogledu sve veće dostupnosti povezanih digitalnih uređaja. Na primjer, enkripcija i druge tehnologije za uspješno sprečavanje kibernapada, kao što je lanac blokova, trebali bi se učinkovitije upotrebljavati kako bi se poboljšala sigurnost komunikacije i podataka krajnjih korisnika te opća sigurnost mreža i informacijskih sustava u Uniji.

Amandman    6

Prijedlog uredbe

Uvodna izjava 5.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(5a)  Iako certifikacija i drugi oblici ocjenjivanja sukladnosti IKT proizvoda, usluga i postupaka imaju važnu ulogu, za poboljšanje kibersigurnosti potreban je višedimenzionalan pristup koji obuhvaća osobe, postupke i tehnologije. EU bi također trebao nastaviti snažno naglašavati i poticati druge napore, uključujući obrazovanje, osposobljavanje i razvoj vještina u području kibersigurnosti, podizanje razine osviještenosti na izvršnoj razini i razini uprave poduzeća, promicanje dobrovoljne razmjene informacija o kiberprijetnjama te zaokret s reaktivnog na proaktivni pristup za odgovor na prijetnje stavljanjem naglaska na sprečavanje uspješnih kibernapada.

Amandman    7

Prijedlog uredbe

Uvodna izjava 7.

Tekst koji je predložila Komisija

Izmjena

(7)  Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

(7)  Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS, čiji će uspjeh uvelike ovisiti o učinkovitoj provedbi u državama članicama, utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

Amandman    8

Prijedlog uredbe

Uvodna izjava 11.

Tekst koji je predložila Komisija

Izmjena

(11)  S obzirom na sve veće izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

(11)  S obzirom na sve veće prijetnje i izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

Amandman    9

Prijedlog uredbe

Uvodna izjava 28.

Tekst koji je predložila Komisija

Izmjena

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse u pogledu kiberhigijene, odnosno jednostavne i rutinske mjere koje pojedinci i organizacije mogu poduzeti kako bi se opasnost od kiberprijetnji svela na najmanju moguću mjeru, kao što su višefaktorska autentifikacija, sigurnosni popravci, enkripcija i upravljanje pristupom. Trebala bi to činiti prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima te sastavljanjem i objavljivanjem izvješća i smjernica u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o mjerama koje se mogu poduzeti radi zaštite od potencijalnih opasnosti u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, napadi ucjenjivačkim softverima, preuzimanje kontrole, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja savjetovanja o osnovnoj višefaktorskojautentifikaciji, enkripciji, sigurnosnim poporavcima, načelima upravljanja pristupom, zaštiti podataka, i drugim tehnologijama za unaprjeđenje sigurnosti i privatnosti te o alatima za anonimizaciju. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja i sigurnom korištenju usluga, promicanju integrirane sigurnosti na razini Unije koja je izuzetno važna za sigurnost povezanih uređaja, osobito za ranjive krajnje korisnike koji uključuju djecu, te promicanju integrirane privatnosti. Agencija bi trebala poticati sve krajnje korisnike da poduzmu odgovarajuće korake za sprečavanje i svođenje na najmanju moguću mjeru učinaka incidenata koji utječu na sigurnost njihovih mreža i informacijskih sustava. Trebalo bi uspostaviti partnerstva s akademskim ustanovama u kojima su pokrenute istraživačke inicijative u relevantnim područjima kibersigurnosti.

Amandman    10

Prijedlog uredbe

Uvodna izjava 35.

Tekst koji je predložila Komisija

Izmjena

(35)  Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

(35)  Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda. ENISA bi trebala objaviti takva upozorenja na web-mjestu namijenjenom pružanju informacija o programima certifikacije. Agencija bi trebala sastaviti smjernice o minimalnim sigurnosnim zahtjevima za informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje. Takvim bi se smjernicama moglo pozvati proizvođače da dostave pisanu izjavu kojom se potvrđuje da uređaj ne sadržava hardver, softver ili ugrađene programe s poznatim sigurnosnim slabostima koje se mogu zloupotrijebiti, niti nepromjenjivu ili nekriptiranu lozinku ili pristupnu šifru koji ne prihvaćaju ažuriranja sigurnosne zaštite iz pouzdanih izvora koja su prikladno provjerena, da odgovor prodavača za predmetni uređaj obuhvaća odgovarajuću hijerarhiju pravnih lijekova i da prodavači obavještavaju krajnje korisnike kad će sigurnosna potpora za uređaj prestati.

Amandman    11

Prijedlog uredbe

Uvodna izjava 36.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(36 a)  Norme su dobrovoljan i tržišno uvjetovan alat kojim se postavljaju tehnički zahtjevi i daju smjernice i koji proizlazi iz otvorenog, transparentnog i uključivog postupka. Primjena normi olakšava usklađenost robe i usluga s pravom Unije te se njome podupiru europske politike sukladne Uredbi (EU) br. 1025/2012 o europskoj normizaciji. Agencija bi se trebala redovito savjetovati s europskim organizacijama za normizaciju i surađivati s njima, osobito kad priprema europske programe kibersigurnosne certifikacije.

Amandman    12

Prijedlog uredbe

Uvodna izjava 44.

Tekst koji je predložila Komisija

Izmjena

(44)  Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije.

(44)  Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača, akademskom zajednicom i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Kako bi se osigurala stvarna uključenost interesnih skupina u okvir kibersigurnosne certifikacije, Stalna interesna skupina trebala bi davati savjete i o tome koje bi IKT proizvode i usluge trebalo obuhvatiti budućim europskim programima kibersigurnosne certifikacije i trebala bi predložiti Komisiji da od Agencije zatraži pripremu prijedloga programa za takve IKT proizvode i usluge, bilo na vlastitu inicijativu ili nakon što relevantni dionici podnesu prijedloge. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezine zadaće trebali bi osigurati efikasnu i pravednu zastupljenost dionika u radu Agencije.

Amandman    13

Prijedlog uredbe

Uvodna izjava 46.

Tekst koji je predložila Komisija

Izmjena

(46)  Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti i odgovornosti.

(46)  Kako bi se zajamčila potpuna autonomija i neovisnost Agencije i kako bi joj se omogućilo obavljanje dodatnih i novih zadaća, uključujući nepredviđene hitne zadaće, Agenciji bi trebalo osigurati dostatni i autonomni proračun s prihodima prvenstveno iz doprinosa Unije i doprinosa trećih zemalja koje sudjeluju u radu Agencije. Veći dio osoblja Agencija trebao bi izravno sudjelovati u operativnoj provedbi mandata Agencije. Državi članici domaćinu ili bilo kojoj drugoj državi članici trebalo bi omogućiti davanje dobrovoljnih doprinosa prihodima Agencije. Na subvencije koje se financiraju iz općeg proračuna Unije trebao bi se i dalje primjenjivati proračunski postupak Unije. Štoviše, Revizorski sud trebao bi provesti reviziju računa Agencije radi osiguranja transparentnosti, odgovornosti, djelotvornosti i učinkovitosti izdataka.

Amandman    14

Prijedlog uredbe

Uvodna izjava 47.

Tekst koji je predložila Komisija

Izmjena

(47)  Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, postupak, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki proizvoda, postupka, usluge, sustava ili njihove kombinacije („IKT proizvodi i usluge”) koju obavlja neovisna treća strana koja nije proizvođač proizvoda ili pružatelj usluge. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

(47)  Ocjenjivanje sukladnosti postupak je kojim se dokazuje da su ispunjeni određeni zahtjevi koji se odnose na proizvod, postupak, uslugu, sustav, osobu ili tijelo. Za potrebe ove Uredbe certifikacija bi se trebala smatrati vrstom ocjenjivanja sukladnosti u pogledu kibersigurnosnih značajki i praksi uključenih u proizvod, postupak, uslugu, sustav ili njihovu kombinaciju („IKT proizvodi i usluge”) koju obavlja neovisna treća strana ili se provodi postupkom davanja vlastite izjave o sukladnosti. Samom certifikacijom ne može se jamčiti kibersigurnost certificiranih IKT proizvoda i usluga te bi krajnjeg korisnika trebalo upoznati s time. Riječ je o postupku i tehničkoj metodologiji kojima se potvrđuje da su IKT proizvodi i usluge te postupci i sustavi na kojima se temelje testirani i da su u skladu s određenim kibersigurnosnim zahtjevima koji su propisani drugdje, na primjer u tehničkim normama.

Amandman    15

Prijedlog uredbe

Uvodna izjava 48.

Tekst koji je predložila Komisija

Izmjena

(48)  Kibersigurnosna certifikacija ima važnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava određena razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS.

(48)  Europska kibersigurnosna certifikacija ima ključnu ulogu u jačanju povjerenja u IKT proizvode i usluge i njihovu sigurnost. Jedinstveno digitalno tržište, posebno podatkovno gospodarstvo i internet stvari, mogu se razvijati samo ako postoji opće povjerenje javnosti da se takvim proizvodima i uslugama osigurava visoka razina kibersigurnosnog jamstva. Povezani i automatizirani automobili, elektronički medicinski proizvodi, industrijski automatizirani kontrolni sustavi ili pametne mreže samo su primjeri sektora u kojima se certificiranje već u velikoj mjeri primjenjuje ili će se vjerojatno primjenjivati u skoroj budućnosti. Kibersigurnosna certifikacija od ključne je važnosti u sektorima uređenima Direktivom NIS.

Amandman    16

Prijedlog uredbe

Uvodna izjava 50.

Tekst koji je predložila Komisija

Izmjena

(50)  Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

(50)  Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, što će povećati njihove troškove. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razina jamstva utemeljenih na riziku, materijalnih kriterija i stvarne upotrebe.

Amandman    17

Prijedlog uredbe

Uvodna izjava 52.

Tekst koji je predložila Komisija

Izmjena

(52)  S obzirom na navedeno nužno je uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

(52)  S obzirom na navedeno nužno je usvojiti zajednički pristup i uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Pritom je ključno nadovezati se na postojeće nacionalne i međunarodne programe i sustave uzajamnog priznavanja, osobito Skupinu viših dužnosnika za sigurnost informacijskih sustava (SOG-IS), te omogućiti neometan prijelaz iz postojećih programa u takvim sustavima na programe u novom europskom okviru. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Ako je europski program kibersigurnosne certifikacije zamijenio nacionalni program, certifikati izdani u okviru europskog programa trebali bi se prihvaćati kao valjani u slučajevima u kojima je potrebna certifikacija na temelju nacionalnog programa. Programi certificiranja trebali bi se voditi integriranom sigurnošću i načelima iz Uredbe (EU) 2016/679. Trebali bi također biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman    18

Prijedlog uredbe

Uvodna izjava 52.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(52a)  Europski okvir za kibersigurnosnu certifikaciju treba na ujednačen način uspostaviti u svim državama članicama kako bi se izbjegla praksa „traženja povoljnije certifikacije” zbog razlika u troškovima ili razini zahtjevnosti među državama članicama.

Amandman    19

Prijedlog uredbe

Uvodna izjava 55.

Tekst koji je predložila Komisija

Izmjena

(55)  Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

(55)  Europskim programima kibersigurnosne certifikacije trebalo bi se doprinijeti visokoj razini zaštite krajnjih korisnika i europskoj konkurentnosti te povećati razinu sigurnosti unutar jedinstvenog digitalnog tržišta, a konkretnije osigurati da IKT proizvodi i usluge koji su certificirani u skladu s nekim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih postupaka, proizvoda, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije. Iznimno je važno da svaki europski program kibersigurnosne certifikacije bude osmišljen tako da stimulira i potiče sve dionike uključene u predmetni sektor da razvijaju i usvajaju sigurnosne standarde, tehničke norme i načela integrirane sigurnosti u svim fazama životnog vijeka proizvoda ili usluge. Ako su programom predviđene oznake ili znakovi, potrebno je navesti uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati. Na tom znaku, koji bi mogao biti u obliku digitalnog logotipa ili koda QR, navodili bi se rizici povezani s radom i upotrebom IKT proizvoda ili usluga te bi on trebao biti jasan i lako razumljivi za krajnjeg korisnika.

Amandman    20

Prijedlog uredbe

Uvodna izjava 55.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(55a)  U svjetlu razvoja inovacija te sve veće dostupnosti i stalno rastućeg broja povezanih digitalnih uređaja u svim sektorima društva, osobita pozornost mora se posvetiti sigurnosti svih, pa čak i najjednostavnijih povezanih digitalnih uređaja. Budući da je certifikacija ključna metoda za povećanje povjerenja u tržište te veću sigurnost i otpornost, naglasak bi se stoga u novom okviru EU-a za kibersigurnosnu certifikaciju trebao staviti na povezane digitalne uređaje i usluge kako bi postali manje osjetljivi i sigurniji za potrošače i poduzeća.

Amandman    21

Prijedlog uredbe

Uvodna izjava 56.

Tekst koji je predložila Komisija

Izmjena

(56)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

(56)  ENISA bi trebala održavati namjensko web-mjesto s mrežno dostupnim alatom, jednostavnim za korištenje i koji prikazuje popis informacija o usvojenim programima, predloženim programima i programima koje je zatražila Komisija. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja povezane s radom i primjenom IKT proizvoda, postupka ili usluge, njihov inherentan rizik i predviđenu razinu jamstva: funkcionalno sigurnu, odnosno razine jamstva koje imaju funkcionalan stupanj sigurnosti, znatno sigurnu, vrlo sigurnu ili bilo koju kombinaciju tih razina. Razinama jamstva ne bi se trebala sugerirati apsolutna sigurnost kako se krajnjeg korisnika ne bi dovelo u zabludu. Pozornost bi trebalo posvetiti i cijelom životnom ciklusu proizvoda. Kako bi se razjasnilo kojim će se rizicima određeni proizvod ili usluga moći oduprijeti zahvaljujući svojem dizajnu, ENISA bi trebala koordinirati izradu kontrolnog popisa rizika za koje se očekuje da se IKT postupak, proizvod ili usluga s njima suoče, prema određenoj kategoriji korisnika u nekom okruženju.

Amandman    22

Prijedlog uredbe

Uvodna izjava 56.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56 a)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisiji treba delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije u vezi s uspostavom europskog programa kibersigurnosne certifikacije za IKT proizvode i usluge. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Posebno, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata. Pri donošenju tih delegiranih akata Komisija bi programe kibersigurnosne certifikacije za IKT proizvode i usluge trebala temeljiti na svim relevantnim prijedlozima programa koje je predložila ENISA kako bi učvrstilo povjerenje u okvir za kibersigurnosnu certifikaciju i njegovu predvidljivost te povećala razina javne osviještenosti o njemu.

Amandman    23

Prijedlog uredbe

Uvodna izjava 56.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(56b)  Među metodama ocjenjivanja i postupcima procjene povezanima s europskim programom kibersigurnosne certifikacije trebalo bi na razini Unije promicati etičko hakiranje, čiji je cilj lociranje slabosti i osjetljivosti uređaja i informatičkih sustava predviđanjem planiranih akcija i vještina zlonamjernih hakera.

Amandman    24

Prijedlog uredbe

Uvodna izjava 58.

Tekst koji je predložila Komisija

Izmjena

(58)  Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih proizvoda i usluga tijelu za ocjenjivanje sukladnosti po svojem izboru. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba.

(58)  Nakon donošenja europskog programa kibersigurnosne certifikacije, proizvođači IKT proizvoda ili pružatelji IKT usluga moći će podnijeti zahtjev za certifikaciju svojih postupaka, proizvoda ili usluga tijelu za ocjenjivanje sukladnosti po svojem izboru ili sami dati izjavu da su njihovi proizvodi ili usluge sukladni s relevantnim europskim programom kibersigurnosne certifikacije. Tijela za ocjenjivanje sukladnosti trebalo bi akreditirati akreditacijsko tijelo ako ispunjavaju određene zahtjeve propisane ovom Uredbom. Akreditacija bi se trebala izdavati na najviše pet godina i može se obnoviti pod istim uvjetima ako tijelo za ocjenjivanje sukladnosti ispunjava zahtjeve. Akreditacijska tijela trebala bi ukinuti akreditaciju tijela za ocjenjivanje sukladnosti ako ono ne ispunjava uvjete za akreditaciju, ili ih je prestalo ispunjavati, ili ako se mjerama koje je poduzelo tijelo za ocjenjivanje sukladnosti krši ova Uredba. Kako bi se zajamčilo da se akreditacija provodi jednako diljem Europske unije, nacionalna tijela za nadzor certifikacije trebala bi podlijegati istorazinskoj stručnoj ocjeni kada je riječ o postupcima za provjeru sukladnosti proizvoda koji podliježu certificiranju u području kibersigurnosti.

Amandman    25

Prijedlog uredbe

Uvodna izjava 59.

Tekst koji je predložila Komisija

Izmjena

(59)  Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije.

(59)  Od svih država članica treba tražiti da imenuju jedno tijelo za nadzor kibersigurnosne certifikacije koje će nadzirati usklađenost tijela za ocjenjivanje sukladnosti i certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovom državnom području sa zahtjevima iz ove Uredbe i s relevantnim programima kibersigurnosne certifikacije. Nacionalna tijela za nadzor certifikacije trebala bi rješavati pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražiti predmet pritužbe i u razumnom roku obavijestiti podnositelja pritužbe o napretku i rezultatu istrage. Nadalje, ona bi trebala surađivati s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj neusklađenosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim programima kibersigurnosne certifikacije. Nadalje bi trebala nadzirati i provjeravati sukladnost vlastitih izjava o sukladnosti, kao i to jesu li europske kibersigurnosne certifikate izdala tijela za ocjenjivanje sukladnosti prema zahtjevima iz ove Uredbe, uključujući pravila koja je usvojila Europska skupina za kibersigurnosnu certifikaciju i zahtjeve odgovarajućeg europskog programa kibersigurnosne certifikacije. Učinkovita suradnja nacionalnih tijela za nadzor certifikacije ključna je za ispravnu provedbu europskih programa za kibersigurnosnu certifikaciju i tehničkih pitanja koja se odnose na kibersigurnost IKT proizvoda i usluga. Komisija bi trebala olakšati tu razmjenu informacija stavljanjem na raspolaganje općeg elektroničko-informacijskog sustava podrške, primjerice postojećeg Informacijskog i komunikacijskog sustava za tržišni nadzor (ICSMS) i Sustava brzog uzbunjivanja za opasne neprehrambene proizvode (RAPEX) kojima se koriste tijela za nadzor tržišta u skladu s Uredbom (EZ) br. 765/2008.

Amandman    26

Prijedlog uredbe

Uvodna izjava 63.

Tekst koji je predložila Komisija

Izmjena

(63)  Kako bi se dodatno utvrdili kriteriji za akreditaciju tijela za ocjenjivanje sukladnosti, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije treba prenijeti na Komisiju. Komisija bi tijekom svojeg pripremnog rada trebala provoditi odgovarajuća savjetovanja, uključujući i savjetovanje sa stručnjacima. Savjetovanja bi trebalo provoditi u skladu s načelima propisanima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. Kako bi se osiguralo ravnopravno sudjelovanje u izradi delegiranih akata, Europski parlament i Komisija trebali bi sve dokumente zaprimiti istodobno kada i stručnjaci država članica, a njihovi stručnjaci trebali bi sustavno imati pristup sastancima skupina stručnjaka Komisije koje se bave izradom delegiranih akata.

deleted

Amandman    27

Prijedlog uredbe

Uvodna izjava 65.

Tekst koji je predložila Komisija

Izmjena

(65)  Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti.

(65)  Postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata o europskim programima kibersigurnosne certifikacije za IKT postupke, proizvode i usluge; o načinima provođenja istraga Agencije te o okolnostima, formatima i postupcima u skladu s kojima nacionalna tijela za nadzor certifikacije Komisiji dostavljaju obavijesti o akreditiranim tijelima za ocjenjivanje sukladnosti, uzimajući u obzir dokazanu djelotvornost alata za elektroničko prijavljivanje „Informacijski sustav prijavljenih i imenovanih tijela prema novom pristupu” (NANDO).

Amandman    28

Prijedlog uredbe

Uvodna izjava 66.

Tekst koji je predložila Komisija

Izmjena

(66)  Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanjem bi trebalo uzeti u obzir ostvaruje li Agencija svoje ciljeve, njezin način rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

(66)  Rad Agencije trebao bi se ocjenjivati neovisno. Ocjenjivanje bi trebalo obuhvaćati ispravnost i učinkovitost načina na koji Agencija troši sredstva, njezinu djelotvornost u ostvarivanju ciljeva te opis njezina načina rada i relevantnost njezinih zadaća. Ocjenjivanjem bi trebalo procijeniti i učinak, djelotvornost i učinkovitost europskog okvira za kibersigurnosno certificiranje.

Amandman    29

Prijedlog uredbe

Članak 2. – stavak 1. – točka 11.

Tekst koji je predložila Komisija

Izmjena

(11)  „IKT proizvod ili usluga” znači bilo koji element ili skupina elemenata mrežnih i informacijskih sustava;

(11)  „IKT postupak, proizvod ili usluga” znači proizvod, usluga, postupak, sustav ili kombinacija navedenog koji je element mrežnih i informacijskih sustava;

 

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra. Ako bude prihvaćena, bit će potrebno unijeti tehničke promjene u cijelom tekstu.)

Amandman    30

Prijedlog uredbe

Članak 2. – stavak 1. – točka 11.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(11 a)  „nacionalno tijelo za nadzor certifikacije” znači tijelo države članice koje je odgovorno za izvršavanje zadaća praćenja, provedbe i nadzora kibersigurnosne certifikacije na svome državnom području;

Amandman    31

Prijedlog uredbe

Članak 2. – stavak 1. – točka 16.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(16 a)  „vlastita izjava o sukladnosti” znači izjava proizvođača izjavljuje da je njegov IKT postupak, proizvod ili usluga sukladna sa specificiranim europskim programima kibersigurnosne certifikacije.

Amandman    32

Prijedlog uredbe

Članak 3. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi pridonijela ostvarivanju visoke razine kibersigurnosti u Uniji.

1.  Agencija obavlja zadaće koje su joj dodijeljene ovom Uredbom kako bi pridonijela postizanju visoke zajedničke razine kibersigurnosti u Uniji radi sprečavanja kibernapada u Uniji, smanjenja rascjepkanosti na unutarnjem tržištu i poboljšanja njegova funkcioniranja.

Amandman    33

Prijedlog uredbe

Članak 4. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Agencija povećava kibersigurnosne sposobnosti na razini Unije kako bi dopunila djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

5.  Agencija pridonosi povećanju kibersigurnosne sposobnosti na razini Unije kako bi dopunila i jačala djelovanja država članica usmjerena na sprječavanje kiberprijetnji i odgovaranje na kiberprijetnje, posebno u slučaju prekograničnih incidenata.

Amandman    34

Prijedlog uredbe

Članak 4. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6.  Agencija promiče uporabu certifikacije, među ostalim i pridonošenjem uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s glavom III. ove Uredbe u cilju povećanja transparentnosti kibersigurnosnog jamstva IKT proizvoda i usluga i jačanja povjerenja u jedinstveno digitalno tržište.

6.  Agencija promiče uporabu certifikacije, izbjegavajući pritom rascjepkanost prouzročenu nedostatkom koordinacije među postojećim programima certifikacije u Uniji. Agencija doprinosi uspostavi i održavanju okvira za kibersigurnosnu certifikaciju na razini Unije u skladu s člancima 43. do 54. [glava III.] u cilju povećanja transparentnosti kibersigurnosnog jamstva za IKT proizvode i usluge i jačanja povjerenja u jedinstveno digitalno tržište.

Amandman    35

Prijedlog uredbe

Članak 4. – stavak 7.

Tekst koji je predložila Komisija

Izmjena

7.  Agencija promiče visoku razinu osviještenosti građana i poduzeća o pitanjima povezanima s kibersigurnošću.

7.  Agencija promiče visoku razinu osviještenosti građana, nadležnih tijela i poduzeća o pitanjima povezanima s kibersigurnošću.

Amandman    36

Prijedlog uredbe

Članak 5. – stavak 1. – točka 1.

Tekst koji je predložila Komisija

Izmjena

1.  pružanjem pomoći i savjeta, osobito svojeg neovisnog mišljenja, i obavljanjem pripremih radnji za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

1.  pružanjem pomoći i savjeta za razvoj i preispitivanje politike i prava Unije u području kibersigurnosti te sektorskih inicijativa politike i sektorskih zakonodavnih inicijativa koje uključuju pitanja povezana s kibersigurnošću;

Obrazloženje

Agencija bi trebala imati slobodu odabira instrumenata pomoću kojih će izvršavati svoje zadaće.

Amandman    37

Prijedlog uredbe

Članak 5. – stavak 1. – točka 2.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

2a.  pružanjem pomoći Europskom odboru za zaštitu podataka, osnovanom Uredbom (EU) 2016/679, pri izradi smjernica za specifikaciju tehničkih uvjeta prema kojima se voditelji obrade podataka mogu dopušteno koristiti osobnim podacima za potrebe informatičke sigurnosti u cilju zaštite svoje infrastrukture utvrđivanjem i blokiranjem napada na svoje informatičke sustave u kontekstu: (i) Uredbe (EU) 2016/6791a; (ii) Direktive (EU) 2016/11481b; i (iii) Direktive 2002/58/EZ1c;;

 

_________________

 

1a Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

 

1b (EU) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

 

1c Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016, str. 1.).

Obrazloženje

Uspostava prikladnih mehanizama suradnje.

Amandman    38

Prijedlog uredbe

Članak 5. – stavak 1. – točka 4. – podtočka 2.

Tekst koji je predložila Komisija

Izmjena

(2)  promicanja pojačane razine sigurnosti elektroničkih komunikacija, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

(2)  promicanja pojačane razine sigurnosti elektroničkih komunikacija, pohrane podataka i obrade podataka, među ostalim pružanjem stručnog znanja i savjeta te olakšavanjem razmjene najbolje prakse među nadležnim tijelima;

Amandman    39

Prijedlog uredbe

Članak 6. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a.  Agencija pomaže pri uspostavi i pokretanju dugoročnog europskog projekta kibersigurnosti kako bi se podupro rast neovisne industrije kibersigurnosti u EU-u te kako bi kibersigurnost postala sastavni dio cjelokupnog razvoja IKT-a u EU-u.

Obrazloženje

ENISA treba savjetovati zakonodavce pri pripremi politika kako bi EU uhvatio korak s industrijama informatičke sigurnosti u trećim zemljama. Taj bi projekt po opsegu trebao odgovarati mjerama koje su prethodno poduzete u zrakoplovnoj industriji (primjer Airbusa). To je potrebno kako bi se razvila jača, suverena i vjerodostojna industrija informatičko-komunikacijskih tehnologija u EU-u (vidi istraživanje Odjela za znanstvena predviđanja (STOA) PE 614.531).

Amandman    40

Prijedlog uredbe

Članak 7. – stavak 5. – podstavak 1.

Tekst koji je predložila Komisija

Izmjena

Na zahtjev najmanje dviju pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Na zahtjev jedne ili više pogođenih država članica i u isključivu svrhu pružanja savjeta za sprječavanje budućih incidenata, Agencija pruža potporu ili provodi ex-post tehničku istragu nakon obavijesti pogođenih poduzeća o incidentima koji imaju znatan učinak u skladu s Direktivom (EU) 2016/1148. Agencija provodi takvu istragu i na temelju obrazloženog zahtjeva Komisije u dogovoru s pogođenim državama članicama u slučaju incidenata koji utječu na najmanje dvije države članice.

Amandman    41

Prijedlog uredbe

Članak 7. – stavak 8. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  objedinjavanjem izvješća iz nacionalnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

(a)  objedinjavanjem izvješća iz nacionalnih i međunarodnih izvora kako bi se pridonijelo zajedničkoj informiranosti o stanju;

Amandman    42

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 1.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(1 a)  ocjenjivanjem, u suradnji s Europskom skupinom za kibersigurnosnu certifikaciju, postupaka za izdavanje europskih kibersigurnosnih certifikata koje su uspostavila tijela za ocjenjivanje sukladnosti iz članka 51., s ciljem da se osigura da tijela za ocjenjivanje sukladnosti na isti način primjenjuju ovu Uredbu kad izdaju certifikate;

Amandman    43

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 1.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(1 b)  provedbom neovisnih periodičnih ex post provjera sukladnosti certificiranih IKT proizvoda i usluga s europskim programima kibersigurnosne certifikacije;

Amandman    44

Prijedlog uredbe

Članak 8. – stavak 1. – točka a – podtočka 3.

Tekst koji je predložila Komisija

Izmjena

(3)  sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom;

(3)  sastavljanjem i objavljivanjem smjernica i razvojem dobre prakse, među ostalim o načelima kiberhigijene i odvraćanju od tajnih „stražnjih ulaza”, u pogledu kibersigurnosnih zahtjeva za IKT proizvode i usluge, u suradnji s nacionalnim tijelima za nadzor certifikacije i industrijom i u okviru formalnog, standardiziranog i transparentnog postupka;

Amandman    45

Prijedlog uredbe

Članak 8. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  olakšavanjem uspostave i prihvaćanja europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148.

(b)  savjetovanjem s međunarodnim tijelima za normizaciju i europskim organizacijama za normizaciju o razvoju normi kako bi se osigurala prikladnost normi koje se primjenjuju u europskim programima kibersigurnosne certifikacije i olakšavanjem uspostave i prihvaćanja relevantnih europskih i međunarodnih normi za upravljanje rizikom i za sigurnost IKT proizvoda i usluga te izradom, u suradnji s državama članicama, savjeta i smjernica o tehničkim područjima povezanima sa sigurnosnim zahtjevima za operatore ključnih usluga i pružatelje digitalnih usluga, te u pogledu već postojećih normi, uključujući nacionalne norme država članica, u skladu s člankom 19. stavkom 2. Direktive (EU) 2016/1148;

Amandman    46

Prijedlog uredbe

Članak 8. – stavak 1. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  sastavljanjem smjernica o načinu i vremenu kada se države članice međusobno trebaju obavijestiti kada saznaju za ranjivost koja nije javno poznata u IKT postupku, proizvodu ili usluzi koja je certificirana u skladu s glavom III. ove Uredbe, uključujući smjernice o koordinaciji politika otkrivanja ranjivosti;

Amandman    47

Prijedlog uredbe

Članak 8. – stavak 1. – točka bb (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b b)  sastavljanjem smjernica o minimalnim sigurnosnim zahtjevima za informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje;

Amandman    48

Prijedlog uredbe

Članak 9. – stavak 1. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o kibersigurnosti koje su dostavile institucije, agencije i tijela Unije;

(d)  na posebnom portalu objedinjuje, organizira i stavlja na raspolaganje javnosti informacije o kibersigurnosti koje su dostavile institucije, agencije i tijela Unije, uključujući informacije o važnim kibersigurnosnim incidentima i velikim povredama podataka;

Amandman    49

Prijedlog uredbe

Članak 9. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću i daje smjernice o dobroj praksi za pojedinačne korisnike usmjerene na građane i organizacije;

(e)  podiže razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću, daje smjernice o dobroj korisničkoj praksi usmjerene na građane i organizacije te promiče donošenje preventivnih snažnih mjera informatičke sigurnosti i pouzdane zaštite podataka i privatnosti;

Amandman    50

Prijedlog uredbe

Članak 9. – stavak 1. – točka ga (nova)

Tekst koji je predložila Komisija

Izmjena

 

(g a)  podupire tješnju suradnju i razmjenu najboljih praksi među državama članicama u pogledu obrazovanja o kibersigurnosti, kiberhigijene i podizanja razine osviještenosti;

Amandman    51

Prijedlog uredbe

Članak 10. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u području kibersigurnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

(a)  osigurava prethodno savjetovanje s relevantnim korisničkim skupinama i savjetuje Uniju i države članice o istraživačkim potrebama i prioritetima u području kibersigurnosti kako bi se omogućili učinkoviti odgovori na postojeće i nove rizike i prijetnje, među ostalim i u pogledu novih informacijskih i komunikacijskih tehnologija te onih u nastajanju, te kako bi se učinkovito upotrebljavale tehnologije za sprečavanje rizika;

Amandman    52

Prijedlog uredbe

Članak 13. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

1.  Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koja imenuju Komisija i Europski parlament. Svi predstavnici imaju pravo glasa.

Amandman    53

Prijedlog uredbe

Članak 14. – stavak 1. – točka e

Tekst koji je predložila Komisija

Izmjena

e)  ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje kako je Agencija ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

e)  ocjenjuje i donosi konsolidirano godišnje izvješće o aktivnostima Agencije i do 1. srpnja sljedeće godine dostavlja izvješće i njegovu ocjenu Europskom parlamentu, Vijeću, Komisiji i Revizorskom sudu. Godišnje izvješće uključuje financijske izvještaje i u njemu se opisuje učinkovitost potrošenih sredstava te ocjenjuje djelotvornost Agencije i kako je ona ostvarila svoje pokazatelje uspješnosti. Godišnje se izvješće objavljuje;

Amandman    54

Prijedlog uredbe

Članak 14. – stavak 1. – točka m

Tekst koji je predložila Komisija

Izmjena

(m)  imenuje izvršnog direktora i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

(m)  imenuje izvršnog direktora s pomoću postupka odabira utemeljenog na kriterijima stručnosti i, po potrebi, produžuje njegov mandat ili ga razrješava dužnosti u skladu s člankom 33. ove Uredbe;

Amandman    55

Prijedlog uredbe

Članak 14. – stavak 1. – točka o

Tekst koji je predložila Komisija

Izmjena

o)  donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti te razumno financijsko upravljanje;

o)  donosi sve odluke o unutarnjem ustrojstvu Agencije te, prema potrebi, o njegovim izmjenama, uzimajući u obzir potrebe Agencije u pogledu aktivnosti navedenih u ovoj Uredbi te razumno financijsko upravljanje;

Amandman    56

Prijedlog uredbe

Članak 19. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Izvršni direktor na poziv izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

2.  Izvršni direktor na poziv ili svake godine izvješćuje Europski parlament o izvršavanju svojih dužnosti. Vijeće može pozvati izvršnog direktora da ga izvijesti o izvršavanju svojih dužnosti.

Amandman    57

Prijedlog uredbe

Članak 20. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, skupine potrošača, akademski stručnjaci za kibersigurnost i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

1.  Upravljački odbor, djelujući na prijedlog izvršnog direktora, osniva Stalnu interesnu skupinu sastavljenu od priznatih stručnjaka koji zastupaju relevantne interesne skupine, kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga dostupnih javnosti, a posebno europska IKT industrija i pružatelji IKT usluga, udruženja malih i srednjih poduzeća, skupine i udruge potrošača, akademski stručnjaci u području kibersigurnosti, europske organizacije za normizaciju kako je definirano u točki 8. članka 2. Uredbe (EU) br. 1025/2012, relevantne sektorske agencije i tijela Unije i predstavnici nadležnih tijela prijavljenih u skladu s [Direktivom o Europskom zakoniku elektroničkih komunikacija] te od tijela za izvršenje zakonodavstva i tijela za nadzor zaštite podataka.

Amandman    58

Prijedlog uredbe

Članak 20. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji nisu članovi Stalne interesne skupine.

4.  Mandat članova Stalne interesne skupine traje dvije i pol godine. Članovi Upravljačkog odbora i Izvršnog odbora, osim izvršnog direktora, ne mogu biti članovi Stalne interesne skupine. Stručnjaci Komisije i država članica imaju pravo nazočiti sjednicama Stalne interesne skupine i sudjelovati u njezinu radu. Na sastanke Stalne interesne skupine i sudjelovanje u njezinu radu mogu se pozvati predstavnici drugih tijela koja izvršni direktor smatra relevantnima koji nisu članovi Stalne interesne skupine.

Amandman    59

Prijedlog uredbe

Članak 20. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada.

5.  Stalna interesna skupina savjetuje Agenciju u vezi s obavljanjem njezinih aktivnosti. Ona posebno savjetuje izvršnog direktora u vezi s izradom prijedloga programa rada Agencije i osiguravanjem komunikacije s relevantnim interesnim skupinama o svim pitanjima koja se odnose na program rada. Također može predložiti Komisiji da od Agencije zatraži da izradi prijedlog europskih programa kibersigurnosne certifikacije u skladu s člankom 44., bilo na vlastitu inicijativu ili nakon podnošenja prijedloga relevantnih dionika.

Amandman    60

Prijedlog uredbe

Članak 20. – stavak 5.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

5 a.  Stalna interesna skupina savjetuje Agenciju pri izradi prijedlog europskih programa kibersigurnosne certifikacije.

Amandman    61

Prijedlog uredbe

Članak 23. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Agencija osigurava da javnost i sve zainteresirane strane dobiju odgovarajuće, objektivne, pouzdane i lako dostupne informacije, posebno u pogledu rezultata njezina rada. Agencija objavljuje i izjave o interesima dane u skladu s člankom 22.

2.  Agencija osigurava da javnost i sve zainteresirane strane dobiju odgovarajuće, objektivne, pouzdane i lako dostupne informacije, posebno u pogledu rasprava i rezultata njezina rada. Agencija objavljuje i izjave o interesima dane u skladu s člankom 22.

Obrazloženje

Transparentnost treba biti provediva, uzimajući u obzir primjenu članka 24.

Amandman    62

Prijedlog uredbe

Članak 43. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

Europskim programom kibersigurnosne certifikacije potvrđuje se da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zahtjevima u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim proizvodima, postupcima, uslugama ili sustavima ili koje su preko njih dostupne.

Europski program kibersigurnosne certifikacije uspostavlja se radi povećanja razine sigurnosti na jedinstvenom digitalnom tržištu i usvajanja usklađenog pristupa za europsku certifikaciju na razini Unije te kako bi se zajamčilo da su IKT proizvodi, usluge i sustavi otporni na kibernapade.

Njime se potvrđuje da su IKT proizvodi i usluge koji su certificirani u skladu s tim programom usklađeni s utvrđenim zajedničkim zahtjevima i značajkama u pogledu njihove sposobnosti da se odupru, na određenoj razini jamstva, djelovanjima kojima se nastoji ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih ili poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude tim postupcima, proizvodima, uslugama ili sustavima ili koje su preko njih dostupne.

Amandman    63

Prijedlog uredbe

Članak 43.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 43.a

 

Program rada

 

Nakon savjetovanja s Europskom skupinom za kibersigurnosnu certifikaciju i Stalnom interesnom skupinom te nakon odobrenja Komisije, ENISA uspostavlja program rada koji nudi detaljan opis zajedničkih aktivnosti koje treba poduzeti na razini Unije kako bi se osigurala dosljedna primjena ove glave te koji sadrži prioritetni popis IKT proizvoda i usluga za koje smatra da im je potreban europski program kibersigurnosne certifikacije.

 

Program rada utvrđuje se najkasnije [šest mjeseci nakon stupanja na snagu ove Uredbe], a novi program rada utvrđuje se svake dvije godine nakon toga. Program rada mora biti javno dostupan.

Amandman    64

Prijedlog uredbe

Članak 44. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice ili Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

1.  Na temelju zahtjeva Komisije ENISA izrađuje prijedlog europskog programa kibersigurnosne certifikacije koji je u skladu sa zahtjevima iz članaka 45., 46. i 47. ove Uredbe. Države članice, Europska skupina za kibersigurnosnu certifikaciju („Skupina”) uspostavljena u skladu s člankom 53. ili Stalna interesna skupina uspostavljena u skladu s člankom 20. mogu Komisiji predložiti izradu prijedloga europskog programa kibersigurnosne certifikacije.

Amandman    65

Prijedlog uredbe

Članak 44. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se savjetuje sa svim relevantnim dionicima i blisko surađuje sa Skupinom. Skupina pruža ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

2.  Pri izradi prijedloga programa iz stavka 1. ovog članka ENISA se u okviru službenog, standardiziranog i transparentnog procesa savjetuje sa Stalnom interesnom skupinom, osobito europskim organizacijama za normizaciju, i svim ostalim relevantnim dionicima, uključujući organizacije potrošača, i blisko surađuje sa Skupinom uzimajući u obzir postojeće nacionalne i međunarodne norme. Pri izradi svakog prijedloga programa ENISA sastavlja kontrolni popi rizika i odgovarajućih kibersigurnosnih značajki.

 

Skupina pruža ENISA-i pomoć i stručne savjete koji su joj potrebni u vezi s izradom prijedloga programa, među ostalim davanjem mišljenja kada je potrebno.

 

Kad je to relevantno, ENISA može uspostaviti i savjetodavnu interesnu skupinu stručnjaka, koja se sastoji od članova Stalne interesne skupine i svih drugih relevantnih dionika s određenim stručnim znanjem u području predmetnog predloženog programa, kako bi pružila dodatnu pomoć i savjete.

Amandman    66

Prijedlog uredbe

Članak 44. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka.

3.  ENISA dostavlja Komisiji prijedlog europskog programa kibersigurnosne certifikacije izrađenog u skladu sa stavkom 2. ovog članka, a Komisija ocjenjuje njegovu prikladnost za postizanje ciljeva zahtjeva iz stavka 1.

Amandman    67

Prijedlog uredbe

Članak 44. – stavak 3.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

3a.  ENISA mora čuvati poslovnu tajnu u pogledu svih podataka prikupljenih pri obavljanju svojih zadaća u skladu s ovom Uredbom.

Amandman    68

Prijedlog uredbe

Članak 44. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Komisija, na temelju prijedloga programa koji je izradila ENISA, može donositi provedbene akte, u skladu s člankom 55. stavkom 1., kojima su predviđeni europski programi kibersigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe.

4.  Komisija je ovlaštena donositi delegirane akte, u skladu s člankom 55.a, u pogledu uspostave europskih programa kibersigurnosne certifikacije za IKT proizvode i usluge koji ispunjavaju zahtjeve iz članaka 45., 46. i 47. ove Uredbe. Pri donošenju tih delegiranih akata Komisija temelji programe kibersigurnosne certifikacije za IKT proizvode i usluge na svim relevantnim prijedlozima programa koje je predložila ENISA. Komisija se može savjetovati s Europskim odborom za zaštitu podataka i uzeti u obzir njegovo stajalište prije donošenja takvih delegiranih akata.

Amandman    69

Prijedlog uredbe

Članak 44. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije.

5.  ENISA održava posebno web-mjesto na kojem pruža informacije i promovira europske programe kibersigurnosne certifikacije, uključujući informacije o svim predloženim programima čiju je pripremu od ENISAe zatražila Komisija.

Amandman    70

Prijedlog uredbe

Članak 45. – stavak 1. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

Europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir, prema potrebi, sljedeći sigurnosni ciljevi:

Svaki europski program kibersigurnosne certifikacije izrađuje se tako da se njime uzimaju u obzir barem sljedeći sigurnosni ciljevi, u mjeri u kojoj su relevantni:

Amandman    71

Prijedlog uredbe

Članak 45. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  osigurati da je softver za IKT proizvode i usluge ažuriran i da ne sadržava poznate ranjivosti i da ti IKT proizvodi u usluge raspolažu mehanizmima za sigurno ažuriranje softvera.

(g)  osigurati da su softver i hardver za IKT proizvode i usluge ažurirani i da ne sadržavaju poznate ranjivosti; osigurati da su osmišljeni i provedeni tako da se njihova podložnost ranjivostima zaista ograniči te osigurati da raspolažu mehanizmima za sigurno ažuriranje softvera, uključujući nadogradnje hardvera i automatsko sigurnosno ažuriranje;

Amandman    72

Prijedlog uredbe

Članak 45. – stavak 1. – točka ga (nova)

Tekst koji je predložila Komisija

Izmjena

 

(g a)  osigurati da se IKT proizvodi i usluge razvijaju i funkcioniraju na takav način da je visoka razina kibersigurnosti i zaštite podataka prethodno konfigurirana u skladu s načelom „integrirane sigurnosti”.

Amandman    73

Prijedlog uredbe

Članak 46. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva ili više njih: osnovna, znatna i/ ili visoka za IKT proizvode i usluge certificirane u skladu s tim programom.

1.  Svakim europskim programom kibersigurnosne certifikacije može se utvrditi jedna od sljedećih razina jamstva utemeljenih na riziku ili više njih: „funkcionalno sigurna”, „znatno sigurna” i/ili „vrlo sigurna” za IKT proizvode i usluge certificirane u skladu s tim programom.

 

Razine jamstva za svaki prijedlog europskog programa kibersigurnosne certifikacije utvrđuju se na temelju rizika utvrđenih u kontrolnom popisu iz članka 44. stavka 2. i na temelju dostupnosti kibersigurnosnih značajki za suzbijanje tih rizika u IKT proizvodima i uslugama na koje se program certifikacije primjenjuje.

Amandman    74

Prijedlog uredbe

Članak 46. – stavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

1 a.  U svakom programu navodi se metodologija procjene ili proces evaluacije koji treba poštovati pri izdavanju certifikata na svakoj razini jamstva, ovisno o predviđenoj uporabi i riziku povezanom s IKT proizvodima i uslugama obuhvaćenim tim programom.

Amandman    75

Prijedlog uredbe

Članak 46. – stavak 2. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

2.  Osnovna, znatna i visoka razina jamstva ispunjavaju sljedeće kriterije:

2.  „Funkcionalno sigurna”, „načelno sigurna” i/ili „vrlo sigurna” razina jamstva ispunjavaju sljedeće kriterije:

Amandman    76

Prijedlog uredbe

Članak 46. – stavak 2. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  osnovna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava ograničeni stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

(a)  „funkcionalno sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava odgovarajući stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha smanjiti rizik od kiberincidenata;

Amandman    77

Prijedlog uredbe

Članak 46. – stavak 2. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  znatna razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava znatan stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha znatno smanjiti rizik od kiberincidenata;

(b)  „znatno sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava znatan stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha znatno smanjiti rizik od kiberincidenata;

Amandman    78

Prijedlog uredbe

Članak 46. – stavak 2. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  visoka razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava viši stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT proizvoda ili usluge nego certifikatima o znatnoj razini jamstva i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha spriječiti kiberincidente.

(c)  „vrlo sigurna” razina jamstva odnosi se na certifikat izdan u kontekstu europskog programa kibersigurnosne certifikacije kojim se osigurava viši stupanj povjerenja u navedena ili zajamčena kibersigurnosna obilježja IKT postupka, proizvoda ili usluge nego certifikatima o znatno sigurnoj razini jamstva i opisuje se upućivanjem na odgovarajuće tehničke specifikacije, norme i postupke, uključujući tehničke kontrole, čija je svrha spriječiti kiberincidente. To se posebno odnosi na proizvode i usluge namijenjene operatorima ključnih usluga, kako su definirani u članku 4. stavku 4. Direktive 2016/1148/EU.

Amandman    79

Prijedlog uredbe

Članak 47. – stavak 1. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

1.  Europski program kibersigurnosne certifikacije uključuje sljedeće elemente:

1.  Svaki europski program kibersigurnosne certifikacije uključuje barem sljedeće elemente, kad je to primjenjivo:

Amandman    80

Prijedlog uredbe

Članak 47. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  predmet i opseg certifikacije, uključujući vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

(a)  predmet i opseg programa certifikacije, uključujući sve konkretne obuhvaćene sektore te vrstu ili kategorije obuhvaćenih IKT proizvoda i usluga;

Amandman    81

Prijedlog uredbe

Članak 47. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i uslugeo cjenjuju, na primjer upućivanjem na norme Unije ili međunarodne norme ili tehničke specifikacije;

(b)  iscrpnu specifikaciju kibersigurnosnih zahtjeva u odnosu na koje se određeni IKT proizvodi i uslugeo cjenjuju, osobito upućivanjem na međunarodne, europske ili nacionalne norme ili tehničke specifikacije;

Amandman    82

Prijedlog uredbe

Članak 47. – stavak 1. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  iscrpnu specifikaciju može li se odobrena certifikacija primijeniti samo na pojedinačni proizvod ili na raspon proizvoda, na primjer različite inačice ili modele iste osnovne strukture proizvoda;

Amandman    83

Prijedlog uredbe

Članak 47. – stavak 1. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  naznaku je li vlastita izjava o sukladnosti dopuštena u okviru programa te mjerodavni postupak za ocjenjivanje sukladnosti ili vlastitu izjavu o sukladnosti ili oboje;

Amandman    84

Prijedlog uredbe

Članak 47. – stavak 1. – točka cb (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c b)  zahtjeve u pogledu certifikacije definirane tako da se certifikacija može uključiti u sustavne kibersigurnosne procese proizvođača koji se provode tijekom osmišljavanja, razvoja i životnog ciklusa IKT postupka, proizvoda ili usluge, ili da se certifikacija na njima može temeljiti;

Amandman    85

Prijedlog uredbe

Članak 47. – stavak 1. – točka f

Tekst koji je predložila Komisija

Izmjena

(f)  ako su programom predviđeni oznake ili znakovi, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

(f)  ako su programom predviđeni oznake ili znakovi, kao što je oznaka kibersigurnosne sukladnosti EU-a koja znači da IKT postupak, proizvod ili usluga udovoljava kriterijima nekog programa, uvjete pod kojim se te oznake ili znakovi mogu upotrebljavati;

Amandman    86

Prijedlog uredbe

Članak 47. – stavak 1. – točka g

Tekst koji je predložila Komisija

Izmjena

(g)  ako je nadzor dio programa, pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima;

(g)  pravila za praćenje sukladnosti sa zahtjevima iz certifikata, uključujući mehanizme za dokazivanje trajne sukladnosti s navedenim kibersigurnosnim zahtjevima, kao što su obvezna ažuriranja, nadogradnje ili zakrpe predmetnog IKT postupka, proizvoda ili usluge, kad je to relevantno i izvedivo;

Amandman    87

Prijedlog uredbe

Članak 47. – stavak 1. – točka h

Tekst koji je predložila Komisija

Izmjena

(h)  uvjete za izdavanje, održavanje i produljenje certifikata te za proširenje ili smanjenje njegova opsega;

(h)  uvjete za izdavanje, održavanje, produljenje i obnavljanje certifikata te za proširenje ili smanjenje njegova opsega;

Amandman    88

Prijedlog uredbe

Članak 47. – stavak 1. – točka i

Tekst koji je predložila Komisija

Izmjena

(i)  pravila u vezi s posljedicama nesukladnosti certificiranih proizvoda i usluga IKT-a sa zahtjevima za certifikaciju;

(i)  pravila u vezi s posljedicama nesukladnosti certificiranih IKT proizvoda i usluga sa zahtjevima za certifikaciju te opće informacije o kaznama utvrđenima u članku 54. ove Uredbe;

Amandman    89

Prijedlog uredbe

Članak 47. – stavak 1. – točka j

Tekst koji je predložila Komisija

Izmjena

(j)  pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja;

(j)  pravila o tome kako prijaviti prethodno neotkrivene kibersigurnosne ranjivosti IKT proizvoda i usluga i postupiti u slučaju njihova otkrivanja, među ostalim koordiniranim procesima otkrivanja ranjivosti;

Amandman    90

Prijedlog uredbe

Članak 47. – stavak 1. – točka l

Tekst koji je predložila Komisija

Izmjena

(l)  utvrđivanje nacionalnih programa kibersigurnosne certifikacije kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

(l)  utvrđivanje nacionalnih ili međunarodnih programa kibersigurnosne certifikacije ili postojećih međunarodnih sporazuma o uzajamnom priznavanju kojima je obuhvaćena ista vrsta ili iste kategorije IKT proizvoda i usluga;

Amandman    91

Prijedlog uredbe

Članak 47. – stavak 1. – točka ma (nova)

Tekst koji je predložila Komisija

Izmjena

 

(m a)  maksimalno razdoblje valjanosti certifikata;

Amandman    92

Prijedlog uredbe

Članak 47. – stavak 1. – točka mb (novi)

Tekst koji je predložila Komisija

Izmjena

 

(m b)  pravila za testiranje sposobnosti odupiranja i otpornosti za „vrlo sigurnu” razinu jamstva.

Amandman    93

Prijedlog uredbe

Članak 47. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Ako je tako predviđeno posebnim aktom Unije, certificiranje u okviru europskog programa kibersigurnosne certifikacije može se upotrijebiti za dokazivanje pretpostavke sukladnosti sa zahtjevima tog akta.

3.  Ako je tako predviđeno posebnim budućim aktom Unije, certificiranje u okviru europskog programa kibersigurnosne certifikacije može se upotrijebiti za dokazivanje pretpostavke sukladnosti sa zahtjevima tog akta.

Amandman    94

Prijedlog uredbe

Članak 48. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Certifikacija je dobrovoljna, osim ako je pravom Unije predviđeno drukčije.

2.  Certificiranje u sklopu europskog programa kibersigurnosne certifikacije obvezno je za IKT proizvode i usluge s visokom stopom inherentnog rizika koji su konkretno namijenjeni operatorima ključnih usluga, kako su definirani u članku 4. stavku 4. Direktive 2016/1148/EU. Za sve ostale IKT proizvode i usluge certifikacija je dobrovoljna, osim ako je pravom Unije predviđeno drukčije.

Amandman    95

Prijedlog uredbe

Članak 48. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Europski certifikat o kibersigurnosti u skladu s ovim člankom izdaju tijela za ocjenjivanje sukladnosti iz članka 51. na temelju kriterija uključenih u europski program kibersigurnosne certifikacije donesen u skladu s člankom 44.

3.  Europske certifikate o kibersigurnosti u skladu s ovim člankom izdaju tijela za ocjenjivanje sukladnosti iz članka 51. na temelju kriterija uključenih u europski program kibersigurnosne certifikacije donesen u skladu s člankom 44.

 

Kao alternativu certificiranju koje provode tijela za ocjenjivanje sukladnosti, proizvođači proizvoda i pružatelji usluga mogu, ako je predmetnim programom predviđena takva mogućnost, dati vlastitu izjavu o sukladnosti kojom izjavljuju da neki postupak, proizvod ili usluga udovoljava kriterijima programa certificiranja. U takvim slučajevima proizvođač proizvoda ili pružatelj usluge na zahtjev dostavlja nacionalnom tijelu za nadzor certifikacije koje je to tražilo i ENISA-i vlastitu izjavu o sukladnosti.

Amandman    96

Prijedlog uredbe

Članak 48. – stavak 4. – uvodni dio

Tekst koji je predložila Komisija

Izmjena

4.  Odstupajući od stavka 3. u opravdanim se slučajevima u europskom kibersigurnosnom programu može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

4.  Odstupajući od stavka 3. u opravdanim se slučajevima, kao primjerice iz razloga nacionalne sigurnosti, u europskom programu kibersigurnosne certifikacije može predvidjeti da europski certifikat o kibersigurnosti u okviru tog programa može izdati samo javno tijelo. To javno tijelo može biti:

Amandman    97

Prijedlog uredbe

Članak 48. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije.

5.  Pravna ili fizička osoba koja prijavi svoje IKT proizvode ili usluge za postupak certifikacije dostavlja tijelu za ocjenjivanje sukladnosti iz članka 51. sve informacije potrebne za provedbu postupka certifikacije, uključujući informacije o svim poznatim sigurnosnim ranjivostima.

Amandman    98

Prijedlog uredbe

Članak 48. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6.  Certifikati se izdaju na najviše tri godine i mogu se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi.

6.  Certifikati se izdaju i važeći su najviše na razdoblje utvrđeno u svakom programu certifikacije i mogu se obnoviti pod istim uvjetima ako su relevantni zahtjevi tog programa, uključujući sve revidirane ili izmijenjene zahtjeve, i dalje ispunjeni.

Amandman    99

Prijedlog uredbe

Članak 48. – stavak 6.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

6 a.  Certifikati vrijede i dalje za sve nove verzije postupka, proizvoda ili usluge ako je primarni razlog za novu verziju zakrpa, popravak ili drugačije rješavanje poznatih ili potencijalnih sigurnosnih slabosti ili prijetnji.

Amandman    100

Prijedlog uredbe

Članak 49. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u provedbenom aktu donesenom u skladu s člankom 44. stavkom 4. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

1.  Ne dovodeći u pitanje stavak 3., nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije prestaju proizvoditi učinke od datuma utvrđenog u delegiranom aktu donesenom u skladu s člankom 44. stavkom 4. Komisija nadzire usklađenost s ovim podstavkom kako bi se izbjeglo postojanje paralelnih programa. Postojeći nacionalni programi kibersigurnosne certifikacije i povezani postupci za IKT proizvode i usluge koji nisu obuhvaćeni europskim programom kibersigurnosne certifikacije i dalje postoje.

Amandman    101

Prijedlog uredbe

Članak 49. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Postojeći certifikati izdani u okviru nacionalnih programa kibersigurnosne certifikacije ostaju na snazi do svojeg datuma isteka.

3.  Postojeći certifikati izdani u okviru nacionalnih programa kibersigurnosne certifikacije koji su obuhvaćeni nekim europskim programom kibersigurnosne certifikacije ostaju na snazi do svojeg datuma isteka.

Amandman    102

Prijedlog uredbe

Članak 50. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3.  Svako nacionalno tijelo za nadzor certifikacije neovisno je od subjekata koje nadzire u pogledu svojeg ustrojstva, odluka o financiranju, pravne strukture i odlučivanja.

3.  Svako nacionalno tijelo za nadzor certifikacije neovisno je od subjekata koje nadzire u pogledu svojeg ustrojstva, odluka o financiranju, pravne strukture i odlučivanja te nije tijelo za ocjenu sukladnosti ili nacionalno akreditacijsko tijelo.

Amandman    103

Prijedlog uredbe

Članak 50. – stavak 6. – točka a

Tekst koji je predložila Komisija

Izmjena

(a)  prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i nadziru sukladnost certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije;

(a)  prate i izvršavaju primjenu odredaba iz ove glave na nacionalnoj razini i u skladu s pravilima koje je donijela Europska skupina za kibersigurnosnu certifikaciju na temelju točke (da) članka 53. stavka 3. nadziru sukladnost:

 

i.  certifikata koje su izdala tijela za ocjenjivanje sukladnosti osnovana na njihovu državnom području sa zahtjevima iz ove glave i odgovarajućeg europskog programa kibersigurnosne certifikacije i

 

ii.  vlastitih izjava o sukladnosti izdanih u sklopu programa za IKT postupak, proizvod ili uslugu;

Amandman    104

Prijedlog uredbe

Članak 50. – stavak 6. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  prate i nadziru aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

(b)  prate, nadziru i barem svake dvije godine ocjenjuju aktivnosti tijela za ocjenjivanje sukladnosti za potrebe ove Uredbe, među ostalim i u pogledu obavijesti tijela za ocjenjivanje sukladnosti i povezanih zadaća iz članka 52. ove Uredbe;

Amandman    105

Prijedlog uredbe

Članak 50. – stavak 6. – točka c

Tekst koji je predložila Komisija

Izmjena

(c)  obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

(c)  obrađuju pritužbe fizičkih ili pravnih osoba u pogledu certifikata koje su izdala tijela za ocjenjivanje sukladnosti s poslovnim nastanom na njihovu državnom području ili u pogledu danih vlastitih izjava o sukladnosti, u prikladnoj mjeri istražuju predmet pritužbe i u razumnom roku obavješćuju podnositelja pritužbe o napretku i rezultatu istrage;

Amandman    106

Prijedlog uredbe

Članak 50. – stavak 6. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  izvješćuju ENISA-u i Europsku skupinu za kibersigurnosnu certifikaciju o rezultatima provjera iz točke (a) i ocjenjivanja iz točke (b);

Amandman    107

Prijedlog uredbe

Članak 50. – stavak 6. – točka d

Tekst koji je predložila Komisija

Izmjena

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije ili s drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

(d)  surađuju s drugim nacionalnim tijelima za nadzor certifikacije, nacionalnim akreditacijskim tijelima ili drugim javnim tijelima, među ostalim razmjenom informacija o mogućoj nesukladnosti, uključujući prijevarne, netočne ili lažne tvrdnje o certifikaciji, IKT proizvoda i usluga sa zahtjevima iz ove Uredbe ili s posebnim europskim programima kibersigurnosne certifikacije;

Amandman    108

Prijedlog uredbe

Članak 50. – stavak 7. – točka ca (nova)

Tekst koji je predložila Komisija

Izmjena

 

(c a)  povući akreditaciju tijela za ocjenjivanje sukladnosti koja se ne pridržavaju ove Uredbe;

Amandman    109

Prijedlog uredbe

Članak 50. – stavak 7. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije;

(e)  povući, u skladu s nacionalnim pravom, certifikate koji nisu u skladu s ovom Uredbom ili europskim programom kibersigurnosne certifikacije i o tome obavijestiti nacionalna akreditacijska tijela;

Amandman    110

Prijedlog uredbe

Članak 50. – stavak 7. – točka fa (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f a)  ENISA-i predložiti stručnjake koji bi mogli sudjelovati u radu savjetodavne interesne skupine stručnjaka iz članka 44. stavka 2.

Amandman    111

Prijedlog uredbe

Članak 50. – stavak 8. – podstavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Komisija stavlja na raspolaganje opći elektroničko-informacijski sustav podrške za potrebe takve razmjene.

Amandman    112

Prijedlog uredbe

Članak 50.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 50.a

 

Istorazinska ocjena

 

1.  Nacionalna tijela za nadzor certifikacije podliježu istorazinskoj ocjeni u pogledu svih aktivnosti koje provode na temelju članka 50. ove Uredbe.

 

2.  Istorazinskom ocjenom obuhvaćeni su svi postupci koje provode nacionalna tijela za nadzor certifikacije, posebice postupci provjere sukladnosti proizvoda koji podliježu kibersigurnosnoj certifikaciji, stručnosti osoblja, ispravnosti provjera i metodologije inspekcija, kao i točnosti rezultata. U okviru istorazinske ocjene također se ocjenjuje imaju li dotična nacionalna tijela za nadzor certifikacije dovoljno resursa za ispravno obavljanje svojih dužnosti kako je određeno člankom 50. stavkom 4.

 

3.  Istorazinsku ocjenu nacionalnog tijela za nadzor certifikacije provode dva nacionalna tijela za nadzor certifikacije iz drugih država članica i Komisija te se ona provodi barem jednom svakih pet godina. ENISA može sudjelovati u istorazinskoj ocjeni, a o svom sudjelovanju odlučuje na temelju analize procjene rizika.

 

4.  Komisija u skladu s člankom 55.a ima ovlasti donositi delegirne akte kako bi utvrdila plan za istorazinsku ocjenu kojim se obuhvaća razdoblje od najmanje pet godina, definiraju kriteriji za sastav tima za istorazinsku ocjenu, metodologija koja se primjenjuje za istorazinsku ocjenu, raspored, učestalost i druge zadaće povezane s istorazinskom ocjenom. Pri donošenju tih delegiranih akata Komisija u obzir uzima napomene Skupine.

 

5.  Skupina ispituje ishod istorazinske ocjene. ENISA sastavlja sažetak ishoda i objavljuje ga.

Amandman    113

Prijedlog uredbe

Članak 51. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a.  Ako proizvođači izaberu „vlastitu izjavu o sukladnosti” u skladu s člankom 48. stavkom 3., tijela za ocjenjivanje sukladnosti poduzet će dodatne korake kako bi provjerila interne postupke koje je proizvođač proveo da bi zajamčio sukladnost svojih proizvoda i/ili usluga sa zahtjevima europskog programa kibersigurnosne certifikacije.

Amandman    114

Prijedlog uredbe

Članak 53. – stavak 3. – točka da (nova)

Tekst koji je predložila Komisija

Izmjena

 

(d a)  donijeti obvezujuća pravila kojima se utvrđuju učestalost provjera certifikata i vlastitih izjava o sukladnosti koje provode nacionalna tijela za nadzor certifikacije te kriteriji, razmjer i opseg tih provjera i donijeti zajednička pravila i standarde za izvješćivanje u skladu s člankom 50. stavkom 6.;

Amandman    115

Prijedlog uredbe

Članak 53. – stavak 3. – točka e

Tekst koji je predložila Komisija

Izmjena

(e)  analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati dobru praksu o programima kibersigurnosne certifikacije;

(e)  analizirati relevantne promjene u području kibersigurnosne certifikacije i razmjenjivati informacije i dobru praksu o programima kibersigurnosne certifikacije;

Amandman    116

Prijedlog uredbe

Članak 53. – stavak 3. – točka fa (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f a)  razmjenjivati primjere dobre prakse u vezi s istragama tijela za ocjenjivanje sukladnosti, nositeljima europskog certifikata o kibersigurnosti te proizvođačima i pružateljima usluga koji su dali vlastite izjave o sukladnosti;

Amandman    117

Prijedlog uredbe

Članak 53. – stavak 3. – točka fb (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f b)  olakšati usklađivanje europskih programa kibersigurnosne certifikacije s međunarodno priznatim normama i, po potrebi, predložiti ENISA-i područja u kojima bi trebala surađivati s relevantnim međunarodnim i europskim organizacijama za normizaciju kako bi se riješili nedostaci ili manjkavosti u međunarodno priznatim normama;

Amandman    118

Prijedlog uredbe

Članak 53. – stavak 3. – točka fc (nova)

Tekst koji je predložila Komisija

Izmjena

 

(f c)  pri uspostavi programa rada iz članka 43.a davati savjete ENISA-i o prioritetnom popisu IKT proizvoda i usluga za koje smatra da je potreban europski program kibersigurnosne certifikacije;

Amandman    119

Prijedlog uredbe

Članak 53. – stavak 4. – podstavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

ENISA se mora pobrinuti da dnevni red, zapisnici i evidencija donesenih odluka budu registrirani te da objavljene verzije tih dokumenata budu dostupne javnosti na internetskoj stranici ENISA-e nakon svakog sastanka Skupine.

Amandman    120

Prijedlog uredbe

Članak 55.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 55.a

 

Izvršavanje delegiranja ovlasti

 

Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

 

Ovlast za donošenje delegiranih akata iz članka 44. stavka 4. i članka 50.a stavka 4. dodjeljuje se Komisiji na razdoblje od 5 godina počevši od [datum stupanja na snagu temeljnog zakonodavnog akta]. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

 

Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 44. stavka 4. i članka 50.a stavka 4. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

 

Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

 

Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

 

Delegirani akt donesen na temelju članka 44. stavka 4. ili članka 50.a stavka 4. stupa na snagu samo ako Europski parlament ili Vijeće u roku od [dva mjeseca] od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za [dva mjeseca] na inicijativu Europskog parlamenta ili Vijeća.

POSTUPAK U ODBORU KOJI DAJE MIŠLJENJE

Naslov

Uredba o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

Referentni dokumenti

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Nadležni odbor

       Datum objave na plenarnoj sjednici

ITRE

23.10.2017

 

 

 

Odbori koji su dali mišljenje

       Datum objave na plenarnoj sjednici

IMCO

23.10.2017

Pridruženi odbori - datum objave na plenarnoj sjednici

18.1.2018

Izvjestitelj(ica) za mišljenje

       Datum imenovanja

Nicola Danti

25.9.2017

Razmatranje u odboru

21.2.2018

21.3.2018

 

 

Datum usvajanja

17.5.2018

 

 

 

Rezultat konačnog glasovanja

+:

–:

0:

31

2

1

Zastupnici nazočni na konačnom glasovanju

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Zamjenici nazočni na konačnom glasovanju

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Zamjenici nazočni na konačnom glasovanju prema čl. 200. st. 2.

Inés Ayala Sender, Flavio Zanonato

KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U ODBORU KOJI DAJE MIŠLJENJE

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Korišteni znakovi:

+  :  za

-  :  protiv

0  :  suzdržani


MIŠLJENJE Odbora za proračune (16.5.2018)

upućeno Odboru za industriju, istraživanje i energetiku

o Prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: Jens Geier

KRATKO OBRAZLOŽENJE

Izvjestitelj općenito pozdravlja Komisijin Prijedlog akta o kibersigurnosti u cilju daljnjeg jačanja uloge Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA), s obzirom na to da je pitanje kibersigurnosti očito prekogranične prirode i da je potreban više europski pristup. Izvjestitelj posebno pozdravlja Komisijin prijedlog da se ENISA-i odobri stalni mandat, s obzirom na njezinu ojačanu ulogu i radi pružanja sigurnosti osoblju Agencije. Komisija predlaže da se do 2022. broj zaposlenika u funkcijskim skupinama AD i AST poveća za 41(1) te da se godišnji proračun Agencije poveća na 23 milijuna EUR 2022(2).

Izvjestitelj smatra da trenutačni aranžman u pogledu sjedišta, tj. višestruka lokacija Agencije u Heraklionu i Ateni, ometa učinkovito funkcioniranje pri obavljanju mandata Agencije. Međuinstitucijska radna skupina za resurse agencija, osnovana nakon dogovora o proračunu za 2014., preporučuje „Komisiji da provede evaluaciju višestrukih lokacija agencijâ (dvostruka sjedišta, postojanje tehničkih pogona uz sjedište, lokalni uredi ili upućivanje osoblja izvan sjedišta) na temelju dosljedna pristupa i upotrebom jasnih i transparentnih kriterija, a posebno s ciljem ocjene njihove dodane vrijednosti i uzimajući u obzir nastale troškove”. Sve institucije EU-a složile su se s tom preporukom te izvjestitelj smatra da bi tu evaluaciju trebalo brzo provesti. Nakon evaluacije institucije bi trebale bez daljnjeg odlaganja doći do potrebnih zaključaka.

Izvjestitelj nadalje smatra da bi se mandat Agencije u pogledu pružanja stručnih savjeta mogao dodatno ojačati ako se Agenciji dodijeli proračun za korištenje vlastitog proračuna za aktivnosti istraživanja i razvoja. Za taj bi proračun Agencija trebala imati potrebne resurse.

Dodatne uštede mogle bi se ostvariti ako se Agenciji dopusti da koristi usluge prevođenja drugih pružatelja usluga. Demokratski nadzor nad Agencijom mogao bi se ojačati imenovanjem predstavnika Europskog parlamenta u Upravljački odbor, u skladu sa zajedničkim pristupom agencijama.

AMANDMANI

Odbor za proračune poziva Odbor za industriju, istraživanje i energetiku da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman    1

Prijedlog uredbe

Uvodna izjava 3.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(3 a)  ENISA bi u praksi trebala davati snažniju potporu kibersigurnosnoj industriji u EU-u utemeljenu na informacijama, posebno malim i srednjim poduzećima te inovativnim novoosnovanim poduzećima, koja su ključni izvori inovativnih rješenja u području kiberobrane, te bi trebala promicati tješnju suradnju s akademskim istraživačkim organizacijama i drugim velikim dionicima kako bi se smanjila ovisnost o kibersigurnosnim proizvodima koji ne potječu iz EU-a i uspostavio strateški lanac opskrbe unutar Unije.

Amandman    2

Prijedlog uredbe

Uvodna izjava 4.

Tekst koji je predložila Komisija

Izmjena

(4)  Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(4)  Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Potrebe za osposobljavanjem u području kiberobrane znatne su i sve se više povećavaju, a na njih se najučinkovitije može odgovoriti suradnjom na razini Unije. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman    3

Prijedlog uredbe

Uvodna izjava 10.

Tekst koji je predložila Komisija

Izmjena

(10)  Odlukom 2004/97/EZ, Euratom, koja je donesena na sastanku Europskog vijeća od 13. prosinca 2003., predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin Agencije trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se Agencija nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja Agencije. Potrebne aranžmane trebalo bi utvrditi u sporazumu između Agencije i države članice domaćina koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora Agencije.

(10)  Odlukom 2004/97/EZ, Euratom, koja je donesena na sastanku Europskog vijeća od 13. prosinca 2003., predstavnici država članica odlučili su da će sjedište ENISA-e biti u Grčkoj u gradu koji odredi grčka vlada. Država članica domaćin Agencije trebala bi osigurati najbolje moguće uvjete za njezin nesmetan i učinkovit rad. Za pravilno i učinkovito obavljanje zadaća, za odabir i zadržavanje osoblja te za jačanje učinkovitosti aktivnosti umrežavanja nužno je da se Agencija nalazi na odgovarajućoj lokaciji na kojoj su, među ostalim, osigurani odgovarajuća prometna povezanost te prostori za supružnike i djecu koji prate članove osoblja Agencije. Potrebne aranžmane trebalo bi utvrditi u sporazumu između Agencije i države članice domaćina koji se sklapa nakon dobivanja suglasnosti Upravljačkog odbora Agencije. Taj bi sporazum u cilju veće učinkovitosti Agencije trebalo revidirati nakon evaluacije koju će provesti Komisija po preporuci međuinstitucijske radne skupine za resurse agencija te bi trebalo preispitati lokaciju Agencije.

Amandman    4

Prijedlog uredbe

Uvodna izjava 12.

Tekst koji je predložila Komisija

Izmjena

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama te izbjegavati dupliciranje posla, promicati sinergiju i komplementarnost te tako postići koordinaciju i fiskalne uštede. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

Amandman    5

Prijedlog uredbe

Uvodna izjava 15.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(15 a)  Međunarodno pravo primjenjuje se na kiberprostor, a izvješća UN-ove skupine vladinih stručnjaka za informacijsku sigurnost iz 2013. i 2015. i dalje predstavljaju relevantne smjernice, posebno u pogledu zabrane državama da provode ili svjesno pružaju potporu za kiberaktivnosti koje bi bile u suprotnosti s njihovim obvezama prema međunarodnim pravilima. U tom je kontekstu Talinski priručnik 2.0 relevantan kao izvrstan temelj za raspravu o tome na koji se način međunarodno pravo primjenjuje na kiberprostor; došlo je vrijeme da države članice počnu proučavati i primjenjivati priručnik.

Amandman    6

Prijedlog uredbe

Uvodna izjava 36.

Tekst koji je predložila Komisija

Izmjena

(36)  Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti.

(36)  Agencija bi trebala u potpunosti uzeti u obzir tekuće aktivnosti istraživanja, razvoja i tehnološkog ocjenjivanja, posebno one aktivnosti koje provode različite istraživačke inicijative Unije kako bi institucije tijela, urede i agencije Unije i, prema potrebi, države članice, na njihov zahtjev savjetovala o potrebama za istraživanjem u području mrežne i informacijske sigurnosti, posebno kibersigurnosti. Agenciji bi trebalo dodijeliti dodatni proračun za aktivnosti istraživanja i razvoja kao nadopunu postojećim istraživačkim programima Unije.

Amandman    7

Prijedlog uredbe

Uvodna izjava 46.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(46 a)  Proračun Agencije trebalo bi donijeti u skladu s načelom izrade proračuna zasnovane na uspješnosti, pri čemu se uzimaju u obzir ciljevi Agencije i očekivani rezultati po izvršenju zadaća.

Amandman    8

Prijedlog uredbe

Članak 4. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4.  Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću.

4.  Agencija promiče suradnju i koordinaciju na razini Unije među državama članicama, institucijama, agencijama i tijelima Unije i relevantnim dionicima, uključujući privatni sektor, u pitanjima povezanima s kibersigurnošću kako bi postigla koordinaciju i fiskalne uštede, izbjegla dupliciranje i promicala sinergiju i komplementarnost njihovih aktivnosti.

Amandman    9

Prijedlog uredbe

Članak 9. – stavak 1. – točka ga (nova)

Tekst koji je predložila Komisija

Izmjena

 

(g a)  objavljuje i promiče aktivnosti i rezultate svojega rada kako bi povećala vidljivost i osviještenost među građanima.

Amandman    10

Prijedlog uredbe

Članak 10. – točka ba (nova)

Tekst koji je predložila Komisija

Izmjena

 

(b a)  naručuje vlastite istraživačke aktivnosti u područjima od interesa koja još nisu obuhvaćena postojećim istraživačkim programima Unije, u slučajevima kada je prisutna jasna europska dodana vrijednost.

Amandman    11

Prijedlog uredbe

Članak 13. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1.  Upravljački odbor sastoji se od jednog predstavnika svake države članice i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

1.  Upravljački odbor sastoji se od jednog predstavnika svake države članice, jednog predstavnika kojeg imenuje Europski parlament i dva predstavnika koje imenuje Komisija. Svi predstavnici imaju pravo glasa.

Amandman    12

Prijedlog uredbe

Članak 26. – stavak 1. – podstavak 1. (novi)

Tekst koji je predložila Komisija

Izmjena

 

Privremeni nacrt izvještaja o prihodima i rashodima Agencije temelji se na ciljevima i očekivanim rezultatima jedinstvenog programskog dokumenta iz članka 21. stavka 1. i uzima u obzir financijske resurse potrebne za postizanje tih ciljeva i očekivanih rezultata u skladu s načelom izrade proračuna zasnovane na uspješnosti.

Amandman    13

Prijedlog uredbe

Članak 36. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5.  Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje.

5.  Osobna odgovornost službenika prema Agenciji podliježe odgovarajućim uvjetima koji se primjenjuju na osoblje. Osigurava se učinkovito zapošljavanje osoblja.

Amandman    14

Prijedlog uredbe

Članak 37. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije.

2.  Prevoditeljske usluge potrebne za funkcioniranje Agencije pruža Prevoditeljski centar za tijela Europske unije ili drugi pružatelji prevoditeljskih usluga u skladu s pravilima javne nabave i unutar granica utvrđenih relevantnim financijskim pravilima.

Amandman    15

Prijedlog uredbe

Članak 41. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2.  Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

2.  Država članica domaćin Agencije osigurava najbolje moguće uvjete za osiguravanje pravilnog funkcioniranja Agencije, uključujući jedinstvenu lokaciju za cijelu Agenciju, dostupnost lokacije, postojanje odgovarajućih obrazovnih objekata za djecu članova osoblja, odgovarajući pristup tržištu rada, socijalno osiguranje i zdravstvenu zaštitu za djecu i supružnike.

Obrazloženje

Aktualna struktura Agencije čije je administrativno sjedište u Heraklionu, a operativno u Ateni, pokazala se neučinkovitom i skupom. Stoga bi svi zaposlenici ENISA-e trebali raditi u istom gradu. S obzirom na kriterije navedene u ovom stavku lokacija Agencije trebala bi biti u Ateni.

Amandman    16

Prijedlog uredbe

Članak 41. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a.  Nakon što Komisija provede evaluaciju po preporuci međuinstitucijske radne skupine za resurse agencija, Sporazum o sjedištu Agencije revidirat će se te će se u skladu s time preispitati lokacija Agencije.

POSTUPAK U ODBORU KOJI DAJE MIŠLJENJE

Naslov

Uredba o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

Referentni dokumenti

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Nadležni odbor

       Datum objave na plenarnoj sjednici

ITRE

23.10.2017

 

 

 

Odbori koji su dali mišljenje

       Datum objave na plenarnoj sjednici

BUDG

23.10.2017

Izvjestitelj(ica) za mišljenje

       Datum imenovanja

Jens Geier

26.9.2017

Razmatranje u odboru

21.3.2018

 

 

 

Datum usvajanja

16.5.2018

 

 

 

Rezultat konačnog glasovanja

+:

–:

0:

22

4

0

Zastupnici nazočni na konačnom glasovanju

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Zamjenici nazočni na konačnom glasovanju

Ivana Maletić, Andrey Novakov

KONAČNO GLASOVANJE POIMENIČNIM GLASOVANJEM U ODBORU KOJI DAJE MIŠLJENJE

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Korišteni znakovi:

+  :  za

-  :  protiv

0  :  suzdržani

(1)

To obuhvaća 26 zaposlenika funkcijske skupine AD, 6 zaposlenika funkcijske skupine AST i 9 upućenih nacionalnih stručnjaka. Nisu obuhvaćene procijenjene potrebe za nadležnu glavnu upravu, ugovorno osoblje i vanjske ugovaratelje.

(2)

Procjena, kojom se ne dovodi u pitanje financiranje EU-a nakon 2020.


MIŠLJENJE Odbora za građanske slobode, pravosuđe i unutarnje poslove (16.3.2018)

upućeno Odboru za industriju, istraživanje i energetiku

o prijedlogu uredbe Europskog parlamenta i Vijeća o ENISA-i (Agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Izvjestitelj za mišljenje: Jan Philipp Albrecht

KRATKO OBRAZLOŽENJE

Izvjestitelj pozdravlja prijedlog Komisije o donošenju „Akta o kibersigurnosti”(1) jer se njime bolje definira uloga ENISA-e u izmijenjenom ekosustavu informatičke sigurnosti te se razvijaju mjere u pogledu normi, certificiranja i označavanja informatičke sigurnosti kako bi sustavi koji se temelje na informacijsko-komunikacijskim tehnologijama, uključujući povezane objekte, postali sigurniji.

Bez obzira to, izvjestitelj smatra da postoji prostor za daljnja poboljšanja. Izvjestitelj čvrsto vjeruje da je informacijska sigurnost ključna za zaštitu temeljnih prava građana utvrđenih u Povelji Europske unije o temeljnim pravima, kao i za borbu protiv kiberkriminaliteta te zaštitu demokracije i vladavine prava.

Temeljna prava: Nesigurni sustavi mogu dovesti do povrede podataka ili zlouporabe identiteta, što bi pojedincima moglo stvoriti stvarnu štetu i nevolje, uključujući rizike u pogledu njihovih života, privatnosti, dostojanstva ili imovine. Primjerice, svjedoci mogu biti u opasnosti od zastrašivanja i fizičke povrede, a žene mogu biti u opasnosti od obiteljskog nasilja u slučaju da se otkriju njihove kućne adrese. Što se tiče interneta stvari koji sadrži i fizičke aktivatore, a ne samo senzore, fizički integritet i život pojedinaca mogao bi se naći u opasnosti zbog napada na informatičke sustave. Amandmani koje izvjestitelj predlaže posebno su usmjereni na zaštitu članaka 1., 2., 3., 6., 7., 8., 11. i 17. Povelje Europske unije o temeljnim pravima. Postoji čak i sudska praksa iz područja ustavnog prava prema kojoj iz općih prava osobnosti proizlazi posebno „temeljno pravo na povjerljivost i integritet informatičko-tehničkih sustava”(2), prilagođeno našem trenutačnom digitalnom okružju.

Borba protiv kiberkriminaliteta: Neki oblici kaznenih djela počinjenih na internetu, kao što su phishing napadi ili financijske i bankovne prijevare, predstavljaju povredu povjerenja, a protiv toga nije se moguće boriti mjerama informatičke sigurnosti. Što se tiče borbe protiv tih vrsta kaznenih djela, izvjestitelj pozdravlja prijedlog da se redovito provode informativne kampanje i kampanje za podizanje razine osviještenosti javnosti usmjerene na krajnje korisnike, a koje bi organizirala ENISA. Drugi oblici kaznenih djela na internetu uključuju napade na informatičke sustave kao što su hakiranje ili distribuirani napadi uskraćivanjem usluga. Kada je riječ o borbi protiv tih vrsta kaznenih djela, izvjestitelj smatra da će se jačanjem informatičke sigurnosti djelotvorno poboljšati suzbijanje i sprečavanje kiberkriminaliteta.

Demokracija i vladavina prava: Napadi na informatičke sustave koje provode vlade i nedržavni akteri jasna su i sve veća prijetnja demokraciji jer se njima ugrožava održavanje slobodnih i pravednih izbora, primjerice, manipuliranjem činjenica i mišljenja koji utječu na glasovanje građana, uplitanjem u postupak glasovanja i izmjenom rezultata glasovanja ili narušavanjem povjerenja u pouzdanost glasovanja.

Izvjestitelj stoga u okviru svojeg nacrta mišljenja odbora LIBE predlaže da se Prijedlog Komisije izmijeni imajući na umu sljedeća ključna pitanja:

•  Agencija treba imati veću ulogu u poticanju svih dionika europskog informacijskog društva da usvoje pouzdane tehnologije za unapređenje zaštite privatnosti i preventivne mjere informatičke sigurnosti;

•  Agencija treba predložiti politike kojima se utvrđuju jasne odgovornosti svih dionika koji sudjeluju u ekosustavu informatičko-komunikacijskih tehnologija u slučaju kada bi izostanak primjene prikladne informatičke sigurnosti moglo dovesti do ozbiljnih posljedica u pogledu sigurnosti, velike štete za okoliš ili izazvati sustavnu financijsku ili gospodarsku krizu;

•  Agencija treba predložiti, u suradnji sa stručnjacima u području informatičke sigurnosti, jasne i obvezujuće osnovne uvjete u pogledu informatičke sigurnosti;

•  Agencija treba predložiti program certificiranja informatičke sigurnosti kojim se prodavačima u području informatičko-komunikacijskih tehnologija omogućuje da u interesu potrošača povećaju transparentnost u pogledu mogućnosti ažuriranja i kraja razdoblja pružanja softverske podrške. Takav program certificiranja treba biti dinamičan jer je područje sigurnosti potrebno stalno poboljšavati;

•  Agencija bi proizvođačima u području informatičko-komunikacijskih tehnologija trebala omogućiti jednostavniju i jeftiniju provedbu načela integrirane sigurnosti objavljivanjem smjernica i primjera najbolje prakse;

•  Agencija treba na zahtjev institucija, tijela, ureda i agencija Unije, kao i država članica, provoditi redovite preventivne revizije informatičke sigurnosti njihove ključne infrastrukture (pravo na reviziju);

•  Agencija treba odmah prijaviti ranjivosti u pogledu informatičke sigurnosti koje još uvijek nisu javno objavljene proizvođačima. Agencija ne smije prikrivati ili iskorištavati neobjavljene ranjivosti u poduzećima ili proizvodima za vlastite ciljeve. Vladina tijela, koristeći se novcem poreznih obveznika, ugrožavaju sigurnost građana razvijanjem, kupnjom i iskorištavanjem „stražnjih ulaza” u informatičke sustave. Kako bi se zaštitili drugi dionici koji odgovorno postupaju u slučaju takvih ranjivosti, Agencija treba predložiti politike za odgovornu razmjenu informacija o „Zero days” ranjivostima i drugim vrstama sigurnosnih ranjivosti koje još nisu javno objavljene te za olakšano rješavanje ranjivosti;

•  Kako bi EU uhvatio korak s industrijama informatičke sigurnosti u trećim zemljama, Agencija treba utvrditi i pokrenuti dugoročni projekt EU-a u području informatičke sigurnosti koji bi po opsegu odgovarao mjerama koje su na primjeru Airbusa poduzete u zrakoplovnoj industriji;

Komisija treba izbjegavati korištenje termina „kibersigurnost” jer je pravno nejasan i mogao bi dovesti do nejasnoća. Izvjestitelj predlaže da se termin „kibersigurnost” zamijeni terminom „informatička sigurnost” kako bi se poboljšala pravna sigurnost.

AMANDMANI

Odbor za građanske slobode, pravosuđe i unutarnje poslove poziva Odbor za industriju, istraživanje i energetiku da kao nadležni odbor uzme u obzir sljedeće amandmane:

Amandman    1

Prijedlog uredbe

Naslov

Tekst koji je predložila Komisija

Izmjena

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)

o ENISA-i (Agenciji EU-a za mrežnu i informacijsku sigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o informatičkoj sigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o informatičkoj sigurnosti”)

 

(Ova izmjena primjenjuje se u cijelom zakonodavnom tekstu koji se razmatra;

Obrazloženje

Prefiks „kiber”, koji potječe iz znanstveno-fantastičnih djela iz 1960-ih, sve se češće koristi kako bi se opisali negativni aspekti interneta (kibernapad, kiberkriminalitet, itd.), međutim, radi se o pravno veoma nejasnom prefiksu. Izvjestitelj predlaže da se termin „kibersigurnost” promijeni u „informatička sigurnost” kako bi se zajamčila pravna sigurnost.

Amandman    2

Prijedlog uredbe

Uvodna izjava 2.

Tekst koji je predložila Komisija

Izmjena

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne kibersigurnosti. U tom kontekstu, zbog ograničene uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o kibersigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja.

(2)  Građani, poduzeća i javna tijela u cijeloj Uniji sada se koriste mrežnim i informacijskim sustavima. Digitalizacija i povezivost postaju ključne značajke sve većeg broja proizvoda i usluga, a uvođenjem interneta stvari očekuje se da će se u EU-u tijekom sljedećeg desetljeća upotrebljavati milijuni, ako ne i milijarde, povezanih digitalnih uređaja. Iako se na internet povezuje sve veći broj uređaja, sigurnost i otpornost nisu dostatno ugrađeni u dizajn, što dovodi do nedostatne informatičke sigurnosti. U tom kontekstu, zbog ograničene i fragmentirane uporabe certifikacije, organizacije i pojedinačni korisnici nemaju dovoljno informacija o informatičko-sigurnosnim značajkama IKT proizvoda i usluga, što smanjuje povjerenje u digitalna rješenja. IKT mreže danas čine okosnicu digitalnih proizvoda i usluga koje nam pomažu u svim aspektima života te potiču gospodarski rast Europe. Kako bi se osiguralo potpuno ispunjenje ciljeva jedinstvenog digitalnog tržišta, moraju biti uspostavljene osnovne tehnološke sastavnice na koje se nadovezuju važna područja kao što su e-zdravstvo, internet stvari, umjetna inteligencija, kvantna tehnologija te inteligentni prometni sustavi i napredna proizvodnja.

Amandman    3

Prijedlog uredbe

Uvodna izjava 4.

Tekst koji je predložila Komisija

Izmjena

(4)  Kibernapadi su sve češći te je potrebna snažnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori nadležnih tijela za kibersigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja kibersigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

(4)  Kibernapadi sve su češći te je potrebna snažnija i sigurnija obrana povezanog gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, iako su kibernapadi često prekogranični, politički odgovori tijela nadležnih za informatičku sigurnost i nadležnosti u području izvršavanja zakonodavstva uglavnom su nacionalne. Veliki kiberincidenti mogli bi uzrokovati prekid u opskrbi ključnim uslugama u cijelom EU-u. Zbog toga su potrebni učinkovit odgovor i upravljanje krizama na razini EU-a, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć. Nadalje, za kreatore politike, industriju i korisnike stoga je važno redovito ocjenjivanje stanja informatičke sigurnosti i otpornosti u Uniji na temelju pouzdanih podataka Unije i sustavno predviđanje budućeg razvoja, izazova i opasnosti na razini Unije i na globalnoj razni.

Amandman    4

Prijedlog uredbe

Uvodna izjava 5.

Tekst koji je predložila Komisija

Izmjena

(5)  Zbog sve većih kibersigurnosnih izazova s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u podizanje razine osviještenosti građana i poduzeća u području kibersigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima.

(5)  Zbog sve većih izazova u pogledu informatičke sigurnosti s kojima se Unija suočava potrebno je donijeti sveobuhvatan skup mjera koje bi se temeljile na prethodnom djelovanju Unije i kojima bi se poticali ciljevi koji se uzajamno podupiru. One uključuju potrebu za daljnjim povećanjem sposobnosti i spremnosti država članica i poduzeća te za poboljšanjem suradnje i koordinacija u državama članicama i institucijama, agencijama i tijelima EU-a. Nadalje, s obzirom na to da kiberprijetnje ne poznaju granica, trebalo bi povećati sposobnosti na razini Unije kojima bi se mogla dopuniti djelovanja država članica, posebno u slučaju velikih prekograničnih kiberprijetnji i kriza. Potrebno je uložiti dodatne napore u pružanje koordiniranog odgovora na razini EU-a te podizanje razine osviještenosti građana i poduzeća u području informatičke sigurnosti. Nadalje, povjerenje u jedinstveno digitalno tržište trebalo bi dodatno poboljšati ponudom transparentnih informacija o razini sigurnosti IKT proizvoda i usluga. To se može olakšati certificiranjem na razini EU-a kojim će se osigurati zajednički zahtjevi u pogledu informatičke sigurnosti i kriteriji za ocjenjivanje na svim nacionalnim tržištima i u svim sektorima. Osim certificiranja na razini Unije, postoji niz dobrovoljnih mjera koje su općeprihvaćene na tržištu, ovisno o proizvodu, usluzi, upotrebi ili normi. Trebalo bi poticati te mjere, kao i pristup industrije „odozdo prema gore”, uključujući upotrebu integrirane sigurnosti, promicanje međunarodnih normi i doprinošenje tim normama.

Amandman    5

Prijedlog uredbe

Uvodna izjava 7.

Tekst koji je predložila Komisija

Izmjena

(7)  Unija je već poduzela važne korake kako bi osigurala kibersigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na kibersigurnosne prijetnje i rizike. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području kibersigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS utvrđuju se zahtjevi u pogledu nacionalnih sposobnosti u području kibersigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine kibersigurnosti.

(7)  Unija je već poduzela važne korake kako bi osigurala informatičku sigurnost i povećala povjerenje u digitalne tehnologije. Tijekom 2013. donesena je Strategija EU-a za kibersigurnost kako bi se usmjerio politički odgovor Unije na prijetnje i rizike za informatičku sigurnost. U cilju bolje zaštite Europljana na internetu Unija je 2016. donijela prvi zakonodavni akt u području informatičke sigurnosti, Direktivu (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). Direktivom NIS zadovoljava se strategija jedinstvenog digitalnog tržišta, te se, zajedno s drugim instrumentima, kao što su Direktiva .../... [o Europskom zakoniku elektroničkih komunikacija], Uredba (EU) 2016/679 Europskog parlamenta i Vijeća1a i Direktiva 2002/58/EZ Europskog parlamenta i Vijeća1b, utvrđuju zahtjevi u pogledu nacionalnih sposobnosti u području informatičke sigurnosti, uspostavljeni su prvi mehanizmi za jačanje strateške i operativne suradnje među državama članicama i uvedene su obveze u pogledu sigurnosnih mjera i obavijesti o incidentima u sektorima koji su od ključne važnosti za gospodarstvo i društvo, kao što su energetika, promet, vodoopskrba, bankarstvo, infrastruktura financijskog tržišta, zdravstvena skrb, digitalna infrastruktura i pružatelji ključnih digitalnih usluga (tražilice, usluge računalstva u oblaku i internetska tržišta). ENISA je dobila ključnu ulogu u podupiranju provedbe te Direktive. Nadalje, djelotvorna borba protiv kiberkriminaliteta važan je prioritet Europskog programa sigurnosti, čime se pridonosi općem cilju postizanja visoke razine informatičke sigurnosti.

 

_______________

 

1aUredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.)

 

1bDirektiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

Amandman    6

Prijedlog uredbe

Uvodna izjava 8.

Tekst koji je predložila Komisija

Izmjena

(8)  Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području kibersigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom kibersigurnosnom ekosustavu i osiguralo da ona djelotvorno pridonosi odgovoru Unije na kiberizazove koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

(8)  Priznaje se da se od donošenja strategije EU-a o kibersigurnosti iz 2013. i posljednje revizije mandata Agencije znatno promijenio opći kontekst politike, među ostalim u pogledu nesigurnijeg globalnog okruženja. U tom kontekstu i u okviru nove politike Unije u području informatičke sigurnosti nužno je preispitati mandat ENISA-e kako bi se utvrdila njezina uloga u promijenjenom informatičko-sigurnosnom ekosustavu i osiguralo da ona preuzme vodeću ulogu zahvaljujući kojoj će djelotvorno poboljšati odgovor Unije na izazove u području informatičke sigurnosti koji proizlaze iz bitno preobraženog okruženja prijetnji na koje Agencija, u okviru svojeg trenutačnog mandata, ne može odgovoriti.

Amandman    7

Prijedlog uredbe

Uvodna izjava 11.

Tekst koji je predložila Komisija

Izmjena

(11)  S obzirom na sve veće izazove kibersigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav.

(11)  S obzirom na sve veće izazove u području informatičke sigurnosti s kojima se Unija suočava, trebalo bi povećati financijske i ljudske resurse dodijeljene Agenciji u skladu s njezinom pojačanom ulogom i zadaćama i njezinom ključnom ulogom u ekosustavu organizacija koje brane europski digitalni ekosustav. Potrebno je obratiti pozornost na daljnje jačanje kapaciteta Agencije.

Obrazloženje

Ključno je da se riješi problem nedostatnih kapaciteta Agencije. Isto tako, treba težiti daljnjem razvoju Agencije s obzirom na presudnu važnost kibersigurnosti danas te, prije svega, u budućnosti. Valja upozoriti na rusko uplitanje u izbore, povećanje kapaciteta velesila i zemalja diljem svijeta te neizbježnu digitalizaciju važnih sektora.

Amandman    8

Prijedlog uredbe

Uvodna izjava 11.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(11a)  Izazovi u području informatičke sigurnosti u digitalnom su dobu često blisko povezani s izazovima u području zaštite podataka, zaštite privatnog života, kao i zaštite elektroničke komunikacije. Kako bi se Agencija mogla prikladno suočiti s tim izazovima, postoji potreba za bliskom suradnjom i učestalim savjetovanjem s tijelima osnovanima u skladu s Uredbom (EZ) 45/2001 Europskog parlamenta i Vijeća1a, Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EZ) br. 1211/2009, kao i s industrijskim sektorom i civilnim društvom.

 

________________

 

1aUredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.)

Amandman    9

Prijedlog uredbe

Uvodna izjava 12.

Tekst koji je predložila Komisija

Izmjena

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Skupom zadaća trebao bi se utvrditi način na koji će Agencija ostvariti svoje ciljeve, pri čemu joj se treba omogućiti fleksibilnost u radu.

(12)  Agencija bi trebala razviti i održavati visoku razinu stručnosti i djelovati kao referentna točka te bi svojom neovisnošću, kvalitetom savjeta i informacija koje pruža, transparentnošću postupaka i metoda rada te marljivošću u obavljanju svojih zadaća trebala uspostaviti povjerenje u jedinstveno tržište. Agencija bi pri obavljanju svojih zadaća trebala proaktivno pridonositi nacionalnim naporima i naporima Unije u potpunoj suradnji s institucijama, tijelima, uredima i agencijama Unije i državama članicama. Nadalje, rad Agencije trebao bi se temeljiti na informacijama dobivenima od privatnog sektora i suradnji s njim i drugim relevantnim dionicima. Trebalo bi definirati jasan plan i skup zadataka i ciljeva koje Agencija treba ostvariti, pri čemu treba uzeti u obzir fleksibilnost koja je potrebna u njezinu radu. Kad je to moguće, treba održati najviši stupanj transparentnosti i širenja informacija.

Amandman    10

Prijedlog uredbe

Uvodna izjava 14.

Tekst koji je predložila Komisija

Izmjena

(14)  Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji kibersigurnosti koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

(14)  Osnovna je zadaća Agencije promicati dosljednu provedbu odgovarajućeg pravnog okvira, posebno učinkovitu provedbu Direktive NIS, Direktive .../... [o Europskom zakoniku elektroničkih komunikacija], Uredbe (EU) 2016/679 i Direktive 2002/58/EZ, što je od ključne važnosti za povećanje kiberotpornosti. S obzirom na okruženje prijetnji za informatičku sigurnost koje se brzo razvija, državama članicama treba pružiti potporu s pomoću sveobuhvatnijeg, horizontalnog pristupa izgradnji kiberotpornosti.

Amandman    11

Prijedlog uredbe

Uvodna izjava 21.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(21a)  Komisija bi trebala predložiti uvođenje obvezne suradnje među državama članicama u pogledu zaštite ključne informacijske infrastrukture.

Amandman    12

Prijedlog uredbe

Uvodna izjava 26.

Tekst koji je predložila Komisija

Izmjena

(26)  Kako bi bolje razumjela izazove u području kibersigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na kibersigurnost. Nadalje, Agencija bi, analizom prijetnji i incidenata, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s kibersigurnošću.

(26)  Kako bi bolje razumjela izazove u području informatičke sigurnosti i u cilju pružanja strateških dugoročnih savjeta državama članicama i institucijama Unije, Agencija mora analizirati postojeće i nove rizike, incidente i ranjivosti. U tu svrhu ona bi trebala, u suradnji s državama članicama i, prema potrebi, s tijelima za statistiku i drugim tijelima, prikupljati relevantne informacije i provoditi analize novih tehnologija te davati posebne tematske procjene očekivanih društvenih, pravnih, gospodarskih i regulatornih učinaka tehničkih inovacija na mrežnu i informacijsku sigurnost, posebno na informatičku sigurnost. Nadalje, Agencija bi, analizom prijetnji, incidenata i ranjivosti, trebala pomoći državama članicama i institucijama, agencijama i tijelima Unije da prepoznaju nove prijetnje i spriječe probleme povezane s informatičkom sigurnošću.

Amandman    13

Prijedlog uredbe

Uvodna izjava 28.

Tekst koji je predložila Komisija

Izmjena

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s kibersigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom javno dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima i građanima i poboljšanja opće razine pripravnosti i otpornosti. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika s ciljem poticanja sigurnijeg ponašanja pojedinaca na internetu, podizanja razine osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet kao što su phishing napadi, mreže zaraženih računala (botnet) te financijske i bankovne prijevare, i poticanja osnovnog savjetovanja o autentikaciji i zaštiti podataka. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

(28)  Agencija bi trebala pridonijeti podizanju razine osviještenosti javnosti o rizicima povezanima s informatičkom sigurnošću i davati smjernice o dobroj praksi za pojedinačne korisnike koje su usmjerene na građane i organizacije. Kako bi poboljšala opću razinu pripravnosti i otpornosti, Agencija bi trebala pridonositi i promicanju najbolje prakse i rješenja na razini građana i organizacija prikupljanjem i analizom dostupnih informacija o znatnim incidentima i sastavljanjem izvješća u cilju pružanja smjernica poduzećima, građanima i relevantnim tijelima na razini Unije i nacionalnoj razini. Agencija bi, nadalje, u suradnji s državama članicama i institucijama, tijelima, uredima i agencijama Unije trebala organizirati redovite kampanje informiranja i obrazovanja krajnjih korisnika. Tim kampanjama trebalo bi se poticati obrazovanje o informatičkoj sigurnosti i sigurnije ponašanje pojedinaca na internetu i podići razina osviještenosti o potencijalnim opasnostima u kiberprostoru, uključujući kiberkriminalitet, kao što su phishing napadi, mreže zaraženih računala (botnet), financijske i bankovne prijevare, krivotvorenje i nezakoniti sadržaji, te se zalagati za zaštitu podataka i osnovnu autentikaciju kako bi se izbjegla krađa podataka i identiteta. Agencija bi trebala imati glavnu ulogu u bržem osvješćivanju korisnika o sigurnosti uređaja.

Amandman    14

Prijedlog uredbe

Uvodna izjava 28.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(28a)  Agencija bi trebala podizati razinu osviještenosti javnosti o rizicima od prijevara povezanih s podacima i od krađe podataka, koji mogu ozbiljno utjecati na temeljna prava pojedinaca te ugroziti vladavinu prava i stabilnost demokratskih društava, uključujući i demokratske procese u državama članicama.

Amandman    15

Prijedlog uredbe

Uvodna izjava 30.

Tekst koji je predložila Komisija

Izmjena

(30)  Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA) i s drugim agencijama EU-a koje djeluju u području kibersigurnosti. Ona bi se trebala povezati i s nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima kibersigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

(30)  Kako bi se osiguralo da Agencija potpuno ostvari svoje ciljeve, ona bi se trebala povezati s relevantnim institucijama, agencijama i tijelima, među ostalim s CERT-EU-om, Europskim centrom za kiberkriminal (EC3) pri Europolu, Europskom obrambenom agencijom (EDA), Europskom agencijom za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA), Europskom agencijom za sigurnost zračnog prometa (EASA), Europskom agencijom za globalne navigacijske satelitske sustave (GSA) i s drugim agencijama EU-a koje djeluju u području informatičke sigurnosti. Ona bi se trebala povezati i s tijelima Unije i nacionalnim nadležnim tijelima za zaštitu podataka u cilju razmjene znanja i najbolje prakse i u cilju davanja savjeta o aspektima informatičke sigurnosti koji bi mogli utjecati na njihov rad. Predstavnici nacionalnih tijela kaznenog progona i tijela kaznenog progona na razini Unije te nacionalnih tijela i tijela Unije za zaštitu privatnosti trebali bi imati pravo da budu zastupljeni u Stalnoj interesnoj skupini Agencije. Pri povezivanju s tijelima kaznenog progona u vezi s aspektima mrežne i informacijske sigurnosti koji mogu utjecati na njihov rad, Agencija bi trebala poštovati postojeće informacijske kanale i uspostavljene mreže.

Obrazloženje

Budući da u programu Galileo postoje problemi u pogledu kibersigurnosti, posebno u zemaljskim segmentima, suradnja s Europskom agencijom za globalne navigacijske satelitske sustave zapravo jača ulogu ENISA-e, a istodobno doprinosi vjerodostojnosti programa Galileo.

Amandman    16

Prijedlog uredbe

Uvodna izjava 35.

Tekst koji je predložila Komisija

Izmjena

(35)  Agencija bi trebala poticati države članice i pružatelje usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne kibersigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde kibersigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini kibersigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju sigurnost, uključujući kibersigurnost, svojih proizvoda i usluga.

(35)  Agencija bi trebala poticati države članice, proizvođače hardvera i softvera, pružatelje IKT i internetskih usluga da povećaju svoje opće sigurnosne standarde kako bi svi korisnici interneta mogli poduzeti potrebne korake za osiguranje svoje osobne informatičke sigurnosti. Konkretno, pružatelji usluga i proizvođači proizvoda trebali bi povući ili reciklirati proizvode i usluge koji ne zadovoljavaju standarde informatičke sigurnosti. ENISA, u suradnji s nadležnim tijelima, može širiti informacije o razini informatičke sigurnosti proizvoda i usluga koje se nude na unutarnjem tržištu te pružateljima i proizvođačima izdavati upozorenja u kojima od njih traži da poboljšaju informatičku sigurnost svojih proizvoda i usluga. Agencija bi trebala surađivati s dionicima u pogledu razvoja pristupa na razini Unije za odgovorno otkrivanje ranjivosti te promicati najbolju praksu u tom području.

Amandman    17

Prijedlog uredbe

Uvodna izjava 44.

Tekst koji je predložila Komisija

Izmjena

(44)  Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije.

(44)  Agencija bi trebala imati Stalnu interesnu skupinu kao savjetodavno tijelo kako bi se osigurao redoviti dijalog s privatnim sektorom, organizacijama potrošača i drugim interesnim skupinama. Stalna interesna skupina, koju na prijedlog izvršnog direktora osniva Upravljački odbor, trebala bi se usredotočiti na pitanja relevantna za dionike te bi trebala Agenciji skrenuti pozornost na njih. Sastav Stalne interesne skupine, s kojom se posebno treba savjetovati u pogledu nacrta programa rada, i njezinim zadaćama trebao bi osigurati dostatnu zastupljenost dionika u radu Agencije. S obzirom na važnost zahtjeva u pogledu certifikacije da bi se osiguralo povjerenje u internet stvari, Komisija bi posebno trebala razmotriti provedbene mjere kojima bi se zajamčilo usklađivanje sigurnosnih normi za uređaje povezane internetom stvari na razini Unije.

Amandman    18

Prijedlog uredbe

Uvodna izjava 50.

Tekst koji je predložila Komisija

Izmjena

(50)  Trenutačno se kibersigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za kibersigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne kibersigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe.

(50)  Trenutačno se informatička sigurnosna certifikacija IKT proizvoda i usluga provodi samo u ograničenoj mjeri. Ako postoji, ona se većinom provodi na razini države članice ili u okviru programa industrijskih sektora. U tom kontekstu druge države članice u načelu ne priznaju certifikat koji je izdalo jedno nacionalno tijelo za informatičku sigurnost. Trgovačka društva stoga će možda morati certificirati svoje proizvode i usluge u nekoliko država članica u kojima djeluju, na primjer radi sudjelovanja u nacionalnim postupcima javne nabave, a ti postupci mogu uključivati dodatne troškove za trgovačka društva. Nadalje, iako se javljaju novi programi, čini se da ne postoji usklađen i holistički pristup pitanjima horizontalne informatičke sigurnosti, na primjer u području interneta stvari. U postojećim programima postoje znatni nedostaci i razlike u pogledu opsega proizvoda, razine jamstva, materijalnih kriterija i stvarne upotrebe. Pristupom kojim se svaki slučaj uzima u obzir posebno osiguralo bi se da usluge i proizvodi podliježu odgovarajućim programima certifikacije. K tome, potreban je pristup utemeljen na riziku za učinkovitu identifikaciju i ublažavanje rizika te za izbjegavanje povećanih troškova za proizvođače.

Amandman    19

Prijedlog uredbe

Uvodna izjava 52.

Tekst koji je predložila Komisija

Izmjena

(52)  S obzirom na navedeno nužno je uspostaviti europski okvir za kibersigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe kibersigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih kibersigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

(52)  S obzirom na navedeno nužno je uspostaviti usklađeni europski okvir za informatičku sigurnosnu certifikaciju kojim se utvrđuju glavni horizontalni zahtjevi za buduće europske programe informatičke sigurnosne certifikacije koji omogućuju priznavanje i uporabu certifikata IKT proizvoda i usluga u svim državama članicama. Europski okvir trebao bi imati dvostruku svrhu: s jedne strane njime bi se trebalo pridonijeti povećanju povjerenja u IKT proizvode i usluge koji su certificirani u skladu s tim programima. S druge strane, njime bi se trebalo izbjeći umnožavanje proturječnih ili preklapajućih nacionalnih informatičkih sigurnosnih certifikacija i tako smanjiti troškovi poduzećima koja djeluju na jedinstvenom digitalnom tržištu. Programi certificiranja trebali bi biti nediskriminirajući i temeljiti se na međunarodnim normama ili normama Unije, osim ako su te norme neučinkovite ili neprimjerene za ispunjavanje zakonitih ciljeva EU-a u tom pogledu.

Amandman    20

Prijedlog uredbe

Uvodna izjava 55.

Tekst koji je predložila Komisija

Izmjena

(55)  Europskim programima kibersigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi kibersigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane kibersigurnosne potrebe toliko su različiti da je teško osmisliti opće kibersigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam kibersigurnosti dopunjen skupom kibersigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa kibersigurnosne certifikacije. Načina postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, na primjer upućivanjem na norme ili tehničke specifikacije.

(55)  Europskim programima informatičke sigurnosne certifikacije trebalo bi se osigurati da proizvodi i usluge koji su certificirani u skladu s takvim programom zadovoljavaju određene zahtjeve. Ti zahtjevi odnose se na mogućnost odupiranja, na određenoj razini jamstva, djelovanjima kojima bi se mogla ugroziti dostupnost, izvornost, cjelovitost ili povjerljivost pohranjenih, poslanih ili obrađenih podataka ili povezanih funkcija ili usluge koje se nude s pomoću tih proizvoda, postupaka, usluga i sustava ili kojima se s pomoću njih može pristupiti u smislu ove Uredbe. U ovoj Uredbi ne mogu se podrobno utvrditi informatički sigurnosni zahtjevi povezani sa svim IKT proizvodima i uslugama. IKT proizvodi i usluge i povezane informatičko-sigurnosne potrebe toliko su različiti, kao i njihov životni ciklus, da je teško osmisliti opće informatičke sigurnosne zahtjeve koji se mogu svuda primjenjivati. Stoga je za potrebe certifikacije potrebno prihvatiti širok i općenit pojam informatičke sigurnosti dopunjen skupom konkretnih informatičko-sigurnosnih ciljeva koje treba uzeti u obzir pri izradi europskih programa informatičke sigurnosne certifikacije. Načine postizanja tih ciljeva u određenim IKT proizvodima i uslugama trebalo bi potom podrobnije opisati na razini pojedinačnog programa certificiranja kojeg je donijela Komisija, u bliskoj suradnji s državama članicama i dionicima iz industrije, na primjer upućivanjem na norme ili tehničke specifikacije. Pojedinačni programi certificiranja trebali bi biti oblikovani tako da se sve aktere uključene u razvoj relevantnih informatičkih proizvoda i usluga potiče na razvoj i usvajanje standarda, normi i načela kojima se osigurava najviša moguća razina sigurnosti tijekom cijeloga životnog ciklusa.

Amandman    21

Prijedlog uredbe

Uvodna izjava 55.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(55a)  ENISA treba razviti program certificiranja s globalnom dimenzijom kako bi spriječila buduće trgovinske barijere. U procesu oblikovanja mjerila za program certificiranja ENISA treba sudjelovati u dijalogu s relevantnim partnerima iz sektora da bi se osigurala tržišna izvedivost.

Amandman    22

Prijedlog uredbe

Uvodna izjava 56.

Tekst koji je predložila Komisija

Izmjena

(56)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program kibersigurnosne certifikacije s pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima kibersigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj kibersigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju kibersigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva: osnovna, znatna i/ili visoka.

(56)  Komisija bi trebala imati ovlasti zatražiti od ENISA-e da izradi prijedloge programa za određene IKT proizvode ili usluge. Komisija bi na temelju prijedloga programa koji je predložila ENISA trebala imati ovlasti donijeti europski program informatičke sigurnosne certifikacije pomoću provedbenih akata. Uzimajući u obzir opću svrhu i sigurnosne ciljeve utvrđene u ovoj Uredbi, u europskim programima informatičke sigurnosne certifikacije koje donosi Komisija trebalo bi odrediti minimalni skup elemenata koji se odnose na predmet, područje primjene i funkcioniranje pojedinačnog programa. Oni bi trebali uključivati, među ostalim, područje primjene i cilj informatičke sigurnosne certifikacije, uključujući kategorije obuhvaćenih IKT proizvoda i usluga, detaljnu specifikaciju informatičko-sigurnosnih zahtjeva, na primjer upućivanjem na norme ili tehničke specifikacije, posebne kriterije i metode ocjenjivanja i predviđenu razinu jamstva. osnovna, znatna i/ili visoka. Razine jamstva trebale bi se određivati na pojedinačnoj osnovi kako bi se zajamčilo da IKT usluge i proizvodi podliježu odgovarajućim programima certificiranja te bi se njima trebale uzeti u obzir različite pojedinačne uporabe, kao i vlastita odgovornost i obrazovanje korisnika.

Amandman    23

Prijedlog uredbe

Uvodna izjava 57.

Tekst koji je predložila Komisija

Izmjena

(57)  Primjena europske kibersigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi kibersigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom kibersigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe kibersigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom kibersigurnosne certifikacije.

(57)  Primjena europske informatičke sigurnosne certifikacije trebala bi biti dobrovoljna, osim ako je u zakonodavstvu Unije ili nacionalnom zakonodavstvu predviđeno drugačije. Nakon te početne faze te ovisno o razini provedbe u državama članicama i kritičnosti proizvoda ili usluge u budućnosti bi se u fazama i kao reakcija na ciljeve politike sutrašnjice mogli početi razvijati potencijalno obvezni sustavi za određene IKT proizvode i usluge za buduće generacije tehnologije. Međutim, kako bi se ostvarili ciljevi ove Uredbe i izbjegla rascjepkanost unutarnjeg tržišta, nacionalni programi informatičke sigurnosne certifikacije ili postupci za IKT proizvode i usluge obuhvaćene europskim programom informatičke sigurnosne certifikacije trebali bi prestati proizvoditi učinke od datuma koji Komisija odredi provedbenim aktom. Štoviše, države članice ne bi trebale uvoditi nove nacionalne programe informatičke sigurnosne certifikacije IKT proizvoda i usluga koji su već obuhvaćeni postojećim europskim programom informatičke sigurnosne certifikacije.

Amandman    24

Prijedlog uredbe

Uvodna izjava 58.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(58a)  Agencija bi trebala razraditi jasne osnovne zahtjeve u pogledu informatičke sigurnosti koji bi se, ako je prikladno, predložili Komisiji kao provedbeni akti za sve informatičke uređaje koji se prodaju u Uniji ili izvoze iz nje. Ti bi se zahtjevi trebali revidirati svake dvije godine nakon toga kako bi se osigurala stalna poboljšanja. Tim se osnovnim zahtjevima u pogledu informatičke sigurnosti treba osigurati, između ostalog, da uređaji ne sadrže nikakve iskoristive poznate sigurnosne ranjivosti i da mogu prihvatiti provjerena sigurnosna ažuriranja, da prodavač obavještava nadležna tijela o poznatim ranjivostima te popravlja ili zamjenjuje dotični uređaj i da pruža informacije o tome kada ističe sigurnosna podrška za takav uređaj.

Amandman    25

Prijedlog uredbe

Članak 1. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b)  utvrđuje se okvir za uspostavu europskih programa kibersigurnosne certifikacije za potrebe osiguranja prikladne razine kibersigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

(b)  utvrđuje se okvir za uspostavu europskih programa informatičke sigurnosne certifikacije za potrebe osiguranja prikladne razine informatičke sigurnosti IKT proizvoda i usluga u Uniji. Taj okvir primjenjuje se ne dovodeći u pitanje posebne odredbe o dobrovoljnoj ili obveznoj certifikaciji u drugim aktima Unije.

Obrazloženje

Isključivo jezična izmjena, brisanje pleonazma iz teksta COM-a.

Amandman    26

Prijedlog uredbe

Članak 2. – stavak 1. – točka 8.

Tekst koji je predložila Komisija

Izmjena

(8)  „kiberprijetnja” znači svaka moguća okolnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

(8)  „kiberprijetnja” znači svaka moguća okolnost, mogućnost ili događaj koji bi mogli negativno utjecati na mrežne i informacijske sustave, njihove korisnike i uključene osobe.

Obrazloženje

Dodavanje važnog aspekta, posebno u pogledu procjene prijetnji.

Amandman    27

Prijedlog uredbe

Članak 4. – stavak 3. – podstavak 1.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Agencija nastoji utvrditi ključne slabosti informatičke sigurnosne mreže Unije kao cjeline te istih mreža pojedinačnih država članica. Ako Agencija smatra potrebnim, o tim slabostima treba izvijestiti Europski parlament.

Amandman    28

Prijedlog uredbe