Procedūra : 2017/0225(COD)
Procedūros eiga plenarinėje sesijoje
Dokumento priėmimo eiga : A8-0264/2018

Pateikti tekstai :

A8-0264/2018

Debatai :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Balsavimas :

PV 12/03/2019 - 9.17
Balsavimo rezultatų paaiškinimas

Priimti tekstai :

P8_TA(2019)0151

PRANEŠIMAS     ***I
PDF 2036kWORD 245k
30.7.2018
PE 619.373v03-00 A8-0264/2018

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Pramonės, mokslinių tyrimų ir energetikos komitetas

Pranešėja: Angelika Niebler

Nuomonės referentas (*):

Nicola Danti, Vidaus rinkos ir vartotojų apsaugos komitetas

(*) Darbo su susijusiais komitetais procedūra. Darbo tvarkos taisyklių 54 straipsnis

PAKEITIMAI
EUROPOS PARLAMENTO TEISĖKŪROS REZOLIUCIJOS PROJEKTAS
 AIŠKINAMOJI DALIS
 Vidaus rinkos ir vartotojų apsaugos komiteto NUOMONĖ
 Biudžeto komiteto NUOMONĖ
 Piliečių laisvių, teisingumo ir vidaus reikalų komiteto NUOMONĖ
 ATSAKINGO KOMITETO PROCEDŪRA
 GALUTINIS VARDINIS BALSAVIMAS ATSAKINGAME KOMITETE

EUROPOS PARLAMENTO TEISĖKŪROS REZOLIUCIJOS PROJEKTAS

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

(Įprasta teisėkūros procedūra: pirmasis svarstymas)

Europos Parlamentas,

–  atsižvelgdamas į Komisijos pasiūlymą Europos Parlamentui ir Tarybai (COM(2017)0477),

–  atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 2 dalį ir 114 straipsnį, pagal kuriuos Komisija pateikė pasiūlymą Parlamentui (C8-0310/2017),

–  atsižvelgdamas į Sutarties dėl Europos Sąjungos veikimo 294 straipsnio 3 dalį,

–  atsižvelgdamas į 2018 m. vasario 14 d. Europos ekonomikos ir socialinių reikalų komiteto nuomonę(1),

–  atsižvelgdamas į Darbo tvarkos taisyklių 59 straipsnį,

–  atsižvelgdamas į Prancūzijos Senato pagal Protokolą Nr. 2 dėl subsidiarumo ir proporcingumo principų taikymo pateiktą pagrįstą nuomonę, kurioje tvirtinama, kad teisėkūros procedūra priimamo akto projektas neatitinka subsidiarumo principo,

–  atsižvelgdamas į Pramonės, mokslinių tyrimų ir energetikos komiteto pranešimą ir į Vidaus rinkos ir vartotojų apsaugos komiteto, Biudžeto komiteto ir Piliečių laisvių, teisingumo ir vidaus reikalų komiteto nuomones (A8-0264/2018),

1.  priima per pirmąjį svarstymą toliau pateiktą poziciją;

2.  ragina Komisiją dar kartą perduoti klausimą svarstyti Parlamentui, jei ji savo pasiūlymą pakeičia nauju tekstu, jį keičia iš esmės arba ketina jį keisti iš esmės;

3.  paveda Pirmininkui perduoti Parlamento poziciją Tarybai, Komisijai ir nacionaliniams parlamentams.

Pakeitimas    1

Pasiūlymas dėl reglamento

1 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(1)  tinklų ir informacinės sistemos bei telekomunikacijų tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir yra ekonomikos augimo pamatas. Informacinėmis ir ryšių technologijomis grindžiamos sudėtingos sistemos, kurias taikant remiama visuomeninė veikla, užtikrinamas mūsų ekonomikos pagrindinių sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

(1)  tinklų ir informacinės sistemos bei telekomunikacijų tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir yra ekonomikos augimo pamatas. Informacinėmis ir ryšių technologijomis (IRT) grindžiamos sudėtingos sistemos, kurias taikant remiama kasdienė visuomeninė veikla, užtikrinamas mūsų ekonomikos pagrindinių sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

Pakeitimas    2

Pasiūlymas dėl reglamento

2 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų kibernetinis saugumas yra nepakankamas. Šiomis aplinkybėmis dėl nepakankamo sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų ir paslaugų kibernetinį saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais;

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų kibernetinis saugumas yra nepakankamas. Šiomis aplinkybėmis dėl nepakankamo sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų, procesų ir paslaugų kibernetinį saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais. Šis siekis yra Europos Komisijos reformų darbotvarkės siekiant sukurti bendrąją skaitmeninę rinką kertinis akmuo, nes nuo IRT tinklų priklauso skaitmeniniai produktai ir paslaugos, galintys palaikyti visus mūsų gyvenimo aspektus ir skatinti Europos ekonomikos augimą. Siekiant užtikrinti, kad bendrosios skaitmeninės rinkos kūrimo tikslai būtų visiškai pasiekti, turi būti įdiegti svarbiausi technologijų elementai, kuriais gali remtis tokios svarbios sritys kaip e. sveikata, daiktų internetas, dirbtinis intelektas, kvantinė technologija, taip pat intelektinė transporto sistema ir pažangioji gamyba;

Pakeitimas    3

Pasiūlymas dėl reglamento

3 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(3)  dėl išaugusio skaitmeninimo ir ryšio padidėjo kibernetinio saugumo rizika, todėl visuomenė yra labiau pažeidžiama dėl kibernetinių grėsmių ir padidėjo gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šią riziką visuomenei būtina imtis visų reikiamų veiksmų, kad ES būtų padidintas kibernetinis saugumas ir geriau nuo kibernetinių grėsmių apsaugotos tinklų ir informacinės sistemos, telekomunikacijų tinklai ir skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, valdžios institucijos ir įmonės – nuo MVĮ iki ypatingos svarbos infrastruktūros operatorių;

(3)  dėl išaugusio skaitmeninimo ir ryšio padidėjo kibernetinio saugumo rizika, todėl visuomenė yra labiau pažeidžiama dėl kibernetinių grėsmių ir padidėjo gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šią riziką visuomenei būtina imtis visų reikiamų veiksmų, kad ES būtų padidintas kibernetinis saugumas ir geriau nuo kibernetinių grėsmių apsaugotos tinklų ir informacinės sistemos, telekomunikacijų tinklai ir skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, valdžios institucijos ir įmonės – nuo MVĮ iki ypatingos svarbos infrastruktūros operatorių. Šiuo atžvilgiu 2018 m. sausio 17 d. Komisijos paskelbtas Skaitmeninio švietimo veiksmų planas – tai žingsnis teisinga kryptimi, visų pirma visą ES apimanti informuotumo didinimo kampanija, skirta pedagogams, tėvams ir besimokantiesiems, kuria siekiama skatinti saugumą internete, kibernetinę higieną ir gebėjimą naudotis žiniasklaidos priemonėmis, o taip pat kibernetinio saugumo mokymo iniciatyva, paremta Europos skaitmeninės kompetencijos programa, kuria siekiama suteikti žmonėms galių su pasitikėjimu ir atsakingai naudotis technologijomis;

Pakeitimas    4

Pasiūlymas dėl reglamento

3 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(3a)  mano, kad ENISA tikslai ir uždaviniai turėtų būti toliau derinami su bendru komunikatu, ypač jo nuorodomis į kibernetinės higienos skatinimą ir informuotumo didinimą; pažymi, kad kibernetinio atsparumo galima pasiekti įgyvendinant esminius kibernetinės higienos principus;

Pakeitimas    5

Pasiūlymas dėl reglamento

3 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(3b)  ENISA turėtų teikti daugiau praktinės ir informacija pagrįstos paramos ES kibernetinio saugumo pramonei, visų pirma MVĮ ir startuoliams, kurie yra pagrindiniai novatoriškų sprendimų kibernetinės gynybos srityje šaltiniai, ir skatinti glaudesnį bendradarbiavimą su universitetinėmis mokslinių tyrimų organizacijomis ir stambiais veikėjais, siekiant mažinti priklausomybę nuo išorės šaltinių tiekiamų kibernetinio saugumo produktų ir sukurti strateginio tiekimo grandinę Sąjungoje;

Pakeitimas    6

Pasiūlymas dėl reglamento

4 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė ir stipresnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Mokymo poreikiai kibernetinės gynybos srityje yra dideli ir vis auga, juos veiksmingiausia patenkinti bendradarbiaujant Europos lygmeniu. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

Pakeitimas    7

Pasiūlymas dėl reglamento

5 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(5)  atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą ir koordinavimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju. Taip pat reikia dėti daugiau pastangų siekiant didinti piliečių ir įmonių informuotumą apie kibernetinio saugumo problemas. Be to, reikėtų dar labiau didinti pasitikėjimą skaitmenine bendrąja rinka teikiant skaidrią informaciją apie IRT produktų ir paslaugų saugumo lygį. To siekti galėtų padėti ES masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose;

(5)  atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą, koordinavimą ir dalijimąsi informacija. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju, kartu pabrėžiant, kad svarbu palaikyti ir toliau plėtoti nacionalinius reagavimo į bet kokio masto kibernetinius išpuolius pajėgumus. Taip pat reikia dėti papildomų pastangų siekiant koordinuoto ES atsako ir didinti piliečių ir įmonių informuotumą apie kibernetinio saugumo problemas. Be to, atsižvelgiant į tai, kad kibernetiniai incidentai mažina pasitikėjimą skaitmeninių paslaugų teikėjais ir pačia skaitmenine bendrąja rinka, ypač tarp vartotojų, reikia toliau didinti pasitikėjimą teikiant skaidrią informaciją apie IRT produktų, procesų ir paslaugų saugumo lygį, pabrėžiant, kad net ir aukštas kibernetinio saugumo sertifikavimo lygis negali garantuoti, kad IRT produktas arba paslauga bus visiškai saugūs. To siekti galėtų padėti ES masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose, taip pat skatinant skaitmeninį raštingumą. Atsižvelgiant į didėjantį daiktų interneto prietaisų prieinamumą, be Sąjungos masto sertifikavimo esama įvairių savanoriškų priemonių, kurių turėtų imtis privatusis sektorius pasitikėjimui IRT produktais, procesais ir paslaugomis didinti, pavyzdžiui, šifravimas ir blokinių grandinių technologijos. Iššūkiai, su kuriais susiduriama, turėtų būti proporcingai atspindėti Agentūrai skiriamame biudžete, siekiant užtikrinti tinkamą veikimą dabartinėmis aplinkybėmis;

Pakeitimas    8

Pasiūlymas dėl reglamento

5 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(5a)  siekiant stiprinti Europos saugumo ir kibernetinės gynybos struktūras svarbu išlaikyti it plėtoti valstybių narių pajėgumus visapusiškai atsakyti į kibernetinius išpuolius, įskaitant tarpvalstybinius incidentus, tačiau dėl koordinavimo ES lygmeniu, kurį vykdo Agentūra, neturėtų sumažėti valstybių narių pajėgumai ar jų dedamos pastangos;

Pakeitimas    9

Pasiūlymas dėl reglamento

5 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(5b)  verslo įmonės ir individualūs vartotojai turėtų turėti tikslią informaciją apie savo IRT produktų saugumo lygį. Tuo pačiu metu turi būti suprantama, kad joks produktas nėra visiškai saugus kibernetiniu požiūriu ir kad reikia populiarinti pagrindines kibernetinės higienos taisykles ir teikti joms pirmenybę;

Pakeitimas    10

Pasiūlymas dėl reglamento

7 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į kibernetinio saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą kibernetinio saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). TIS direktyva buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ypatingo svarbos ekonomikai ir visuomenei sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių). Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį;

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į kibernetinio saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą kibernetinio saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). Pagal TIS direktyvą, kurios sėkmė labai priklauso nuo veiksmingo jos įgyvendinimo valstybėse narėse, įgyvendinta bendrosios skaitmeninės rinkos strategija ir kartu su kitomis priemonėmis, pvz., Direktyva, kuria nustatomas Europos elektroninių ryšių kodeksas, Reglamentu (ES) 2016/679 ir Direktyva 2002/58/EB, nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ypatingos svarbos ekonomikai ir visuomenei sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių). Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį;

Pakeitimas    11

Pasiūlymas dėl reglamento

8 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(8)  pripažįstama, kad nuo tada, kai 2013 m. buvo priimta ES kibernetinio saugumo strategija ir paskutinį kartą buvo persvarstyti Agentūros įgaliojimai, bendros politinės aplinkybės labai pasikeitė, taip pat dėl labiau nenuspėjamos ir nesaugesnės aplinkos visame pasaulyje. Šiomis sąlygomis ir remiantis nauja Sąjungos kibernetinio saugumo politika būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisidėtų prie Sąjungos veiksmų reaguojant į kibernetinio saugumo problemas dėl radikaliai pasikeitusių grėsmių, kurioms spręsti, kaip pripažinta Agentūros vertinime, esamų įgaliojimų nepakanka;

(8)  pripažįstama, kad nuo tada, kai 2013 m. buvo priimta ES kibernetinio saugumo strategija ir paskutinį kartą buvo persvarstyti Agentūros įgaliojimai, bendros politinės aplinkybės labai pasikeitė, taip pat dėl labiau nenuspėjamos ir nesaugesnės aplinkos visame pasaulyje. Šiomis sąlygomis ir atsižvelgiant į teigiamą vaidmenį, kurį Agentūra jau daug metų atlieka telkdama specialiąsias žinias, koordinuodama veiksmus ir stiprindama pajėgumus, taip pat remiantis nauja Sąjungos kibernetinio saugumo politika būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisidėtų prie Sąjungos veiksmų reaguojant į kibernetinio saugumo problemas dėl radikaliai pasikeitusių grėsmių, kurioms spręsti, kaip pripažinta Agentūros vertinime, esamų įgaliojimų nepakanka;

Pakeitimas    12

Pasiūlymas dėl reglamento

11 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(11)  atsižvelgiant į didėjančius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje;

(11)  atsižvelgiant į didėjančias kibernetinio saugumo grėsmes ir iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje, kad ENISA galėtų veiksmingai atlikti jai pagal šį Reglamentą pavestas užduotis;

Pakeitimas    13

Pasiūlymas dėl reglamento

12 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų. Be to, Agentūra turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip Agentūra turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų, tačiau turėtų vengti veiklos dubliavimo, skatinti sinergiją ir papildomumą ir tokiu būdu užtikrinti koordinavimą ir taupyti biudžeto lėšas. Be to, Agentūra turėtų remtis privačiojo ir viešojo sektorių ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Aiškioje darbotvarkėje ir aiškiai apibrėžtų užduočių ir tikslų sąraše turėtų būti nurodyta, kaip Agentūra turi siekti savo tikslų, tačiau turėtų būti tinkamai atsižvelgiama į tai, kad jos veiklos sąlygos turi būti lanksčios. Jei įmanoma, turėtų būti išlaikytas kuo didesnis skaidrumas ir kuo aktyvesnis keitimasis informacija;

Pakeitimas    14

Pasiūlymas dėl reglamento

12 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(12a)  reikėtų nuolat vertinti ir laiku persvarstyti Agentūros vaidmenį, visų pirma jos vaidmenį koordinuojant valstybių narių ir jų nacionalinių institucijų veiksmus ir jos veikimo vieno langelio principu, teikiant paslaugas valstybėms narėms, ES organams ir institucijoms, galimybę. Taip pat turėtų būti įvertintas Agentūros vaidmuo vengiant vidaus rinkos susiskaidymo ir galimas privalomų kibernetinio saugumo sertifikavimo schemų diegimas, jei ateityje aplinkybės reikalautų tokių pokyčių, taip pat Agentūros vaidmuo vertinant trečiųjų šalių produktus, teikiamus ES rinkai, ir galimas įmonių, kurie neatitinka ES kriterijų, įtraukimas į juodąjį sąrašą;

Pakeitimas    15

Pasiūlymas dėl reglamento

12 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(12b)  kad galėtų valstybėms narėms teikti tinkamą paramą operatyvinio bendradarbiavimo srityje, ENISA turėtų toliau stiprinti savo techninius pajėgumus ir kompetenciją. Šiuo tikslu Agentūra turėtų laipsniškai stiprinti savo personalą, atsakingą už šią užduotį, kad galėtų savarankiškai rinkti ir analizuoti skirtingas įvairių rūšių kibernetinio saugumo grėsmes ir kenkimo programinę įrangą, atlikti teismo ekspertizę ir padėti valstybėms narėms reaguoti į didelio masto incidentus. Siekdama išvengti dubliavimosi su esamais valstybių narių pajėgumais, ENISA turėtų didinti savo žinias ir pajėgumus remdamasi valstybių narių turimais ištekliais, visų pirma komandiruojant nacionalinius ekspertus į Agentūrą, telkiant ekspertus, vykdant darbuotojų mainų programas ir t. t. Atrinkdama už šią sritį atsakingus darbuotojus, Agentūra turėtų palaipsniui užtikrinti, kad jie atitiktų nustatytus kriterijus ir galėtų teikti tinkamą paramą;

Pakeitimas    16

Pasiūlymas dėl reglamento

13 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(13)  Agentūra turėtų padėti Komisijai teikdama patarimus, nuomones ir analizę visais su Sąjungos kibernetinio saugumo, taip pat ypatingos svarbos infrastruktūros apsaugos ir kibernetinio atsparumo politikos ir teisės plėtojimu, atnaujinimu ir peržiūra susijusiais klausimais. Rengiant Sąjungos sektorinę politiką ir teisės aktų iniciatyvas kibernetinio saugumo klausimais Agentūra turėtų veikti kaip informacinis centras, teikdama patarimus ir ekspertines žinias;

(13)  Agentūra turėtų padėti Komisijai teikdama patarimus, nuomones ir analizę visais su Sąjungos kibernetinio saugumo, taip pat ypatingos svarbos infrastruktūros apsaugos ir kibernetinio atsparumo politikos ir teisės plėtojimu, atnaujinimu ir peržiūra susijusiais klausimais. Rengiant Sąjungos sektorinę politiką ir teisės aktų iniciatyvas kibernetinio saugumo klausimais Agentūra turėtų veikti kaip informacinis centras, teikdama patarimus ir ekspertines žinias. Ekspertinės žinios ypač reikalingos rengiant Sąjungos daugiametę darbo programą dėl Europos kibernetinio saugumo sertifikavimo schemų. Agentūra turėtų nuolat teikti Parlamentui atnaujintą informaciją, analizes ir apžvalgas kibernetinio saugumo srityje, taip pat informuoti apie jos pasikeitusias užduotis;

Pakeitimas    17

Pasiūlymas dėl reglamento

14 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(14)  pagrindinė Agentūros užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti TIS direktyvą, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omeny sparčiai kintančias grėsmes kibernetiniam saugumui, akivaizdu, kad valstybėms narėms būtina padėti laikantis platesnio, įvairias politikos sritis apimančio požiūrio į kibernetinio atsparumo didinimą;

(14)  pagrindinė Agentūros užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti TIS direktyvą, Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas, Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omeny sparčiai kintančias grėsmes kibernetiniam saugumui, akivaizdu, kad valstybėms narėms būtina padėti laikantis platesnio, įvairias politikos sritis apimančio požiūrio į kibernetinio atsparumo didinimą;

Pakeitimas    18

Pasiūlymas dėl reglamento

15 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(15)  Agentūra turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms plėtoti ir stiprinti pajėgumą ir pasirengimą užkirsti kelią tinklų ir informacijos saugumo problemoms ir incidentams, juos nustatyti ir į juos reaguoti. Visų pirma Agentūra turėtų padėti plėtoti ir stiprinti nacionalines CSIRT, siekiant užtikrinti vienodą jų brandos Sąjungoje lygį. Agentūra taip pat turėtų padėti rengti ir atnaujinti Sąjungos ir valstybių narių tinklų ir informacinių sistemų saugumo, visų pirma kibernetinio saugumo, strategijas, skatinti jų sklaidą ir stebėti jų įgyvendinimo pažangą. Be to, Agentūra turėtų organizuoti viešiesiems subjektams skirtus mokymus ir teikti mokymo medžiagą bei, prireikus, mokyti instruktorius, siekiant padėti valstybėms narėms plėtoti jų pačių mokymo pajėgumus;

(15)  Agentūra turėtų padėti valstybėms narėms ir Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms plėtoti ir stiprinti pajėgumą ir pasirengimą užkirsti kelią tinklų ir informacijos saugumo problemoms ir incidentams, juos nustatyti ir į juos reaguoti. Visų pirma Agentūra turėtų padėti plėtoti ir stiprinti nacionalines CSIRT, siekiant užtikrinti vienodą jų brandos Sąjungoje lygį. Agentūra taip pat turėtų padėti rengti ir atnaujinti Sąjungos ir valstybių narių tinklų ir informacinių sistemų saugumo, visų pirma kibernetinio saugumo, strategijas, skatinti jų sklaidą ir stebėti jų įgyvendinimo pažangą. Atsižvelgiant į tai, kad žmonių klaidos – tai vienas iš svarbiausių rizikos veiksnių kibernetiniam saugumui, Agentūra taip pat turėtų organizuoti viešiesiems subjektams skirtus mokymus ir teikti mokymo medžiagą bei kiek tik įmanoma mokyti instruktorius, siekiant padėti valstybėms narėms, Sąjungos institucijoms ir agentūroms plėtoti jų pačių mokymo pajėgumus. Agentūra taip pat turėtų veikti kaip informacijos centras valstybėms narėms ir Sąjungos institucijoms, kurios turėtų turėti galimybę paprašyti Agentūros pagalbos pagal jos kompetencijos sritį ir jai pavestas funkcijas;

Pakeitimas    19

Pasiūlymas dėl reglamento

18 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(18)  Agentūra turėtų apibendrinti ir analizuoti nacionalines CSIRT ir CERT-EU ataskaitas ir nustatyti bendras keitimosi informacija taisykles, kalbą ir terminiją. Remdamasi TIS direktyva, kuria, sukūrus CSIRT tinklą, padėtas pamatas savanoriškiems techninės informacijos mainams operatyviniu lygmeniu, Agentūra taip pat turėtų įtraukti privatųjį sektorių;

(18)  Agentūra turėtų apibendrinti ir išanalizuoti nacionalines CSIRT ir CERT-EU ataskaitas ir nustatyti bendras keitimosi informacija taisykles, kalbą ir terminiją. Remdamasi TIS direktyva, kuria, sukūrus CSIRT tinklą, padėtas pamatas savanoriškiems techninės informacijos mainams operatyviniu lygmeniu, Agentūra taip pat turėtų įtraukti privatųjį ir viešąjį sektorius;

Pakeitimas    20

Pasiūlymas dėl reglamento

19 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(19)  Agentūra turėtų padėti ES lygmeniu reaguoti į didelio masto tarpvalstybinius kibernetinio saugumo incidentus ir krizes. Vykdydama šią veiklą Agentūra turėtų rinkti svarbią informaciją ir prisiimti tarpininkės tarp CSIRT tinklo, techninės bendruomenės ir už krizių valdymą atsakingų sprendimus priimančių asmenų vaidmenį. Be to, Agentūra galėtų padėti valdyti incidentus techniniu požiūriu sudarydama palankesnes sąlygas valstybėms narėms keistis tinkamais techniniais sprendimais ir prisidėdama prie viešųjų ryšių. Agentūra turėtų palaikyti šį procesą per kasmetines kibernetinio saugumo pratybas išbandydama tokio bendradarbiavimo būdus;

(19)  Agentūra turėtų padėti ES lygmeniu reaguoti į didelio masto tarpvalstybinius kibernetinio saugumo incidentus ir krizes. Vykdydama šią veiklą Agentūra turėtų sušaukti valstybių narių valdžios institucijas ir padėti koordinuoti jų atsaką, rinkti svarbią informaciją ir prisiimti tarpininkės tarp CSIRT tinklo, techninės bendruomenės ir už krizių valdymą atsakingų sprendimus priimančių asmenų vaidmenį. Be to, Agentūra galėtų padėti valdyti incidentus techniniu požiūriu, pavyzdžiui, sudarydama palankesnes sąlygas valstybėms narėms keistis tinkamais techniniais sprendimais ir prisidėdama prie viešųjų ryšių. Agentūra turėtų palaikyti šį procesą per kasmetines kibernetinio saugumo pratybas išbandydama tokio bendradarbiavimo būdus. Agentūra turėtų paisyti valstybių narių kompetencijos kibernetinio saugumo srityje, visų pirma susijusios su visuomenės saugumu, gynyba, nacionaliniu saugumu, ir valstybės veikla baudžiamosios teisės srityse;

Pakeitimas    21

Pasiūlymas dėl reglamento

25 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(25)  valstybės narės gali paraginti incidento paveiktas įmones bendradarbiauti ir teikti reikalingą informaciją ir pagalbą Agentūrai, nepažeidžiant jų teisės apsaugoti neskelbtiną komercinę informaciją;

(25)  valstybės narės gali paraginti incidento paveiktas įmones bendradarbiauti ir teikti reikalingą informaciją ir pagalbą Agentūrai, nepažeidžiant jų teisės apsaugoti neskelbtiną komercinę informaciją ir su visuomenės saugumu susijusią informaciją;

Pakeitimas    22

Pasiūlymas dėl reglamento

26 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(26)  siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms Agentūra turi analizuoti esamą ir atsirandančią riziką. Šiuo tikslu Agentūra, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitais subjektais, turėtų rinkti reikiamą informaciją ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srities technologinių inovacijų visuomeniniu, teisiniu, ekonominiu ir reguliavimo poveikiu. Be to, Agentūra, vykdydama grėsmių ir incidentų analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, agentūroms ir įstaigoms nustatyti atsirandančias tendencijas ir išvengti su kibernetiniu saugumu susijusių problemų;

(26)  siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms Agentūra turi analizuoti esamą ir atsirandančią riziką, incidentus, grėsmes ir pažeidžiamumą. Šiuo tikslu Agentūra, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitais subjektais, turėtų rinkti reikiamą informaciją ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srities technologinių inovacijų visuomeniniu, teisiniu, ekonominiu ir reguliavimo poveikiu. Be to, Agentūra, vykdydama grėsmių, incidentų ir pažeidžiamumo analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, agentūroms ir įstaigoms nustatyti atsirandančias tendencijas ir išvengti su kibernetiniu saugumu susijusių problemų;

Pakeitimas    23

Pasiūlymas dėl reglamento

27 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(27)  kad padidintų Sąjungos atsparumą, Agentūra turėtų plėtoti mokslinę kompetenciją interneto infrastruktūros ir ypatingos svarbos infrastruktūros objektų saugumo klausimais, konsultuodama, teikdama rekomendacijas ir dalydamasi geriausia praktika. Siekdama užtikrinti lengvesnę prieigą prie geriau struktūruotos informacijos apie kibernetinio saugumo riziką ir galimas taisomąsias priemones, Agentūra turėtų sukurti ir palaikyti Sąjungos informacijos centrą – vieno langelio principu veikiantį portalą, kuriame visuomenei būtų prieinama ES ir nacionalinių institucijų, agentūrų ir įstaigų teikiama informacija apie kibernetinį saugumą;

(27)  kad padidintų Sąjungos atsparumą, Agentūra turėtų plėtoti mokslinę kompetenciją interneto infrastruktūros ir ypatingos svarbos infrastruktūros objektų saugumo klausimais, konsultuodama, teikdama rekomendacijas ir dalydamasi geriausia praktika. Siekdama užtikrinti lengvesnę prieigą prie geriau struktūruotos informacijos apie kibernetinio saugumo riziką ir galimas taisomąsias priemones, Agentūra turėtų sukurti ir palaikyti Sąjungos informacijos centrą – vieno langelio principu veikiantį portalą, kuriame visuomenei būtų prieinama ES ir nacionalinių institucijų, agentūrų ir įstaigų teikiama informacija apie kibernetinį saugumą. Paprastesnė prieiga prie geriau organizuotos informacijos apie kibernetinio saugumo riziką ir galimas jos mažinimo priemones turėtų padėti valstybėms narėms sustiprinti savo pajėgumus ir suderinti savo praktiką, taip padidinant bendrą jų atsparumą kibernetiniams išpuoliams;

Pakeitimas    24

Pasiūlymas dėl reglamento

28 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą apie riziką, susijusią su kibernetiniu saugumu, ir piliečiams bei organizacijoms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Agentūra taip pat turėtų padėti skatinti asmenis ir organizacijas taikyti geriausią patirtį ir sprendimus, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengti ataskaitas siekdama įmonėms ir piliečiams teikti rekomendacijas bei pagerinti bendrą pasirengimo ir atsparumo lygį. Agentūra, bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skatinti informuoti apie galimas grėsmes kibernetinėje erdvėje, įskaitant elektroninius nusikaltimus, kaip antai duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, taip pat skatinti teikti pagrindinę patariamojo pobūdžio informaciją apie autentiškumo patvirtinimą ir duomenų apsaugą. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą;

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą, taip pat skatinti švietimą apie riziką, susijusią su kibernetiniu saugumu, ir piliečiams, organizacijoms bei verslo įmonėms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Agentūra taip pat turėtų padėti skatinti asmenis, organizacijas ir verslo įmones taikyti geriausią kibernetinės higienos praktiką, kuri apima keletą veiksmų, kurie turėtų būti įgyvendinti ir reguliariai atliekami siekiant apsaugoti naudotojus ir verslo įmones internete, ir sprendimus, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengdama ir skelbdama ataskaitas ir gaires siekdama įmonėms ir piliečiams teikti rekomendacijas bei pagerinti bendrą pasirengimo ir atsparumo lygį. ENISA taip pat turėtų siekti suteikti vartotojams svarbią informaciją apie taikomas sertifikavimo schemas, pvz. parengdama gaires ir rekomendacijas interneto ir įprastoms prekyvietėms. Agentūra, laikydamasi skaitmeninio švietimo veiksmų plano ir bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje, skatinti skaitmeninį raštingumą ir didinti informuotumą apie galimas grėsmes kibernetinėje erdvėje, įskaitant kibernetinius nusikaltimus, kaip antai duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, taip pat skatinti teikti pagrindinę patariamojo pobūdžio informaciją apie daugiaveiksnio autentiškumo patvirtinimą, pataisas, šifravimą, anoniminimą ir duomenų apsaugą. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą ir saugų paslaugų naudojimą, populiarindama ES lygmeniu integruotąjį saugumą, integruotąją privatumo apsaugą ir informaciją apie incidentus bei jų sprendimus. Siekdama šio tikslo Agentūra turėtų kuo optimaliau panaudoti geriausią praktiką ir patirtį, visų pirma gautą iš akademinių įstaigų ir IT saugumo tyrėjų. Atsižvelgiant į tai, kad individualios klaidos ir nežinojimas apie kibernetinio saugumo riziką – tai pagrindinis kibernetinio nesaugumo veiksnys, Agentūrai reikėtų skirti tinkamus išteklius, kad ji galėtų kuo geriau atlikti šią funkciją;

Pakeitimas    25

Pasiūlymas dėl reglamento

28 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(28a)  Agentūra turėtų didinti visuomenės informuotumą apie su duomenimis susijusio sukčiavimo atvejus ir duomenų vagystes, kurie gali turėti didelį poveikį pagrindinėms asmenų teisėms, kelti grėsmę teisinei valstybei ir kelti pavojų demokratinėms visuomenėms, įskaitant demokratinius procesus valstybėse narėse;

Pakeitimas    26

Pasiūlymas dėl reglamento

30 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(30)  kad Agentūra galėtų pasiekti visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis institucijomis, agentūromis ir įstaigomis, be kita ko, CERT-EU, Europolo Europos kovos su elektroniniu nusikalstamumu centru (EC3), Europos gynybos agentūra (EGA), Europos didelės apimties IT sistemų operacijų valdymo agentūra (eu-LISA), Europos aviacijos saugos agentūra (EASA) ir kitoms su kibernetiniu saugumu susijusiomis ES agentūromis. Ji taip pat turėtų bendradarbiauti su duomenų apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausia praktika ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti kibernetinio saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti Agentūros nuolatinės suinteresuotųjų subjektų grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis tinklų ir informacijos saugumo aspektais, galinčiais turėti įtakos jų darbui, Agentūra turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais;

(30)  kad Agentūra galėtų pasiekti visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis institucijomis, ES priežiūros ir kitomis kompetentingomis institucijomis, agentūromis ir įstaigomis, be kita ko, CERT-EU, Europolo Europos kovos su elektroniniu nusikalstamumu centru (EC3), Europos gynybos agentūra (EGA), Europos GNSS agentūra (GSA), Europos elektroninių ryšių reguliuotojų institucija (BEREC), Europos

didelės apimties IT sistemų operacijų valdymo agentūra (eu-LISA), Europos Centriniu Banku (ECB), Europos bankininkystės institucija (EBI), Europos duomenų apsaugos valdyba (EDAV), Europos aviacijos saugos agentūra (EASA) ir kitomis su kibernetiniu saugumu susijusiomis ES agentūromis. Ji taip pat turėtų bendradarbiauti su Europos standartų organizacijomis (ESO), atitinkamais suinteresuotaisiais subjektais ir duomenų apsaugos institucijomis siekdama keistis praktine ir geriausia patirtimi ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti kibernetinio saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti ENISA patariamosios grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis tinklų ir informacijos saugumo aspektais, galinčiais turėti įtakos jų darbui, Agentūra turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais. Turėtų būti kuriamos partnerystės su akademinėmis įstaigomis, kurios yra parengusios mokslinių tyrimų iniciatyvų atitinkamose srityse, o vartotojų organizacijų ir kitų organizacijų teikiama informacija turėtų turėti tinkamus kanalus ir visuomet turėtų būti analizuojama;

Pakeitimas    27

Pasiūlymas dėl reglamento

31 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(31)  be visų TIS direktyvoje apibrėžtų atitinkamų CSIRT tinklo užduočių vykdymo, Agentūra, kaip narė, kuri taip pat teikia CSIRT tinklo sekretoriato paslauga, turėtų remti valstybių narių CSIRT ir CERT-EU operatyvinį bendradarbiavimą. Be to, Agentūra turėtų skatinti ir remti atitinkamų CSIRT bendradarbiavimą incidentų, išpuolių arba tinklo ar infrastruktūros, kurią valdo ar saugo CSIRT ir kurioje dalyvauja ar potencialiai dalyvautų bent dvi CERT, sutrikimų atvejais, deramai atsižvelgdama į CSIRT tinklo standartines veiklos procedūras;

(31)  be visų TIS direktyvoje apibrėžtų atitinkamų CSIRT tinklo užduočių vykdymo, Agentūra, kaip narė, kuri taip pat teikia CSIRT tinklo sekretoriato paslauga, turėtų remti valstybių narių CSIRT ir CERT-EU operatyvinį bendradarbiavimą. Be to, Agentūra turėtų skatinti ir remti atitinkamų CSIRT bendradarbiavimą incidentų, išpuolių arba tinklo ar infrastruktūros, kurią valdo ar saugo CSIRT ir kurioje dalyvauja ar potencialiai dalyvautų bent dvi CERT, sutrikimų atvejais, deramai atsižvelgdama į CSIRT tinklo standartines veiklos procedūras. Gavusi Komisijos arba valstybės narės prašymą, Agentūra gali atlikti reguliarų nepriklausomą ypatingos svarbos tarptautinės infrastruktūros objektų IT saugumo auditą, kurio tikslas – nustatyti galimą kibernetinio saugumo riziką ir pateikti rekomendacijas dėl jų atsparumo didinimo;

Pakeitimas    28

Pasiūlymas dėl reglamento

33 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(33)  kad galėtų prisidėti prie Sąjungos kibernetinio saugumo sertifikavimo politikos Agentūra turėtų toliau gerinti ir išlaikyti savo kompetenciją šiais klausimais. Agentūra turėtų skatinti kibernetinio saugumo sertifikavimo diegimą Sąjungoje, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo, siekiant didinti IRT produktų ir paslaugų kibernetinio saugumo užtikrinimo skaidrumą ir taip sustiprinti pasitikėjimą skaitmenine vidaus rinka;

(33)  kad galėtų prisidėti prie Sąjungos kibernetinio saugumo sertifikavimo politikos Agentūra turėtų toliau gerinti ir išlaikyti savo kompetenciją šiais klausimais. Agentūra turėtų pasinaudoti turima geriausia patirtimi ir skatinti kibernetinio saugumo sertifikavimo diegimą Sąjungoje, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo, siekiant didinti IRT produktų ir paslaugų kibernetinio saugumo užtikrinimo skaidrumą ir taip stiprinti pasitikėjimą skaitmenine vidaus rinka;

Pakeitimas    29

Pasiūlymas dėl reglamento

35 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(35)  Agentūra turėtų skatinti valstybes nares ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti arba pakoreguoti kibernetinio saugumo standartų neatitinkančius produktus ir paslaugas. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų saugumą, įskaitant kibernetinį saugumą;

(35)  Agentūra turėtų skatinti valstybes nares, gamintojus ir paslaugų teikėjus griežtinti savo bendruosius IRT produktų, procesų, paslaugų ir sistemų saugumo standartus – jie turėtų atitikti esminius saugumo reikalavimus pagal integruotojo ir standartizuotojo saugumo standartus – ypač teikiant reikalingus atnaujinimus, kad visi interneto naudotojai galėtų būti apsaugoti ir būtų skatinami imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti, atsiimti arba perdirbti esminių kibernetinio saugumo standartų neatitinkančius produktus ir paslaugas, o importuotojai ir platintojai turėtų užtikrinti, kad IRT produktai, procesai, paslaugos ir sistemos, kuriuos jie teikia ES rinkai, atitiktų taikomus reikalavimus ir nekeltų rizikos Europos vartotojams. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų, procesų, paslaugų ir sistemų saugumą, įskaitant kibernetinį saugumą. Agentūra turėtų bendradarbiauti su suinteresuotaisiais subjektais, siekdama išplėtoti ES masto metodą, taikoma atsakingam pažeidžiamų vietų atskleidimui, ir skatinti geriausią praktiką šioje srityje;

Pakeitimas    30

Pasiūlymas dėl reglamento

36 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(36)  Agentūra turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti patarimus Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms, ir prireikus ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srityje;

(36)  Agentūra turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti patarimus Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms, ir prireikus ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srityje. Konkrečiau, reikia pradėti bendradarbiavimą su Europos mokslinių tyrimų taryba (EMTT) ir Europos inovacijos ir technologijos institutu (EIT), o saugumo srities moksliniai tyrimai turėtų būti įtraukti į Devintąją bendrąją mokslinių tyrimų programą (BP 9) ir programą „Horizontas 2020“;

Pakeitimas    31

Pasiūlymas dėl reglamento

36 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(36a)  standartai – tai savanoriška, į rinką orientuota priemonė, kuria teikiami techniniai reikalavimai ir rekomendacijos, ir atsirandanti dėl atviro, skaidraus ir įtraukaus proceso. Agentūra turėtų reguliariai konsultuotis ir glaudžiai bendradarbiauti su standartizacijos organizacijomis, ypač kai rengiamos Europos kibernetinio saugumo sertifikavimo schemos;

Pakeitimas    32

Pasiūlymas dėl reglamento

37 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(37)  kibernetinio saugumo problemos yra pasaulinės. Būtinas glaudesnis tarptautinis bendradarbiavimas, kad būtų patobulinti saugumo standartai, įskaitant bendrų elgesio normų apibrėžimą bei informacijos mainus, spartesnio tarptautinio bendradarbiavimo skatinimą reaguojant į tinklų ir informacijos saugumo problemas ir vadovaujantis visuotiniu požiūriu į jas. Tuo tikslu Agentūra turėtų remti tolesnį Sąjungos ryšių mezgimą ir bendradarbiavimą su trečiosiomis šalimis ir tarptautinėmis organizacijomis, prireikus teikdama atitinkamoms Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms reikalingas specialiąsias žinias ir analizę;

(37)  kibernetinio saugumo problemos yra pasaulinės. Būtinas glaudesnis tarptautinis bendradarbiavimas, kad būtų patobulinti saugumo standartai, įskaitant bendrų elgesio normų apibrėžimą ir elgesio kodeksus, tarptautinių standartų taikymą bei informacijos mainus, spartesnio tarptautinio bendradarbiavimo skatinimą reaguojant į tinklų ir informacijos saugumo problemas ir vadovaujantis visuotiniu požiūriu į jas. Tuo tikslu Agentūra turėtų remti tolesnį Sąjungos ryšių mezgimą ir bendradarbiavimą su trečiosiomis šalimis ir tarptautinėmis organizacijomis, prireikus teikdama atitinkamoms Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms reikalingas specialiąsias žinias ir analizę;

Pakeitimas    33

Pasiūlymas dėl reglamento

40 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(40)  iš valstybių narių ir Komisijos atstovų sudaryta Valdančioji taryba turėtų apibrėžti bendrąją Agentūros veiklos kryptį ir užtikrinti, kad savo užduotis ji vykdytų pagal šį reglamentą. Valdančiajai tarybai turėtų būti suteikti įgaliojimai, būtini sudaryti biudžetą, tikrinti, kaip jis vykdomas, priimti reikiamas finansines taisykles, sukurti skaidrias Agentūros sprendimų priėmimo procedūras, priimti Agentūros bendrąjį programavimo dokumentą, nustatyti savo darbo tvarkos taisykles, paskirti vykdomąjį direktorių ir nuspręsti dėl vykdomojo direktoriaus kadencijos pratęsimo bei jos nutraukimo;

(40)  Valdančioji taryba, atstovaujanti valstybėms narėms, Komisijai ir suinteresuotiesiems subjektams, kurie yra susiję su Agentūros tikslais, turėtų apibrėžti bendrąją Agentūros veiklos kryptį ir užtikrinti, kad savo užduotis ji vykdytų pagal šį reglamentą. Valdančiajai tarybai turėtų būti suteikti įgaliojimai, būtini sudaryti biudžetą, tikrinti, kaip jis vykdomas, priimti reikiamas finansines taisykles, sukurti skaidrias Agentūros sprendimų priėmimo procedūras, priimti Agentūros bendrąjį programavimo dokumentą, nustatyti savo darbo tvarkos taisykles, paskirti vykdomąjį direktorių ir nuspręsti dėl vykdomojo direktoriaus kadencijos pratęsimo bei jos nutraukimo. Atsižvelgiant į labai techninį ir mokslinį Agentūros užduočių pobūdį, Valdančiosios tarybos nariai turėtų turėti atitinkamos patirties ir aukšto lygio ekspertinių žinių Agentūros kompetencijos srityje;

Pakeitimas    34

Pasiūlymas dėl reglamento

41 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(41)  kad Agentūros veikla būtų tinkama ir veiksminga, Komisija ir valstybės narės turėtų užtikrinti, kad į Valdančiąją tarybą būtų skiriami tinkamos profesinės patirties ir patirties funkcinėse srityse turintys asmenys. Komisija ir valstybės narės taip pat turėtų stengtis riboti savo atstovų Valdančiojoje taryboje kaitą, kad būtų užtikrintas jos veiklos tęstinumas;

(41)  kad Agentūros veikla būtų tinkama ir veiksminga, Komisija ir valstybės narės turėtų užtikrinti, kad į Valdančiąją tarybą būtų skiriami tinkamos profesinės patirties ir patirties funkcinėse srityse turintys asmenys. Komisija ir valstybės narės taip pat turėtų stengtis riboti savo atstovų Valdančiojoje taryboje kaitą, kad būtų užtikrintas jos veiklos tęstinumas. Atsižvelgiant į didelę Agentūros darbe reikalingų įgūdžių rinkos vertę, būtina užtikrinti, kad visiems Agentūros darbuotojams siūlomi darbo užmokesčiai ir socialinės sąlygos būtų konkurencingos ir kad Agentūroje nuspręstų dirbti geriausi specialistai;

Pagrindimas

Norėdama užtikrinti tinkamą ekspertinių žinių lygį, ENISA turi būti konkurencinga darbdavė labai konkurencingoje rinkoje.

Pakeitimas    35

Pasiūlymas dėl reglamento

42 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(42)  kad Agentūra veiktų sklandžiai, jos vykdomasis direktorius turi būti skiriamas atsižvelgiant į privalumus ir į dokumentais pagrįstus administracinio ir vadovaujamojo darbo įgūdžius bei kompetenciją, kibernetiniam saugumui svarbią patirtį ir kompetenciją, o vykdomojo direktoriaus pareigos turi būti atliekamos visiškai nepriklausomai. Pasitaręs su Komisija vykdomasis direktorius turėtų parengti Agentūros veiklos programos pasiūlymą ir imtis visų būtinų veiksmų, kad užtikrintų tinkamą Agentūros veiklos programos vykdymą. Vykdomasis direktorius turėtų parengti Valdančiajai tarybai teikiamą metinę ataskaitą, Agentūros pajamų ir išlaidų sąmatos projektą ir įgyvendinti biudžetą. Be to, vykdomajam direktoriui turėtų būti leista steigti ad hoc darbo grupes konkretiems, visų pirma moksliniams, techniniams, teisiniams ar socialiniams ir ekonominiams, klausimams spręsti. Vykdomasis direktorius turėtų užtikrinti, kad ad hoc darbo grupės nariai būtų išrinkti pagal aukščiausius dalyko žinių standartus ir atsižvelgiant į nagrinėjamus klausimus būtų subalansuotai atstovaujama valstybių narių viešojo administravimo institucijoms, Sąjungos institucijoms ir privačiajam sektoriui, įskaitant pramonę, vartotojams ir tinklų bei informacijos apsaugos mokslo ekspertams;

(42)  kad Agentūra veiktų sklandžiai, jos vykdomasis direktorius turi būti skiriamas atsižvelgiant į privalumus ir į dokumentais pagrįstus administracinio ir vadovaujamojo darbo įgūdžius bei kompetenciją, kibernetiniam saugumui svarbią patirtį ir kompetenciją, o vykdomojo direktoriaus pareigos turi būti atliekamos visiškai nepriklausomai. Pasitaręs su Komisija vykdomasis direktorius turėtų parengti Agentūros veiklos programos pasiūlymą ir imtis visų būtinų veiksmų, kad užtikrintų tinkamą Agentūros veiklos programos vykdymą. Vykdomasis direktorius turėtų parengti Valdančiajai tarybai teikiamą metinę ataskaitą, Agentūros pajamų ir išlaidų sąmatos projektą ir įgyvendinti biudžetą. Be to, vykdomajam direktoriui turėtų būti leista steigti ad hoc darbo grupes konkretiems, visų pirma moksliniams, techniniams, teisiniams ar socialiniams ir ekonominiams, klausimams spręsti. Vykdomasis direktorius turėtų užtikrinti, kad ad hoc darbo grupės nariai būtų išrinkti pagal aukščiausius dalyko žinių standartus ir atsižvelgiant į nagrinėjamus klausimus būtų subalansuotai ir užtikrinant lyčių pusiausvyrą atstovaujama valstybių narių viešojo administravimo institucijoms, Sąjungos institucijoms ir privačiajam sektoriui, įskaitant pramonę, vartotojams ir tinklų bei informacijos apsaugos mokslo ekspertams;

Pakeitimas    36

Pasiūlymas dėl reglamento

44 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė suinteresuotųjų subjektų grupė pagrindinį dėmesį turėtų skirti suinteresuotiesiems subjektams svarbiems klausimams ir į tuos klausimus atkreipti Agentūros dėmesį. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą Agentūros veikloje;

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis, akademinės bendruomenės atstovais ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė ENISA patariamoji grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė ENISA patariamoji grupė pagrindinį dėmesį turėtų skirti klausimams, kurie svarbūs suinteresuotiesiems subjektams, ir į tuos klausimus atkreipti Agentūros dėmesį. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą Agentūros veikloje. Atsižvelgdama į sertifikavimo reikalavimų svarbą siekiant užtikrinti pasitikėjimą daiktų internetu, Komisija specialiai apsvarstys įgyvendinimo priemones, kuriomis bus užtikrintas visos ES daiktų interneto įrenginių saugumo standartų suderinimas;

Pakeitimas    37

Pasiūlymas dėl reglamento

44 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(44a)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis, akademinės bendruomenės atstovais ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų sertifikavimo grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus įsteigtą suinteresuotųjų šalių sertifikavimo grupę turėtų sudaryti bendras patariamasis komitetas, kuris teiktų rekomendacijas dėl IRT produktų ir paslaugų, kurie turėtų būti įtraukti į būsimas Europos IT saugumo sertifikavimo sistemas, ir ad hoc komitetai, kurie teiktų rekomendacijas dėl prašomų potencialių Europos kibernetinio saugumo sistemų siūlymo, plėtojimo ir priėmimo;

Pakeitimas    38

Pasiūlymas dėl reglamento

46 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(46)  siekiant užtikrinti visišką Agentūros autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, Agentūrai turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir Agentūros veikloje dalyvaujančių trečiųjų šalių įnašai. Dauguma Agentūros darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant Agentūros įgaliojimus. Agentūrą priimančiajai valstybei narei arba bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie Agentūros pajamų. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti Agentūros apskaitos auditą, kad būtų užtikrintas skaidrumas ir atskaitomybė;

(46)  siekiant užtikrinti visišką Agentūros autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, Agentūrai turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir Agentūros veikloje dalyvaujančių trečiųjų šalių įnašai. Tinkamas biudžetas yra itin svarbus siekiant užtikrinti, kad Agentūra turėtų pakankamai pajėgumų savo vis didėjančioms užduotims atlikti ir tikslams įvykdyti. Dauguma Agentūros darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant Agentūros įgaliojimus. Agentūrą priimančiajai valstybei narei arba bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie Agentūros pajamų. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti Agentūros sąskaitų auditą, kad būtų užtikrintas skaidrumas, atskaitomybė ir išlaidų efektyvumas;

Pakeitimas    39

Pasiūlymas dėl reglamento

47 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(47)  atitikties vertinimas – procesas, kuriuo nustatoma, ar produktas, procesas, paslauga, sistema, asmuo arba įstaiga atitinka jiems nustatytus reikalavimus. Šiame reglamente laikytina, jog sertifikavimas yra nepriklausomos trečiosios šalies, išskyrus produkto gamintoją ar paslaugos teikėją, atliekamas produkto, proceso, paslaugos, sistemos arba jų derinio (IRT produktų ir paslaugų) kibernetinio saugumo savybių atitikties vertinimas. Pats sertifikavimas savaime negali užtikrinti, kad IRT produktai ir paslaugos kibernetiniu požiūriu yra saugūs. Tai greičiau procedūra ir techninė metodika, kuriomis patvirtinama, kad IRT produktai ir paslaugos buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus;

(47)  atitikties vertinimas – procesas, kuriuo nustatoma, ar produktas, procesas, paslauga, sistema, asmuo arba įstaiga atitinka jiems nustatytus reikalavimus. Šiame reglamente laikytina, jog sertifikavimas yra nepriklausomos trečiosios šalies arba, jeigu leidžiama, paties produkto gamintojo ar paslaugos teikėjo atliekamas produkto, proceso, paslaugos, sistemos arba jų derinio (IRT produktų ir paslaugų) kibernetinio saugumo savybių atitikties vertinimas. Savarankišką vertinimą gali atlikti gamintojas, MVĮ arba paslaugos teikėjas, kaip numatyta šiame reglamente ir, jei taikoma, kaip numatyta naujoje teisės aktų sistemoje ir jos laikantis. Be to, produkto gamintojas arba operatorius gali savarankiškai atlikti vertinimą tais atvejais, kai kibernetinio incidento atsitikimo tikimybė ir (arba) tikimybė, kad toks incidentas padarytų didelę žalą visuomenei arba didelei visuomenes daliai, yra nedidelė arba nereikšminga, atsižvelgiant į gamintojo arba paslaugų teikėjo numatytą atitinkamo produkto arba paslaugos naudojimą. Pats sertifikavimas savaime negali užtikrinti, kad įvertinti IRT produktai, procesai ir paslaugos kibernetiniu požiūriu yra saugūs, ir apie tai turi būti tinkamai pranešama vartotojams ir verslo įmonėms. Veikiau tai yra procedūra ir techninė metodika, kuriomis patvirtinama, kad IRT produktai, procesai ir paslaugos buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus. Tie techniniai standartai apima nurodymą, ar IRT produktas, procesas ir paslauga gali atlikti savo įprastines funkcijas tuo metu, kai jie atjungti nuo interneto;

Pakeitimas    40

Pasiūlymas dėl reglamento

48 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(48)  kibernetinio saugumo sertifikavimas yra labai svarbus didinant pasitikėjimą IRT produktais ir paslaugomis bei jų saugumą. Bendroji skaitmeninė rinka, visų pirma duomenų ekonomika ir daiktų internetas, ir gali klestėti tik jei visuomenė tikės, jog tokie produktai ir paslaugos užtikrina tam tikro lygio kibernetinį saugumą. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizacijos valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba gali būti naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus TIS direktyva reglamentuojamiems sektoriams;

(48)  Europos kibernetinio saugumo sertifikavimas yra ypač svarbus didinant pasitikėjimą IRT produktais, procesais ir paslaugomis bei jų saugumą. Bendroji skaitmeninė rinka, visų pirma duomenų ekonomika ir daiktų internetas, ir gali klestėti tik jei visuomenė tikės, jog tokie produktai ir paslaugos užtikrina aukšto lygio kibernetinį saugumą. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizacijos valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba gali būti naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus TIS direktyva reglamentuojamiems sektoriams;

Pakeitimas    41

Pasiūlymas dėl reglamento

49 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(49)  2016 m. komunikate „Europos kibernetinio atsparumo sistemos stiprinimas ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimas“ Komisija nurodė kokybiškų, įperkamų ir sąveikių kibernetinio saugumo produktų ir sprendimų poreikį. IRT produktų tiekimas ir paslaugų teikimas bendrojoje rinkoje geografine prasme tebėra labai nevienodai išplėtotas. Taip yra dėl to, kad kibernetinio saugumo sektorius Europoje daugiausia vystėsi grindžiamas nacionalinės valdžios poreikiu. Kiti bendrąją kibernetinio saugumo rinką neigiamai veikiantys trūkumai, be kita ko, yra sąveikių sprendimų (techninių standartų), metodų ir ES masto sertifikavimo mechanizmų stoka. Viena vertus, tai apsunkina Europos įmonių galimybes konkuruoti nacionaliniu, Europos ir pasauliniu lygmenimis. Kita vertus, tai mažina perspektyvių ir tinkamų fiziniams asmenims bei įmonėms prieinamų kibernetinio saugumo technologijų pasirinkimo galimybes. Be to, Bendrosios skaitmeninės rinkos strategijos įgyvendinimo laikotarpio vidurio peržiūroje Komisija pabrėžė būtinybę turėti saugių susietųjų produktų ir sistemų ir nurodė, kad sukūrus Europos IRT saugumo sistemą, kurioje būtų nustatytos taisyklės, kaip Sąjungoje organizuoti IRT saugumo sertifikavimą, būtų galima išsaugoti pasitikėjimą internetu ir spręsti dabartinio kibernetinio saugumo rinkos susiskaidymo problemą;

(49)  2016 m. komunikate „Europos kibernetinio atsparumo sistemos stiprinimas ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimas“ Komisija nurodė kokybiškų, įperkamų ir sąveikių kibernetinio saugumo produktų ir sprendimų poreikį. IRT produktų, procesų ir paslaugų teikimas bendrojoje rinkoje geografine prasme tebėra labai nevienodai išplėtotas. Taip yra dėl to, kad kibernetinio saugumo sektorius Europoje daugiausia vystėsi grindžiamas nacionalinės valdžios poreikiu. Kiti bendrąją kibernetinio saugumo rinką neigiamai veikiantys trūkumai, be kita ko, yra sąveikių sprendimų (techninių standartų), metodų ir ES masto sertifikavimo mechanizmų stoka. Viena vertus, tai apsunkina Europos įmonių galimybes konkuruoti nacionaliniu, Europos ir pasauliniu lygmenimis. Kita vertus, tai mažina perspektyvių ir tinkamų fiziniams asmenims bei įmonėms prieinamų kibernetinio saugumo technologijų pasirinkimo galimybes. Be to, Bendrosios skaitmeninės rinkos strategijos įgyvendinimo laikotarpio vidurio peržiūroje Komisija pabrėžė būtinybę turėti saugių susietųjų produktų ir sistemų ir nurodė, kad sukūrus Europos IRT saugumo sistemą, kurioje būtų nustatytos taisyklės, kaip Sąjungoje organizuoti IRT saugumo sertifikavimą, būtų galima išsaugoti pasitikėjimą internetu ir spręsti dabartinio kibernetinio saugumo rinkos susiskaidymo problemą;

Pakeitimas    42

Pasiūlymas dėl reglamento

50 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(50)  šiuo metu IRT produktų ir paslaugų kibernetinio saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės kibernetinio saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu;

(50)  šiuo metu IRT produktų, procesų ir paslaugų kibernetinio saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės kibernetinio saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus, procesus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose, o tai didina jų išlaidas. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, rizika pagrįsto saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu; Šiuo atžvilgiu labai svarbus yra valstybių narių tarpusavio pripažinimas ir abipusis pasitikėjimas. ENISA turi atlikti svarbų vaidmenį padėdama valstybėms narėms sukurti tvirtą institucinę struktūrą ir kaupti ekspertines žinias siekiant apsisaugoti nuo galimų kibernetinių išpuolių; Siekiant užtikrinti, kad paslaugoms, procesams ir produktams būtų taikomos atitinkamos sertifikavimo schemos, reikia taikyti individualų požiūrį. Be to, siekiant veiksmingai nustatyti ir mažinti riziką, reikia taikyti rizika grindžiamą požiūrį, kartu pripažįstant, kad taikyti vieną schemą visiems atvejams neįmanoma;

Pakeitimas    43

Pasiūlymas dėl reglamento

52 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(52)  atsižvelgiant į tai, kas išdėstyta pirmiau, būtina sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų ir paslaugų sertifikatus pripažinti ir taikyti visose valstybėse narėse. Europine sistema turėtų būti siekiama dvejopo tikslo. Viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais ir paslaugomis, kurie buvo sertifikuoti pagal tas schemas. Kita vertus, ji turėtų padėti išvengti vienas kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų daugėjimo ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Šios schemos turėtų būti nediskriminacinės ir pagrįstos tarptautiniais ir (arba) Sąjungos standartais, išskyrus atvejus, kai tie standartai yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities ES tikslus;

(52)  atsižvelgiant į tai, kas išdėstyta pirmiau, būtina priimti bendrą požiūrį ir sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų ir paslaugų sertifikatus pripažinti ir taikyti visose valstybėse narėse. Tokiu atveju labai svarbu remtis esamomis nacionalinėmis ir tarptautinėmis schemomis, taip pat abipusio pripažinimo sistemomis, ypač SOG-IS, ir sudaryti sąlygas sklandžiam perėjimui nuo esamų schemų pagal tokias sistemas prie schemų pagal naująją Europos sistemą. Europine sistema turėtų būti siekiama dvejopo tikslo. Viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais, procesais ir paslaugomis, kurie buvo sertifikuoti pagal tas schemas. Kita vertus, ji turėtų padėti išvengti vienas kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų daugėjimo ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Kai Europos kibernetinio saugumo sertifikatas pakeičia nacionalinę schemą, pagal Europos schemą išduodami sertifikatai turėtų būti pripažįstami galiojančiais tais atvejais, kai buvo reikalingas sertifikavimas pagal nacionalinę schemą. Šios schemos turėtų būti grindžiamos integruotojo saugumo principu ir Reglamente (ES) 2016/679 nurodytais principais. Jos taip pat turėtų būti nediskriminacinės ir pagrįstos tarptautiniais ir (arba) Sąjungos standartais, išskyrus atvejus, kai tie standartai yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities ES tikslus;

Pakeitimas    44

Pasiūlymas dėl reglamento

52 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(52a)  siekiant išvengti palankesnio ES sertifikatų išdavimo sąlygų ieškojimo praktikos, kuri taikoma dėl skirtingų kainų arba skirtingo reikalavimų lygmens valstybėse narėse, ši Europos kibernetinio saugumo sertifikavimo sistema turi būti diegiama vienodai visose valstybėse narėse;

Pakeitimas    45

Pasiūlymas dėl reglamento

52 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(52b)  pažymi, kad sertifikavimo schemos turėtų būti paremtos tuo, kas jau veikia nacionaliniu ir tarptautiniu lygmeniu, pasimokant iš dabartinių stipriųjų pusių ir vertinant bei koreguojant silpnąsias;

Pakeitimas    46

Pasiūlymas dėl reglamento

52 c konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(52c)  lankstūs kibernetinio saugumo sprendimai reikalingi tam, kad pramonė būtų žingsniu priekyje kalbant apie piktavališkus išpuolius ir grėsmes, todėl bet kokia sertifikavimo schema turėtų vengti rizikos, kad ji greitai pasens;

Pakeitimas    47

Pasiūlymas dėl reglamento

53 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(53)  Komisija turėtų būti įgaliota tvirtinti konkrečioms IRT produktų ir paslaugų grupėms taikomas Europos kibernetinio saugumo sertifikavimo schemas. Įgyvendinti ir prižiūrėti šias schemas turėtų nacionalinės sertifikavimo priežiūros institucijos, o pagal šias schemas išduoti sertifikatai turėtų galioti ir būti pripažįstami visoje Sąjungoje. Šis reglamentas neturėtų būti taikomas pramonės ar kitų privačių organizacijų naudojamoms sertifikavimo schemoms. Tačiau tokias schemas naudojantys subjektai gali siūlyti Komisijai jų pagrindu patvirtinti europinę schemą;

(53)  Komisija turėtų būti įgaliota tvirtinti konkrečioms IRT produktų, procesų ir paslaugų grupėms taikomas Europos kibernetinio saugumo sertifikavimo schemas. Įgyvendinti ir prižiūrėti šias schemas turėtų nacionalinės sertifikavimo priežiūros institucijos, o pagal šias schemas išduoti sertifikatai turėtų galioti ir būti pripažįstami visoje Sąjungoje. Šis reglamentas neturėtų būti taikomas pramonės ar kitų privačių organizacijų naudojamoms sertifikavimo schemoms. Tačiau tokias schemas naudojantys subjektai gali siūlyti Komisijai jų pagrindu patvirtinti europinę schemą. Agentūra turėtų nustatyti ir įvertinti pramonės arba privačių organizacijų jau naudojamas schemas, kad galėtų atrinkti geriausios praktikos pavyzdžius ir perkelti juos į Europos schemą. Pramonės veikėjai gali iki sertifikavimo atlikti savarankišką savo produktų ar paslaugų vertinimą, nurodydami, kad gali prasidėti jų produkto ar paslaugos sertifikavimo procesas, jei būtina ar reikalaujama;

Pakeitimas    48

Pasiūlymas dėl reglamento

53 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(53a)  Agentūra ir Komisija turėtų kuo geriau panaudoti sertifikavimo schemas, jau taikomas ES ir (arba) tarptautiniu lygmeniu. ENISA turėtų gebėti įvertinti, kurios iš jau naudojamų schemų atitinka paskirtį ir galėtų būti perimtos į Europos teisės aktus bendradarbiaujant su ES standartizavimo organizacijomis ir, kiek įmanoma, pripažintos tarptautiniu lygmeniu. Esamos gerosios praktikos pavyzdžiai turėtų būti renkami ir jais turėtų būti dalinamasi tarp valstybių narių;

Pakeitimas    49

Pasiūlymas dėl reglamento

54 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(54)  šio reglamento nuostatomis neturėtų būti daromas poveikis Sąjungos teisės aktams, kuriais nustatomos specialios IRT produktų ir paslaugų sertifikavimo taisyklės. Visų pirma Bendrajame duomenų apsaugos reglamente išdėstomos nuostatos dėl sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų nustatymo, siekiant įrodyti duomenų valdytojų ir tvarkytojų vykdomų tvarkymo operacijų atitiktį to reglamento nuostatoms. Tokie sertifikavimo mechanizmai ir duomenų apsaugos ženklai ir žymenys turėtų sudaryti sąlygas duomenų subjektams greitai įvertinti atitinkamų produktų ir paslaugų duomenų apsaugos lygį. Šiuo reglamentu nedaromas poveikis duomenų tvarkymo operacijų sertifikavimui, taip pat kai tokios operacijos pagal Bendrąjį duomenų apsaugos reglamentą susietos su produktais ir paslaugomis;

(54)  šio reglamento nuostatomis neturėtų būti daromas poveikis Sąjungos teisės aktams, kuriais nustatomos specialios IRT produktų, procesų ir paslaugų sertifikavimo taisyklės. Visų pirma Bendrajame duomenų apsaugos reglamente išdėstomos nuostatos dėl sertifikavimo mechanizmų ir duomenų apsaugos ženklų bei žymenų nustatymo, siekiant įrodyti duomenų valdytojų ir tvarkytojų vykdomų tvarkymo operacijų atitiktį to reglamento nuostatoms. Tokie sertifikavimo mechanizmai ir duomenų apsaugos ženklai ir žymenys turėtų sudaryti sąlygas duomenų subjektams greitai įvertinti atitinkamų produktų ir paslaugų duomenų apsaugos lygį. Šiuo reglamentu nedaromas poveikis duomenų tvarkymo operacijų sertifikavimui, taip pat ir tais atvejais, kai tokios operacijos pagal Bendrąjį duomenų apsaugos reglamentą susietos su produktais ir paslaugomis;

Pakeitimas    50

Pasiūlymas dėl reglamento

55 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(55)  Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti užtikrinti, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitiktų nustatytus reikalavimus. Tokie reikalavimai pagal šį reglamentą yra susiję su pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams ir paslaugoms keliamų kibernetinio saugumo reikalavimų. IRT produktai ir paslaugos bei susiję kibernetinio saugumo poreikiai yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai bus pasiekti sertifikuojant konkrečius IRT produktus ir paslaugas, turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas;

(55)  Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti užtikrinti, kad pagal tokią schemą sertifikuoti IRT produktai, procesai ir paslaugos atitiktų nustatytus reikalavimus. Tokie reikalavimai pagal šį reglamentą yra susiję su pajėgumu tam tikru rizikos lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams, paslaugoms ir procesams keliamų kibernetinio saugumo reikalavimų. IRT produktai, paslaugos ir procesai bei susiję kibernetinio saugumo poreikiai yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai bus pasiekti sertifikuojant konkrečius IRT produktus, paslaugas ir procesus turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas. Visus tam tikros vertės kūrimo grandinės dalyvius reikėtų skatinti parengti ir patvirtinti saugumo standartus, technines normas ir integruotojo saugumo principus visais produkto, paslaugos ar proceso gyvavimo ciklo etapais; visos Europos kibernetinio saugumo sertifikavimo schemos turėtų būti kuriamos siekiant šio tikslo;

Pakeitimas    51

Pasiūlymas dėl reglamento

56 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(56)  Komisijai turėtų būti suteikti įgaliojimai prašyti ENISA parengti konkretiems IRT produktams ir paslaugoms taikomas potencialias schemas. Tada Komisija turėtų būti įgaliota agentūros ENISA pasiūlytos potencialios schemos pagrindu patvirtinti Europos kibernetinio saugumo sertifikavimo schemą priimdama įgyvendinimo aktą. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, Komisijos patvirtintose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Jie, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat sertifikuojamų IRT produktų ir paslaugų kategorijas, išsamius kibernetinio saugumo reikalavimus, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus bei numatomą saugumo užtikrinimo lygį, kuris gali būti bazinis, pakankamas ir (arba) aukštas;

(56)  Komisijai turėtų būti suteikti įgaliojimai prašyti ENISA parengti konkretiems IRT produktams, procesams ir paslaugoms taikomas potencialias schemas dėl tinkamai pagrįstų priežasčių (t. y. vidaus rinką skaidančios esamos nacionalinio kibernetinio sertifikavimo schemos; esamas arba numatomas poreikis paremti Sąjungos teisės aktus arba gauta valstybių narių sertifikavimo grupės arba suinteresuotųjų subjektų grupės nuomonė). Įvertinusi agentūros ENISA remiantis Komisijos prašymu pasiūlytas potencialias sertifikavimo schemas, Komisija turėtų būti įgaliota patvirtinti Europos kibernetinio saugumo sertifikavimo schemas deleguotaisiais aktais. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, tose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Jie, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat sertifikuojamų IRT produktų ir paslaugų kategorijas, išsamius kibernetinio saugumo reikalavimus, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus bei numatomą saugumo užtikrinimo lygį, kuris gali būti bazinis, pakankamas ir (arba) aukštas;

Pakeitimas    52

Pasiūlymas dėl reglamento

56 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56a)  Agentūra turėtų būti informacijos apie Europos kibernetinio saugumo schemas centras. Ji turėtų administruoti interneto svetainę, kurioje būtų visa svarbi informacija, įskaitant informaciją apie atšauktus ir nebegaliojančius sertifikatus ir atitinkamus nacionalinius sertifikatus. Agentūra turėtų užtikrinti, kad atitinkama jos interneto svetainės turinio dalis būtų suprantama paprastiems vartotojams;

Pakeitimas    53

Pasiūlymas dėl reglamento

56 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56b)  sertifikatų saugumo užtikrinimo lygiai yra būtini, kad galutiniam naudotojui būtų nurodytas tikėtina kibernetinių grėsmių, kurioms to produkto, proceso arba paslaugos kibernetinio saugumo priemonės numato užkirsti kelią, rūšis. Kibernetinės grėsmės turi būti apibrėžtos atsižvelgiant į numatomą riziką ir išpuolio autoriaus ar autorių gebėjimus, susijusius su sertifikate nurodyto IRT produkto, proceso ar paslaugos numatomu naudojimu. Bazinis saugumo užtikrinimo lygis nurodo, kad išpuolių gali būti išvengta taikant bazines kibernetinio saugumo priemones ir tai gali būti lengvai patikrinta peržiūrint techninius dokumentus. Pakankamas saugumo užtikrinimo lygis nurodo gebėjimą išvengti žinomų rūšių išpuolių, kuriuos vykdo tam tikrą sudėtingumo lygį pasiekę, bet ribotus išteklius turintys užpuolikai. Aukštas saugumo užtikrinimo lygis nurodo gebėjimą išvengti nežinomų pažeidžiamumo atvejų ir sudėtingų išpuolių naudojant pažangiausius metodus ir didelius išteklius, pavyzdžiui, finansuojamas tarpdisciplinines komandas;

Pakeitimas    54

Pasiūlymas dėl reglamento

56 c konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56c)  siekiant išvengti vidaus rinkos susiskaidymo, susijusio su nacionalinėmis kibernetinio saugumo schemomis, remti būsimus teisės aktus ir didinti pasitikėjimą bei saugumą, Komisijai pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį turėtų būti suteikti įgaliojimai priimti aktus, kuriais nustatomos Europos kibernetinio saugumo sertifikavimo, tęstinės programos patvirtinimo ir Europos sertifikavimo sistemų patvirtinimo prioritetai; Itin svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, be kita ko, su ekspertais, ir kad tos konsultacijos vyktų vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros nustatytais principais. Visų pirma siekiant užtikrinti vienodas galimybes dalyvauti rengiant deleguotuosius aktus, Europos Parlamentas ir Taryba visus dokumentus gauna tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

Pakeitimas    55

Pasiūlymas dėl reglamento

56 d konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56d)  iš vertinimo metodų ir vertinimo procedūrų, susijusių su kiekviena Europos kibernetinio saugumo sertifikavimo schema, Sąjungos lygmeniu turėtų būti skatinamas etiško įsilaužimo metodas, kurio tikslas – nustatyti prietaisų ir informacinių sistemų silpnąsias vietas bei spragas, iš anksto numatant piktavališkų įsilaužėlių ketinimus ir įgūdžius;

Pakeitimas    56

Pasiūlymas dėl reglamento

57 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(57)  Europos kibernetinio saugumo sertifikavimas turėtų likti savanoriškas, išskyrus atvejus, kai Sąjungos ar nacionalinės teisės aktuose numatyta kitaip. Tačiau, siekiant įgyvendinti šio reglamento tikslus ir išvengti vidaus rinkos susiskaidymo, nacionalinės kibernetinio saugumo sertifikavimo schemos arba procedūros, taikomos IRT produktams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, turėtų nustoti galioti nuo įgyvendinimo aktu Komisijos nustatytos datos. Be to, valstybės narės neturėtų nustatyti naujų nacionalinių kibernetinio saugumo sertifikavimo schemų, skirtų IRT produktams ir paslaugoms, kuriems jau taikoma esama Europos kibernetinio saugumo sertifikavimo schema;

(57)  Europos kibernetinio saugumo sertifikavimas turėtų likti savanoriškas, išskyrus atvejus, kai Sąjungos ar nacionalinės teisės aktuose numatyta kitaip. Tačiau, siekiant įgyvendinti šio reglamento tikslus ir išvengti vidaus rinkos susiskaidymo, nacionalinės kibernetinio saugumo sertifikavimo schemos arba procedūros, taikomos IRT produktams, procesams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, turėtų nustoti galioti nuo deleguotuoju aktu Komisijos nustatytos datos. Be to, valstybės narės neturėtų nustatyti naujų nacionalinių kibernetinio saugumo sertifikavimo schemų, skirtų IRT produktams ir paslaugoms, kuriems jau taikoma esama Europos kibernetinio saugumo sertifikavimo schema. Tačiau, šis reglamentas neturėtų daryti poveikio nacionalinėms schemoms, skirtoms IRT produktams ir paslaugoms, naudojamiems valstybių narių suverenių sričių poreikiams, kurias suvereniai valdo valstybės narės;

Pakeitimas    57

Pasiūlymas dėl reglamento

57 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(57a)  prievolė pateikti produkto deklaraciją, apimančią struktūrizuotą su produkto, proceso ar paslaugos sertifikavimu susijusią informaciją, nustatoma siekiant suteikti vartotojui daugiau informacijos ir leisti jam priimti tinkamai pagrįstą sprendimą;

Pakeitimas    58

Pasiūlymas dėl reglamento

57 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(57b)  siūlydamos naujas Europos kibernetinio saugumo schemas ENISA ir kitos atitinkamos įstaigos turėtų atkreipti tinkamą dėmesį į pasiūlymo poveikį konkurencijai, visų pirma užtikrinant, kad, kai atitinkamame sektoriuje veikia daug mažųjų ir vidutinių įmonių, pvz., programinės įrangos kūrimo srityje, sertifikavimo schemos nesudarytų naujoms verslo įmonėms arba inovacijoms kliūčių patekti į rinką;

Pakeitimas    59

Pasiūlymas dėl reglamento

57 c konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(57c)  Europos kibernetinio saugumo schemos padės suderinti ir suvienodinti kibernetinio saugumo praktikas ES viduje. Tačiau jos neturėtų tapti minimaliu kibernetinio saugumo lygiu. Rengiant Europos kibernetinio saugumo schemas turėtų taip pat būti atsižvelgiama į naujas inovacijas kibernetinio saugumo srityje ir sudarytos sąlygos joms kurti;

Pakeitimas    60

Pasiūlymas dėl reglamento

58 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(58)  patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT paslaugų teikėjai turėtų turėti galimybę teikti prašymą savo pasirinkai atitikties vertinimo įstaigai savo produktams arba paslaugoms sertifikuoti. Tam tikrus šiame reglamente nustatytus reikalavimus atitinkančias atitikties vertinimo įstaigas turėtų akredituoti akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau vykdo reikalavimus. Akreditacijos įstaigos turėtų panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu veiksmais, kurių imasi atitikties vertinimo įstaiga, pažeidžiamas šis reglamentas;

(58)  patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT procesų ar paslaugų teikėjai turėtų turėti galimybę teikti prašymą savo pasirinktai atitikties vertinimo įstaigai savo produktams arba paslaugoms sertifikuoti bet kur Sąjungoje. Tam tikrus šiame reglamente nustatytus reikalavimus atitinkančias atitikties vertinimo įstaigas turėtų akredituoti akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau vykdo reikalavimus. Akreditacijos įstaigos turėtų panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu veiksmais, kurių imasi atitikties vertinimo įstaiga, pažeidžiamas šis reglamentas. Turėtų būti atliekamas Agentūros auditas siekiant užtikrinti tinkamą atitikties vertinimo įstaigų kokybės lygį ir deramą stropumą, kad būtų išvengta reguliacinio arbitražo. Apie rezultatus turėtų būti pranešama Agentūrai, Komisijai ir Parlamentui ir jie turėtų būti skelbiami viešai;

Pakeitimas    61

Pasiūlymas dėl reglamento

58 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(58a)  Europos kibernetinio saugumo sertifikavimas turėtų būti privalomas tik tais atvejais, kai pagal rizikos analizę pateisinamos išlaidos, kurias dėl jo patiria pramonė, piliečiai ir vartotojai. esminių paslaugų teikimą trikdantys incidentai gali neleisti vykdyti ekonominės veiklos, sukelti didelių finansinių nuostolių, pakirsti naudotojų pasitikėjimą ir padaryti didelę žalą Sąjungos ekonomikai. esminių paslaugų operatoriai turėtų privalomai taikyti Europos kibernetinio saugumo sertifikavimą tik tiems elementams, kurie yra itin svarbūs jų veikimui, jis neturėtų apimti bendrosios paskirties produktų, procesų ir paslaugų, dėl kurių kiltų nepagrįstų išlaidų pramonei ir vartotojams. Komisija kartu su pagal Direktyvos (ES) 2016/1148 11 straipsnį įsteigta Bendradarbiavimo grupe turėtų parengti produktų, procesų ir paslaugų, kurie yra konkrečiai skirti naudoti esminių paslaugų operatoriams ir kurių netinkamas veikimas įvykus incidentui galėtų turėti didelį trikdomąjį poveikį esminei paslaugai, kategorijų sąrašą. Tas sąrašas turėtų būti sudaromas palaipsniui ir prireikus atnaujinamas. Esminių paslaugų teikėjams turėtų būti privalomas tik į tą sąrašą įtrauktų produktų, procesų ir paslaugų sertifikavimas;

Pakeitimas    62

Pasiūlymas dėl reglamento

58 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(58b)  nacionalinės teisės aktuose daromos kryžminės nuorodos į nacionalinį standartą, kuris nebeturi teisinio poveikio dėl to, kad įsigaliojo Europos sertifikavimo schema, gali kelti painiavą gamintojams ir galutiniams naudotojams. Siekiant neleisti, kad gamintojai toliau įgyvendintų jau nebegaliojančias nacionalinius sertifikatus atitinkančias specifikacijas, valstybės narės, laikydamosi savo įsipareigojimų pagal Sutartis, turėtų pritaikyti savo nacionalinės teisės aktus prie priimtos Europos sertifikavimo schemos;

Pakeitimas    63

Pasiūlymas dėl reglamento

59 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(59)  būtina reikalauti, kad visos valstybės narės paskirtų po vieną kibernetinio saugumo sertifikavimo priežiūros instituciją prižiūrėti atitikties įvertinimo įstaigų ir jų teritorijoje įsisteigusių atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šio reglamento ir atitinkamų kibernetinio saugumo sertifikavimo schemų reikalavimams. Nacionalinės sertifikavimo priežiūros institucijos turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, tirti, kiek tinkama, skundo dalyką ir per pagrįstą laikotarpį informuoti skundo teikėją apie tyrimo eigą ir rezultatus. Be to, jos turėtų bendradarbiauti su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių kibernetinio saugumo schemų reikalavimams;

(59)  būtina reikalauti, kad visos valstybės narės paskirtų po vieną kibernetinio saugumo sertifikavimo priežiūros instituciją prižiūrėti atitikties įvertinimo įstaigų ir jų teritorijoje įsisteigusių atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šio reglamento ir atitinkamų kibernetinio saugumo sertifikavimo schemų reikalavimams, ir užtikrinti, kad Europos kibernetinio saugumo sertifikatai būtų pripažįstami jų teritorijoje. Nacionalinės sertifikavimo priežiūros institucijos turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, arba susijusius su atvejais, kai jų teritorijoje tariamai nepavyko pripažinti sertifikatų, tirti, kiek tinkama, skundo dalyką ir per pagrįstą laikotarpį informuoti skundo teikėją apie tyrimo eigą ir rezultatus. Be to, jos turėtų bendradarbiauti su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų, procesų ir paslaugų neatitiktį šio reglamento arba konkrečių kibernetinio saugumo schemų reikalavimams, arba apie Europos kibernetinio saugumo sertifikatų nepripažinimą; Be to, jos turėtų prižiūrėti ir tikrinti atitikties savideklaracijų atitiktį ir tai, ar Europos atitikties vertinimo įstaigos išdavė Europos kibernetinio saugumo pažymėjimus pagal šiame reglamente nustatytus reikalavimus, įskaitant Europos kibernetinio saugumo sertifikavimo grupės priimtas taisykles ir reikalavimus, nustatytus atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje. Veiksmingas nacionalinių sertifikavimo priežiūros institucijų bendradarbiavimas yra būtinas tam, kad būtų tinkamai įgyvendintos Europos kibernetinio saugumo sertifikavimo schemos ir sprendžiamos su IRT produktų ir paslaugų kibernetiniu saugumu susijusios techninės problemos. Komisija turėtų sudaryti palankias sąlygas tokiems informacijos mainams suteikdama prieigą prie bendrosios elektroninės informacijos teikimo sistemos, pavyzdžiui, rinkos priežiūros informacinės ryšių sistemos (ICSMS) ir skubių pranešimų apie pavojingus ne maisto produktus sistemos (RAPEX), kuriomis pagal Reglamentą (EB) Nr. 765/2008 jau naudojasi rinkos priežiūros institucijos;

Pakeitimas    64

Pasiūlymas dėl reglamento

60 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(60)  siekiant užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos taikymą reikėtų įsteigti iš nacionalinių priežiūros institucijų sudarytą Europos kibernetinio saugumo sertifikavimo grupę (toliau – grupė). Pagrindinės grupės užduotys turėtų būti konsultuoti Komisiją ir padėti jai užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos įgyvendinimą ir taikymą, padėti Agentūrai ir glaudžiai su ja bendradarbiauti rengiant potencialias kibernetinio saugumo sertifikavimo schemas, rekomenduoti, kad Komisija paprašytų Agentūros parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą ir priimti Komisijai skirtas nuomones, susijusias su esamų Europos kibernetinio saugumo sertifikavimo schemų priežiūra ir peržiūra;

(60)  siekiant užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos taikymą reikėtų įsteigti iš nacionalinių priežiūros institucijų sudarytą valstybės narės kibernetinio saugumo sertifikavimo grupę. Valstybės narės kibernetinio saugumo sertifikavimo grupės pagrindinės užduotys turėtų būti konsultuoti Komisiją ir padėti jai užtikrinti nuoseklų Europos kibernetinio saugumo sertifikavimo sistemos įgyvendinimą ir taikymą, padėti Agentūrai ir glaudžiai su ja bendradarbiauti rengiant potencialias kibernetinio saugumo sertifikavimo schemas, rekomenduoti, kad Komisija paprašytų Agentūros parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą ir priimti Komisijai skirtas nuomones, susijusias su esamų Europos kibernetinio saugumo sertifikavimo schemų priežiūra ir peržiūra;

Pakeitimas    65

Pasiūlymas dėl reglamento

60 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(60a)  siekiant užtikrinti lygiavertį atitikties vertinimo įstaigų kompetencijos lygį, palengvinti akredituotųjų įstaigų išduodamų akreditacijos pažymėjimų ir pateikiamų atitikties vertinimo rezultatų abipusį pripažinimą ir skatinti bendrą pasitikėjimą jais, būtina, jog nacionalinės akreditacijos įstaigos taikytų griežtą ir skaidrią tarpusavio vertinimo sistemą ir pačios būtų tokiu būdu reguliariai vertinamos;

Pakeitimas    66

Pasiūlymas dėl reglamento

60 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(60b)  veiksmingas nacionalinių sertifikavimo priežiūros įstaigų bendradarbiavimas yra labai svarbus tinkamam tarpusavio vertinimo sistemos įgyvendinimui ir tarpvalstybiniam akreditavimui. Todėl, siekiant skaidrumo, nacionalinėms sertifikavimo priežiūros įstaigoms reikia numatyti prievolę keistis informacija tarpusavyje ir teikti reikiamą informaciją nacionalinėms valdžios institucijoms ir Komisijai. Be to, atnaujinta ir tiksli informacija apie galimybę pasinaudoti akreditavimo paslaugomis, kurias teikia nacionalinės akreditacijos įstaigos, taip pat turėtų būti skelbiama viešai ir tokiu būdu pirmiausia prieinama atitikties vertinimo įstaigoms;

Pakeitimas    67

Pasiūlymas dėl reglamento

61 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(61)  siekdama padidinti informuotumą ir būsimų ES kibernetinio saugumo schemų priimtinumą, Europos Komisija gali parengti bendras arba konkrečiam sektoriui skirtas kibernetinio saugumo rekomendacijas, pvz., dėl geros kibernetinio saugumo praktikos arba atsakingo saugaus elgesio kibernetinėje erdvėje, ir pabrėžti teigiamą sertifikuotų IRT produktų ir paslaugų naudojimo poveikį;

(61)  siekdama padidinti informuotumą ir būsimų ES kibernetinio saugumo schemų priimtinumą, Europos Komisija gali parengti bendras arba konkrečiam sektoriui skirtas kibernetinio saugumo rekomendacijas, pvz., dėl geros kibernetinio saugumo praktikos arba atsakingo saugaus elgesio kibernetinėje erdvėje, ir pabrėžti teigiamą sertifikuotų IRT produktų, procesų ir paslaugų naudojimo poveikį;

Pakeitimas    68

Pasiūlymas dėl reglamento

63 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(63)  siekiant išsamiau nustatyti atitikties vertinimo įstaigų akreditavimo kriterijus, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti deleguotuosius aktus. Atlikdama parengiamąjį darbą Komisija turėtų tinkamai konsultuotis, taip pat ekspertų lygmeniu. Šios konsultacijos turėtų būti vykdomos laikantis principų, išdėstytų 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros. Visų pirma, siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus turėtų gauti tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams turėtų būti sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

(63)  siekiant išsamiau nustatyti atitikties vertinimo įstaigų akreditavimo kriterijus, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti deleguotuosius aktus. Atlikdama parengiamąjį darbą Komisija turėtų tinkamai konsultuotis, taip pat su ekspertais ir, prireikus, su suinteresuotaisiais subjektais. Šios konsultacijos turėtų būti vykdomos laikantis principų, išdėstytų 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros. Visų pirma, siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus turėtų gauti tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams turėtų būti sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

Pakeitimas    69

Pasiūlymas dėl reglamento

65 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(65)  turėtų būti naudojama nagrinėjimo procedūra siekiant priimti įgyvendinimo aktus dėl IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemų, dėl Agentūros atliekamų tyrimų tvarkos, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių sertifikavimo priežiūros institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas;

(65)  be to, galėtų būti priimti deleguotieji aktai dėl IRT produktų, procesų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemų, dėl Agentūros atliekamų tyrimų tvarkos, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių sertifikavimo priežiūros institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas;

Pakeitimas    70

Pasiūlymas dėl reglamento

66 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(66)  Agentūros veikla turėtų būti vertinama nepriklausomai. Atliekant vertinimą turėtų būti atsižvelgiama į Agentūros tikslų siekimą, jos darbo metodus ir jos užduočių aktualumą. Atliekant vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas;

(66)  Agentūros veikla turėtų būti vertinama nuolat ir nepriklausomai. Atliekant vertinimą turėtų būti atsižvelgiama į Agentūros tikslų siekimą, jos darbo metodus ir jos užduočių aktualumą, ypač jos vaidmenį koordinuojant valstybių narių ir jų nacionalinių institucijų veiksmus. Jei atliekama peržiūra, Komisija turėtų įvertinti, ar Agentūra galėtų tapti vieno langelio principu veikiančia tarnyba, į kurią galėtų kreiptis valstybės narės ir Sąjungos institucijos ir organai;

Pakeitimas    71

Pasiūlymas dėl reglamento

66 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(66a)  atliekant vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas. Jei atliekama peržiūra, Komisija galėtų įvertinti Agentūros vaidmenį vertinant trečiųjų šalių produktus ir paslaugas, patenkančius į Sąjungos rinką, ir galimybę įmones, kurios nesilaiko Sąjungos taisyklių įtraukti į juoduosius sąrašus;

Pakeitimas    72

Pasiūlymas dėl reglamento

66 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(66b)  vertinant turėtų būti išanalizuotas Sąjungoje parduodamų produktų ir paslaugų kibernetinio saugumo lygis. Jei atliekama peržiūra, Komisija turėtų įvertinti, ar reikėtų pagrindinius kibernetinio saugumo reikalavimus nustatyti kaip patekimo į vidaus rinką sąlygą;

Pakeitimas    73

Pasiūlymas dėl reglamento

1 straipsnio 1 pastraipos a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  išdėstomi ES kibernetinio saugumo agentūros ENISA (toliau – Agentūra) tikslai, užduotys ir organizaciniai aspektai ir

a)  išdėstomi Europos Sąjungos tinklų ir informacijos apsaugos agentūros ENISA (toliau – Agentūra) tikslai, užduotys ir organizaciniai aspektai ir

Pakeitimas    74

Pasiūlymas dėl reglamento

1 straipsnio 1 pastraipos b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  nustatoma Europos kibernetinio saugumo sertifikavimo schemų nustatymo sistema, siekiant Sąjungoje užtikrinti tinkamą IRT produktų ir paslaugų kibernetinio saugumo lygį. Tokia sistema taikoma nepažeidžiant tam tikrų kitų Sąjungos aktų nuostatų dėl savanoriško arba privalomo sertifikavimo.

b)  nustatoma Europos kibernetinio saugumo sertifikavimo schemų nustatymo sistema, siekiant išvengti sertifikavimo schemų įvairovės Sąjungoje ir užtikrinti tinkamą IRT produktų, procesų ir paslaugų kibernetinio saugumo lygį; ši sistema taikoma nepažeidžiant tam tikrų nuostatų dėl savanoriško ir tam tikrais atvejais privalomo sertifikavimo, kurios numatytos šiame reglamente ir kituose Sąjungos aktuose.

Pakeitimas    75

Pasiūlymas dėl reglamento

1 straipsnio 1 a pastraipa (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

Vykdydama savo veiklą Agentūra nedaro poveikio valstybių narių kompetencijai kibernetinio saugumo srityje ir visų pirma valstybių narių kompetencijai, susijusiai su visuomenės saugumu, gynyba, nacionaliniu saugumu ir baudžiamąją teise.

Pakeitimas    76

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 1 punktas

Komisijos siūlomas tekstas

Pakeitimas

1)  kibernetinis saugumas – bet kurios rūšies veikla, būtina tinklų ir informacinėms sistemoms, jų vartotojams ir susijusiems asmenims nuo kibernetinių grėsmių apsaugoti;

1)  kibernetinis saugumas – bet kurios rūšies veikla, būtina tinklų ir informacinėms sistemoms, jų vartotojams ir susijusiems asmenims nuo kibernetinių grėsmių apsaugoti;

Pakeitimas    77

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 2 punktas

Komisijos siūlomas tekstas

Pakeitimas

2)  tinklų ir informacinė sistema – sistema, apibrėžta Direktyvos (ES) 2016/1148 4 straipsnio 1 punkte;

2)  tinklų ir informacinė sistema – tinklų ir informacinė sistema, apibrėžta Direktyvos (ES) 2016/1148 4 straipsnio 1 punkte;

Pakeitimas    78

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 3 punktas

Komisijos siūlomas tekstas

Pakeitimas

3)  nacionalinė tinklų ir informacinių sistemų saugumo strategija – sistema, apibrėžta Direktyvos (ES) 2016/1148 4 straipsnio 3 punkte;

3)  nacionalinė tinklų ir informacinių sistemų saugumo strategija – nacionalinė tinklų ir informacinių sistemų saugumo strategija, apibrėžta Direktyvos (ES) 2016/1148 4 straipsnio 3 punkte;

Pakeitimas    79

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 4 punktas

Komisijos siūlomas tekstas

Pakeitimas

4)  esminių paslaugų operatorius – viešojo arba privačiojo sektoriaus subjektas, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 4 punkte;

4)  esminių paslaugų operatorius – esminių paslaugų operatorius, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 4 punkte;

Pakeitimas    80

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 5 punktas

Komisijos siūlomas tekstas

Pakeitimas

5)  skaitmeninių paslaugų teikėjas – juridinis asmuo, kuris teikia skaitmenines paslaugas, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 6 punkte;

5)  skaitmeninių paslaugų teikėjas – skaitmeninių paslaugų teikėjas, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 6 punkte;

Pakeitimas    81

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 6 punktas

Komisijos siūlomas tekstas

Pakeitimas

6)  incidentas – įvykis, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 7 punkte;

6)  incidentas – incidentas, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 7 punkte;

Pakeitimas    82

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 7 punktas

Komisijos siūlomas tekstas

Pakeitimas

7)  incidentų valdymas – bet kuri procedūra, apibrėžta Direktyvos (ES) 2016/1148 4 straipsnio 8 punkte;

7)  incidentų valdymas – incidentų valdymas, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 8 punkte;

Pakeitimas    83

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 8 punktas

Komisijos siūlomas tekstas

Pakeitimas

8)  kibernetinė grėsmė – galima aplinkybė arba įvykis, kuris (-i) gali neigiamai paveikti tinklų ir informacines sistemas, jų naudotojus ir susijusius asmenis;

8)  kibernetinė grėsmė – galima aplinkybė, įvykis arba bet koks tyčinis veiksmas, įskaitant automatizuotą komandą, kuris gali pažeisti, sutrikdyti arba kitaip neigiamai paveikti tinklų ir informacines sistemas, jų naudotojus ir susijusius asmenis;

Pakeitimas    84

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 8 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

8a)  kibernetinė higiena – paprastos rutininės priemonės, kurias įgyvendinę ir reguliariai taikydami interneto naudotojai ir verslo įmonės sumažina kibernetinių grėsmių keliamą riziką;

Pakeitimas    85

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 9 punktas

Komisijos siūlomas tekstas

Pakeitimas

9)  Europos kibernetinio saugumo sertifikavimo schema – išsamus taisyklių, techninių reikalavimų, standartų ir procedūrų, nustatytų Sąjungos lygmeniu, rinkinys, taikomas informacinių ir ryšių technologijų (IRT) produktų ir paslaugų, kuriems taikoma ta konkreti schema, sertifikavimui;

9)  Europos kibernetinio saugumo sertifikavimo schema – išsamus taisyklių, techninių reikalavimų, standartų ir procedūrų, nustatytų Sąjungos lygmeniu ir vadovaujantis Agentūros nurodytais tarptautiniais ir Europos standartais bei IRT specifikacijomis, rinkinys, taikomas informacinių ir ryšių technologijų (IRT) produktų, paslaugų ir procesų, kuriems taikoma ta konkreti schema, sertifikavimui;

Pakeitimas    86

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 10 punktas

Komisijos siūlomas tekstas

Pakeitimas

10)  Europos kibernetinio saugumo sertifikatas – atitikties vertinimo įstaigos išduotas dokumentas, kuriuo patvirtinama, kad tam tikras IRT produktas arba paslauga atitinka Europos kibernetinio saugumo sertifikavimo schemoje nustatytus konkrečius reikalavimus;

10)  Europos kibernetinio saugumo sertifikatas – atitikties vertinimo įstaigos išduotas dokumentas, kuriuo patvirtinama, kad tam tikras IRT produktas, paslauga arba procesas atitinka Europos kibernetinio saugumo sertifikavimo schemoje nustatytus konkrečius reikalavimus;

Pakeitimas    87

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 11 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

11a)  IRT procesas – bet kokia veikla, vykdoma siekiant sukurti, išvystyti, palaikyti ir pateikti IRT produktą ar paslaugą;

Pakeitimas    88

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 11 b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

11b)  vartotojo elektroninis įtaisas – įtaisas, kurį sudaro techninė ir programinė įranga ir kuriuo tvarkomi asmens duomenys arba kuris prijungiamas prie interneto domotikos ir namų valdymo įrenginių, biuro technikos, maršruto parinkimo įrangos ir įtaisų, kurie prijungiami prie tinklo, pvz., išmaniųjų televizorių, žaislų ir žaidimų konsolių, virtualiųjų padėjėjų ar delninių kompiuterių, informacijos srautinio perdavimo įrenginių, dėvimųjų įrenginių, balsinių komandų ir virtualiosios realybės sistemų, veikimo tikslais;

Pakeitimas    89

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 punktas

Komisijos siūlomas tekstas

Pakeitimas

16)  standartas – standartas, apibrėžtas Reglamento (ES) Nr. 1025/2012 2 straipsnio 1 punkte.

16)  standartas, techninė specifikacija ir IRT srities techninė specifikacija – standartas, techninė specifikacija ir IRT srities techninė specifikacija, apibrėžti Reglamento (ES) Nr. 1025/2012 2 straipsnio 1, 4 ir 5 punktuose;

Pakeitimas    90

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

16a)  nacionalinė sertifikavimo priežiūros institucija – kiekvienos valstybės narės pagal šio reglamento 50 straipsnį paskirta įstaiga;

Pakeitimas    91

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

16b)  savarankiškas vertinimas – atitikties pareiškimas, kuriuo gamintojas pareiškia, kad įvykdyti konkretūs pagal sertifikavimo schemą nustatyti reikalavimai, susiję su produktais, procesais ir paslaugomis;

Pakeitimas    92

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 c punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

16c)  standartizuotasis saugumas – padėtis, kai pirmajam vartotojui turėtų būti suteikta standartinė konfigūracija su saugiausiais galimais nustatymais, jei gaminys, programinė įranga ar procesas gali būti konfigūruoti taip, kad būtų užtikrintas aukštesnis saugumo laipsnis. Jei konkrečiu atveju remiantis rizikos ir tinkamumo naudoti analize galima daryti išvadą, kad toks nustatymas neįmanomas, vartotojai turėtų būti paraginti pasirinkti saugiausius nustatymus;

Pakeitimas    93

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 d punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

16d)  esminių paslaugų operatorius – esminių paslaugų operatorius, apibrėžtas Direktyvos (ES) 2016/1148 4 straipsnio 4 punkte;

Pakeitimas    94

Pasiūlymas dėl reglamento

3 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Agentūra prisiima jai šiuo reglamentu paskirtas užduotis, kad padėtų užtikrinti aukštą Sąjungos kibernetinio saugumo lygį.

1.  Agentūra prisiima jai šiuo reglamentu paskirtas užduotis ir yra sustiprinama, kad būtų galima pasiekti aukštą bendrąjį kibernetinio saugumo lygį, siekiant Sąjungoje užkirsti kelią kibernetiniams išpuoliams, sumažinti vidaus rinkos susiskaidymą ir pagerinti jos veikimą, taip pat užtikrinti suderinamumą, atsižvelgiant į valstybių narių bendradarbiavimo pagal TIS direktyvą laimėjimus.

Pakeitimas    95

Pasiūlymas dėl reglamento

4 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Būdama nepriklausoma, teikdama kokybiškas mokslines ir technines konsultacijas, pagalbą ir informaciją, užtikrindama savo operacinių procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis, Agentūra veikia kaip kibernetinio saugumo kompetencijos centras.

1.  Būdama nepriklausoma, teikdama kokybiškas mokslines ir technines konsultacijas, pagalbą ir informaciją, užtikrindama savo operacinių procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis, Agentūra veikia kaip teorinio ir praktinio kibernetinio saugumo kompetencijos centras.

Pakeitimas    96

Pasiūlymas dėl reglamento

4 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūra padeda Sąjungos institucijoms, agentūroms ir įstaigoms, taip pat valstybėms narėms rengti ir įgyvendinti su kibernetiniu saugumu susijusią politiką.

2.  Agentūra padeda Sąjungos institucijoms, agentūroms ir įstaigoms, taip pat valstybėms narėms rengti ir įgyvendinti su kibernetiniu saugumu susijusią politiką ir didinti piliečių ir įmonių informuotumą.

Pakeitimas    97

Pasiūlymas dėl reglamento

4 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Agentūra visoje Sąjungoje remia pajėgumų stiprinimą ir pasirengimą, padėdama Sąjungai, valstybėms narėms ir viešiesiems bei privatiesiems suinteresuotiesiems subjektams didinti savo tinklų ir informacinių sistemų apsaugą, lavinti įgūdžius ir gebėjimus kibernetinio saugumo srityje ir užtikrinti kibernetinį atsparumą.

3.  Agentūra remia Sąjungos institucijų, agentūrų ir įstaigų pajėgumų stiprinimą ir pasirengimą, padėdama Sąjungai, valstybėms narėms ir viešiesiems bei privatiesiems suinteresuotiesiems subjektams didinti savo tinklų ir informacinių sistemų apsaugą ir tobulinti kibernetinį atsparumą ir reagavimo pajėgumus, didinti informuotumą ir lavinti įgūdžius ir gebėjimus kibernetinio saugumo srityje.

Pakeitimas    98

Pasiūlymas dėl reglamento

4 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Agentūra skatina valstybes nares, Sąjungos institucijas, agentūras ir įstaigas bei susijusius suinteresuotuosius subjektus, įskaitant privatųjį sektorių, bendradarbiauti ir koordinuoti su kibernetiniu saugumu susijusius klausimus Sąjungos lygmeniu.

4.  Agentūra skatina valstybes nares, Sąjungos institucijas, agentūras ir įstaigas bei susijusius suinteresuotuosius subjektus bendradarbiauti, koordinuoti veiksmus ir dalytis informacija su kibernetiniu saugumu susijusiais klausimais Sąjungos lygmeniu.

Pakeitimas    99

Pasiūlymas dėl reglamento

4 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Agentūra didina Sąjungos lygmens kibernetinio saugumo pajėgumus, kad papildytų valstybių narių veiksmus užkertant kelią kibernetinėms grėsmėms ir reaguojant į jas, visų pirma tarpvalstybinių incidentų atveju.

5.  Agentūra prisideda prie Sąjungos lygmens kibernetinio saugumo pajėgumų stiprinimo siekdama papildyti valstybių narių veiksmus užkertant kelią kibernetinėms grėsmėms ir reaguojant į jas, visų pirma tarpvalstybinių incidentų atveju ir taip vykdo savo užduotį – padėti Sąjungos institucijoms plėtoti su kibernetiniu saugumu susijusią politiką.

Pakeitimas    100

Pasiūlymas dėl reglamento

4 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6.  Agentūra skatina sertifikavimo naudojimą, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo pagal šio reglamento III antraštinę dalį, siekiant didinti IRT produktų ir paslaugų kibernetinio saugumo užtikrinimo skaidrumą ir taip sustiprinti pasitikėjimą skaitmenine vidaus rinka.

6.  Agentūra skatina sertifikavimo naudojimą, kad būtų išvengta susiskaidymo vidaus rinkoje ir kad būtų pagerintas jos veikimas, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo pagal šio reglamento III antraštinę dalį, siekiant didinti IRT produktų, paslaugų ir procesų kibernetinio saugumo užtikrinimo skaidrumą ir taip sustiprinti pasitikėjimą skaitmenine vidaus rinka, taip pat didinti esamų nacionalinių ir tarptautinių sertifikavimo schemų suderinamumą.

Pakeitimas    101

Pasiūlymas dėl reglamento

4 straipsnio 7 dalis

Komisijos siūlomas tekstas

Pakeitimas

7.  Agentūra skatina aukšto lygio piliečių ir įmonių informavimą apie kibernetinį saugumą.

7.  Agentūra skatina ir remia projektus, kuriuos įgyvendinant prisidedama prie aukšto lygio piliečių ir įmonių informuotumo ir kibernetinio raštingumo kibernetinio saugumo srityje.

Pakeitimas    102

Pasiūlymas dėl reglamento

5 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  padėdama ir konsultuodama, ypač teikdama nepriklausomą nuomonę ir atlikdama parengiamąjį darbą, susijusį su Sąjungos politikos ir teisės plėtojimu ir peržiūra kibernetinio saugumo srityje, taip pat su konkretiems sektoriams skirtomis politikos ir teisės iniciatyvomis, susijusiomis su kibernetinio saugumo klausimais.

1.  padėdama ir konsultuodama, ypač teikdama nepriklausomą nuomonę ir atitinkamos veiklos kibernetinėje erdvėje analizę ir atlikdama parengiamąjį darbą, susijusį su Sąjungos politikos ir teisės plėtojimu ir peržiūra kibernetinio saugumo srityje, taip pat su konkretiems sektoriams skirtomis politikos ir teisės iniciatyvomis, susijusiomis su kibernetinio saugumo klausimais.

Pakeitimas    103

Pasiūlymas dėl reglamento

5 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  padėdama valstybėms narėms nuosekliai įgyvendinti Sąjungos politiką ir teisės aktus, susijusius su kibernetiniu saugumu, visų pirma Direktyvą (ES) 2016/1148, be kita ko, teikdama nuomones, gaires, konsultuodama ir dalydamasi geriausia patirtimi tokiais klausimais, kaip rizikos valdymas, pranešimai apie incidentus ir keitimasis informacija, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis susijusia geriausia patirtimi.

2.  padėdama valstybėms narėms nuosekliai įgyvendinti Sąjungos politiką ir teisės aktus, susijusius su kibernetiniu saugumu, visų pirma Direktyvą (ES) 2016/1148, Direktyvą ... , kuria nustatomas Europos elektroninių ryšių kodeksas, Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB, be kita ko, teikdama nuomones, gaires, konsultuodama ir dalydamasi geriausia patirtimi tokiais klausimais, kaip saugios programinės įrangos ir sistemų kūrimas, rizikos valdymas, pranešimai apie incidentus ir keitimasis informacija, techninės ir organizacinės priemonės, visų pirma suderintų saugumo spragų atskleidimo programų kūrimas, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis susijusia geriausia patirtimi.

Pakeitimas    104

Pasiūlymas dėl reglamento

5 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  kurdama ir populiarindama politiką, kuri užtikrintų visuotinį atvirojo interneto viešosios erdvės prieinamumą ar vientisumą, kuris suteikia visam internetui esminį funkcionalumą ir palaiko jo įprastą veikimą, įskaitant (bet neapsiribojant) pagrindinių protokolų (ypač DNS, BGP ir IPv6) saugumą ir stabilumą, domenų vardų sistemos (įskaitant visų aukščiausio lygio domenų) ir šakninės zonos veikimą.

Pakeitimas    105

Pasiūlymas dėl reglamento

5 straipsnio 4 dalies 2 punktas

Komisijos siūlomas tekstas

Pakeitimas

2)  didesnio elektroninių ryšių saugumo propagavimą, įskaitant ekspertinių žinių teikimą ir konsultavimą, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis geriausia patirtimi;

2)  didesnio elektroninių ryšių, duomenų saugojimo ir duomenų tvarkymo saugumo propagavimą, įskaitant ekspertinių žinių teikimą ir konsultavimą, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis geriausia patirtimi;

Pakeitimas    106

Pasiūlymas dėl reglamento

5 straipsnio 5 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

5a.  padėdama valstybėms narėms nuosekliai įgyvendinti Sąjungos politiką ir teisę duomenų apsaugos srityje, visų pirma Reglamentą (ES) 2016/679, taip pat padėdama Europos duomenų apsaugos valdybai kurti gaires, susijusias su Reglamento (ES) 2016/679 įgyvendinimu siekiant užtikrinti kibernetinį saugumą. Europos duomenų apsaugos valdyba visada turėtų konsultuotis su Agentūra, kai teikia nuomonę ar priima sprendimą dėl Bendrojo duomenų apsaugos reglamento įgyvendinimo ir kibernetinio saugumo, taip pat klausimais (tačiau jais neapsiribojant), susijusiais su poveikio privatumui vertinimais, pranešimu apie duomenų saugumo pažeidimą, duomenų tvarkymo saugumu, saugumo reikalavimais ir integruotąja privatumo apsauga.

Pakeitimas    107

Pasiūlymas dėl reglamento

6 straipsnio 1 dalies a a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

aa)  valstybėms narėms ir Sąjungos institucijoms suformuoti ir įgyvendinti suderintą pažeidžiamumo problemų atskleidimo politiką ir valdžios institucijų pažeidžiamumo problemų atskleidimo peržiūros procesus, kurių praktika ir nuostatos turėtų būti skaidrios ir kurie turi būti kontroliuojami atliekant nepriklausomą priežiūrą;

Pakeitimas    108

Pasiūlymas dėl reglamento

1 straipsnio 1 dalies a b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ab)  Agentūra sudaro palankias sąlygas parengti ir pradėti vykdyti ilgalaikį Europos masto IT saugumo projektą, kuriuo siekiama dar labiau paskatinti kibernetinio saugumo mokslinius tyrimus Sąjungoje ir valstybėse narėse, ir tuo tikslu bendradarbiauti su Europos mokslinių tyrimų taryba (EMTT) ir Europos inovacijos ir technologijos institutu (EIT), atsižvelgiant į Sąjungos mokslinių tyrimų programas;

Pakeitimas    109

Pasiūlymas dėl reglamento

6 straipsnio 1 dalies g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  valstybėms narėms, kasmet Sąjungos lygmeniu organizuodama didelio masto kibernetinio saugumo pratybas, nurodytas 7 straipsnio 6 dalyje, ir teikdama politines rekomendacijas, pagrįstas pratybų vertinimu ir po jų padarytomis išvadomis;

g)  valstybėms narėms reguliariai ir bent kartą per metus Sąjungos lygmeniu organizuodama didelio masto kibernetinio saugumo pratybas, nurodytas 7 straipsnio 6 dalyje, ir teikdama politines rekomendacijas bei užtikrindama keitimąsi gerosios patirties pavyzdžiais, remiantis pratybų vertinimu ir po jų padarytomis išvadomis;

Pakeitimas    110

Pasiūlymas dėl reglamento

6 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūra padeda kurti sektorinius keitimosi informacija ir jos analizės centrus (ISAC), visų pirma Direktyvos (ES) 2016/1148 II priede išvardytuose sektoriuose, ir teikia jiems nuolatinę paramą, dalydamasi geriausia patirtimi ir teikdama rekomendacijas apie esamas priemones ir procedūras, taip pat rekomendacijas sprendžiant su keitimusi informacija susijusius reguliavimo klausimus.

2.  Agentūra padeda kurti sektorinius keitimosi informacija ir jos analizės centrus (ISAC), visų pirma Direktyvos (ES) 2016/1148 II priede išvardytuose sektoriuose, ir teikia jiems nuolatinę paramą, dalydamasi geriausia patirtimi ir teikdama rekomendacijas apie esamas priemones ir procedūras, kibernetinės higienos principus, taip pat rekomendacijas sprendžiant su keitimusi informacija susijusius reguliavimo klausimus.

Pakeitimas    111

Pasiūlymas dėl reglamento

7 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Agentūra remia kompetentingų viešųjų įstaigų, taip pat suinteresuotųjų subjektų operatyvinį bendradarbiavimą.

1.  Agentūra remia valstybių narių, Sąjungos institucijų, agentūrų ir įstaigų, taip pat suinteresuotųjų subjektų operatyvinį bendradarbiavimą ir taip siekia, kad būtų bendradarbiaujama analizuojant ir vertinant nacionalinio lygmens schemas, plėtojant ir įgyvendinant planą ir taikant tinkamas priemones aukščiausiam kibernetinio saugumo sertifikavimo lygiui pasiekti Sąjungoje ir valstybėse narėse.

Pakeitimas    112

Pasiūlymas dėl reglamento

7 straipsnio 4 dalies 1 pastraipos b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  jų prašymu teikdama techninę pagalbą, įvykus didelį arba esminį poveikį turintiems incidentams;

b)  jų prašymu teikdama techninę pagalbą informacijos mainų ir ekspertinių žinių pavidalu, įvykus didelį arba esminį poveikį turintiems incidentams;

Pakeitimas    113

Pasiūlymas dėl reglamento

7 straipsnio 4 dalies 1 pastraipos b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  tuo atveju, kai reikia greitai reaguoti dėl didelio trikdomojo incidento poveikio, valstybė narė gali prašyti, kad Agentūros ekspertai padėtų įvertinti padėtį. Prašyme turi būti padėties apibūdinimas, galimi tikslai ir numatomi poreikiai.

Pakeitimas    114

Pasiūlymas dėl reglamento

7 straipsnio 5 dalies 1 pastraipa

Komisijos siūlomas tekstas

Pakeitimas

Dviem arba daugiau susijusių valstybių narių paprašius ir tiktai vieninteliu tikslu – pakonsultuoti dėl būsimų incidentų prevencijos – Agentūra padeda atlikti arba atlieka incidentų, turinčių didelį arba esminį poveikį pagal Direktyvą (ES) 2016/1148, techninį ex post tyrimą pagal suinteresuotų įmonių pranešimus. Agentūra taip pat atlieka tokį tyrimą Komisijai pateikus tinkamai pagrįstą prašymą ir susijusioms valstybėms narėms pritarus, jeigu tokie incidentai paveikia daugiau nei dvi valstybes nares.

Vienai arba daugiau susijusių valstybių narių paprašius ir tiktai vieninteliu tikslu – suteikti pagalbą pakonsultuojant dėl būsimų incidentų prevencijos arba padėti reaguoti į esamus didelio masto incidentus – Agentūra padeda atlikti arba atlieka incidentų, turinčių didelį arba esminį poveikį pagal Direktyvą (ES) 2016/1148, techninį ex post tyrimą pagal suinteresuotų įmonių pranešimus. Minėtą veiklą Agentūra vykdo gaudama atitinkamą informaciją iš susijusių valstybių narių ir naudodamasi savo ištekliais grėsmių analizei atlikti ir ištekliais, skirtais reaguoti į incidentus. Agentūra taip pat atlieka tokį tyrimą Komisijai pateikus tinkamai pagrįstą prašymą ir susijusioms valstybėms narėms pritarus, jeigu tokie incidentai paveikia daugiau nei vieną valstybę narę. Tokiu atveju Agentūra užtikrina, kad nebūtų atskleidžiami veiksmai, kurių imasi valstybės narės, siekdamos apsaugoti savo esmines valstybines funkcijas, visų pirma, su nacionaliniu saugumu susijusias funkcijas.

Pakeitimas    115

Pasiūlymas dėl reglamento

7 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6.  Agentūra kasmet Sąjungos lygmeniu organizuoja kibernetinio saugumo pratybas ir padeda jas organizuoti valstybėms narėms, ES institucijoms, agentūroms bei įstaigoms, kai jos to paprašo. Metinės pratybos Sąjungos lygmeniu apima techninius, operatyvinius ir strateginius elementus ir padeda pasirengti koordinuotam Sąjungos lygmens atsakui į didelio masto tarpvalstybinius kibernetinio saugumo incidentus. Agentūra taip pat prisideda prie sektorinių kibernetinio saugumo pratybų kartu su susijusiais ISAC ir prireikus padeda jas organizuoti, taip pat leidžia ISAC dalyvauti Sąjungos lygmens kibernetinio saugumo pratybose.

6.  Agentūra reguliariai ir ne rečiau kaip kartą per metus Sąjungos lygmeniu organizuoja kibernetinio saugumo pratybas ir padeda jas organizuoti valstybėms narėms, ES institucijoms, agentūroms bei įstaigoms, kai jos to paprašo. Metinės pratybos Sąjungos lygmeniu apima techninius, operatyvinius ir strateginius elementus ir padeda pasirengti koordinuotam Sąjungos lygmens atsakui į didelio masto tarpvalstybinius kibernetinio saugumo incidentus. Agentūra taip pat prisideda prie sektorinių kibernetinio saugumo pratybų kartu su susijusiais ISAC ir prireikus padeda jas organizuoti, taip pat leidžia ISAC dalyvauti Sąjungos lygmens kibernetinio saugumo pratybose.

Pakeitimas    116

Pasiūlymas dėl reglamento

7 straipsnio 7 dalis

Komisijos siūlomas tekstas

Pakeitimas

7.  Agentūra reguliariai rengia ES kibernetinio saugumo techninės padėties ataskaitą, kurioje apžvelgiami incidentai ir grėsmės ir kuri grindžiama viešųjų šaltinių informacija, pačios Agentūros atliekama analize ir ataskaitomis, kurias Agentūrai, be kitų subjektų, pateikė valstybių narių CSIRT (savanoriškai) arba pagal TIS direktyvą įsteigti bendrieji informaciniai centrai (pagal TIS direktyvos 14 straipsnio 5 dalį), Europolo Europos kovos su elektroniniu nusikalstamumu centras (EC3), CERT-EU.

7.  Agentūra reguliariai rengia išsamią ES kibernetinio saugumo techninės padėties ataskaitą, kurioje apžvelgiami incidentai ir grėsmės ir kuri grindžiama viešųjų šaltinių informacija, pačios Agentūros atliekama analize ir ataskaitomis, kurias Agentūrai, be kitų subjektų, pateikė valstybių narių CSIRT (savanoriškai) arba pagal TIS direktyvą įsteigti bendrieji informaciniai centrai (pagal TIS direktyvos 14 straipsnio 5 dalį), Europolo Europos kovos su elektroniniu nusikalstamumu centras (EC3), CERT-EU. Vykdomasis direktorius viešas išvadas pateikia Europos Parlamentui, kai tinkama.

Pakeitimas    117

Pasiūlymas dėl reglamento

7 straipsnio 7 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

7a.  Jei reikia, Agentūra, gavusi išankstinį Komisijos pritarimą, padeda plėtoti bendradarbiavimą kibernetiniais klausimais su NATO Bendros kibernetinės gynybos kompetencijos centru ir NATO Komunikacijos ir informacijos (NCI) akademija.

Pakeitimas    118

Pasiūlymas dėl reglamento

7 straipsnio 8 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  apibendrindama nacionalinių šaltinių ataskaitas, kad padėtų užtikrinti bendrą informuotumą apie padėtį;

a)  analizuodama ir apibendrindama nacionalinių šaltinių ataskaitas, kad padėtų užtikrinti bendrą informuotumą apie padėtį;

Pakeitimas    119

Pasiūlymas dėl reglamento

7 straipsnio 8 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  padėdama techniškai suvaldyti incidentą arba krizę, taip pat sudarydama palankesnes sąlygas valstybėms narėms keistis techniniais sprendimais;

c)  padėdama techniškai suvaldyti incidentą arba krizę ir tuo tikslu remdamasi savo nepriklausomomis ekspertinėmis žiniomis ir ištekliais, taip pat sudarydama palankesnes sąlygas valstybėms narėms savanoriškai keistis techniniais sprendimais;

Pakeitimas    120

Pasiūlymas dėl reglamento

7 straipsnio 8 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

8a.  Agentūra, kai reikia, užtikrina keitimąsi nuomonėmis ir padeda valstybių narių institucijoms koordinuoti jų atsakomuosius veiksmus laikantis subsidiarumo ir proporcingumo principų.

Pakeitimas    121

Pasiūlymas dėl reglamento

7 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

7a straipsnis

 

Agentūros techniniai pajėgumai

 

1. Agentūra, siekdama 7 straipsnyje nurodytų tikslų ir vadovaudamasi savo darbo programa, be kita ko, plėtoja šiuos techninius pajėgumus ir įgūdžius:

 

a) gebėjimą iš viešųjų šaltinių rinkti informaciją apie grėsmes kibernetiniam saugumui ir

 

b) gebėjimą nuotoliniu būdu panaudoti techninę įrangą, priemones ir ekspertines žinias.

 

2. Agentūra, siekdama plėtoti šio straipsnio 1 dalyje nurodytus gebėjimus ir atitinkamus įgūdžius, imasi šių veiksmų:

 

a) užtikrina, kad įdarbinimo procesas bus organizuojamas atsižvelgiant į reikiamus įvairius įgūdžius, ir

 

b) bendradarbiauja su CERT-EU ir Europolu pagal šio reglamento 7 straipsnio 2 dalį.

Pakeitimas    122

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

a)  remia ir skatina Sąjungos IRT produktų ir paslaugų kibernetinio saugumo sertifikavimo politikos plėtojimą ir įgyvendinimą, kaip nustatyta šio reglamento III antraštinėje dalyje:

a)  remia ir skatina Sąjungos IRT produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimo politikos plėtojimą ir įgyvendinimą, kaip nustatyta šio reglamento III antraštinėje dalyje:

Pakeitimas    123

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto -1 papunktis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

-1)  nuolat fiksuodama standartus, technines specifikacijas ir IRT technines specifikacijas;

Pakeitimas    124

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 1 papunktis

Komisijos siūlomas tekstas

Pakeitimas

1)  rengdama potencialias IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemas pagal šio reglamento 44 straipsnį;

1)  bendradarbiaudama su pramonės atstovais ir standartizacijos organizacijomis oficialaus, standartizuoto ir skaidraus proceso metu, rengdama potencialias IRT produktų, procesų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemas pagal šio reglamento 44 straipsnį;

Pakeitimas    125

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 1 a papunktis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

1a)  pagal 53 straipsnį bendradarbiaudama su Valstybių narių sertifikavimo grupe ir atlikdama Europos kibernetinio saugumo sertifikatų išdavimo procedūrų, vykdomų atitikties vertinimo įstaigų, nurodytų šio reglamento 51 straipsnyje, vertinimą, kurio tikslas – užtikrinti, kad atitikties vertinimo įstaigos, išduodamos sertifikatus, vienodai taikytų šį reglamentą;

Pakeitimas    126

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 1 b įtrauka (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

1b)  atlikdama nepriklausomus reguliarius ex post sertifikuotų IRT produktų, procesų ir paslaugų atitikties Europos kibernetinio saugumo sertifikavimo schemoms patikrinimus;

Pakeitimas    127

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 2 papunktis

Komisijos siūlomas tekstas

Pakeitimas

2)  padėdama Komisijai teikti sekretoriato paslaugas Europos kibernetinio saugumo sertifikavimo grupei pagal šio reglamento 53 straipsnį;

2)  padėdama Komisijai teikti sekretoriato paslaugas Valstybių narių sertifikavimo grupei pagal šio reglamento 53 straipsnį;

Pakeitimas    128

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 3 papunktis

Komisijos siūlomas tekstas

Pakeitimas

3)  rengdama ir skelbdama gaires ir formuodama gerąją praktiką, susijusią su IRT produktų ir paslaugų kibernetinio saugumo reikalavimais, bendradarbiaudama su nacionalinėmis sertifikavimo priežiūros institucijomis ir sektoriaus atstovais;

3)  rengdama ir skelbdama gaires ir formuodama gerąją praktiką, įskaitant kibernetinės higienos principus, susijusius su IRT produktų, procesų ir paslaugų kibernetinio saugumo reikalavimais, bendradarbiaudama su nacionalinėmis sertifikavimo priežiūros institucijomis ir sektoriaus atstovais vykstant oficialiam, standartizuotam ir skaidriam procesui;

Pakeitimas    129

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  padeda nustatyti ir įgyvendinti Europos ir tarptautinius rizikos valdymo ir IRT produktų ir paslaugų saugumo standartus, taip pat bendradarbiaudama su valstybėmis narėmis parengia rekomendacijas ir gaires dėl techninių sričių, susijusių su saugumo reikalavimais esminių paslaugų operatoriams ir skaitmeninių paslaugų teikėjams, taip pat dėl jau galiojančių standartų, įskaitant valstybių narių nacionalinius standartus, pagal Direktyvos (ES) 2016/1148 19 straipsnio 2 dalį;

b)  padeda nustatyti ir įgyvendinti Europos ir tarptautinius rizikos valdymo ir IRT produktų, procesų ir paslaugų saugumo standartus, taip pat bendradarbiaudama su valstybėmis narėmis ir pramonės atstovais parengia rekomendacijas ir gaires dėl techninių sričių, susijusių su saugumo reikalavimais esminių paslaugų operatoriams ir skaitmeninių paslaugų teikėjams, taip pat dėl jau galiojančių standartų, įskaitant valstybių narių nacionalinius standartus, pagal Direktyvos (ES) 2016/1148 19 straipsnio 2 dalį, ir dalijasi šia informacija su valstybėmis narėmis;

Pakeitimas    130

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  bendradarbiaudama su ekspertais iš valstybių narių institucijų, pateikia tinklų ir informacinių sistemų, visų pirma interneto infrastruktūros ir tos infrastruktūros, kuria naudojasi Direktyvos (ES) 2016/1148 II priede išvardyti sektoriai, saugumo užtikrinimo rekomendacijų, gairių ir geriausią praktiką;

c)  bendradarbiaudama su ekspertais iš valstybių narių institucijų ir atitinkamais suinteresuotaisiais subjektais, pateikia tinklų ir informacinių sistemų, visų pirma interneto infrastruktūros ir tos infrastruktūros, kuria naudojasi Direktyvos (ES) 2016/1148 II priede išvardyti sektoriai, saugumo užtikrinimo rekomendacijų, gairių ir geriausią praktiką;

Pakeitimas    131

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  didina visuomenės informuotumą apie kibernetinio saugumo riziką ir piliečiams bei organizacijoms pateikia atskiriems naudotojams skirtas gerosios praktikos rekomendacijas;

e)  nuolat didina ir plečia visuomenės informuotumą apie kibernetinio saugumo riziką ir piliečiams bei organizacijoms organizuoja mokymus ir pateikia atskiriems naudotojams skirtas gerosios praktikos rekomendacijas, taip pat skatina priimti tvirtas prevencines IT saugumo priemones ir užtikrinti patikimą duomenų apsaugą ir privatumą;

Pakeitimas    132

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, organizuoja reguliarias informavimo kampanijas, kuriomis siekiama didinti kibernetinį saugumą ir šios problemos matomumą Sąjungoje;

g)  bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, organizuoja reguliarias komunikacijos kampanijas, kuriomis siekiama paskatinti plačias diskusijas visuomenėje;

Pakeitimas    133

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos g a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ga)  remia glaudesnį valstybių narių veiksmų koordinavimą ir keitimąsi geriausia praktika švietimo kibernetinio saugumu klausimais, kibernetinio saugumo raštingumo, kibernetinės higienos ir informuotumo didinimo srityse;

Pakeitimas    134

Pasiūlymas dėl reglamento

10 straipsnio 1 pastraipos a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  konsultuoja Sąjungą ir valstybes nares dėl poreikio atlikti mokslinius tyrimus kibernetinio saugumo srityje ir dėl šios srities prioritetų, siekiant sudaryti sąlygas veiksmingai reaguoti į esamą ir naują riziką bei grėsmes, įskaitant susijusias su naujomis ir kuriamomis informacinėmis ir ryšių technologijomis, bei veiksmingai taikyti rizikos prevencijos technologijas;

a)  užtikrina išankstines konsultacijas su atitinkamomis vartotojų grupėmis ir konsultuoja Sąjungą ir valstybes nares dėl poreikio atlikti mokslinius tyrimus kibernetinio saugumo, duomenų apsaugos ir privatumo srityse ir dėl šių sričių prioritetų, siekiant sudaryti sąlygas veiksmingai reaguoti į esamą ir naują riziką bei grėsmes, įskaitant susijusias su naujomis ir kuriamomis informacinėmis ir ryšių technologijomis, bei veiksmingai taikyti rizikos prevencijos technologijas;

Pakeitimas    135

Pasiūlymas dėl reglamento

10 straipsnio 1 pastraipos b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  pati užsako mokslinių tyrimų veiklą tose interesų srityse, kurios dar nėra įtrauktos į dabartines Sąjungos tyrimų programas ir kuriose yra aiškiai matoma Europos pridėtinė vertė;

Pakeitimas    136

Pasiūlymas dėl reglamento

11 straipsnio 1 pastraipos c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  bendradarbiaudama su pagal 53 straipsnį įsteigta Valstybių narių sertifikavimo grupe teikia patarimus ir paramą Komisijai dėl kibernetinio saugumo sertifikatų tarpusavio pripažinimo susitarimų su trečiosiomis šalimis;

Pakeitimas    137

Pasiūlymas dėl reglamento

12 straipsnio 1 pastraipos d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  nuolatinė suinteresuotųjų subjektų grupė, atliekanti 20 straipsnyje nustatytas funkcijas;

d)  ENISA patariamoji grupė, atliekanti 20 straipsnyje nustatytas funkcijas;

Pakeitimas    138

Pasiūlymas dėl reglamento

14 straipsnio 1 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  įvertina ir priima konsoliduotą metinę Agentūros veiklos ataskaitą ir ne vėliau kaip kitų metų liepos 1 d. pateikia tą ataskaitą ir jos vertinimą Europos Parlamentui, Tarybai, Komisijai ir Audito Rūmams. Metinę ataskaitą sudaro finansinės ataskaitos ir joje aprašoma, kaip Agentūra pasiekė savo veiklos rezultatų rodiklius. Metinė ataskaita skelbiama viešai;

e)  įvertina ir priima konsoliduotą metinę Agentūros veiklos ataskaitą ir ne vėliau kaip kitų metų liepos 1 d. pateikia tą ataskaitą ir jos vertinimą Europos Parlamentui, Tarybai, Komisijai ir Audito Rūmams. Metinę ataskaitą sudaro finansinės ataskaitos, joje aprašomas panaudotų lėšų veiksmingumas ir įvertinama, kiek efektyvi buvo Agentūros veikla ir kokiu mastu ji pasiekė savo veiklos rezultatų rodiklius. Metinė ataskaita skelbiama viešai;

Pakeitimas    139

Pasiūlymas dėl reglamento

14 straipsnio 1 dalies m punktas

Komisijos siūlomas tekstas

Pakeitimas

m)  skiria vykdomąjį direktorių ir prireikus pratęsia jo kadenciją arba pašalina jį iš pareigų pagal šio reglamento 33 straipsnį;

m)  skiria vykdomąjį direktorių atlikdama profesiniais kriterijais pagrįstą atranką ir prireikus pratęsia jo kadenciją arba pašalina jį iš pareigų pagal šio reglamento 33 straipsnį;

Pakeitimas    140

Pasiūlymas dėl reglamento

14 straipsnio 1 dalies o punktas

Komisijos siūlomas tekstas

Pakeitimas

o)  atsižvelgdama į Agentūros veiklos poreikius ir patikimą finansų valdymą, priima visus sprendimus dėl Agentūros vidaus struktūrų sukūrimo ir prireikus – keitimo;

o)  atsižvelgdama į šiame reglamente išdėstytus Agentūros veiklos poreikius ir patikimą finansų valdymą, priima visus sprendimus dėl Agentūros vidaus struktūrų sukūrimo ir prireikus – keitimo;

Pakeitimas    141

Pasiūlymas dėl reglamento

16 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Pirmininko kvietimu Valdančiosios tarybos posėdžiuose nuolatinės suinteresuotųjų subjektų grupės nariai gali dalyvauti be balsavimo teisės.

4.  Pirmininko kvietimu Valdančiosios tarybos posėdžiuose nuolatinės ENISA patariamosios grupės nariai gali dalyvauti be balsavimo teisės.

Pakeitimas    142

Pasiūlymas dėl reglamento

18 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Vykdomąją valdybą sudaro penki nariai, paskirti iš Valdančiosios tarybos narių: vienas iš jų – Valdančiosios tarybos pirmininkas, kuris taip pat gali būti Vykdomosios valdybos pirmininkas, ir vienas Komisijos atstovas. Vykdomasis direktorius dalyvauja Vykdomosios valdybos posėdžiuose, tačiau neturi teisės balsuoti.

3.  Vykdomąją valdybą sudaro penki nariai, paskirti iš Valdančiosios tarybos narių: vienas iš jų – Valdančiosios tarybos pirmininkas, kuris taip pat gali būti Vykdomosios valdybos pirmininkas, ir vienas Komisijos atstovas. Vykdomasis direktorius dalyvauja Vykdomosios valdybos posėdžiuose, tačiau neturi teisės balsuoti. Skiriant Vykdomąją valdybą siekiama užtikrinti lyčių atstovavimo pusiausvyrą.

Pagrindimas

Skiriant Vykdomąją valdybą taip pat siekiama užtikrinti lyčių pusiausvyrą laikantis 13 straipsnio 3 dalies nuostatų dėl Valdančiosios tarybos.

Pakeitimas    143

Pasiūlymas dėl reglamento

19 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Gavęs prašymą, vykdomasis direktorius Europos Parlamentui pateikia savo pareigų vykdymo ataskaitą. Taryba gali paprašyti vykdomojo direktoriaus pateikti jo pareigų vykdymo ataskaitą.

2.  Kiekvienais metais arba gavęs prašymą, vykdomasis direktorius Europos Parlamentui pateikia savo pareigų vykdymo ataskaitą. Taryba gali paprašyti vykdomojo direktoriaus pateikti jo pareigų vykdymo ataskaitą.

Pakeitimas    144

Pasiūlymas dėl reglamento

19 straipsnio 5 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

5a.  Vykdomasis direktorius taip pat įgaliojamas vykdyti institucinio Europos Komisijos pirmininko specialiojo patarėjo kibernetinio saugumo klausimais, kurio įgaliojimai apibrėžti 2014 m. vasario 6 d. Komisijos sprendime C(2014) 541, funkcijas.

Pakeitimas    145

Pasiūlymas dėl reglamento

20 straipsnio antraštinė dalis

Komisijos siūlomas tekstas

Pakeitimas

Nuolatinė suinteresuotųjų subjektų grupė

ENISA patariamoji grupė

 

(Šis pakeitimas taikomas visam tekstui. Jį priėmus reikės padaryti atitinkamus viso teksto pakeitimus.)

Pakeitimas    146

Pasiūlymas dėl reglamento

20 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Valdančioji taryba vykdomojo direktoriaus siūlymu įsteigia nuolatinę suinteresuotųjų subjektų grupę, sudarytą iš pripažintų specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, visuomenei prieinamų elektroninių ryšių tinklų ar paslaugų teikėjams, vartotojų grupėms, kibernetinio saugumo mokslo ekspertams, ir kompetentingų institucijų, apie kurias pranešta pagal [Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas], bei teisėsaugos ir duomenų apsaugos priežiūros institucijų atstovų.

1.  Valdančioji taryba vykdomojo direktoriaus siūlymu skaidriai įsteigia ENISA patariamąją grupę, sudarytą iš pripažintų saugumo specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, įskaitant MVĮ, esminių paslaugų teikėjams pagal TIS direktyvą, visuomenei prieinamų elektroninių ryšių tinklų ar paslaugų teikėjams, vartotojų grupėms, kibernetinio saugumo mokslo ekspertams, Europos standartų organizacijoms (ESO), ES agentūroms, ir kompetentingų institucijų, apie kurias pranešta pagal [Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas], bei teisėsaugos ir duomenų apsaugos priežiūros institucijų atstovų. Valdančioji taryba užtikrina tinkamą skirtingų suinteresuotųjų subjektų atstovų pusiausvyrą.

Pakeitimas    147

Pasiūlymas dėl reglamento

20 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūros vidaus darbo tvarkos taisyklėse nustatomos ir viešai skelbiamos nuolatinės suinteresuotųjų subjektų grupės procedūros, visų pirma dėl šios grupės dydžio, sudėties, jos narių paskyrimo Valdančiosios tarybos sprendimu, vykdomojo direktoriaus pasiūlymu ir jos veiklos.

2.  Agentūros vidaus darbo tvarkos taisyklėse nustatomos ir viešai skelbiamos ENISA patariamosios grupės procedūros, visų pirma dėl šios grupės dydžio, sudėties, jos narių paskyrimo Valdančiosios tarybos sprendimu, vykdomojo direktoriaus pasiūlymu ir jos veiklos.

Pakeitimas    148

Pasiūlymas dėl reglamento

20 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Nuolatinei suinteresuotųjų subjektų grupei pirmininkauja vykdomasis direktorius arba kitas vykdomojo direktoriaus kiekvienam atvejui atskirai paskirtas asmuo.

3.  ENISA patariamajai grupei pirmininkauja vykdomasis direktorius arba kitas vykdomojo direktoriaus kiekvienam atvejui atskirai paskirtas asmuo.

Pakeitimas    149

Pasiūlymas dėl reglamento

20 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Nuolatinės suinteresuotųjų subjektų grupės narių kadencija – dveji su puse metų. Valdančiosios tarybos nariai negali būti nuolatinės suinteresuotųjų subjektų grupės nariais. Komisijos ir valstybių narių ekspertai turi teisę dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje. Kitų įstaigų, kurias vykdomasis direktorius laiko svarbiomis, atstovai, kurie nėra nuolatinės suinteresuotųjų subjektų grupės nariai, gali būti kviečiami dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje.

4.  ENISA patariamosios grupės narių kadencija – dveji su puse metų. Valdančiosios tarybos nariai negali būti ENISA patariamosios grupės nariais. Komisijos ir valstybių narių ekspertai turi teisę dalyvauti ENISA patariamosios grupės posėdžiuose ir jos veikloje. Kitų įstaigų, kurias vykdomasis direktorius laiko svarbiomis, atstovai, kurie nėra ENISA patariamosios grupės nariai, gali būti kviečiami dalyvauti ENISA patariamosios grupės posėdžiuose ir jos veikloje.

Pakeitimas    150

Pasiūlymas dėl reglamento

20 straipsnio 4 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

4a.  ENISA patariamoji grupė visus metus nuolat pateiks savo atnaujintus planus ir nustatys tikslus savo darbo programoje, kuri, siekiant užtikrinti skaidrumą, bus skelbiama kas šešis mėnesius.

Pakeitimas    151

Pasiūlymas dėl reglamento

20 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Nuolatinė suinteresuotųjų subjektų grupė pataria Agentūrai jos veiklos klausimais. Ji visų pirma pataria vykdomajam direktoriui dėl Agentūros veiklos programos pasiūlymo rengimo ir dėl to, kaip užtikrinti ryšius su atitinkamais suinteresuotaisiais subjektais visais su veiklos programa susijusiais klausimais.

5.  ENISA patariamoji grupė pataria Agentūrai jos veiklos klausimais, išskyrus šio reglamento III antraštinės dalies nuostatų taikymą. Ji visų pirma pataria vykdomajam direktoriui dėl Agentūros veiklos programos pasiūlymo rengimo ir dėl to, kaip užtikrinti ryšius su atitinkamais suinteresuotaisiais subjektais su veiklos programa susijusiais klausimais.

Pakeitimas    152

Pasiūlymas dėl reglamento

20 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

20a straipsnis

 

Suinteresuotųjų subjektų sertifikavimo grupė

 

1.   Vykdomasis direktorius įsteigia Suinteresuotųjų subjektų sertifikavimo grupę, kurią sudaro bendras patariamasis komitetas, teikiantis bendro pobūdžio konsultacijas dėl šio reglamento III antraštinės dalies taikymo, ir įsteigia ad hoc komitetus kiekvienos potencialios schemos pasiūlymo parengimo, sukūrimo ir priėmimo tikslais. Šios grupės nariai išrenkami iš pripažintų saugumo specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, įskaitant MVĮ, esminių paslaugų teikėjams pagal TIS direktyvą, visuomenei prieinamų elektroninių ryšių tinklų ar paslaugų teikėjams, vartotojų grupėms, kibernetinio saugumo mokslo ekspertams, Europos standartų organizacijoms (ESO) ir kompetentingų institucijų, kurios yra notifikuotos pagal [Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas], taip pat teisėsaugos ir duomenų apsaugos priežiūros institucijų atstovų.

 

2.   Agentūros vidaus darbo tvarkos taisyklėse nustatomos ir viešai skelbiamos Suinteresuotųjų subjektų sertifikavimo grupės procedūros, visų pirma, nuostatos dėl šios grupės dydžio, sudėties ir vykdomojo direktoriaus atliekamo jos narių paskyrimo vadovaujantis geriausia patirtimi, įgyta užtikrinant sąžiningą atstovavimą ir lygias teises visiems suinteresuotiesiems subjektams.

 

3.   Valdančiosios tarybos nariai negali būti Suinteresuotųjų subjektų sertifikavimo grupės nariais. ENISA patariamosios grupės nariai gali būti Suinteresuotųjų subjektų sertifikavimo grupės nariais. Komisijos ir valstybių narių ekspertai turi teisę, juos pakvietus, dalyvauti Suinteresuotųjų subjektų sertifikavimo grupės posėdžiuose. Kitų įstaigų, kurias vykdomasis direktorius laiko svarbiomis, atstovai gali būti kviečiami dalyvauti Suinteresuotųjų subjektų sertifikavimo grupės posėdžiuose ir veikloje.

 

4.   Suinteresuotųjų subjektų sertifikavimo grupė konsultuoja Agentūrą jos veiklos klausimais remiantis šio reglamento III antraštinės dalies nuostatomis klausimais. Visų pirma, ji įgaliota pasiūlyti Komisijai parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą, kaip numatyta šio reglamento 44 straipsnyje, ir dalyvauti vykdant šio reglamento 43–48 ir 53 straipsniuose nurodytas tokių schemų tvirtinimo procedūras.

Pakeitimas    153

Pasiūlymas dėl reglamento

21 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

21a straipsnis

 

Agentūrai teikiami prašymai

 

1. Agentūra turėtų sukurti ir valdyti vieną bendrą prieigą, per kurią būtų teikiami prašymai dėl konsultacijų ir paramos, susijusių su Agentūros tikslais ir uždaviniais. Su šiais prašymais kartu pateikiama bendroji informacija ir taip paaiškinamas nagrinėtinas klausimas. Agentūra turėtų nustatyti galimą poveikį ištekliams ir atitinkamu laiku imtis tolesnių su prašymais susijusių veiksmų. Jei Agentūra atsisako priimti prašymą, atsisakymas pagrindžiamas.

 

2. 1 dalyje nurodytus prašymus gali pateikti:

 

a) Europos Parlamentas;

 

b) Taryba;

 

c) Komisija ir

 

d) bet kuri valstybės narės paskirta kompetentinga įstaiga, kaip antai, nacionalinė reguliavimo institucija, kaip nurodyta Direktyvos 2002/21/EB 2 straipsnyje.

 

3. Praktinę 1 ir 2 dalių taikymo tvarką, visų pirma, prašymo pateikimo, jo nagrinėjimo pirmenybės, tolesnių priemonių ir informavimo apie Agentūrai pateiktus prašymus tvarką, nustato Valdančioji taryba Agentūros vidaus darbo tvarkos taisyklėse.

Pakeitimas    154

Pasiūlymas dėl reglamento

24 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Valdančiosios tarybos nariams, vykdomajam direktoriui, nuolatinės suinteresuotųjų subjektų grupės nariams, ad hoc darbo grupėse dalyvaujantiems išorės ekspertams ir Agentūros darbuotojams, įskaitant valstybių narių laikinai deleguotuosius pareigūnus, taikomi konfidencialumo reikalavimai pagal Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 339 straipsnį, net jiems nustojus eiti savo pareigas.

2.  Valdančiosios tarybos nariams, vykdomajam direktoriui, ENISA patariamosios grupės nariams, ad hoc darbo grupėse dalyvaujantiems išorės ekspertams ir Agentūros darbuotojams, įskaitant valstybių narių laikinai deleguotuosius pareigūnus, taikomi konfidencialumo reikalavimai pagal Sutarties dėl Europos Sąjungos veikimo (toliau – SESV) 339 straipsnį, net jiems nustojus eiti savo pareigas.

Pakeitimas    155

Pasiūlymas dėl reglamento

26 straipsnio 1 dalies 1 a pastraipa (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

Preliminarus pajamų ir išlaidų sąmatos projektas grindžiamas tikslais ir tikėtinais rezultatais, nurodytais šio reglamento 21 straipsnio 1 dalyje minėtame bendrajame programavimo dokumente, ir jame atsižvelgiama į finansinius išteklius, būtinus minėtiems tikslams ir tikėtiniems rezultatams pasiekti, laikantis rezultatais grindžiamo biudžeto sudarymo principo.

Pakeitimas    156

Pasiūlymas dėl reglamento

30 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Audito Rūmai turi įgaliojimus atlikti visų dotacijų gavėjų, rangovų ir subrangovų, kurie iš Agentūros yra gavę Sąjungos lėšų, auditą remdamiesi dokumentais ir auditą vietoje.

2.  Audito Rūmai turi įgaliojimus atlikti visų dotacijų gavėjų, rangovų ir subrangovų, kurie iš Agentūros yra gavę Sąjungos lėšų, auditą remdamiesi dokumentais ir atlikdami patikras vietoje.

Pakeitimas    157

Pasiūlymas dėl reglamento

36 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Asmeninę tarnautojų atsakomybę Agentūros atžvilgiu reguliuoja atitinkamos Agentūros darbuotojams taikomos atitinkamos nuostatos.

5.  Asmeninę tarnautojų atsakomybę Agentūros atžvilgiu reguliuoja atitinkamos Agentūros darbuotojams taikomos atitinkamos nuostatos. Užtikrinamas veiksmingas darbuotojų įdarbinimas.

Pakeitimas    158

Pasiūlymas dėl reglamento

37 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūros veiklai būtinas vertimo paslaugas teikia Europos Sąjungos įstaigų vertimo centras.

2.  Agentūros veiklai būtinas vertimo paslaugas teikia Europos Sąjungos įstaigų vertimo centras arba kiti vertimo paslaugų teikėjai pagal viešųjų pirkimų taisykles ir atsižvelgiant į atitinkamose finansinėse taisyklėse numatytus apribojimus.

Pakeitimas    159

Pasiūlymas dėl reglamento

39 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Tiek, kiek būtina šiame reglamente išdėstytiems tikslams pasiekti, Agentūra gali bendradarbiauti su trečiųjų šalių kompetentingomis valdžios institucijomis ir (arba) su tarptautinėmis organizacijomis. Todėl Agentūra gali, gavusi Komisijos patvirtinimą, sudaryti darbinius susitarimus su tomis trečiųjų šalių valdžios institucijomis ir tarptautinėmis organizacijomis. Tais susitarimais nesukuriami teisiniai įpareigojimai Sąjungai ir jos valstybėms narėms.

1.  Tiek, kiek būtina šiame reglamente išdėstytiems tikslams pasiekti, Agentūra gali bendradarbiauti su trečiųjų šalių kompetentingomis valdžios institucijomis ir (arba) su tarptautinėmis organizacijomis. Todėl Agentūra gali, gavusi Komisijos patvirtinimą, sudaryti darbinius susitarimus su tomis trečiųjų šalių valdžios institucijomis ir tarptautinėmis organizacijomis. Bendradarbiavimas su NATO, jei jis plėtojamas, gali apimti bendras kibernetinio saugumo pratybas ir bendrą atsako į kibernetinį incidentą koordinavimą. Tais susitarimais nesukuriami teisiniai įpareigojimai Sąjungai ir jos valstybėms narėms.

Pagrindimas

Atsižvelgiant į tarpvalstybinį kibernetinių incidentų pobūdį, ENISA turėtų, jei tinkama, veikti išvien su kibernetinio saugumo įstaigomis Europoje, pvz., NATO. Tai itin svarbu, nes NATO gali turėti kibernetinių pajėgumų, kurių neturi ENISA, ir atvirkščiai. Vis daugiau kibernetinių išpuolių nukreipiama prieš valstybes, todėl siekiant užtikrinti Europos saugumą būtina, kad ENISA tarptautiniu lygmeniu bendradarbiautų su tarptautinėmis organizacijomis, pvz., NATO.

Pakeitimas    160

Pasiūlymas dėl reglamento

41 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūrą priimančioji valstybė narė sudaro geriausias įmanomas sąlygas, kad būtų užtikrintas tinkamas Agentūros veikimas, įskaitant vietos prieinamumą, tinkamas galimybes mokytis darbuotojų vaikams, tinkamas galimybes įsidarbinti, naudotis socialinės apsaugos ir medicininės priežiūros paslaugomis vaikams ir sutuoktiniams.

2.  Agentūrą priimančioji valstybė narė sudaro geriausias įmanomas sąlygas, kad būtų užtikrintas tinkamas Agentūros veikimas, įskaitant vienintelę buveinę visai Agentūrai, vietos prieinamumą, tinkamas galimybes mokytis darbuotojų vaikams, tinkamas galimybes įsidarbinti, naudotis socialinės apsaugos ir medicininės priežiūros paslaugomis vaikams ir sutuoktiniams.

Pagrindimas

Dabartinė Agentūros struktūra, kai jos administracinė buveinė Heraklione (Kretoje), o pagrindinė veikla vykdoma Atėnuose, pasirodė esanti neefektyvi ir brangiai kainuojanti. Visi ENISA darbuotojai turėtų dirbti viename mieste. Atsižvelgiant į šioje dalyje paminėtus kriterijus, tas miestas turėtų būti Atėnai.

Pakeitimas    161

Pasiūlymas dėl reglamento

43 straipsnio 1 pastraipa

Komisijos siūlomas tekstas

Pakeitimas

Europos kibernetinio saugumo sertifikavimo schema patvirtinama, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitinka nustatytus reikalavimus, susijusius su jų pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui.

Europos kibernetinio saugumo sertifikavimo schema patvirtinama, kad sertifikuoti IRT produktai, procesai ir paslaugos sertifikato suteikimo metu neturi jokių žinomų pažeidžiamumo problemų ir atitinka nustatytus reikalavimus, kurie gali būti nurodyti Europos ar tarptautiniuose standartuose, techninėje specifikacijoje ir IRT techninėje specifikacijoje, susijusius su jų pajėgumu per visą jų gyvavimo ciklą tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui, ir atitinka nustatytus saugumo tikslus.

Pakeitimas    162

Pasiūlymas dėl reglamento

44 straipsnio -1 dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

-1.  Komisija pagal 55a straipsnį priima deleguotuosius aktus, kuriais papildomas šis reglamentas ir kuriuose nustatoma tęstinė Sąjungos darbo programa, skirta Europos kibernetinio saugumo sertifikavimo schemoms. Šiuose deleguotuosiuose aktuose nustatomi bendri veiksmai, kurių reikia imtis Sąjungos lygmeniu, ir strateginiai prioritetai. Tęstinė Sąjungos darbo programa, visų pirma, apima IRT produktų, procesų ir paslaugų, kuriems gali būti taikoma ES kibernetinio saugumo sertifikavimo schema, prioritetinį sąrašą, taip pat analizę, ar atitikties vertinimo įstaigose ir nacionalinėse sertifikavimo priežiūros institucijose užtikrinamas tinkamas kokybės, praktinės patirties ir ekspertinių žinių lygis, ir, jei reikia, pateikiami pasiūlymai dėl priemonių, kaip tą lygį būtų galima pasiekti.

 

Pradinė tęstinė Sąjungos darbo programa parengiama ne vėliau kaip ... [šeši mėnesiai nuo šio reglamento įsigaliojimo dienos] ir vėliau, kai reikia, atnaujinama, tačiau atnaujinama turi būti bent jau kas dvejus metus. Tęstinė Sąjungos darbo programa skelbiama viešai.

 

Prieš priimdama tęstinę Sąjungos darbo programą Komisija atvirai, aiškiai ir išsamiai konsultuojasi su Valstybių narių sertifikavimo grupe, Agentūra ir Suinteresuotųjų subjektų sertifikavimo grupe.

Pakeitimas    163

Pasiūlymas dėl reglamento

44 straipsnio -1 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

-1a.  Pagrįstais atvejais Komisija gali prašyti Agentūros parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą. Prašymas grindžiamas tęstine Sąjungos darbo programa.

Pakeitimas    164

Pasiūlymas dėl reglamento

44 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Gavusi Komisijos prašymą, ENISA parengia potencialią šio reglamento 45, 46 ir 47 straipsniuose nustatytus reikalavimus atitinkančią Europos kibernetinio saugumo sertifikavimo schemą. Parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą Komisijai gali pasiūlyti Valstybės narės arba Europos kibernetinio saugumo sertifikavimo grupė (toliau – Grupė), įsteigta pagal 53 straipsnį.

1.  Prašyme parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą išdėstoma taikymo sritis, 45 straipsnyje nurodyti taikytini saugumo tikslai, 47 straipsnyje nurodyti taikytini elementai ir terminas, iki kurio tam tikra potenciali schema turi pradėti veikti. Rengdama prašymą Komisija gali konsultuotis su Agentūra, Valstybių narių sertifikavimo grupe ir Suinteresuotųjų subjektų sertifikavimo grupe.

Pakeitimas    165

Pasiūlymas dėl reglamento

44 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Rengdama potencialias šio straipsnio 1 dalyje nurodytas schemas ENISA konsultuojasi su visais suinteresuotaisiais subjektais ir glaudžiai bendradarbiauja su grupe. Grupė teikia ENISA pagalbą ir ekspertų konsultacijas, kurių jai reikia rengiant potencialią schemą, ir prireikus teikia nuomones.

2.  Rengdama potencialias šio straipsnio -1 (naujoje) dalyje nurodytas schemas Agentūra konsultuojasi su visais suinteresuotaisiais subjektais vykdydama oficialų, atvirą, skaidrų ir išsamų konsultacijų procesą ir glaudžiai bendradarbiauja su Valstybių narių sertifikavimo grupe, Suinteresuotųjų subjektų sertifikavimo grupe, ad hoc komitetais pagal 20a straipsnį ir Europos standartizacijos įstaigomis. Jie teikia Agentūrai pagalbą ir ekspertų konsultacijas, kurių jai reikia rengiant potencialią schemą, ir prireikus teikia nuomones.

Pakeitimas    166

Pasiūlymas dėl reglamento

44 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  ENISA pagal šio straipsnio 2 dalį parengtą potencialią Europos kibernetinio saugumo sertifikavimo schemą teikia Komisijai.

3.  Agentūra pagal šio straipsnio 1 ir dalis parengtą potencialią Europos kibernetinio saugumo sertifikavimo schemą teikia Komisijai.

Pakeitimas    167

Pasiūlymas dėl reglamento

44 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Komisija, remdamasi ENISA pasiūlyta potencialia schema, pagal 55 straipsnio 1 dalį gali priimti įgyvendinimo aktus, kuriuose nustatomos šio reglamento 45, 46 ir 47 straipsnių reikalavimus atitinkančios IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemos.

4.  Komisija, remdamasi Agentūros pasiūlyta potencialia schema, pagal 55a straipsnį gali priimti deleguotuosius aktus, kuriais papildomas šis reglamentas ir kuriuose nustatomos šio reglamento 45, 46 ir 47 straipsnių reikalavimus atitinkančios IRT produktų, procesų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemos.

Pakeitimas    168

Pasiūlymas dėl reglamento

44 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  ENISA administruoja specialią interneto svetainę, kurioje teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas ir jos viešinamos.

5.  Agentūra administruoja specialią interneto svetainę, kurioje teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas, įskaitant atšauktus ir pasibaigusio galiojimo sertifikatus, taip pat atitinkamus nacionalinius sertifikatus.

 

Jei Europos kibernetinio saugumo sertifikavimo schema atitinka reikalavimus, kuriuos ji turėtų atitikti pagal atitinkamus Sąjungos derinimo teisės aktus, Komisija nedelsdama paskelbia nuorodą į tokį darnųjį standartą Europos Sąjungos oficialiajame leidinyje ir kitomis priemonėmis pagal atitinkamame Sąjungos derinimo teisės akte nustatytas sąlygas.

Pakeitimas    169

Pasiūlymas dėl reglamento

44 straipsnio 5 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

5a.  Agentūra, atsižvelgdama į iš atitinkamų suinteresuotųjų subjektų gautą grįžtamąją informaciją, peržiūri remdamasi šiame reglamente nustatyta struktūra patvirtintas schemas jų galiojimo pabaigoje pagal 47 straipsnio 1 dalies ac punktą arba gavusi Komisijos prašymą.

Pakeitimas    170

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

Europos kibernetinio saugumo sertifikavimo schema turi būti parengta taip, kad būtų atsižvelgta į šiuos saugumo tikslus (jei taikomi):

Europos kibernetinio saugumo sertifikavimo schema turi būti parengta taip, kad būtų atsižvelgta į šiuos saugumo tikslus (jei taikomi), kuriais užtikrinama:

Pakeitimas    171

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  apsaugoti saugomus, perduodamus ar kitaip tvarkomus duomenis nuo atsitiktinio ar neteisėto jų saugojimo, tvarkymo, prieigos prie jų ar jų atskleidimo;

a)  paslaugų, funkcijų ir duomenų konfidencialumas, vientisumas, prieinamumas ir privatumas;

Pakeitimas    172

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  apsaugoti saugomus, perduodamus ar kitaip tvarkomus duomenis nuo atsitiktinio ar neteisėto jų sunaikinimo, atsitiktinio jų netekimo ar pakeitimo;

b)  tai, kad paslaugos, funkcijos ir duomenys būtų prieinami tik įgaliotiems asmenims ir (arba) registruotoms sistemoms ir programoms ir kad tik jie galėtų juos naudoti;

Pakeitimas    173

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  užtikrinti, kad įgaliotieji asmenys, programos ar mašinos galėtų gauti prieigą tik prie tų duomenų, paslaugų ar funkcijų, su kuriais yra susijusios jų prieigos teisės;

c)  tai, kad būtų numatytas IRT produktų, procesų ir paslaugų priklausomybės atvejų ir žinomų saugumo spragų nustatymo ir registravimo procesas;

Pakeitimas    174

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  registruoti, kurie duomenys, funkcijos ar paslaugos buvo perduoti, kada ir kas juos perdavė;

d)  tai, kad IRT produktai, procesai ir paslaugos neturėtų turėti žinomų saugumo spragų;

Pakeitimas    175

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  užtikrinti, kad būtų galima patikrinti, prie kokių duomenų, paslaugų ar funkcijų buvo gauta prieiga arba jais buvo pasinaudota, kada ir kas tai padarė;

e)  tai, kad būtų numatyta reagavimo į naujai nustatytas saugumo spragas IRT produktuose, procesuose ir paslaugose procedūra;

Pakeitimas    176

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos f punktas

Komisijos siūlomas tekstas

Pakeitimas

f)  įvykus fiziniam ar techniniam incidentui, laiku atkurti duomenų, paslaugų ir funkcijų prieinamumą ir prieigos prie jų galimybes;

f)  tai, kad būtų užtikrintas standartizuotasis ir integruotasis IRT produktų, procesų ir paslaugų saugumas;

Pakeitimas    177

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  užtikrinti, kad IRT produktai ir paslaugos būtų teikiami su atnaujinta programine įranga be žinomų saugumo spragų ir kad būtų teikiami saugaus programinės įrangos atnaujinimo mechanizmai.

g)  tai, kad IRT produktai ir paslaugos būtų teikiami su atnaujinta programine įranga be žinomų saugumo spragų ir kad būtų teikiami saugaus programinės įrangos atnaujinimo mechanizmai.

Pakeitimas    178

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos g a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ga)  tai, kad būtų kuo labiau sumažinta kita su kibernetiniais incidentais susijusi rizika, pavyzdžiui, rizika gyvybei, sveikatai, aplinkai ir kitiems svarbiems teisiniams interesams.

Pakeitimas    179

Pasiūlymas dėl reglamento

46 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Europos kibernetinio saugumo sertifikavimo schemoje gali būti nurodytas vienas ar daugiau iš šių IRT produktams ir paslaugoms, sertifikuotiems pagal tą schemą, taikomų saugumo užtikrinimo lygių: bazinis, pakankamas ir (arba) aukštas.

1.  Europos kibernetinio saugumo sertifikavimo schemoje gali būti nurodytas vienas ar daugiau iš šių rizika pagrįstų saugumo užtikrinimo lygių atsižvelgiant į aplinkybes ir numatomą IRT produktų, procesų ir paslaugų naudojimą: bazinis, pakankamas ir (arba) aukštas.

Pakeitimas    180

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  bazinis saugumo užtikrinimo lygis patvirtinimas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas ribotas pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti kibernetinio saugumo incidentų riziką;

a)  bazinis saugumo užtikrinimo lygis atitinka mažą riziką, kalbant bendrai apie tikimybę ir žalą, susijusią su IRT produktu, procesu ir paslauga, atsižvelgiant į jų numatomą naudojimą ir aplinkybes. Baziniu saugumo užtikrinimo lygiu garantuojamas atsparumas žinomos bazinės kibernetinių incidentų rizikos atveju;

Pakeitimas    181

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  pakankamas saugumo užtikrinimo lygis patvirtinimas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas pakankamas pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti kibernetinio saugumo incidentų riziką;

b)  pakankamas saugumo užtikrinimo lygis atitinka didesnę riziką, kalbant bendrai apie tikimybę ir žalą, susijusią su IRT produktu, procesu ir paslauga. Pakankamu saugumo užtikrinimo lygiu garantuojama, kad galima užkirsti kelią žinomai kibernetinių incidentų rizikai ir kad taip pat esama pajėgumų užtikrinti atsparumą kibernetiniams išpuoliams, kuriems panaudojami riboti ištekliai;

Pakeitimas    182

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  aukštas saugumo užtikrinimo lygis patvirtinamas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas aukštesnis pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis nei sertifikatais, kuriais patvirtinamas pakankamas saugumo užtikrinimo lygis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – išvengti kibernetinio saugumo incidentų;

c)  aukštas saugumo užtikrinimo lygis atitinka didelę riziką, kalbant apie žalą, susijusią su IRT produktu, procesu ir paslauga. Aukštu saugumo užtikrinimo lygiu garantuojama, kad galima užkirsti kelią žinomai kibernetinių incidentų rizikai ir kad taip pat esama pajėgumų užtikrinti atsparumą naujausiomis technologijomis pagrįstiems kibernetiniams išpuoliams, kuriems panaudojami dideli ištekliai;

Pakeitimas    183

Pasiūlymas dėl reglamento

46 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

46a straipsnis

 

Europos kibernetinio saugumo sertifikavimo schemų saugumo užtikrinimo lygių vertinimas

 

1.   Bazinio saugumo užtikrinimo lygio atveju gamintojas arba IRT produktų, procesų ar paslaugų teikėjas gali visiška savo atsakomybe atlikti savarankišką atitikties vertinimą.

 

2.   Pakankamo saugumo užtikrinimo lygio atveju atliekant vertinimą bent jau patikrinama, ar produktas, procesas ar paslauga atitinka saugumo funkcionalumą pagal jų techninę dokumentaciją.

 

3.   Aukšto saugumo užtikrinimo lygio atveju vertinimo metodika turėtų būti paremta bent jau efektyvumo bandymu, kurį atliekant įvertinamas saugumo funkcionalumas išpuoliams, kurių rengėjai turi didelius išteklius.

Pakeitimas    184

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  sertifikavimo dalykas ir apimtis, įskaitant sertifikuojamų IRT produktų ir paslaugų rūšį arba kategorijas;

a)  sertifikavimo dalykas ir apimtis, įskaitant sertifikuojamų IRT produktų, procesų ir paslaugų rūšį arba kategorijas;

Pakeitimas    185

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies a a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

aa)  taikymo apimtis ir kibernetinio saugumo reikalavimai, o tam tikrais atvejais ši apimtis ir šie reikalavimai atspindi nacionaliniuose kibernetinio saugumo sertifikatuose nurodytus apimtį ir reikalavimus, kuriuos jie pakeičia, arba tuos, kurie yra nurodyti teisės aktuose;

Pakeitimas    186

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies a b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ab)  sertifikavimo schemos galiojimo laikotarpis;

Pakeitimas    187

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  išsamūs kibernetinio saugumo reikalavimai, pagal kuriuos vertinami konkretūs IRT produktai ir paslaugos, pavyzdžiui, nurodant Sąjungos ar tarptautinius standartus arba technines specifikacijas;

b)  išsamūs kibernetinio saugumo reikalavimai, pagal kuriuos vertinami konkretūs IRT produktai, procesai ir paslaugos, pavyzdžiui, nurodant Europos ar tarptautinius standartus, technines specifikacijas arba IRT technines specifikacijas, apibrėžti taip, kad sertifikavimas galėtų būti įkomponuotas į gamintojo sisteminius saugumo procesus, taikomus atitinkamo produkto ar paslaugos kūrimo ir gyvavimo ciklo metu, arba galėtų būti jais grindžiamas;

Pakeitimas    188

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  informacija apie žinomus kibernetinius pavojus, kurių neapima sertifikavimas, ir nurodymai, kaip į juos reaguoti;

Pakeitimas    189

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  kai taikoma, vienas ar daugiau saugumo užtikrinimo lygiai;

c)  kai taikoma, vienas ar daugiau saugumo užtikrinimo lygiai, inter alia, atsižvelgiant į riziką pagrįstą požiūrį;

Pakeitimas    190

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  informacija, ar galima atlikti savarankišką atitikties vertinimą pagal tą schemą, ir taikoma atitikties vertinimo arba savarankiškos atitikties deklaracijos procedūra arba abiejų atvejų procedūra;

Pakeitimas    191

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  naudojami specifiniai vertinimo kriterijai ir metodai, įskaitant vertinimo rūšis, siekiant įrodyti, kad konkretūs 45 straipsnyje nurodyti tikslai yra pasiekti;

d)  specifiniai vertinimo kriterijai, atitikties vertinimo rūšys ir metodai siekiant įrodyti, kad konkretūs 45 straipsnyje nurodyti tikslai yra pasiekti;

Pakeitimas    192

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  informacija, kurią pareiškėjas turi pateikti atitikties vertinimo įstaigoms ir kuri yra reikalinga sertifikavimui;

e)  informacija, kurią pareiškėjas turi pateikti atitikties vertinimo įstaigoms ir kuri yra reikalinga sertifikavimui;

Pakeitimas    193

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies f punktas

Komisijos siūlomas tekstas

Pakeitimas

f)  jeigu schemoje numatomas ženklų arba etikečių naudojimas, tokių ženklų arba etikečių naudojimo sąlygos;

f)  informacija apie kibernetinį saugumą pagal šio reglamento 47a straipsnį;

Pakeitimas    194

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  jeigu pagal schemą numatoma stebėsena, sertifikatų reikalavimų laikymosi stebėsenos taisyklės, įskaitant mechanizmus, kuriais įrodoma, kad nuolat laikomasi nurodytų kibernetinio saugumo reikalavimų;

g)  sertifikatų reikalavimų laikymosi stebėsenos taisyklės, įskaitant mechanizmus, kuriais įrodoma, kad nuolat laikomasi nurodytų kibernetinio saugumo reikalavimų;

Pakeitimas    195

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies h punktas

Komisijos siūlomas tekstas

Pakeitimas

h)  sertifikavimo taikymo srities suteikimo, išlaikymo, tęsimo, išplėtimo ir sumažinimo sąlygos;

h)  sertifikato taikymo srities ir galiojimo laikotarpio suteikimo, išlaikymo, tęsimo, peržiūros, išplėtimo ir sumažinimo sąlygos;

Pakeitimas    196

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies h a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ha)  taisyklės, kuriomis remiantis siekiama reaguoti į saugumo spragas, kurių gali atsirasti išdavus sertifikatą, sukuriant dinamišką ir nuolatinį organizacinį procesą, kuriame dalyvauja tiekėjai ir vartotojai;

Pakeitimas    197

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies i punktas

Komisijos siūlomas tekstas

Pakeitimas

i)  taisyklės, susijusios su sertifikuotų IRT produktų ir paslaugų neatitikties sertifikavimo reikalavimams padariniais;

i)  taisyklės, susijusios su sertifikuotų ir savarankiškai įvertintų IRT produktų ir paslaugų neatitikties sertifikavimo reikalavimams padariniais;

Pakeitimas    198

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies j punktas

Komisijos siūlomas tekstas

Pakeitimas

j)  taisyklės, nustatančios, kaip turi būti pranešta apie anksčiau nenustatytas IRT produktų ir paslaugų kibernetinio saugumo spragas ir kaip jos turi būti šalinamos;

j)  taisyklės, nustatančios, kaip turi būti pranešta apie viešai nežinomas IRT produktų ir paslaugų kibernetinio saugumo spragas ir kaip jos turi būti šalinamos jas aptikus;

Pakeitimas    199

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies l punktas

Komisijos siūlomas tekstas

Pakeitimas

l)  nustatytos nacionalinės kibernetinio saugumo sertifikavimo schemos, taikomos tos pačios rūšies ar kategorijų IRT produktams ir paslaugoms;

l)  informacija apie nacionalines arba tarptautines kibernetinio saugumo sertifikavimo schemas, taikomas tos pačios rūšies ar kategorijų IRT procesams, produktams ir paslaugoms, saugumo reikalavimus ir vertinimo kriterijus bei metodus;

Pakeitimas    200

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies m a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ma)  sertifikavimo schemų tarpusavio pripažinimo susitarimų su trečiosiomis šalimis sąlygos;

Pakeitimas    201

Pasiūlymas dėl reglamento

47 straipsnio 1 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

1a.  Dėl techninės priežiūros procesų ir kartu atliekamų atnaujinimų sertifikatai netampa negaliojančiais, išskyrus atvejus, kai tokie pakeitimai daro esminį neigiamą poveikį IRT produktų, paslaugų ir procesų saugumui.

Pakeitimas    202

Pasiūlymas dėl reglamento

47 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

47a straipsnis

 

Su sertifikuotais produktais, procesais ir paslaugomis susijusi kibernetinio saugumo informacija

 

1.   IRT produktų, procesų ir paslaugų, kuriems taikoma sertifikavimo sistema pagal šį reglamentą, gamintojas arba tiekėjas pateikia galutiniam vartotojui elektronine ar popierine forma dokumentą, kuriame pateikiama bent ši informacija: sertifikate nurodytas saugumo užtikrinimo lygis atsižvelgiant į IRT produkto, proceso ar paslaugos numatomą naudojimą; rizikos, kuriai pagal šį sertifikatą garantuojamas atsparumas, aprašymas; rekomendacijos, kaip vartotojai gali toliau stiprinti gaminio, proceso ar paslaugos kibernetinį saugumą, atnaujinimo dažnumas ir palaikymo laikotarpis po atnaujinimo; kai taikoma, informacija apie tai, kaip vartotojai gali išsaugoti pagrindines produkto, proceso ar paslaugos savybes išpuolio atveju.

 

2.   Šio straipsnio 1 dalyje nurodytas dokumentas yra prieinamas visą produkto, proceso ar paslaugų gyvavimo ciklą, kol jis bus rinkoje, ir ne mažiau kaip penkerius metus.

 

3.   Komisija priima įgyvendinimo aktus, kuriuose nustatomas šio dokumento šablonas. Komisija gali prašyti Agentūros pasiūlyti potencialų šabloną. Šis įgyvendinimo aktas priimamas laikantis šio reglamento 55 straipsnyje nurodytos nagrinėjimo procedūros.

Pakeitimas    203

Pasiūlymas dėl reglamento

48 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Laikoma, kad pagal Europos kibernetinio saugumo sertifikavimo schemą, patvirtintą pagal 44 straipsnį, sertifikuoti IRT produktai ir paslaugos atitinka tos schemos reikalavimus.

1.  Laikoma, kad pagal Europos kibernetinio saugumo sertifikavimo schemą, patvirtintą pagal 44 straipsnį, sertifikuoti IRT produktai, procesai ir paslaugos atitinka tos schemos reikalavimus.

Pakeitimas    204

Pasiūlymas dėl reglamento

48 straipsnio 4 dalies įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Nukrypstant nuo 3 dalies, tinkamai pagrįstais atvejais konkrečioje Europos kibernetinio saugumo schemoje gali būti nustatyta, kad Europos kibernetinio saugumo sertifikatą pagal tą schemą gali išduoti tik viešoji įstaiga. Tokia viešoji įstaiga yra viena iš šių įstaigų:

4.  Nukrypstant nuo 3 dalies ir tik tinkamai pagrįstais atvejais, pavyzdžiui, dėl nacionalinio saugumo priežasčių, konkrečioje Europos kibernetinio saugumo sertifikavimo schemoje gali būti nustatyta, kad Europos kibernetinio saugumo sertifikatą pagal tą schemą gali išduoti tik viešoji įstaiga. Tokia viešoji įstaiga yra įstaiga, kuri pagal šio reglamento 51 straipsnio 1 dalį yra akredituota kaip atitikties vertinimo įstaiga. Savo IRT produktus ir paslaugas sertifikuoti teikiantis fizinis arba juridinis asmuo leidžia 51 straipsnyje nurodytai atitikties vertinimo įstaigai susipažinti su visa sertifikavimo procedūrai atlikti reikalinga informacija.

Pakeitimas    205

Pasiūlymas dėl reglamento

48 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Savo IRT produktus ir paslaugas sertifikuoti teikiantis fizinis arba juridinis asmuo pateikia 51 straipsnyje nurodytai atitikties vertinimo įstaigai visą sertifikavimo procedūrai atlikti reikalingą informaciją.

5.  Savo IRT produktus, paslaugas arba procesus sertifikuoti teikiantis fizinis arba juridinis asmuo pateikia 51 straipsnyje nurodytai atitikties vertinimo įstaigai visą sertifikavimo procedūrai atlikti reikalingą informaciją, įskaitant informaciją apie bet kokias žinomas saugumo spragas. Pateikti informaciją galima bet kuriai 51 straipsnyje nurodytai atitikties vertinimo įstaigai.

Pakeitimas    206

Pasiūlymas dėl reglamento

48 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6.  Sertifikatai išduodami ne ilgesniam kaip trejų metų laikotarpiui ir gali būti pratęsti tomis pačiomis sąlygomis, jei ir toliau atitinkami reikalavimai.

6.  Sertifikatai išduodami ne ilgesniam kaip kiekvienai schemai kiekvienu konkrečiu atveju nustatytam laikotarpiui atsižvelgiant į protingą gyvavimo ciklą, tačiau jis bet kokiu atveju negali viršyti penkerių metu, ir sertifikatai gali būti pratęsti tomis pačiomis sąlygomis, jei ir toliau tenkinami atitinkami reikalavimai.

Pagrindimas

Užtikrinamas lankstumas priderinant galiojimo laikotarpį prie numatyto naudojimo.

Pakeitimas    207

Pasiūlymas dėl reglamento

48 straipsnio 7 dalis

Komisijos siūlomas tekstas

Pakeitimas

7.  Pagal šį straipsnį išduotas Europos kibernetinio saugumo sertifikatas pripažįstamas visose valstybėse narėse.

7.  Pagal šį straipsnį išduotas Europos kibernetinio saugumo sertifikatas pripažįstamas visose valstybėse narėse kaip tenkinantis vietos kibernetinio saugumo reikalavimus, taikomus IRT produktams, procesams ir vartojimo elektroniniams prietaisams, nurodytiems sertifikate, atsižvelgiant į 46 straipsnyje minimą konkretų saugumo užtikrinimo lygį. Negalima diferencijuoti tokių sertifikatų remiantis tuo, kad jie išduoti skirtingose valstybėse narėse arba skirtingų 51 straipsnyje minimų atitikties vertinimo įstaigų.

Pagrindimas

Siekiant išvengti su ES kibernetinio saugumo schemų pripažinimu ir(arba) atitiktimi susijusios fragmentacijos, straipsnyje būtina akcentuoti, kad sertifikato išdavimo vieta nėra pagrindas skirtingai vertinti sertifikatus.

Pakeitimas    208

Pasiūlymas dėl reglamento

48 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

48a straipsnis

 

Esminių paslaugų operatorių sertifikavimo schemos

 

1.   Kai pagal šio straipsnio 2 dalį priimamos Europos kibernetinio saugumo sertifikavimo schemos, esminių paslaugų operatoriai, siekdami laikytis saugumo reikalavimų pagal Direktyvos (ES) 2016/1148 14 straipsnį, naudoja produktus, procesus ir paslaugas, kuriems taikomos tos sertifikavimo schemos.

 

2.   Iki [vieni metai nuo šio reglamento įsigaliojimo] Komisija, pasikonsultavusi su Direktyvos (ES) 2016/1148 11 straipsnyje nurodyta Bendradarbiavimo grupe, pagal 55a straipsnį priima deleguotuosius aktus, kuriais papildomas šis reglamentas, ir taip į sąrašą įtraukia kategorijas produktų, procesų ir paslaugų, kurie atitinka abu šiuos kriterijus:

 

a)  numatyta, kad juos naudos esminių paslaugų operatoriai, ir

 

b)  jų veikimo sutrikimai turėtų didelį trikdomąjį poveikį esminės paslaugos teikimui.

 

3.   Komisija pagal 55a straipsnį priima deleguotuosius aktus, kuriais iš dalies keičiamas šis reglamentas ir prireikus atnaujinamas šio straipsnio 3 dalyje nurodytas produktų, procesų ir paslaugų kategorijų sąrašas.

 

4.   Komisija prašo Agentūros pagal šio reglamento 44 straipsnio -1 dalį parengti potencialias Europos kibernetinio saugumo schemas, skirtas šio straipsnio 2 ir 3 dalyse nurodytam produktų, procesų ir paslaugų kategorijų sąrašui, kai tik tas sąrašas priimamas arba atnaujinamas. Pagal tokias Europos kibernetinio saugumo sertifikavimo schemas išduoti sertifikatai garantuoja aukštą saugumo užtikrinimo lygį.

Pakeitimas    209

Pasiūlymas dėl reglamento

48 b straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

48b straipsnis

 

Oficialūs prieštaravimai dėl Europos kibernetinio saugumo sertifikavimo schemų

 

1.  Jeigu valstybė narė mano, kad Europos kibernetinio saugumo sertifikavimo schema ne visiškai atitinka reikalavimus, kuriuos ji turi atitikti ir kurie nustatyti atitinkamuose Sąjungos derinimo teisės aktuose, ji praneša apie tai Komisijai ir pateikia išsamų paaiškinimą. Komisija, pasikonsultavusi su komitetu, sudarytu laikantis atitinkamų Sąjungos derinimo teisės aktų, jei tinkama, arba kitokiu būdu pasikonsultavusi su sektorių ekspertais, nusprendžia:

 

a)  Europos Sąjungos oficialiajame leidinyje paskelbti Europos kibernetinio saugumo sertifikavimo schemos nuorodas, jų neskelbti arba jas skelbti nustačius apribojimus;

 

b)  Europos Sąjungos oficialiajame leidinyje palikti Europos kibernetinio saugumo sertifikavimo schemos nuorodas, jas palikti nustačius apribojimus arba jas panaikinti.

 

2.  Komisija savo interneto svetainėje skelbia informaciją apie Europos kibernetinio saugumo sertifikavimo schemą, dėl kurios yra priimtas šio straipsnio 1 dalyje nurodytas sprendimas.

 

3.  Komisija informuoja Agentūrą apie šio straipsnio 1 dalyje nurodytą sprendimą ir prireikus pareikalauja persvarstyti atitinkamą Europos kibernetinio saugumo sertifikavimo schemą.

 

4.  Šio straipsnio 1 dalies a punkte nurodytas sprendimas priimamas laikantis šio reglamento 55 straipsnio 2 dalyje nurodytos patariamosios procedūros.

 

5.  Šio straipsnio 1 dalies b punkte nurodytas sprendimas priimamas laikantis 55 straipsnio 2a dalyje (nauja) nurodytos nagrinėjimo procedūros.

Pakeitimas    210

Pasiūlymas dėl reglamento

49 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Nedarant poveikio 3 dalies taikymui, nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, netenka galios nuo pagal 44 straipsnio 4 dalį priimtame įgyvendinimo akte nustatytos datos. Esamos nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems Europos kibernetinio saugumo sertifikavimo schema netaikoma, ir toliau galios.

1.  Nedarant poveikio 3 dalies taikymui, nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams, procesams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, netenka galios nuo pagal 44 straipsnio 4 dalį priimtame įgyvendinimo akte nustatytos datos. Esamos nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams, procesams ir paslaugoms, kuriems Europos kibernetinio saugumo sertifikavimo schema netaikoma, ir toliau galios.

Pakeitimas    211

Pasiūlymas dėl reglamento

49 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Valstybės narės neįveda naujų nacionalinių kibernetinio saugumo sertifikavimo schemų IRT produktams ir paslaugoms, kuriems taikoma galiojanti Europos kibernetinio saugumo sertifikavimo schema.

2.  Valstybės narės neįveda naujų nacionalinių kibernetinio saugumo sertifikavimo schemų IRT produktams, procesams ir paslaugoms, kuriems taikoma galiojanti Europos kibernetinio saugumo sertifikavimo schema.

Pakeitimas    212

Pasiūlymas dėl reglamento

49 straipsnio 3 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

3a.  Valstybės narės praneša Komisijai apie visus prašymus parengti nacionalines kibernetinio saugumo sertifikavimo schemas ir pateikia jų priėmimo priežastis.

Pakeitimas    213

Pasiūlymas dėl reglamento

49 straipsnio 3 b dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

3b.  Gavusios prašymą valstybės narės bent elektroniniu formatu siunčia nacionalinės kibernetinio saugumo sertifikavimo schemos projektą kitoms valstybėms narėms, Agentūrai arba Komisijai.

Pakeitimas    214

Pasiūlymas dėl reglamento

49 straipsnio 3 c dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

3c.  Nedarant poveikio direktyvai (ES) 2015/1535, valstybė narė per tris mėnesius atsako ir tinkamai atsižvelgia į visas iš bet kurios kitos valstybės narės, Agentūros arba Komisijos gautas pastabas, susijusias su šio straipsnio 3b punkte minėtu projektu.

Pakeitimas    215

Pasiūlymas dėl reglamento

49 straipsnio 3 d dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

3d.  Jei pagal šio straipsnio 3c dalį gautos pastabos rodo, kad projekte numatyta nacionalinės kibernetinio saugumo sertifikavimo schema gali turėti neigiamą poveikį tinkamam vidaus rinkos veikimui, priimančioji valstybė narė prieš schemos projekto priėmimą konsultuojasi su Agentūra ir Komisija ir kuo labiau atsižvelgia į jų pastabas.

Pakeitimas    216

Pasiūlymas dėl reglamento

50 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Siekiant užtikrinti veiksmingą šio reglamento įgyvendinimą, tikslinga, kad šios institucijos aktyviai, veiksmingai, efektyviai ir saugiai dalyvautų pagal 53 straipsnį įsteigtos Europos kibernetinio saugumo sertifikavimo grupės veikloje.

5.  Siekiant užtikrinti veiksmingą šio reglamento įgyvendinimą, tikslinga, kad šios institucijos aktyviai, veiksmingai, efektyviai ir saugiai dalyvautų pagal 53 straipsnį įsteigtos Valstybių narių sertifikavimo grupės veikloje.

Pakeitimas    217

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  stebi ir užtikrina šioje antraštinėje dalyje nustatytų nuostatų taikymą nacionaliniu lygmeniu ir prižiūri atitinkamose savo teritorijose įsteigtų atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šioje antraštinėje dalyje ir atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje nustatytiems reikalavimams;

a)  stebi ir užtikrina šioje antraštinėje dalyje nustatytų nuostatų taikymą nacionaliniu lygmeniu ir laikydamasi Europos kibernetinio saugumo sertifikavimo grupės nustatytų taisyklių pagal 53 straipsnio 3 dalį patikrina šią atitiktį:

 

i)   atitinkamose savo teritorijose įsteigtų atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šioje antraštinėje dalyje ir atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje nustatytiems reikalavimams ir

 

ii)   savarankiškų atitikties deklaracijų, parengtų pagal schemą IRT procesui, produktui ar paslaugai, atitiktį;

Pakeitimas    218

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  stebi ir prižiūri įgyvendinant šį reglamentą atitikties vertinimo įstaigų vykdomą veiklą, be kita ko, susijusią su atitikties vertinimo įstaigų notifikavimu ir susijusiais uždaviniais, nustatytais šio reglamento 52 straipsnyje;

b)  stebi, prižiūri ir bent kas dvejus metus vertina įgyvendinant šį reglamentą atitikties vertinimo įstaigų vykdomą veiklą, be kita ko, susijusią su atitikties vertinimo įstaigų notifikavimu ir susijusiais uždaviniais, nustatytais šio reglamento 52 straipsnyje;

Pakeitimas    219

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  atlieka auditus, kad būtų galima užtikrinti tinkamų standartų taikymą Sąjungoje, ir rezultatus praneša Agentūrai ir Grupei;

Pagrindimas

Tai padės užtikrinti vienodą paslaugų ir kokybės lygį visoje ES ir padės išvengti palankesnio sertifikatų išdavimo sąlygų ieškojimo galimybės.

Pakeitimas    220

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  nagrinėja fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, tiria, kiek įmanoma, skundo dalyką ir per pagrįstą laikotarpį informuoja skundo teikėją apie tyrimo eigą ir rezultatus;

c)  nagrinėja fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais arba atliktais savarankiškas atitikties vertinimais, tiria, kiek įmanoma, skundo dalyką ir per pagrįstą laikotarpį informuoja skundo teikėją apie tyrimo eigą ir rezultatus;

Pakeitimas    221

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  pateikia a punkte nurodytų patikrinimų rezultatus ir b punkte nurodytų vertinimų rezultatus Agentūrai ir Europos kibernetinio saugumo sertifikavimo grupei;

Pakeitimas    222

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams;

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, pvz., nacionalinėmis duomenų apsaugos priežiūros institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų, procesų ir paslaugų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams;

Pakeitimas    223

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams;

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, pvz., nacionalinėmis duomenų apsaugos priežiūros institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių Europos IT saugumo sertifikavimo schemų reikalavimams;

Pagrindimas

Iš Europos duomenų apsaugos priežiūros pareigūno nuomonės.

Pakeitimas    224

Pasiūlymas dėl reglamento

50 straipsnio 7 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  atšaukti šio reglamento reikalavimų neatitinkančių nacionalinių atitikties vertinimo įstaigų akreditaciją;

Pakeitimas    225

Pasiūlymas dėl reglamento

50 straipsnio 7 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  pagal nacionalinę teisę atšaukti šio reglamento arba Europos kibernetinio saugumo sertifikavimo schemos reikalavimų neatitinkančius sertifikatus;

e)  pagal nacionalinę teisę atšaukti šio reglamento arba Europos kibernetinio saugumo sertifikavimo schemos reikalavimų neatitinkančius sertifikatus ir atitinkamai informuoti nacionalines akreditavimo įstaigas;

Pakeitimas    226

Pasiūlymas dėl reglamento

50 straipsnio 8 dalis

Komisijos siūlomas tekstas

Pakeitimas

8.  Nacionalinės sertifikavimo priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija ir, visų pirma, keičiasi informacija, patirtimi ir gerąja praktika, susijusia su kibernetinio saugumo sertifikavimu ir techniniais IRT produktų ir paslaugų kibernetinio saugumo klausimais.

8.  Nacionalinės sertifikavimo priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija ir, visų pirma, keičiasi informacija, patirtimi ir gerąja praktika, susijusia su kibernetinio saugumo sertifikavimu ir techniniais IRT produktų, procesų ir paslaugų kibernetinio saugumo klausimais.

Pakeitimas    227

Pasiūlymas dėl reglamento

50 straipsnio 8 dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

8a.  Kiekviena nacionalinė sertifikavimo priežiūros institucija ir kiekvienas nacionalinės sertifikavimo priežiūros institucijos narys ir darbuotojas įpareigojami kadencijos metu ir jai pasibaigus pagal Sąjungos ar valstybės narės teisę saugoti profesinę paslaptį, susijusią su bet kokia konfidencialia informacija, kurią jie sužinojo atlikdami savo užduotis arba naudodamiesi savo įgaliojimais.

Pakeitimas    228

Pasiūlymas dėl reglamento

50 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

50a straipsnis

 

Tarpusavio vertinimas

 

1.  Nacionalinėms sertifikavimo priežiūros institucijoms taikomas tarpusavio vertinimas joms atliekant bet kokią šio reglamento 50 straipsnyje minimą ir Agentūros organizuojamą veiklą.

 

2.   Tarpusavio vertinimas atliekamas remiantis pagrįstais ir skaidriais vertinimo kriterijais bei procedūromis, visų pirma, didelį dėmesį skiriant struktūriniams, žmogiškųjų išteklių ir proceso reikalavimams, konfidencialumui ir skundams. Numatoma tinkama sprendimų, priimtų atlikus tokį vertinimą, apskundimo tvarka.

 

3.   Tarpusavio vertinimas apima nacionalinių sertifikavimo priežiūros institucijų taikomų procedūrų vertinimus, visų pirma, procedūrų, taikomų norint patikrinti sertifikatų atitiktį, atitikties vertinimo įstaigų veiklos stebėsenos ir kontrolės procedūrų, darbuotojų kompetencijos, patikrinimų ir tikrinimo metodikos teisingumo, taip pat rezultatų teisingumo vertinimus. Atliekant tarpusavio vertinimą taip pat įvertinama, ar atitinkamos nacionalinės sertifikavimo priežiūros institucijos turi pakankamai išteklių, kad galėtų tinkamai vykdyti savo pareigas, kaip reikalaujama 50 straipsnio 4 dalyje.

 

4.   Nacionalinės sertifikavimo priežiūros institucijos tarpusavio vertinimą atlieka dvi kitų valstybių narių nacionalinės sertifikavimo priežiūros institucijos ir Komisija ir vertinimas atliekamas ne rečiau kaip kartą per penkerius metus. Agentūra gali dalyvauti tarpusavio vertinime; ji sprendžia dėl savo dalyvavimo remdamasi rizikos vertinimo analize.

 

5.   Komisija pagal 55a straipsnį gali priimti deleguotuosius aktus, kuriais papildomas šis reglamentas ir kuriuose nustatomas bent jau penkerių metų laikotarpiui skirtas tarpusavio vertinimo planas, nurodomi tarpusavio vertinimo grupės sudėties kriterijai, atliekant tarpusavio vertinimo taikoma metodika, tvarkaraštis, periodiškumas ir kitos su tarpusavio vertinimu susijusios užduotys. Priimdama šiuos deleguotuosius aktus Komisija tinkamai atsižvelgia į Valstybių narių sertifikavimo grupės pastabas.

 

6.   Tarpusavio vertinimo rezultatus išnagrinėja Valstybių narių sertifikavimo grupė. Agentūra parengia rezultatų santrauką ir, jei reikia, rekomendacijas, taip pat geriausios praktikos dokumentus ir skelbia juos viešai.

Pakeitimas    229

Pasiūlymas dėl reglamento

51 straipsnio 1 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

1a.  Aukšto saugumo užtikrinimo lygio atveju atitikties vertinimo įstaiga turi būti ne tik akredituota, bet ir nacionalinės sertifikavimo priežiūros institucijos notifikuota nurodant tos įstaigos kompetenciją ir ekspertines žinias kibernetinio saugumo vertinimo srityje. Nacionalinė sertifikavimo priežiūros institucija turi reguliariai atlikti notifikuotųjų atitikties vertinimo įstaigų ekspertinių žinių ir kompetencijos auditą.

Pagrindimas

Aukštas saugumo užtikrinimo lygis reikalauja efektyvumo bandymų. Siekiant, be kita ko, užtikrinti bandymų kokybę, turėtų būti reguliariai audituojamos efektyvumo bandymus atliekančių atitikties vertinimo įstaigų ekspertinės žinios ir kompetencija.

Pakeitimas    230

Pasiūlymas dėl reglamento

51 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Auditai atliekami siekiant užtikrinti, kad Sąjungoje būtų taikomi tinkami standartai, ir auditų rezultatai pranešami Agentūrai ir Grupei.

Pakeitimas    231

Pasiūlymas dėl reglamento

51 straipsnio 2 b dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2b.  Jeigu gamintojai pasirenka pateikti savarankiško atitikties vertinimo deklaraciją pagal 48 straipsnio 3 dalį, tai atitikties vertinimo įstaigos imasi papildomų veiksmų, kad patikrintų gamintojo vykdomas vidaus procedūras, kuriomis užtikrinama, kad jų produktai ir (arba) paslaugos atitiktų Europos kibernetinio saugumo sertifikavimo schemos reikalavimus.

Pakeitimas    232

Pasiūlymas dėl reglamento

52 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Komisija gali priimti įgyvendinimo aktus, kuriais apibrėžia pranešimo teikimo pagal šio straipsnio 1 dalį aplinkybes, formatus ir procedūras. Tie įgyvendinimo aktai priimami pagal 55 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

5.  Komisija gali priimti deleguotuosius aktus, kuriais apibrėžia pranešimo teikimo pagal šio straipsnio 1 dalį aplinkybes, formatus ir procedūras. Šie deleguotieji aktai priimami pagal 55 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.

Pakeitimas    233

Pasiūlymas dėl reglamento

53 straipsnio antraštinė dalis

Komisijos siūlomas tekstas

Pakeitimas

Europos kibernetinio saugumo sertifikavimo grupė

Valstybių narių sertifikavimo grupė

 

(Šis pakeitimas taikomas visam tekstui. Jį priėmus reikės padaryti atitinkamus viso teksto pakeitimus.)

Pakeitimas    234

Pasiūlymas dėl reglamento

53 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Įsteigiama Europos kibernetinio saugumo sertifikavimo grupė (toliau – grupė).

1.  Įsteigiama Valstybių narių sertifikavimo grupė.

Pakeitimas    235

Pasiūlymas dėl reglamento

53 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Grupę sudaro nacionalinės sertifikavimo priežiūros institucijos. Nacionalinėms sertifikavimo priežiūros institucijoms atstovauja jų vadovai arba kiti aukšto lygio atstovai.

2.  Valstybių narių sertifikavimo grupę sudaro nacionalinės sertifikavimo priežiūros institucijos iš visų valstybių narių.Nacionalinėms sertifikavimo priežiūros institucijoms atstovauja jų vadovai arba kiti aukšto lygio atstovai. Suinteresuotųjų subjektų sertifikavimo grupės nariai gali būti kviečiami į Grupės posėdžius ir dalyvauti jos darbe.

Pakeitimas    236

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Grupės užduotys yra šios:

3.  Valstybių narių sertifikavimo grupės užduotys yra šios:

Pakeitimas    237

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  padėti, patarti ir bendradarbiauti su ENISA rengiant potencialią schemą pagal šio reglamento 44 straipsnį;

b)  padėti, patarti Agentūrai ir bendradarbiauti su ja rengiant potencialią schemą pagal šio reglamento 44 straipsnį;

Pakeitimas    238

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies d a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

da)  priimti rekomendacijas ir taip nustatyti intervalus, kuriais nacionalinės sertifikavimo priežiūros institucijos turi atlikti sertifikatų ir savarankiško atitikties vertinimo patikrinimą, tokių patikrinimų kriterijus, mastą ir apimtį, taip pat priimti bendrąsias ataskaitų teikimo taisykles ir standartus pagal 50 straipsnio 6 dalį;

Pakeitimas    239

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  nagrinėti aktualius kibernetinio saugumo sertifikavimo srities pokyčius ir keistis gerąja patirtimi, susijusia su kibernetinio saugumo sertifikavimo schemomis;

e)  nagrinėti aktualius kibernetinio saugumo sertifikavimo srities pokyčius ir keistis informacija ir gerąja patirtimi, susijusia su kibernetinio saugumo sertifikavimo schemomis;

Pakeitimas    240

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fa)  palengvinti Europos kibernetinio sertifikavimo schemų derinimą su tarptautiniu mastu pripažintais standartais, be kita ko, persvarstant galiojančias Europos kibernetinio saugumo schemas ir, kai tinkama, teikiant rekomendacijas Agentūrai bendradarbiauti su atitinkamomis tarptautinėmis standartizacijos organizacijomis, siekiant šalinti esamų tarptautinių mastu pripažintų standartų trūkumus;

Pakeitimas    241

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fb)  inicijuoti tarpusavio vertinimo procesą. Šiame procese, visų pirma, dėmesys skiriamas techninėms nacionalinių sertifikavimo priežiūros institucijų žinioms, kurios yra reikalingos vykdant užduotis, nurodytas 48 ir 50 straipsniuose, ir, kai reikalinga, parengiamos gairės bei gerosios praktikos dokumentai, siekiant pagerinti nacionalinių sertifikavimo priežiūros institucijų atitiktį šio reglamento nuostatoms;

Pakeitimas    242

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f c punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fc)  kontroliuoti sertifikatų stebėseną ir administravimą;

Pakeitimas    243

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f d punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fd)  atsižvelgti į suinteresuotųjų subjektų konsultacijas, vykdytas ruošiant potencialią schemą laikantis 44 straipsnio nuostatų;

Pakeitimas    244

Pasiūlymas dėl reglamento

53 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Grupei pirmininkauja Komisija ir, kaip numatyta 8 straipsnio a punkte, padedama agentūros ENISA teikia sekretoriato paslaugas.

4.  Valstybių narių sertifikavimo grupei pirmininkauja Komisija ir, kaip numatyta 8 straipsnio a punkte, padedama Agentūros teikia sekretoriato paslaugas.

Pakeitimas    245

Pasiūlymas dėl reglamento

53 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

53a straipsnis

 

Teisė į veiksmingas teismines teisių gynimo priemones prieš priežiūros instituciją arba atitikties vertinimo įstaigą

 

1.  Nedarant poveikio galimybei imtis kitų administracinių arba neteisminių teisių gynimo priemonių, kiekvienas fizinis ar juridinis asmuo turi teisę imtis veiksmingų teisminių teisių gynimo priemonių:

 

a)  prieš su juos susijusį atitikties vertinimo įstaigos arba nacionalinės sertifikavimo priežiūros institucijos sprendimą, įskaitant (kai tinkama) Europos kibernetinio saugumo sertifikato, kurį toks asmuo turi, išdavimą, neišdavimą arba pripažinimą, ir

 

b)  atvejais, kai nacionalinė sertifikavimo priežiūros institucija nenagrinėja skundo, patenkančio į jos kompetencijos sritį.

 

2.  Teisminiai procesai prieš atitikties vertinimo įstaigą ar nacionalinę kibernetinio saugumo sertifikavimo instituciją pradedami valstybės narės, kurioje atitikties vertinimo įstaiga arba nacionalinė sertifikavimo priežiūros institucija yra įsisteigusi, teismuose.

Pakeitimas    246

Pasiūlymas dėl reglamento

55 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

Pakeitimas    247

Pasiūlymas dėl reglamento

55 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

55a straipsnis

 

Įgaliojimų delegavimas

 

1.   Įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami šiame straipsnyje nustatytomis sąlygomis.

 

2.   44 ir 48a straipsniuose nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami neribotam laikotarpiui nuo ... [pagrindinio teisėkūros procedūra priimto akto įsigaliojimo data].

 

3.   Europos Parlamentas arba Taryba gali bet kuriuo metu atšaukti 44 ir 48a straipsniuose nurodytus deleguotuosius įgaliojimus. Sprendimu dėl įgaliojimų atšaukimo nutraukiami tame sprendime nurodyti įgaliojimai priimti deleguotuosius aktus. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba vėlesnę jame nurodytą dieną. Jis nedaro poveikio jau galiojančių deleguotųjų aktų galiojimui.

 

4.   Prieš priimdama deleguotąjį aktą Komisija konsultuojasi su kiekvienos valstybės narės paskirtais ekspertais vadovaudamasi 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros nustatytais principais.

 

5.   Apie priimtą deleguotąjį aktą Komisija nedelsdama vienu metu praneša Europos Parlamentui ir Tarybai.

 

6.   Pagal 44 ir 48a straipsnius priimtas deleguotasis aktas įsigalioja tik tuomet, jeigu per du mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie šį aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba praneša Komisijai, kad prieštaravimų nereikš. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas dviem mėnesiais.

Pakeitimas    248

Pasiūlymas dėl reglamento

56 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Ne vėliau kaip po penkerių metų nuo 58 straipsnyje nurodytos datos, o vėliau kas penkerius metus Komisija įvertina Agentūros ir jos darbo metodų poveikį, veiksmingumą ir naudingumą ir galimą poreikį keisti Agentūros įgaliojimus bei tokio pakeitimo finansinį poveikį. Atliekant vertinimą atsižvelgiama į grįžtamąją informaciją, pateiktą Agentūrai reaguojant į jos veiklą. Jei Komisija mano, kad Agentūros veikla nebepateisinama jos tikslais, įgaliojimais ir uždaviniais, ji gali siūlyti su Agentūra susijusias šio reglamento nuostatas iš dalies pakeisti.

1.  Ne vėliau kaip po dvejų metų nuo 58 straipsnyje nurodytos datos, o vėliau kas dvejus metus Komisija įvertina Agentūros ir jos darbo metodų poveikį, veiksmingumą ir naudingumą ir galimą poreikį keisti Agentūros įgaliojimus bei tokio pakeitimo finansinį poveikį. Atliekant vertinimą atsižvelgiama į grįžtamąją informaciją, pateiktą Agentūrai reaguojant į jos veiklą. Jei Komisija mano, kad Agentūros veikla nebepateisinama jos tikslais, įgaliojimais ir uždaviniais, ji gali siūlyti su Agentūra susijusias šio reglamento nuostatas iš dalies pakeisti.

Pakeitimas    249

Pasiūlymas dėl reglamento

56 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Taip pat įvertinamas III antraštinės dalies nuostatų poveikis, veiksmingumas ir naudingumas siekiant tikslų užtikrinti tinkamą IRT produktų ir paslaugų Sąjungoje kibernetinio saugumo lygį ir gerinti vidaus rinkos veikimą.

2.  Taip pat įvertinamas III antraštinės dalies nuostatų poveikis, veiksmingumas ir naudingumas siekiant tikslų užtikrinti tinkamą IRT produktų, procesų ir paslaugų Sąjungoje kibernetinio saugumo lygį ir gerinti vidaus rinkos veikimą.

Pakeitimas    250

Pasiūlymas dėl reglamento

56 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Įvertinama, ar prieigai prie vidaus rinkos būtina taikyti pagrindinius kibernetinio saugumo reikalavimus siekiant užkirsti kelią produktų, paslaugų ir procesų, kurie neatitinka pagrindinių kibernetinio saugumo reikalavimų, patekimui į Sąjungos rinką.

Pakeitimas    251

Pasiūlymas dėl reglamento

-I priedas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

-I PRIEDAS

 

Pradėjus taikyti ES kibernetinio saugumo sertifikavimo sistemą tikėtina, kad dėmesys bus teikiamas sritims, tiesiogiai susijusioms su naujų technologijų keliamais iššūkiais. Ypatingos svarbos sritis yra daiktų internetas, nes jis susijęs su vartotojų ir pramonės sektoriaus reikalavimais. Siūloma į sertifikavimo sistemą įtraukti ir patvirtinti šį prioritetinį sąrašą:

 

1) debesijos paslaugų teikimo sertifikavimas;

 

2) daiktų interneto įrenginių sertifikavimas, įskaitant:

 

a. individualaus lygmens įrenginius, pvz., išmanieji aksesuarai;

 

b. bendruomenės lygmens įrenginius, pvz., išmanieji automobiliai, išmanieji namai, sveikatos prietaisai;

 

c. visuomeninio lygmens įrenginius, pvz., pažangieji miestai ir pažangieji tinklai;

 

3) ketvirtosios (4.0) kartos pramonė, apimanti išmanias, tarpusavyje susietas kibernetinės ir fizines sistemas, kuriomis pasinaudojant automatizuojami visi pramoninių operacijų etapai nuo projektavimo ir gamybos iki eksploatavimo, tiekimo grandinės ir priežiūros paslaugų;

 

4) kasdieninio gyvenimo technologijų ir produktų sertifikavimas. Toks pavyzdys galėtų būti tinklo įranga, pvz., namų interneto ryšio maršrutizatoriai.

Pakeitimas    252

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 5 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

5a.  Jeigu atitikties vertinimo įstaiga priklauso viešajam subjektui arba institucijai arba jie ją valdo, būtina užtikrinti sertifikavimo priežiūros institucijos ir atitikties vertinimo įstaigos tarpusavio nepriklausomumą ir interesų konflikto nebuvimą ir tai užfiksuoti dokumentuose.

Pakeitimas    253

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 8 punktas

Komisijos siūlomas tekstas

Pakeitimas

8.  Atitikties vertinimo įstaiga turi pajėgti atlikti visas atitikties vertinimo užduotis, kurios jai paskirtos remiantis šiuo reglamentu, nesvarbu, ar tas užduotis vykdo pati atitikties vertinimo įstaiga, ar jos vykdomos jos vardu ir jos atsakomybe.

8.  Atitikties vertinimo įstaiga turi pajėgti atlikti visas atitikties vertinimo užduotis, kurios jai paskirtos remiantis šiuo reglamentu, nesvarbu, ar tas užduotis vykdo pati atitikties vertinimo įstaiga, ar jos vykdomos jos vardu ir jos atsakomybe. Bet kokia subranga arba konsultacijos su išorės darbuotojais turi būti tinkamai dokumentuotos, jose negali dalyvauti tarpininkai ir tuo tikslu turi būti sudaromas rašytinis susitarimas, kuriame, be kita ko, būtų nuostatos dėl konfidencialumo ir interesų konfliktų. Atitinkama atitikties vertinimo įstaiga prisiima visišką atsakomybę už vykdomas užduotis.

Pakeitimas    254

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 12 punktas

Komisijos siūlomas tekstas

Pakeitimas

12.  Užtikrinamas atitikties vertinimo įstaigų, jų aukščiausio lygio vadovų ir vertinimą atliekančių darbuotojų nešališkumas.

12.  Užtikrinamas atitikties vertinimo įstaigų, jų aukščiausio lygio vadovų, vertinimą atliekančių darbuotojų ir subrangovų nešališkumas.

Pakeitimas    255

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 15 punktas

Komisijos siūlomas tekstas

Pakeitimas

15.  Atitikties vertinimo įstaigos darbuotojai laikosi profesinio slaptumo reikalavimo, taikomo visai informacijai, kurią jie gauna atlikdami užduotis pagal šį reglamentą arba bet kurią nacionalinės teisės aktų nuostatą, kuria jis įgyvendinamas, išskyrus atvejus, susijusius su valstybės narės, kurioje vykdoma veikla, kompetentingomis institucijomis.

15.  Atitikties vertinimo įstaiga ir jos darbuotojai, komitetai, patronuojamosios bendrovės, subrangovai ir visos kitos susijusios įstaigos arba išorės įstaigų personalas laikosi konfidencialumo ir profesinio slaptumo reikalavimo, taikomo visai informacijai, kurią jie gauna atlikdami užduotis pagal šį reglamentą arba bet kurią nacionalinės teisės aktų nuostatą, kuria jis įgyvendinamas, išskyrus atvejus, kai duomenis atskleisti reikalaujama pagal Sąjungos arba valstybės narės teisę, taikomą tokiems asmenims, bet ne susijusius su valstybės narės, kurioje vykdoma veikla, kompetentingomis institucijomis. Nuosavybės teisės ginamos. Atitikties vertinimo įstaiga dokumentuose užfiksuoja procedūras, susijusias su 15 dalies reikalavimais.

Pakeitimas    256

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 15 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

15a.  Išskyrus 15 dalį, šio priedo reikalavimais jokiais būdais nėra draudžiama atitikties vertinimo įstaigai ir asmeniui, prašančiam arba ketinančiam pildyti prašymą sertifikatui gauti, keistis technine informacija ir reguliavimo gairėmis.

Pakeitimas    257

Pasiūlymas dėl reglamento

I priedo 1 pastraipos 15 b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

15b.  Atitikties vertinimo įstaigos veikia vadovaudamosi nuosekliomis, sąžiningomis ir pagrįstomis nuostatomis, atsižvelgdamos į MVĮ, kaip apibrėžta rekomendacijoje Nr. 2003/361/EB, interesus dėl mokesčių.

(1)

OL C 227, 2018 6 28, p. 86.


AIŠKINAMOJI DALIS

Pasaulinė skaitmeninė revoliucija įsitvirtina ir plinta mūsų ekonomikoje, visuomenėje ir vyriausybėse. Todėl visi mūsų duomenys yra pažeidžiami. Vartotojai, pramonė, institucijos ir demokratija vietos, nacionaliniu, Europos ir pasaulio lygmenimis gali tapti kibernetinių išpuolių, kibernetinio šnipinėjimo ir kibernetinio sabotažo aukomis ir visi mes suprantame, kad artėjančiais metais šių reiškinių gerokai daugės.

Prie interneto prijungiami milijardai prietaisų ir jų tarpusavio sąveika pasiekė naują lygį ir mastą. Tie prietaisai ir su jais susijusios paslaugos gali pagerinti piliečių gyvenimą ir mūsų ekonomiką. Tačiau žmonės ir organizacijos bus ar taps neatskiriama skaitmeninio pasaulio dalimi tik tuomet, kai pasitikės skaitmeninėmis technologijomis. Pasitikėjimui užtikrinti reikia, kad daiktų interneto įrenginiai, procesai ir paslaugos būtų saugūs ir patikimi.

Tam, kad šie tikslai būtų pasiekti, Komisija pateikė pasiūlymą dėl Kibernetinio saugumo akto. Šis reglamentas yra svarbi naujos Europos kibernetinio saugumo strategijos, kuria siekiama Europai suteikti ilgalaikę kibernetinio saugumo viziją ir užtikrinti pasitikėjimą skaitmeninėmis technologijomis, dalis ir priemonė. Jis turi būti vertinamas atsižvelgiant į jau galiojančius teisės aktus: ES jau įsteigė Europos Sąjungos tinklų ir informacijos apsaugos agentūrą (ENISA) ir priėmė tinklų ir informacinių sistemų saugumo direktyvą (TIS direktyva), kurią šiuo metu valstybės narės perkelia į nacionalinę teisę.

Kibernetinio saugumo aktą sudaro dvi dalys: pirmojoje dalyje nustatyti ENISA vaidmuo ir įgaliojimai, siekiant sustiprinti šią agentūrą, o antroje dalyje nustatyta Europos kibernetinio saugumo sertifikavimo schema, paremta savanoriška sistema, kuria siekiama pagerinti sujungtų įrenginių ir skaitmeninių produktų ir paslaugų saugumą.

Apskritai pranešėja palankiai vertina Komisijos pasiūlymą dėl Europos kibernetinio saugumo akto, kadangi jis labai svarbus siekiant sumažinti riziką ir pavojus informacijos saugumui ir tinklų sistemoms ir leisti vartotojams pasitikėti IT sprendimais, visų pirma daiktų interneto aspektu. Pranešėja tvirtai tiki, kad Europa gali tapti pirmaujančia veikėja kibernetinio saugumo srityje. Europa turi stiprią pramoninę bazę ir ji stengiasi gerinti vartotojų prekių, pramoninės paskirties objektų ir kritinės infrastruktūros kibernetinį saugumą atsižvelgdama ir į vartotojų, ir pramonės sektoriaus interesus.

Komisijos pasiūlymą reikėtų iš dalies pakeisti kalbant apie ENISA ir sertifikavimo dalį.

ENISA klausimu pranešėja mano, kad itin svarbu nustatyti teisingą sistemą, jei norime, kad ši agentūra būtų tvirta ir gerai veiktų. Pranešėja palankiai vertina tai, kad sustiprinamas ENISA vaidmuo jai suteikiant nuolatinius įgaliojimus ir padidinant biudžetą ir darbuotojų skaičių, tačiau mano, kad reikia taikyti realistinį požiūrį, atsižvelgiant į tai, kad ENISA įdarbina nedaug ekspertų, palyginti su darbuotojų skaičiumi kai kuriose nacionalinėse sertifikavimo priežiūros institucijose. ENISA užduotis ir toliau turėtų būti operatyvinio bendradarbiavimo užtikrinimas remiantis patirtimi, įgyta taikant TIS direktyvą, teikti paramą gebėjimų stiprinimui valstybėse narėse ir būti informacijos šaltiniu. Taip pat ENISA turi vaidinti svarbų vaidmenį kuriant Europos kibernetinio saugumo sistemas kartu su valstybėmis narėmis ir suinteresuotaisiais subjektais.

Sertifikavimo klausimu pranešėja mano, kad pasiūlymo taikymo sritis turi būti aiškesnė. Pirmiausia, šis reglamentas turėtų būti taikomas ne tik produktams ir paslaugoms, bet ir visam gyvavimo ciklui. Taigi, į taikymo sritį taip pat reikia įtraukti procesus. Kita vertus, turėtų būti aišku, kad valstybių narių kompetencija, visų pirma, visuomenės saugumo, gynybos, nacionalinio saugumo ir baudžiamosios teisės klausimais, nepatenka į taikymo sritį.

Europos kibernetinio saugumo sertifikavimo schemos klausimu pranešėja siūlo išsamiau apibrėžti rizika paremtą metodą, o ne orientuotis į visais atvejais tinkamą taikyti sertifikavimo schemą. Be to, pranešėja mano, kad reikia taikyti savanorišką sistemą, tačiau tik bazinio ir pakankamo saugumo užtikrinimo lygmenimis. Pranešėjos nuomone, produktų, procesų ar paslaugų, kurių saugumo užtikrinimo lygis turi būti aukščiausias, pirmenybę reikia teikti privalomai schemai. Taip pat skaitmeninių technologijų, kurių saugumo užtikrinimo lygis turi būti bazinis, vertinimą pranešėja siūlo susieti su naujosios teisinės sistemos metodu. Tai sudarys sąlygas atlikti savarankišką vertimą, t. y. taikyti pigesnę ir mažesnę naštą užkraunančią sistemą, kuri jau gerai veikia įvairiose specifinėse srityse.

Pranešėja mano, kad IRT produktų, procesų ir paslaugų gamintojai arba teikėjai turėtų privalėti pateikti privalomą produkto deklaraciją, kurioje būtų pateikta struktūrizuota informacija apie sertifikavimą, pvz., nurodomi turimi naujiniai arba sertifikuotų produktų, procesų arba paslaugų tarpusavio sąveika. Taip vartotojams renkantis įrenginį būtų suteikiama naudinga informacija. Pranešėja teikia pirmenybę tokiai produkto deklaracijai, o ne etiketėms ar ženklams, kurie galėtų klaidinti vartotojus.

Pranešėja yra tvirtai įsitikinusi, kad Komisijos siūlomą valdymo struktūrą reikia pagerinti, kad ji būtų skaidresnė visiems dalyvaujantiems suinteresuotiesiems subjektams. Todėl pranešėja siūlo priimti daugiametę Sąjungos darbo programą, kurioje būtų nustatyti bendri Sąjungos lygmeniu būtini vykdytini veiksmai ir nurodytos sritys, kuriose turėtų būti nustatytos Europos sertifikavimo schemos prioritetine tvarka ir apibrėžtas valstybių narių vertinimo ir priežiūros institucijų ekspertinių žinių ir patirties tinkamumo lygis. Sustiprintas valdymas taip pat reiškia didesnį valstybių narių ir pramonės dalyvavimą sertifikavimo procese. Valstybių narių vaidmuo gali būti sustiprintas tuomet, kai pagal pasiūlymo 53 straipsnį įsteigta grupė, kurią sudaro nacionalinės sertifikavimo priežiūros institucijos, rengiant sertifikavimo schemą turi tokias pat teises kaip Komisija. Grupė taip pat turės patvirtinti potencialią Europos schemą. Taip pat turėtų būti sustiprintas pramonės dalyvavimas sertifikavimo procese. To galima pasiekti aiškiau nustatant nuolatinės suinteresuotųjų subjektų grupės sudėtį ir ENISA įsteigiant ad-hoc patariamąsias grupes, siekiant, kad pramonės atstovai ir kiti susiję sertifikavimo procesų dalyviai įgytų daugiau patirties ir ekspertinių žinių. Pranešėja mano, kad visos šios priemonės padės MVĮ daug daugiau dalyvauti šiame procese.

Galiausiai, reikia, kad, rengiant naujas schemas, Europos sertifikavimo sistemoje aktyviau dalyvautų Europos standartizacijos organizacijos, pvz., CEN ir CENELEC. Taip būtų užtikrinama esamų ir visuotinai pripažįstamų standartų viršenybė.


Vidaus rinkos ir vartotojų apsaugos komiteto NUOMONĖ (22.5.2018)

pateikta Pramonės, mokslinių tyrimų ir energetikos komitetui

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Nuomonės referentas: (*) Nicola Danti

(*)  Darbo su susijusiais komitetais procedūra. Darbo tvarkos taisyklių 54 straipsnis

TRUMPAS PAGRINDIMAS

Skaitmeniniame amžiuje kibernetinis saugumas yra svarbus Europos Sąjungos ekonominio konkurencingumo ir saugumo bei mūsų laisvos ir demokratinės visuomenės vientisumo ir juos palaikančių procesų elementas. Siekiant vartotojų pasitikėjimo bendrąja skaitmenine rinka ir novatoriškesnės bei konkurencingesnės Europos plėtros, nepaprastai svarbu užtikrinti aukštą kibernetinio atsparumo lygį visoje ES.

Be abejonės, kibernetinės grėsmės ir pasauliniai kibernetiniai išpuoliai, kaip antai „Wannacry“ ir „Meltdown“, yra nuolat didėjančios problemos mūsų vis labiau skaitmeninėje visuomenėje. Iš 2017 m. liepos mėn. paskelbtos „Eurbarometro“ apklausos matyti, jog 87 proc. respondentų mano, kad kibernetiniai nusikaltimai yra svarbus ES vidaus saugumo iššūkis, ir dauguma jų yra susirūpinę dėl to, kad gali nukentėti nuo įvairių kibernetinių nusikaltimų. Be to, nuo 2016 m. pradžios, panaudojant išpirkos reikalaujančią programinę įrangą, kasdien įvykdoma daugiau kaip 4 000 kibernetinių išpuolių, o tai yra 300 proc. daugiau negu 2015 m.; šie išpuoliai paveikė 80 proc. ES bendrovių. Tokie faktai aiškiai rodo, kad ES turi stiprinti atsparumą ir veiksmingiau kovoti su kibernetiniais išpuoliais ir didinti savo pajėgumus tam, kad geriau apsaugotų Europos piliečius, įmones ir valstybės institucijas.

Praėjus vieniems metams po Tinklų ir informacijos saugumo direktyvos (TIS direktyva) įsigaliojimo, Europos Komisija, visapusiškiau atsižvelgdama į ES kibernetinio saugumo strategiją, pristatė reglamentą, kuriuo siekiama dar labiau didinti ES kibernetinį atsparumą, skatinti kibernetines atgrasymo priemones ir didinti gynybą. 2017 m. rugsėjo 13 d. Komisija pristatė Kibernetinio saugumo aktą, grindžiamą dviem ramsčiais:

1) nuolatinis ir stipresnis Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA) įgaliojimas padėti valstybėms narėms veiksmingai užtikrinti kibernetinių išpuolių prevenciją ir į juos reaguoti ir 2) ES kibernetinio saugumo sertifikavimo sistemos sukūrimas siekiant užtikrinti IRT produktų ir paslaugų kibernetinį saugumą.

Apskritai nuomonės referentas palankiai vertina Europos Komisijos pasiūlytą požiūrį ir ypač pritaria tam, kad visoje ES būtų taikomos kibernetinio saugumo sertifikavimo sistemos, kuriomis siekiama didinti IRT produktų ir paslaugų saugą, ir šioje ypač svarbioje srityje vengti brangiai kainuojančio bendrosios rinkos susiskaidymo. Nors pradžioje tai turėtų būti savanoriška priemonė, nuomonės referentas tikisi, kad ES kibernetinio saugumo sertifikavimo sistema ir susijusios procedūros taps būtina priemone, siekiant stiprinti mūsų piliečių ir vartotojų pasitikėjimą ir padidinti bendrojoje rinkoje cirkuliuojančių produktų ir paslaugų saugumą.

Tačiau jis taip pat įsitikinęs, kad tam tikrus pasiūlymo punktus reikėtų paaiškinti ir patobulinti:

•  Visų pirma, reikia didinti atitinkamų suinteresuotųjų subjektų įtraukimą į skirtingus valdymo sistemos etapus ENISA rengiant potencialias sertifikavimo schemas: nuomonės referento nuomone, būtina formaliai įtraukti svarbiausius suinteresuotuosius subjektus, kaip antai IRT pramonę, vartotojų organizacijas, MVĮ, ES standartizacijos organizacijų institucijas ir ES sektorių agentūras ir pan., ir suteikti jiems galimybę siūlyti naujų potencialių schemų, teikti ENISA savo ekspertinėmis žiniomis paremtų patarimų arba bendradarbiauti su ENISA rengiant potencialią schemą.

•  Antra, reikia stiprinti Europos kibernetinio saugumo sertifikavimo grupės (sudarytos iš nacionalinių valdžios institucijų, palaikomų Komisijos ir ENISA) koordinuojantį vaidmenį ir skirti papildomų užduočių, t. y. teikti strategines rekomendacijas ir parengti darbo programą, susijusią su bendraisiais sertifikavimo srities veiksmais, kurių reikia imtis Sąjungos lygmeniu, taip pat parengti ir periodiškai atnaujinti IRT produktų ir paslaugų, kuriems, grupės manymu, reikalinga Europos kibernetinio saugumo sertifikavimo schema, prioritetų sąrašą.

•  Nuomonės referentas tvirtai įsitikinęs, kad turėtume vengti palankesnio ES sertifikatų išdavimo sąlygų ieškojimo, kaip jau pasitaikė kituose sektoriuose. Siekiant užtikrinti, kad Europos sertifikatui, išduotam vienoje valstybėje narėje, būtų taikomi tokie patys standartai ir reikalavimai, kaip kitoje valstybėje narėje išduotam sertifikatui, reikėtų labai stiprinti ENISA ir nacionalinių sertifikavimo priežiūros institucijų stebėsenos ir priežiūros nuostatas. Todėl jis siūlo:

1) stiprinti ENISA priežiūros pajėgumus – kartu su sertifikavimo grupe ENISA turėtų atlikti institucijų, atsakingų už ES sertifikatų išdavimą, nustatytų procedūrų vertinimą;

2) užtikrinti, kad nacionalinės sertifikavimo priežiūros institucijos vykdytų periodinius atitikties vertinimo įstaigų išduotų sertifikatų vertinimus (bent kas dvejus metus);

3) pristatyti bendruosius privalomus kriterijus, kuriuos turi apibrėžti kibernetinio saugumo sertifikavimo grupė ir pagal kuriuos būtų nustatomas 2 punkte nurodytų vertinimų mastas, taikymo sritis ir nacionalinių sertifikavimo priežiūros institucijų atliekamų vertinimų dažnumas.

•  Nuomonės referentas mano, kad galutiniams vartotojams skirtiems sertifikuotiems IRT produktams ir paslaugoms turėtų būti taikomas privalomasis ES patikimumo ženklas. Šis ženklas galėtų padėti didinti informuotumą apie kibernetinį saugumą, o jį užtikrinančioms bendrovėms turėtų suteikti konkurencinį pranašumą.

•  Nuomonės referentas pritaria Komisijos taikomam vienodam ir suderintam požiūriui, tačiau yra įsitikinęs, kad jis turėtų būti lankstesnis ir geriau pritaikomas prie kiekvieno produkto ar paslaugos specifinių savybių ar silpnųjų vietų, o ne grindžiamas vienu visiems tinkamu principu. Todėl nuomonės referentas mano, kad saugumo užtikrinimo lygius reikėtų pervardyti ir taikyti atsižvelgiant į numatomą IRT produktų ir paslaugų panaudojimą. Panašiai sertifikato galiojimo trukmė turėtų būti nustatoma kiekvienos schemos atveju atskirai.

•  Kiekviena sertifikavimo schema turėtų būti sukurta taip, kad skatintų visus susijusio sektoriaus dalyvius tobulinti ir diegti saugumo standartus, technines normas ir saugumo bei privatumo aspektų integravimo projektavimo metu principus visais produkto ar paslaugos gyvavimo ciklo etapais.

PAKEITIMAI

Vidaus rinkos ir vartotojų apsaugos komitetas ragina atsakingą Pramonės, mokslinių tyrimų ir energetikos komitetą atsižvelgti į šiuos pakeitimus:

Pakeitimas    1

Pasiūlymas dėl reglamento

1 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(1)  tinklų ir informacinės sistemos bei telekomunikacijų tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir yra ekonomikos augimo pamatas. Informacinėmis ir ryšių technologijomis grindžiamos sudėtingos sistemos, kurias taikant remiama visuomeninė veikla, užtikrinamas mūsų ekonomikos pagrindinių sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

(1)  tinklų ir informacinės sistemos bei telekomunikacijų tinklai ir paslaugos atlieka visuomenei gyvybiškai svarbų vaidmenį ir yra ekonomikos augimo pamatas. Informacinės ir ryšių technologijos (toliau – IRT) yra sudėtingos sistemos, kurias taikant remiama kasdienė visuomeninė veikla, užtikrinamas pagrindinių ekonomikos sektorių, kaip antai sveikatos, energetikos, finansų ir transporto, funkcionavimas ir visų pirma remiamas vidaus rinkos veikimas;

Pakeitimas    2

Pasiūlymas dėl reglamento

2 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų kibernetinis saugumas yra nepakankamas. Šiomis aplinkybėmis dėl nepakankamo sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų ir paslaugų kibernetinį saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais;

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų kibernetinis saugumas yra nepakankamas. Tokiomis aplinkybėmis dėl nepakankamo sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų ir paslaugų kibernetinį saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais, kuris yra ypač svarbus kuriant skaitmeninę bendrąją rinką;

Pakeitimas    3

Pasiūlymas dėl reglamento

3 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(3)  dėl išaugusio skaitmeninimo ir ryšio padidėjo kibernetinio saugumo rizika, todėl visuomenė yra labiau pažeidžiama dėl kibernetinių grėsmių ir padidėjo gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Siekiant sumažinti šią riziką visuomenei būtina imtis visų reikiamų veiksmų, kad ES būtų padidintas kibernetinis saugumas ir geriau nuo kibernetinių grėsmių apsaugotos tinklų ir informacinės sistemos, telekomunikacijų tinklai ir skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, valdžios institucijos ir įmonės – nuo MVĮ iki ypatingos svarbos infrastruktūros operatorių;

(3)  dėl išaugusio skaitmeninimo ir ryšio smarkiai padidėjo kibernetinio saugumo rizika, todėl visuomenė yra labiau pažeidžiama dėl kibernetinių grėsmių ir padidėjo gyventojams, įskaitant pažeidžiamus asmenis, pvz., vaikus, kylantys pavojai. Dirbtinio intelekto ir mašinų mokymosi pokyčius lemiančią galią panaudos ne tik visa visuomenė, bet ir kibernetiniai nusikaltėliai. Siekiant sumažinti šią riziką visuomenei būtina imtis visų reikiamų veiksmų, kad ES būtų padidinta apsauga nuo kibernetinių išpuolių ir būtų geriau nuo kibernetinių grėsmių apsaugotos tinklų ir informacinės sistemos, telekomunikacijų tinklai ir skaitmeniniai produktai, paslaugos ir įrenginiai, kuriais naudojasi piliečiai, valdžios institucijos ir įmonės – nuo MVĮ iki ypatingos svarbos infrastruktūros operatorių;

Pakeitimas    4

Pasiūlymas dėl reglamento

4 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė ir patikimesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

Pakeitimas    5

Pasiūlymas dėl reglamento

5 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(5)  atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą ir koordinavimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju. Taip pat reikia dėti daugiau pastangų siekiant didinti piliečių ir įmonių informuotumą apie kibernetinio saugumo problemas. Be to, reikėtų dar labiau didinti pasitikėjimą skaitmenine bendrąja rinka teikiant skaidrią informaciją apie IRT produktų ir paslaugų saugumo lygį. To siekti galėtų padėti ES masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose;

(5)  atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą ir koordinavimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju. Taip pat reikia dėti daugiau pastangų siekiant didinti piliečių ir įmonių informuotumą apie kibernetinio saugumo problemas. Be to, atsižvelgiant į tai, kad dėl kibernetinių incidentų mažėja pasitikėjimas, ypač tarp vartotojų, skaitmeninių paslaugų teikėjais ir skaitmenine bendrąja rinka, reikėtų dar labiau didinti pasitikėjimą skaitmenine bendrąja rinka teikiant skaidrią informaciją apie IRT produktų ir paslaugų saugumo lygį. To siekti galėtų padėti standartizuotas ES masto sertifikavimas, paremtas Europos arba tarptautiniais standartais ir numatantis bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose. Greta sertifikavimo visoje Sąjungoje numatyta tam tikrų savanoriškų priemonių, kurių, siekdamas stiprinti pasitikėjimą IRT produktais ir paslaugomis, turėtų imtis pats privatusis sektorius, visų pirma atsižvelgdamas į daiktų interneto įrenginių prieinamumą. Pavyzdžiui, siekiant didinti galutinių vartotojų duomenų ir ryšių saugumą ir bendrą Sąjungos tinklų ir informacinių sistemų saugumą, reikėtų veiksmingiau naudotis šifravimu ir kitomis technologijomis, taip pat technologijomis, kuriomis sėkmingai užkertamas kelias kibernetiniams išpuoliams, pavyzdžiui, blokų grandine;

Pakeitimas    6

Pasiūlymas dėl reglamento

5 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(5a)  nors sertifikavimas ir kitos IRT procesų, produktų ir paslaugų atitikties vertinimo formos atlieka svarbų vaidmenį gerinant kibernetinį saugumą, reikia daugiapakopio požiūrio, apimančio žmones, procesus ir technologijas. ES taip pat turėtų tvirtai pabrėžti ir skatinti kitus veiksmus, įskaitant su kibernetiniu saugumu susijusį švietimą, mokymą ir įgūdžių ugdymą; informuotumo įmonių vadovų ir valdybos lygmenimis didinimą; savanoriško keitimosi informacija apie kibernetinis grėsmes skatinimą; perėjimą nuo reakcinio ES požiūrio prie iniciatyvaus požiūrio reaguojant į grėsmes, pabrėžiant sėkmingų kibernetinių išpuolių prevenciją;

Pakeitimas    7

Pasiūlymas dėl reglamento

7 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į kibernetinio saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą kibernetinio saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). TIS direktyva buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ypatingo svarbos ekonomikai ir visuomenei sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių). Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį;

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į kibernetinio saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą kibernetinio saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). TIS direktyva, kurios sėkmė labai priklausys nuo veiksmingo jos įgyvendinimo valstybėse narėse, buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ekonomikai ir visuomenei ypatingai svarbiuose sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių) sektoriuose. Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį;

Pakeitimas    8

Pasiūlymas dėl reglamento

11 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(11)  atsižvelgiant į didėjančius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje;

(11)  atsižvelgiant į didėjančius kibernetinio saugumo iššūkius ir grėsmes, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje;

Pakeitimas    9

Pasiūlymas dėl reglamento

28 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą apie riziką, susijusią su kibernetiniu saugumu, ir piliečiams bei organizacijoms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Agentūra taip pat turėtų padėti skatinti asmenis ir organizacijas taikyti geriausią patirtį ir sprendimus, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengti ataskaitas siekdama įmonėms ir piliečiams teikti rekomendacijas bei pagerinti bendrą pasirengimo ir atsparumo lygį. Agentūra, bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skatinti informuoti apie galimas grėsmes kibernetinėje erdvėje, įskaitant elektroninius nusikaltimus, kaip antai duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, taip pat skatinti teikti pagrindinę patariamojo pobūdžio informaciją apie autentiškumo patvirtinimą ir duomenų apsaugą. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą;

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą apie riziką, susijusią su kibernetiniu saugumu, ir piliečiams bei organizacijoms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Agentūra taip pat turėtų padėti skatinti asmenis ir organizacijas taikyti geriausią kibernetinės higienos patirtį ir sprendimus, pvz., įprastines priemones, kurių asmenys ir organizacijos gali imtis siekdamos kiek galima sumažinti kibernetinių grėsmių keliamą riziką; tos priemonės galėtų būti daugiaveiksnio autentiškumo patvirtinimas, pataisos, šifravimas ir prieigos valdymas. Agentūra turėtų tai daryti rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengti ir skelbti ataskaitas ir gaires, siekdama įmonėms ir piliečiams teikti rekomendacijas bei pagerinti bendrą pasirengimo ir atsparumo lygį. Agentūra, bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skatinti informuoti apie priemones, kurių būtų galima imtis siekiant apsisaugoti nuo galimų grėsmių kibernetinėje erdvėje, įskaitant elektroninius nusikaltimus, kaip antai duomenų vagystes, kibernetinius išpuolius panaudojant išpirkos reikalaujančią programinę įrangą, pagrobimus, botnetus, finansinį ir bankinį sukčiavimą, taip pat skatinti teikti pagrindinę patariamojo pobūdžio informaciją apie daugiaveiksnio autentiškumo patvirtinimą, šifravimą, pataisas, prieigos valdymo principus, duomenų apsaugą ir kitas saugumo ir privatumo gerinimo technologijas ir anoniminimo priemones. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą ir saugų naudojimąsi paslaugomis Sąjungos lygmeniu skatindama integruotąjį saugumą, kuris labai svarbus prijungtų įrenginių saugumui gerinti, ypač kai įrenginiai skirti pažeidžiamiems vartotojams, įskaitant vaikus, ir integruotąją privatumo apsaugą. Agentūra turėtų skatinti visus galutinius vartotojus imtis atitinkamų priemonių, kad būtų užkirstas kelias incidentams, darantiems įtaką jų tinklų ir informacinių sistemų saugumui, ir sumažintas jų poveikis. Turėtų būti kuriamos partnerystės su akademinėmis įstaigomis, kurios yra parengusios mokslinių tyrimų iniciatyvų atitinkamose kibernetinio saugumo srityse;

Pakeitimas    10

Pasiūlymas dėl reglamento

35 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(35)  Agentūra turėtų skatinti valstybes nares ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti arba pakoreguoti kibernetinio saugumo standartų neatitinkančius produktus ir paslaugas. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų saugumą, įskaitant kibernetinį saugumą;

(35)  Agentūra turėtų skatinti valstybes nares ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti arba pakoreguoti kibernetinio saugumo standartų neatitinkančius produktus ir paslaugas. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų saugumą, įskaitant kibernetinį saugumą. ENISA turėtų viešai paskelbti tokius įspėjimus interneto svetainėje, skirtoje informacijai apie sertifikavimo schemas teikti. Agentūra turėtų parengti saugumo reikalavimų, taikomų Sąjungoje parduodamiems ar iš jos eksportuojamiems IT įrenginiams, gaires. Tokiose gairėse gamintojai galėtų būti raginami pateikti rašytinę deklaraciją, patvirtinančią, kad įrenginyje nėra aparatinės, programinės ar programinės aparatinės įrangos komponentų, turinčių žinomų išnaudotinų saugumo spragų, arba slaptažodžių ar prieigos kodų, kurių neįmanoma pakeisti, arba kurie yra neužšifruoti, negebantys priimti tinkamai nustatytos tapatybės ir patikimų naujinių, taip pat kad pardavėjo atsakas dėl atitinkamų įrenginių apimtų tinkamą teisių gynimo priemonių hierarchiją, o pardavėjai informuotų galutinius vartotojus, kada baigiasi įrenginio saugumo priežiūra;

Pakeitimas    11

Pasiūlymas dėl reglamento

36 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(36a)  standartai – tai savanoriška, į rinką orientuota priemonė, kuria teikiami techniniai reikalavimai ir rekomendacijos, parengta per atvirą, skaidrų ir įtraukų procesą. Taikant standartus palengvinama prekių ir paslaugų atitiktis Sąjungos teisei ir palaikomos Europos politikos kryptys pagal Reglamentą (ES) Nr. 1025/2012 dėl Europos standartizacijos. Agentūra turėtų reguliariai konsultuotis ir bendradarbiauti su Europos standartizacijos organizacijomis, ypač rengdama Europos sertifikavimo schemas;

Pakeitimas    12

Pasiūlymas dėl reglamento

44 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė suinteresuotųjų subjektų grupė pagrindinį dėmesį turėtų skirti suinteresuotiesiems subjektams svarbiems klausimams ir į tuos klausimus atkreipti Agentūros dėmesį. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą Agentūros veikloje;

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis, akademinės bendruomenės atstovais ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė suinteresuotųjų subjektų grupė pagrindinį dėmesį turėtų skirti suinteresuotiesiems subjektams svarbiems klausimams ir į tuos klausimus atkreipti Agentūros dėmesį. Siekiant užtikrinti deramą suinteresuotųjų subjektų dalyvavimą kibernetinio saugumo sistemoje, nuolatinė suinteresuotųjų subjektų grupė taip pat turėtų patarti, kokius IRT produktus ir paslaugas reikėtų įtraukti į Europos kibernetinio saugumo sertifikavimo schemas, taip pat turėtų teikti pasiūlymus Komisijai prašyti Agentūros parengti potencialias tokių IRT produktų ir paslaugų schemas savo iniciatyva arba gavusi atitinkamų suinteresuotųjų subjektų pateiktus siūlymus. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti veiksmingą ir teisingą suinteresuotųjų subjektų atstovavimą Agentūros veikloje;

Pakeitimas    13

Pasiūlymas dėl reglamento

46 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(46)  siekiant užtikrinti visišką Agentūros autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, Agentūrai turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir Agentūros veikloje dalyvaujančių trečiųjų šalių įnašai. Dauguma Agentūros darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant Agentūros įgaliojimus. Agentūrą priimančiajai valstybei narei arba bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie Agentūros pajamų. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti Agentūros apskaitos auditą, kad būtų užtikrintas skaidrumas ir atskaitomybė;

(46)  siekiant užtikrinti visišką Agentūros autonomiją ir nepriklausomumą ir suteikti jai galimybę vykdyti papildomas ir naujas užduotis, įskaitant nenumatytas užduotis kritiniais atvejais, Agentūrai turėtų būti skiriamas pakankamas ir nepriklausomas biudžetas, kurio pajamas iš esmės sudarytų Sąjungos įnašas ir Agentūros veikloje dalyvaujančių trečiųjų šalių įnašai. Dauguma Agentūros darbuotojų turėtų tiesiogiai dalyvauti praktiškai vykdant Agentūros įgaliojimus. Agentūrą priimančiajai valstybei narei arba bet kuriai kitai valstybei narei turėtų būti leidžiama savanoriškais įnašais prisidėti prie Agentūros pajamų. Mokant subsidijas iš Sąjungos bendrojo biudžeto, turėtų būti taikoma Sąjungos biudžeto procedūra. Be to, Audito Rūmai turėtų atlikti Agentūros apskaitos auditą, kad būtų užtikrintas skaidrumas, atskaitomybė ir lėšų panaudojimo efektyvumas bei veiksmingumas;

Pakeitimas    14

Pasiūlymas dėl reglamento

47 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(47)  atitikties vertinimas – procesas, kuriuo nustatoma, ar produktas, procesas, paslauga, sistema, asmuo arba įstaiga atitinka jiems nustatytus reikalavimus. Šiame reglamente laikytina, jog sertifikavimas yra nepriklausomos trečiosios šalies, išskyrus produkto gamintoją ar paslaugos teikėją, atliekamas produkto, proceso, paslaugos, sistemos arba jų derinio (IRT produktų ir paslaugų) kibernetinio saugumo savybių atitikties vertinimas. Pats sertifikavimas savaime negali užtikrinti, kad IRT produktai ir paslaugos kibernetiniu požiūriu yra saugūs. Tai greičiau procedūra ir techninė metodika, kuriomis patvirtinama, kad IRT produktai ir paslaugos buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus;

(47)  atitikties vertinimas – procesas, kuriuo nustatoma, ar produktas, procesas, paslauga, sistema, asmuo arba įstaiga atitinka jiems nustatytus reikalavimus. Šiame reglamente laikytina, jog sertifikavimas yra nepriklausomos trečiosios šalies atliekamas produkto, proceso, paslaugos, sistemos arba jų derinio (IRT produktų ir paslaugų) kibernetinio saugumo savybių atitikties vertinimas arba savideklaracijos procedūros taikymas. Pats sertifikavimas savaime negali užtikrinti, kad IRT produktai ir paslaugos kibernetiniu požiūriu yra saugūs, ir galutinis vartotojas turėtų tai žinoti. Tai greičiau procedūra ir techninė metodika, kuriomis patvirtinama, kad IRT produktai ir paslaugos, taip pat pagrindiniai procesai ir sistemos buvo išbandyti ir kad jie atitinka tam tikrus kitur, pavyzdžiui, techniniuose standartuose, nustatytus kibernetinio saugumo reikalavimus;

Pakeitimas    15

Pasiūlymas dėl reglamento

48 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(48)  kibernetinio saugumo sertifikavimas yra labai svarbus didinant pasitikėjimą IRT produktais ir paslaugomis bei jų saugumą. Bendroji skaitmeninė rinka, visų pirma duomenų ekonomika ir daiktų internetas, ir gali klestėti tik jei visuomenė tikės, jog tokie produktai ir paslaugos užtikrina tam tikro lygio kibernetinį saugumą. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizacijos valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba gali būti naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus TIS direktyva reglamentuojamiems sektoriams;

(48)  europinis kibernetinio saugumo sertifikavimas yra ypač svarbus didinant pasitikėjimą IRT produktais ir paslaugomis bei jų saugumą. Bendroji skaitmeninė rinka, visų pirma duomenų ekonomika ir daiktų internetas, gali klestėti tik jei visuomenė tikės, kad tokie produktai ir paslaugos užtikrina aukšto lygio kibernetinį saugumą. Susietųjų ir automatizuotų automobilių, elektroninių medicinos priemonių, pramoninių automatizacijos valdymo sistemų ar pažangiųjų elektros energijos tinklų sektoriai yra tik keli sektorių, kuriuose sertifikavimas jau yra plačiai naudojamas arba gali būti naudojamas artimiausioje ateityje, pavyzdžiai. Kibernetinio saugumo sertifikavimas taip pat yra itin svarbus TIS direktyva reglamentuojamiems sektoriams;

Pakeitimas    16

Pasiūlymas dėl reglamento

50 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(50)  šiuo metu IRT produktų ir paslaugų kibernetinio saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės kibernetinio saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu;

(50)  šiuo metu IRT produktų ir paslaugų kibernetinio saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės kibernetinio saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, kai jos dalyvauja nacionalinėse viešųjų pirkimų procedūrose, o tai didina jų išlaidas. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, rizika pagrįsto saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu;

Pakeitimas    17

Pasiūlymas dėl reglamento

52 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(52)  atsižvelgiant į tai, kas išdėstyta pirmiau, būtina sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų ir paslaugų sertifikatus pripažinti ir taikyti visose valstybėse narėse. Europine sistema turėtų būti siekiama dvejopo tikslo. Viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais ir paslaugomis, kurie buvo sertifikuoti pagal tas schemas. Kita vertus, ji turėtų padėti išvengti vienas kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų daugėjimo ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Šios schemos turėtų būti nediskriminacinės ir pagrįstos tarptautiniais ir (arba) Sąjungos standartais, išskyrus atvejus, kai tie standartai yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities ES tikslus;

(52)  atsižvelgiant į tai, kas išdėstyta pirmiau, būtina priimti bendrą požiūrį ir sukurti Europos kibernetinio saugumo sertifikavimo sistemą, kurioje būtų nustatyti pagrindiniai kuriamoms Europos kibernetinio saugumo sertifikavimo schemoms keliami horizontalieji reikalavimai ir kuria būtų sudarytos sąlygos IRT produktų ir paslaugų sertifikatus pripažinti ir taikyti visose valstybėse narėse. Tokiu atveju labai svarbu remtis esamomis nacionalinėmis ir tarptautinėmis schemomis, taip pat abipusio pripažinimo sistemomis, ypač SOG-IS, ir sudaryti sąlygas sklandžiam perėjimui nuo esamų schemų pagal tokias sistemas prie schemų pagal naująją Europos sistemą. Europine sistema turėtų būti siekiama dvejopo tikslo. Viena vertus, ji turėtų padėti didinti pasitikėjimą IRT produktais ir paslaugomis, kurie buvo sertifikuoti pagal tas schemas. Kita vertus, ji turėtų padėti išvengti vienas kitai prieštaraujančių arba besidubliuojančių nacionalinių kibernetinio saugumo sertifikavimo schemų daugėjimo ir taip sumažinti bendrojoje skaitmeninėje rinkoje veikiančių įmonių išlaidas. Kai Europos kibernetinio saugumo sertifikatas pakeis nacionalinę schemą, pagal Europos schemą išduodami sertifikatai turėtų būti pripažįstami galiojančiais tais atvejais, kai reikalingas sertifikavimas pagal nacionalinę schemą. Šios schemos turėtų būti grindžiamos integruotuoju saugumu ir principais, nurodytais Reglamente (ES) 2016/679. Jos taip pat turėtų būti nediskriminacinės ir pagrįstos tarptautiniais ir (arba) Sąjungos standartais, išskyrus atvejus, kai tie standartai yra neveiksmingi arba netinkami siekiant įgyvendinti teisėtus šios srities ES tikslus;

Pakeitimas    18

Pasiūlymas dėl reglamento

52 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(52a)  siekiant išvengti palankesnio ES sertifikatų išdavimo sąlygų ieškojimo praktikos, kuri taikoma dėl skirtingų kainų arba skirtingo reikalavimų lygmens valstybėse narėse, ši Europos kibernetinio saugumo sertifikavimo sistema turi būti visose valstybėse narėse diegiama vienodai;

Pakeitimas    19

Pasiūlymas dėl reglamento

55 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(55)  Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti užtikrinti, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitiktų nustatytus reikalavimus. Tokie reikalavimai pagal šį reglamentą yra susiję su pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams ir paslaugoms keliamų kibernetinio saugumo reikalavimų. IRT produktai ir paslaugos bei susiję kibernetinio saugumo poreikiai yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai bus pasiekti sertifikuojant konkrečius IRT produktus ir paslaugas, turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas;

(55)  Europos kibernetinio saugumo sertifikavimo schemų tikslas turėtų būti padėti pasiekti aukštą galutinių vartotojų apsaugos ir Europos konkurencingumo lygį, taip pat padidinti saugumo lygį bendrojoje skaitmeninėje rinkoje, konkrečiau, užtikrinti, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitiktų nustatytus reikalavimus. Tokie reikalavimai pagal šį reglamentą yra susiję su pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais procesais, produktais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui. Šiame reglamente neįmanoma išsamiai nustatyti visiems IRT produktams ir paslaugoms keliamų kibernetinio saugumo reikalavimų. IRT produktai ir paslaugos bei susiję kibernetinio saugumo poreikiai yra tokie įvairūs, kad labai sunku nustatyti bendrus visiems produktams ir paslaugoms galiojančius kibernetinio saugumo reikalavimus. Todėl sertifikavimo tikslu reikalinga plati ir bendra kibernetinio saugumo samprata, kurią papildytų konkretūs kibernetinio saugumo tikslai, į kuriuos turi būti atsižvelgta rengiant Europos kibernetinio saugumo sertifikavimo schemas. Kaip tie tikslai bus pasiekti sertifikuojant konkrečius IRT produktus ir paslaugas, turėtų būti toliau išsamiai nurodyta atskiros Komisijos tvirtinamos sertifikavimo schemos lygmeniu, pavyzdžiui, nurodant standartus ar technines specifikacijas. Labai svarbu, kad kiekviena Europos kibernetinio saugumo sertifikavimo schema būtų sukurta taip, kad skatintų visus susijusio sektoriaus dalyvius tobulinti ir diegti saugumo standartus, technines normas ir integruotojo saugumo principus visais produkto ar paslaugos gyvavimo ciklo etapais. Jeigu schemoje numatomas ženklų arba etikečių naudojimas, turi būti nurodomos tokių ženklų arba etikečių naudojimo sąlygos. Tokiu ženklu (tai galėtų būti skaitmeninis logotipas arba QR kodas) būtų nurodoma su įrenginių veikimu ir naudojimu siejama IRT gaminių ir paslaugų rizika; ženklas turėtų būti aiškus ir lengvai suprantamas galutiniam vartotojui;

Pakeitimas    20

Pasiūlymas dėl reglamento

55 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(55a)  atsižvelgiant į naujovių diegimo tendencijas ir didėjantį daiktų interneto įrenginių prieinamumą bei nuolat augantį jų skaičių visuose visuomenės sektoriuose, ypatingas dėmesys turi būti skiriamas visų ir net paprasčiausių daiktų interneto produktų saugumui. Todėl, kadangi sertifikavimas yra pagrindinis būdas didinti pasitikėjimą rinka, saugumą bei atsparumą, reikėtų atkreipti dėmesį į daiktų interneto produktus ir paslaugas naujoje ES kibernetinio saugumo sertifikavimo sistemoje, kad jie būtų mažiau pažeidžiami ir saugesni vartotojams ir įmonėms;

Pakeitimas    21

Pasiūlymas dėl reglamento

56 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(56)  Komisijai turėtų būti suteikti įgaliojimai prašyti ENISA parengti konkretiems IRT produktams ir paslaugoms taikomas potencialias schemas. Tada Komisija turėtų būti įgaliota agentūros ENISA pasiūlytos potencialios schemos pagrindu patvirtinti Europos kibernetinio saugumo sertifikavimo schemą priimdama įgyvendinimo aktą. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, Komisijos patvirtintose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Jie, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat sertifikuojamų IRT produktų ir paslaugų kategorijas, išsamius kibernetinio saugumo reikalavimus, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus bei numatomą saugumo užtikrinimo lygį, kuris gali būti bazinis, pakankamas ir (arba) aukštas;

(56)  ENISA turėtų administruoti specialią interneto svetainę, kurioje pasitelkiant patogią naudoti interneto priemonę būtų teikiama informacija apie priimtas schemas, potencialias schemas ir Komisijos prašomas schemas. Atsižvelgiant į bendrąjį šio reglamento tikslą ir jame nustatytus saugumo tikslus, Komisijos patvirtintose Europos kibernetinio saugumo sertifikavimo schemose turėtų būti nustatyti būtiniausi individualios schemos elementai, susiję su dalyku, taikymo sritimi ir veikimu. Jie, be kita ko, turėtų apimti kibernetinio saugumo sertifikavimo taikymo sritį ir tikslą, taip pat sertifikuojamų IRT produktų ir paslaugų kategorijas, išsamius kibernetinio saugumo reikalavimus, pavyzdžiui, nurodant standartus ar technines specifikacijas, konkrečius vertinimo kriterijus ir vertinimo metodus, siejamus su IRT produktų, procesų ar paslaugų veikimu ar naudojimu, jiems būdinga rizika ir numatomu saugumo užtikrinimo lygiu: „funkciškai saugus“, t. y. kai užtikrinamas funkcinis saugumo lygis „pakankamai saugus“, „labai saugus“ arba bet koks jų derinys. Saugumo užtikrinimo lygiai nereiškia absoliutaus saugumo, ir galutinis vartotojas neturi taip galvoti. Turi būti atsižvelgiama į visą produkto gyvavimo ciklą. Siekdama patikslinti, kokią riziką konkretus produktas arba paslauga gali atlaikyti, ENISA turėtų koordinuoti rizikos, su kuria susijęs su IRT procesas, produktas ar paslauga gali susidurti jį naudojant tam tikros kategorijos vartotojams tam skirtoje aplinkoje, kontrolinio sąrašo sudarymą;

Pakeitimas    22

Pasiūlymas dėl reglamento

56 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56a)  Komisijai turėtų būti suteikti įgaliojimai prašyti ENISA parengti konkretiems IRT produktams ir paslaugoms taikomas potencialias schemas. Komisijai turėtų būti suteikti įgaliojimai pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį priimti aktus, kuriais nustatomos Europos kibernetinio saugumo sertifikavimo schemos IRT produktams ir paslaugoms. Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais, ir kad tos konsultacijos būtų vykdomos vadovaujantis 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros nustatytais principais. Visų pirma, siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus turėtų gauti tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams turėtų būti sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose. Priimdama tuos deleguotuosius aktus, Komisija turėtų pagrįsti kibernetinio saugumo sertifikavimo schemas, skirtas IRT produktams ir paslaugoms, bet kokiomis tinkamomis potencialiomis schemomis, kurias pasiūlo ENISA. Siekiama palaikyti pasitikėjimą kibernetinio saugumo sertifikavimo sistema ir jos nuspėjamumą bei didinti visuomenės informuotumą;

Pakeitimas    23

Pasiūlymas dėl reglamento

56 b konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(56b)  be vertinimo metodų ir vertinimo procedūrų, susijusių su kiekviena Europos kibernetinio saugumo sertifikavimo schema, Sąjungos lygmeniu turėtų būti skatinamas etiško įsilaužimo metodas, kurio tikslas – nustatyti prietaisų ir informacinių sistemų silpnąsias vietas bei spragas, iš anksto numatant piktavališkų įsilaužėlių ketinimus ir įgūdžius;

Pakeitimas    24

Pasiūlymas dėl reglamento

58 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(58)  patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT paslaugų teikėjai turėtų turėti galimybę teikti prašymą savo pasirinkai atitikties vertinimo įstaigai savo produktams arba paslaugoms sertifikuoti. Tam tikrus šiame reglamente nustatytus reikalavimus atitinkančias atitikties vertinimo įstaigas turėtų akredituoti akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau vykdo reikalavimus. Akreditacijos įstaigos turėtų panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu veiksmais, kurių imasi atitikties vertinimo įstaiga, pažeidžiamas šis reglamentas;

(58)  patvirtinus Europos kibernetinio saugumo sertifikavimo schemą IRT produktų gamintojai arba IRT paslaugų teikėjai turėtų turėti galimybę teikti prašymą savo pasirinktai atitikties vertinimo įstaigai savo procesams, produktams arba paslaugoms sertifikuoti arba savarankiškai deklaruoti, kad jų produktai arba paslaugos atitinka konkrečią Europos kibernetinio saugumo sertifikavimo schemą. Tam tikrus šiame reglamente nustatytus reikalavimus atitinkančias atitikties vertinimo įstaigas turėtų akredituoti akreditacijos įstaiga. Akreditacija turėtų būti suteikiama ne ilgesniam kaip penkerių metų laikotarpiui ir gali būti pratęsta tomis pačiomis sąlygomis, jei atitikties vertinimo įstaiga toliau vykdo reikalavimus. Akreditacijos įstaigos turėtų panaikinti atitikties vertinimo įstaigos akreditaciją, jeigu akreditacijos sąlygos nevykdomos arba nebevykdomos arba jeigu veiksmais, kurių imasi atitikties vertinimo įstaiga, pažeidžiamas šis reglamentas. Siekiant užtikrinti, kad akreditacija visoje Europos Sąjungoje būtų taikoma vienodai, nacionalinės sertifikavimo priežiūros institucijos turėtų būti vertinamos tarpusavyje produktų, kuriems taikomas kibernetinio saugumo sertifikavimas, atitikties reikalavimams procedūrų požiūriu;

Pakeitimas    25

Pasiūlymas dėl reglamento

59 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(59)  būtina reikalauti, kad visos valstybės narės paskirtų po vieną kibernetinio saugumo sertifikavimo priežiūros instituciją prižiūrėti atitikties įvertinimo įstaigų ir jų teritorijoje įsisteigusių atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šio reglamento ir atitinkamų kibernetinio saugumo sertifikavimo schemų reikalavimams. Nacionalinės sertifikavimo priežiūros institucijos turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, tirti, kiek tinkama, skundo dalyką ir per pagrįstą laikotarpį informuoti skundo teikėją apie tyrimo eigą ir rezultatus. Be to, jos turėtų bendradarbiauti su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių kibernetinio saugumo schemų reikalavimams;

(59)  būtina reikalauti, kad visos valstybės narės paskirtų po vieną kibernetinio saugumo sertifikavimo priežiūros instituciją prižiūrėti atitikties įvertinimo įstaigų ir jų teritorijoje įsisteigusių atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šio reglamento ir atitinkamų kibernetinio saugumo sertifikavimo schemų reikalavimams. Nacionalinės sertifikavimo priežiūros institucijos turėtų nagrinėti fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, tirti, kiek tinkama, skundo dalyką ir per pagrįstą laikotarpį informuoti skundo teikėją apie tyrimo eigą ir rezultatus. Be to, jos turėtų bendradarbiauti su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių kibernetinio saugumo schemų reikalavimams. Jos taip pat turėtų prižiūrėti ir tikrinti atitikties savideklaracijų atitiktį ir tai, ar Europos atitikties vertinimo įstaigos išdavė Europos kibernetinio saugumo pažymėjimus pagal šiame reglamente nustatytus reikalavimus, įskaitant Europos kibernetinio saugumo sertifikavimo grupės priimtas taisykles ir reikalavimus, nustatytus atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje. Veiksmingas nacionalinių sertifikavimo priežiūros institucijų bendradarbiavimas yra būtinas tam, kad būtų tinkamai įgyvendintos Europos kibernetinio saugumo sertifikavimo schemos ir sprendžiamos su IRT produktų ir paslaugų kibernetiniu saugumu susijusios techninės problemos. Suteikdama prieigą prie bendrosios elektroninės informacijos teikimo sistemos, pavyzdžiui, rinkos priežiūros informacinės ryšių sistemos (ICSMS) ir skubių pranešimų apie pavojingus ne maisto produktus sistemos (RAPEX), kuriomis pagal Reglamentą (EB) Nr. 765/2008 jau naudojasi rinkos priežiūros institucijos, Komisija turėtų sudaryti palankias sąlygas taip keistis informacija;

Pakeitimas    26

Pasiūlymas dėl reglamento

63 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(63)  siekiant išsamiau nustatyti atitikties vertinimo įstaigų akreditavimo kriterijus, pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį Komisijai turėtų būti suteikti įgaliojimai priimti deleguotuosius aktus. Atlikdama parengiamąjį darbą Komisija turėtų tinkamai konsultuotis, taip pat ekspertų lygmeniu. Šios konsultacijos turėtų būti vykdomos laikantis principų, išdėstytų 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros. Visų pirma, siekiant užtikrinti vienodas galimybes dalyvauti atliekant su deleguotaisiais aktais susijusį parengiamąjį darbą, Europos Parlamentas ir Taryba visus dokumentus turėtų gauti tuo pačiu metu kaip ir valstybių narių ekspertai, o jų ekspertams turėtų būti sistemingai suteikiama galimybė dalyvauti Komisijos ekspertų grupių, kurios atlieka su deleguotaisiais aktais susijusį parengiamąjį darbą, posėdžiuose;

Išbraukta.

Pakeitimas    27

Pasiūlymas dėl reglamento

65 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(65)  turėtų būti naudojama nagrinėjimo procedūra siekiant priimti įgyvendinimo aktus dėl IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemų, dėl Agentūros atliekamų tyrimų tvarkos, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių sertifikavimo priežiūros institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas;

(65)  turėtų būti naudojama nagrinėjimo procedūra siekiant priimti įgyvendinimo aktus dėl IRT procesų, produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemų, dėl Agentūros atliekamų tyrimų tvarkos, taip pat dėl aplinkybių, formatų ir procedūrų, susijusių su nacionalinių sertifikavimo priežiūros institucijų pranešimu Komisijai apie akredituotas atitikties vertinimo įstaigas, atsižvelgiant į patikrintą informacinės sistemos „Naujojo požiūrio paskelbtos ir paskirtos organizacijos“ (NANDO) veiksmingumą;

Pakeitimas    28

Pasiūlymas dėl reglamento

66 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(66)  Agentūros veikla turėtų būti vertinama nepriklausomai. Atliekant vertinimą turėtų būti atsižvelgiama į Agentūros tikslų siekimą, jos darbo metodus ir jos užduočių aktualumą. Atliekant vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas;

(66)  Agentūros veikla turėtų būti vertinama nepriklausomai. Atliekant vertinimą turėtų būti atsižvelgiama į Agentūros lėšų panaudojimo tikslumą ir veiksmingumą, jos efektyvumą siekiant tikslų, jos darbo metodų aprašymą ir jos užduočių aktualumą. Atliekant vertinimą taip pat turėtų būti įvertintas Europos kibernetinio saugumo sertifikavimo sistemos poveikis, veiksmingumas ir efektyvumas;

Pakeitimas    29

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 11 punktas

Komisijos siūlomas tekstas

Pakeitimas

11)  IRT produktas ir paslauga – bet kuris tinklų ir informacinių sistemų elementas arba elementų grupė;

11)  IRT procesas, produktas ir paslauga – produktas, paslauga, procesas, sistema arba jų derinys, kuris yra tinklų ir informacinių sistemų elementas;

 

(Šis pakeitimas taikomas visam tekstui. Jį priėmus reikės padaryti atitinkamus viso teksto pakeitimus.)

Pakeitimas    30

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 11 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

11a)  nacionalinė sertifikavimo priežiūros institucija – valstybės narės institucija, atsakinga už užduočių, susijusių su kibernetinio saugumo sertifikavimo stebėsena, vykdymu ir priežiūra savo teritorijoje, vykdymą;

Pakeitimas    31

Pasiūlymas dėl reglamento

2 straipsnio 1 pastraipos 16 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

16a)  atitikties savideklaracija – gamintojo pareiškimas, kuriuo patvirtinama, kad jo IRT produktas ar paslauga atitinka nurodytas Europos kibernetinio saugumo sertifikavimo schemas;

Pakeitimas    32

Pasiūlymas dėl reglamento

3 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Agentūra prisiima jai šiuo reglamentu paskirtas užduotis, kad padėtų užtikrinti aukštą Sąjungos kibernetinio saugumo lygį.

1.  Agentūra prisiima jai šiuo reglamentu paskirtas užduotis, kad padėtų pasiekti aukštą bendrąjį kibernetinio saugumo lygį, siekiant Sąjungoje užkirsti kelią kibernetiniams išpuoliams, sumažinti vidaus rinkos susiskaidymą ir pagerinti jos veikimą.

Pakeitimas    33

Pasiūlymas dėl reglamento

4 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Agentūra didina Sąjungos lygmens kibernetinio saugumo pajėgumus, kad papildytų valstybių narių veiksmus užkertant kelią kibernetinėms grėsmėms ir reaguojant į jas, visų pirma tarpvalstybinių incidentų atveju.

5.  Agentūra prisideda didinant Sąjungos lygmens kibernetinio saugumo pajėgumus, kad papildytų ir sustiprintų valstybių narių veiksmus užkertant kelią kibernetinėms grėsmėms ir reaguojant į jas, visų pirma tarpvalstybinių incidentų atveju.

Pakeitimas    34

Pasiūlymas dėl reglamento

4 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6.  Agentūra skatina sertifikavimo naudojimą, be kita ko, prisidėdama prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo pagal šio reglamento III antraštinę dalį, siekiant didinti IRT produktų ir paslaugų kibernetinio saugumo užtikrinimo skaidrumą ir taip sustiprinti pasitikėjimą skaitmenine vidaus rinka.

6.  Agentūra skatina sertifikavimo ir standartizavimo naudojimą, tuo pačiu vengdama susiskaidymo, kurį lemia nepakankamas esamų sertifikavimo sistemų Sąjungoje koordinavimas. Agentūra prisideda prie Sąjungos lygmens kibernetinio saugumo sertifikavimo sistemos sukūrimo ir taikymo pagal 43–54 straipsnius [III antraštinė dalis], siekiant didinti IRT produktų ir paslaugų kibernetinio saugumo užtikrinimo skaidrumą ir taip sustiprinti pasitikėjimą bendrąja skaitmenine rinka.

Pakeitimas    35

Pasiūlymas dėl reglamento

4 straipsnio 7 dalis

Komisijos siūlomas tekstas

Pakeitimas

7.  Agentūra skatina aukšto lygio piliečių ir įmonių informavimą apie kibernetinį saugumą.

7.  Agentūra skatina aukšto lygio piliečių, valdžios institucijų ir įmonių informavimą apie kibernetinį saugumą.

Pakeitimas    36

Pasiūlymas dėl reglamento

5 straipsnio 1 pastraipos 1 punktas

Komisijos siūlomas tekstas

Pakeitimas

1.  padėdama ir konsultuodama, ypač teikdama nepriklausomą nuomonę ir atlikdama parengiamąjį darbą, susijusį su Sąjungos politikos ir teisės plėtojimu ir peržiūra kibernetinio saugumo srityje, taip pat su konkretiems sektoriams skirtomis politikos ir teisės iniciatyvomis, susijusiomis su kibernetinio saugumo klausimais;

1.  padėdama ir konsultuodama srityse, susijusiose su Sąjungos politikos ir teisės plėtojimu ir peržiūra kibernetinio saugumo srityje, taip pat su konkretiems sektoriams skirtomis politikos ir teisės iniciatyvomis, susijusiomis su kibernetinio saugumo klausimais;

Pagrindimas

Agentūrai turėtų būti suteikta galimybė laisvai pasirinkti priemones, skirtas jos užduotims atlikti.

Pakeitimas    37

Pasiūlymas dėl reglamento

5 straipsnio 1 pastraipos 2 a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  padėdama Europos duomenų apsaugos valdybai, įsteigtai Reglamentu (ES) 2016/679, techniniu lygmeniu konkrečiai nustatyti sąlygas, kuriomis duomenų valdytojai gali teisėtai naudoti asmens duomenis IT saugumo tikslais, siekdami apsaugoti savo infrastruktūrą – nustatyti ir užblokuoti atakas prieš jų informacines sistemas, atsižvelgiant į: i) Reglamentą (ES) 2016/6791a; ii) Direktyvą (ES) 2016/11481b; ir iii) Direktyvą 2002/58/EB1c;

 

_________________

 

1a 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

 

1b 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

 

1c 2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1).

Pagrindimas

Nustatomi tinkami bendradarbiavimo mechanizmai.

Pakeitimas    38

Pasiūlymas dėl reglamento

5 straipsnio 1 dalies 4 punkto 2 papunktis

Komisijos siūlomas tekstas

Pakeitimas

2)  didesnio elektroninių ryšių saugumo propagavimą, įskaitant ekspertinių žinių teikimą ir konsultavimą, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis geriausia patirtimi;

2)  didesnio elektroninių ryšių, duomenų saugojimo ir duomenų tvarkymo saugumo propagavimą, įskaitant ekspertinių žinių teikimą ir konsultavimą, taip pat sudarydama kompetentingoms institucijoms palankias sąlygas keistis geriausia patirtimi;

Pakeitimas    39

Pasiūlymas dėl reglamento

6 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Agentūra sudaro palankias sąlygas ilgalaikiam Europos IT saugumo projektui sukurti ir pradėti; projekto tikslas – paremti nepriklausomos ES kibernetinio saugumo pramonės augimą ir integruoti kibernetinį saugumą į visas naujas ES IRT technologijas.

Pagrindimas

ENISA turėtų teikti patarimus teisės aktų leidėjams politikos rengimo klausimu, kad ES galėtų pasivyti trečiųjų valstybių IT saugumo pramonę. Projektas turėtų būti tokio masto, kuris būtų panašus į tai, kas buvo pasiekta aviacijos sektoriuje („Airbus“ pavyzdys). To reikia siekiant išvystyti stipresnę, suverenią ir patikimą ES IRT pramonę (žr. Mokslinių ir technologinių sprendimų vertinimo (STOA) tarnybos tyrimą PE 614.531).

Pakeitimas    40

Pasiūlymas dėl reglamento

7 straipsnio 5 dalies 1 pastraipa

Komisijos siūlomas tekstas

Pakeitimas

Dviem arba daugiau susijusių valstybių narių paprašius ir tiktai vieninteliu tikslu – pakonsultuoti dėl būsimų incidentų prevencijos – Agentūra padeda atlikti arba atlieka incidentų, turinčių didelį arba esminį poveikį pagal Direktyvą (ES) 2016/1148, techninį ex post tyrimą pagal suinteresuotų įmonių pranešimus. Agentūra taip pat atlieka tokį tyrimą Komisijai pateikus tinkamai pagrįstą prašymą ir susijusioms valstybėms narėms pritarus, jeigu tokie incidentai paveikia daugiau nei dvi valstybes nares.

Vienai arba daugiau susijusių valstybių narių paprašius ir tiktai vieninteliu tikslu – pakonsultuoti dėl būsimų incidentų prevencijos – Agentūra padeda atlikti arba atlieka incidentų, turinčių didelį arba esminį poveikį pagal Direktyvą (ES) 2016/1148, techninį ex post tyrimą pagal suinteresuotų įmonių pranešimus. Agentūra taip pat atlieka tokį tyrimą Komisijai pateikus tinkamai pagrįstą prašymą ir susijusioms valstybėms narėms pritarus, jeigu tokie incidentai paveikia daugiau nei dvi valstybes nares.

Pakeitimas    41

Pasiūlymas dėl reglamento

7 straipsnio 8 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  apibendrindama nacionalinių šaltinių ataskaitas, kad padėtų užtikrinti bendrą informuotumą apie padėtį;

a)  apibendrindama nacionalinių ir tarptautinių šaltinių ataskaitas, kad padėtų užtikrinti bendrą informuotumą apie padėtį;

Pakeitimas    42

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 1 a papunktis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

1a)  bendradarbiaudama su Europos kibernetinio saugumo sertifikavimo grupe atlikdama Europos kibernetinio saugumo sertifikatų išdavimo procedūrų, vykdomų atitikties vertinimo įstaigų, kaip nurodyta 51 straipsnyje, vertinimą, kurio tikslas – užtikrinti, kad atitikties vertinimo įstaigos, išduodamos sertifikatus, vienodai taikytų šį reglamentą;

Pakeitimas    43

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 1 b papunktis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

1b)  atlikdama nepriklausomus reguliarius ex post sertifikuotų IRT produktų ir paslaugų atitikties Europos kibernetinio saugumo sertifikavimo schemoms patikrinimus;

Pakeitimas    44

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos a punkto 3 papunktis

Komisijos siūlomas tekstas

Pakeitimas

3)  rengdama ir skelbdama gaires ir formuodama gerąją praktiką, susijusią su IRT produktų ir paslaugų kibernetinio saugumo reikalavimais, bendradarbiaudama su nacionalinėmis sertifikavimo priežiūros institucijomis ir sektoriaus atstovais;

3)  rengdama ir skelbdama gaires ir formuodama gerąją praktiką, susijusią su IRT produktų ir paslaugų kibernetinio saugumo reikalavimais, įskaitant kibernetinės higienos principus ir atgrasymą nuo slaptų užpakalinių durų ieškojimo, bendradarbiaudama su nacionalinėmis sertifikavimo priežiūros institucijomis ir sektoriaus atstovais vykstant oficialiam, standartizuotam ir skaidriam procesui;

Pakeitimas    45

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  padeda nustatyti ir įgyvendinti Europos ir tarptautinius rizikos valdymo ir IRT produktų ir paslaugų saugumo standartus, taip pat bendradarbiaudama su valstybėmis narėmis parengia rekomendacijas ir gaires dėl techninių sričių, susijusių su saugumo reikalavimais esminių paslaugų operatoriams ir skaitmeninių paslaugų teikėjams, taip pat dėl jau galiojančių standartų, įskaitant valstybių narių nacionalinius standartus, pagal Direktyvos (ES) 2016/1148 19 straipsnio 2 dalį;

b)  konsultuojasi su tarptautiniais standartizacijos organais ir Europos standartizacijos organizacijomis dėl standartų kūrimo, kad būtų užtikrinamas Europos kibernetinio saugumo sertifikavimo schemose naudojamų standartų tinkamumas ir būtų padedama nustatyti ir įgyvendinti atitinkamus Europos ir tarptautinius rizikos valdymo ir IRT produktų ir paslaugų saugumo standartus, taip pat bendradarbiaudama su valstybėmis narėmis parengia rekomendacijas ir gaires dėl techninių sričių, susijusių su saugumo reikalavimais esminių paslaugų operatoriams ir skaitmeninių paslaugų teikėjams, taip pat dėl jau galiojančių standartų, įskaitant valstybių narių nacionalinius standartus, pagal Direktyvos (ES) 2016/1148 19 straipsnio 2 dalį;

Pakeitimas    46

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  parengia gaires dėl to, kaip ir kada valstybės narės turi informuoti viena kitą, kai sužino apie IRT proceso, produkto ar paslaugos, sertifikuoto pagal šio reglamento III antraštinę dalį, saugumo spragas, kurios nėra viešai žinomos, įskaitant gaires dėl spragų atskleidimo politikos koordinavimo;

Pakeitimas    47

Pasiūlymas dėl reglamento

8 straipsnio 1 pastraipos b b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

bb)  parengia saugumo reikalavimų, taikomų Sąjungoje parduodamiems ar iš jos eksportuojamiems IT įrenginiams, gaires.

Pakeitimas    48

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  renka, sutelkia Sąjungos institucijų, agentūrų ir įstaigų pateiktą informaciją apie kibernetinį saugumą ir pateikia ją specialiame portale naudotis visuomenei;

d)  specialiame portale renka, telkia Sąjungos institucijų, agentūrų ir įstaigų pateiktą informaciją apie kibernetinį saugumą, įskaitant informaciją apie svarbius kibernetinio saugumo incidentus ir didelius duomenų pažeidimus, ir padaro ją prieinamą visuomenei;

Pakeitimas    49

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  didina visuomenės informuotumą apie kibernetinio saugumo riziką ir piliečiams bei organizacijoms pateikia atskiriems naudotojams skirtas gerosios praktikos rekomendacijas;

e)  didina visuomenės informuotumą apie kibernetinio saugumo riziką, piliečiams bei organizacijoms pateikia atskiriems naudotojams skirtas gerosios praktikos rekomendacijas, taip pat skatina priimti tvirtas prevencines IT saugumo priemones ir užtikrinti patikimą duomenų apsaugą ir privatumą;

Pakeitimas    50

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos g a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ga)  remia glaudesnį valstybių narių veiksmų bendradarbiavimą ir keitimąsi geriausia patirtimi kibernetinio saugumo švietimo, kibernetinės higienos klausimais ir informuotumo srityse.

Pakeitimas    51

Pasiūlymas dėl reglamento

10 straipsnio 1 pastraipos a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  konsultuoja Sąjungą ir valstybes nares dėl poreikio atlikti mokslinius tyrimus kibernetinio saugumo srityje ir dėl šios srities prioritetų, siekiant sudaryti sąlygas veiksmingai reaguoti į esamą ir naują riziką bei grėsmes, įskaitant susijusias su naujomis ir kuriamomis informacinėmis ir ryšių technologijomis, bei veiksmingai taikyti rizikos prevencijos technologijas;

a)  užtikrina išankstines konsultacijas su atitinkamomis vartotojų grupėmis ir konsultuoja Sąjungą ir valstybes nares dėl poreikio atlikti mokslinius tyrimus kibernetinio saugumo srityje ir dėl šios srities prioritetų, siekiant sudaryti sąlygas veiksmingai reaguoti į esamą ir naują riziką bei grėsmes, įskaitant susijusias su naujomis ir kuriamomis informacinėmis ir ryšių technologijomis, bei veiksmingai taikyti rizikos prevencijos technologijas;

Pakeitimas    52

Pasiūlymas dėl reglamento

13 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Valdančiąją tarybą sudaro po vieną kiekvienos valstybės narės atstovą ir du Komisijos paskirti atstovai. Kiekvienas narys turi balsavimo teisę.

1.  Valdančiąją tarybą sudaro po vieną kiekvienos valstybės narės atstovą ir du Komisijos ir Europos Parlamento paskirti atstovai. Kiekvienas narys turi balsavimo teisę.

Pakeitimas    53

Pasiūlymas dėl reglamento

14 straipsnio 1 pastraipos e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  įvertina ir priima konsoliduotą metinę Agentūros veiklos ataskaitą ir ne vėliau kaip kitų metų liepos 1 d. pateikia tą ataskaitą ir jos vertinimą Europos Parlamentui, Tarybai, Komisijai ir Audito Rūmams. Metinę ataskaitą sudaro finansinės ataskaitos ir joje aprašoma, kaip Agentūra pasiekė savo veiklos rezultatų rodiklius. Metinė ataskaita skelbiama viešai;

e)  įvertina ir priima konsoliduotą metinę Agentūros veiklos ataskaitą ir ne vėliau kaip kitų metų liepos 1 d. pateikia tą ataskaitą ir jos vertinimą Europos Parlamentui, Tarybai, Komisijai ir Audito Rūmams. Metinę ataskaitą sudaro finansinės ataskaitos, joje aprašomas panaudotų lėšų veiksmingumas ir įvertinama, kiek efektyvi buvo Agentūros veikla ir kokiu mastu ji pasiekė savo veiklos rezultatų rodiklius. Metinė ataskaita skelbiama viešai;

Pakeitimas    54

Pasiūlymas dėl reglamento

14 straipsnio 1 dalies m punktas

Komisijos siūlomas tekstas

Pakeitimas

m)  skiria vykdomąjį direktorių ir prireikus pratęsia jo kadenciją arba pašalina jį iš pareigų pagal šio reglamento 33 straipsnį;

m)  skiria vykdomąjį direktorių vykdydama profesiniais kriterijais pagrįstą atranką ir prireikus pratęsia jo kadenciją arba pašalina jį iš pareigų pagal šio reglamento 33 straipsnį;

Pakeitimas    55

Pasiūlymas dėl reglamento

14 straipsnio 1 dalies o punktas

Komisijos siūlomas tekstas

Pakeitimas

o)  atsižvelgdama į Agentūros veiklos poreikius ir patikimą finansų valdymą, priima visus sprendimus dėl Agentūros vidaus struktūrų sukūrimo ir prireikus – keitimo;

o)  atsižvelgdama į šiame reglamente išdėstytus Agentūros veiklos poreikius ir patikimą finansų valdymą, priima visus sprendimus dėl Agentūros vidaus struktūrų sukūrimo ir prireikus – keitimo;

Pakeitimas    56

Pasiūlymas dėl reglamento

19 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Gavęs prašymą, vykdomasis direktorius Europos Parlamentui pateikia savo pareigų vykdymo ataskaitą. Taryba gali paprašyti vykdomojo direktoriaus pateikti jo pareigų vykdymo ataskaitą.

2.  Kiekvienais metais arba gavęs prašymą, vykdomasis direktorius Europos Parlamentui pateikia savo pareigų vykdymo ataskaitą. Taryba gali paprašyti vykdomojo direktoriaus pateikti jo pareigų vykdymo ataskaitą.

Pakeitimas    57

Pasiūlymas dėl reglamento

20 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Valdančioji taryba vykdomojo direktoriaus siūlymu įsteigia nuolatinę suinteresuotųjų subjektų grupę, sudarytą iš pripažintų specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, visuomenei prieinamų elektroninių ryšių tinklų ar paslaugų teikėjams, vartotojų grupėms, kibernetinio saugumo mokslo ekspertams, ir kompetentingų institucijų, apie kurias pranešta pagal [Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas], bei teisėsaugos ir duomenų apsaugos priežiūros institucijų atstovų.

1.  Valdančioji taryba vykdomojo direktoriaus siūlymu įsteigia nuolatinę suinteresuotųjų subjektų grupę, sudarytą iš pripažintų specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, ir visuomenei prieinamų elektroninių ryšių tinklų ar paslaugų teikėjams, visų pirma ES IRT pramonei ir paslaugų teikėjams, mažųjų ir vidutinių įmonių asociacijoms, vartotojų grupėms ir asociacijoms, kibernetinio saugumo srities mokslo ekspertams, Europos standartizacijos organizacijoms, kaip apibrėžta Reglamento (ES) Nr. 1025/2012 2 straipsnio 8 punkte, atitinkamoms Sąjungos sektorių agentūroms ir įstaigoms, ir kompetentingų institucijų, apie kurias pranešta pagal [Direktyvą, kuria nustatomas Europos elektroninių ryšių kodeksas], bei teisėsaugos ir duomenų apsaugos priežiūros institucijų atstovų.

Pakeitimas    58

Pasiūlymas dėl reglamento

20 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Nuolatinės suinteresuotųjų subjektų grupės narių kadencija – dveji su puse metų. Valdančiosios tarybos nariai negali būti nuolatinės suinteresuotųjų subjektų grupės nariais. Komisijos ir valstybių narių ekspertai turi teisę dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje. Kitų įstaigų, kurias vykdomasis direktorius laiko svarbiomis, atstovai, kurie nėra nuolatinės suinteresuotųjų subjektų grupės nariai, gali būti kviečiami dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje.

4.  Nuolatinės suinteresuotųjų subjektų grupės narių kadencija – dveji su puse metų. Valdančiosios tarybos ir vykdomosios valdybos nariai, išskyrus vykdomąjį direktorių, negali būti nuolatinės suinteresuotųjų subjektų grupės nariais. Komisijos ir valstybių narių ekspertai turi teisę dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje. Kitų įstaigų, kurias vykdomasis direktorius laiko svarbiomis, atstovai, kurie nėra nuolatinės suinteresuotųjų subjektų grupės nariai, gali būti kviečiami dalyvauti nuolatinės suinteresuotųjų subjektų grupės posėdžiuose ir jos veikloje.

Pakeitimas    59

Pasiūlymas dėl reglamento

20 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Nuolatinė suinteresuotųjų subjektų grupė pataria Agentūrai jos veiklos klausimais. Ji visų pirma pataria vykdomajam direktoriui dėl Agentūros veiklos programos pasiūlymo rengimo ir dėl to, kaip užtikrinti ryšius su atitinkamais suinteresuotaisiais subjektais visais su veiklos programa susijusiais klausimais.

5.  Nuolatinė suinteresuotųjų subjektų grupė pataria Agentūrai jos veiklos klausimais. Ji visų pirma pataria vykdomajam direktoriui dėl Agentūros veiklos programos pasiūlymo rengimo ir dėl to, kaip užtikrinti ryšius su atitinkamais suinteresuotaisiais subjektais visais su veiklos programa susijusiais klausimais. Ji taip pat gali savo iniciatyva arba remdamasi atitinkamų suinteresuotųjų subjektų pateiktais siūlymais pasiūlyti Komisijai prašyti, kad Agentūra pagal 44 straipsnį parengtų potencialias Europos kibernetinio saugumo sertifikavimo sistemas.

Pakeitimas    60

Pasiūlymas dėl reglamento

20 straipsnio 5 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

5a.  Nuolatinė suinteresuotųjų subjektų grupė pataria Agentūrai jai rengiant potencialią Europos kibernetinio saugumo sertifikavimo schemą.

Pakeitimas    61

Pasiūlymas dėl reglamento

23 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūra užtikrina, kad visuomenė ir suinteresuotosios šalys gautų tinkamą, objektyvią, patikimą ir lengvai prieinamą informaciją, ypač kai ji susijusi su Agentūros veiklos rezultatais. Ji taip pat viešai skelbia pagal 22 straipsnį pateiktas interesų deklaracijas.

2.  Agentūra užtikrina, kad visuomenė ir suinteresuotosios šalys gautų tinkamą, objektyvią, patikimą ir lengvai prieinamą informaciją, ypač kai ji susijusi su Agentūros diskusijomis ir veiklos rezultatais. Ji taip pat viešai skelbia pagal 22 straipsnį pateiktas interesų deklaracijas.

Pagrindimas

Skaidrumas turi būti įgyvendinamas, atsižvelgiant į 24 straipsnio taikymą.

Pakeitimas    62

Pasiūlymas dėl reglamento

43 straipsnio 1 pastraipa

Komisijos siūlomas tekstas

Pakeitimas

Europos kibernetinio saugumo sertifikavimo schema patvirtinama, kad pagal tokią schemą sertifikuoti IRT produktai ir paslaugos atitinka nustatytus reikalavimus, susijusius su jų pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais produktais, procesais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui.

Europos kibernetinio saugumo sertifikavimo schema kuriama siekiant užtikrinti aukštesnį saugumo lygį bendrojoje skaitmeninėje rinkoje ir taikyti ES lygmeniu suderintą požiūrį į europinį sertifikavimą, siekiant, kad IRT produktai, paslaugos ir sistemos būtų atsparūs kibernetinėms atakoms.

Ja patvirtinama, kad pagal tokią schemą sertifikuoti IRT procesai, produktai ir paslaugos atitinka nustatytus bendrus reikalavimus ir savybes, susijusius su jų pajėgumu tam tikru saugumo užtikrinimo lygiu išlikti atspariems veiksmams, keliantiems pavojų saugomų, perduodamų ar tvarkomų duomenų arba naudojantis tais procesais, produktais, paslaugomis ir sistemomis siūlomų arba gaunamų funkcijų arba paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui.

Pakeitimas    63

Pasiūlymas dėl reglamento

43 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

43 a straipsnis

 

Darbo programa

 

Pasikonsultavusi su Europos kibernetinio saugumo sertifikavimo grupe ir nuolatine suinteresuotųjų subjektų grupe ir gavusi Komisijos patvirtinimą ENISA parengia darbo programą, kurioje nurodomi bendri veiksmai, kurių reikia imtis Sąjungos lygmeniu, kad būtų užtikrintas nuoseklus šios antraštinės dalies taikymas, ir kurioje pateikiamas IRT produktų ir paslaugų, kuriems, jos manymu, bus reikalinga Europos kibernetinio saugumo sertifikavimo schema, prioritetų sąrašas.

 

Darbo programa parengiama ne vėliau kaip [šeši mėnesiai nuo šio reglamento įsigaliojimo dienos], o po to kas dveji metai rengiama nauja darbo programa. Darbo programa skelbiama viešai.

Pakeitimas    64

Pasiūlymas dėl reglamento

44 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Gavusi Komisijos prašymą, ENISA parengia potencialią šio reglamento 45, 46 ir 47 straipsniuose nustatytus reikalavimus atitinkančią Europos kibernetinio saugumo sertifikavimo schemą. Parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą Komisijai gali pasiūlyti Valstybės narės arba Europos kibernetinio saugumo sertifikavimo grupė (toliau – Grupė), įsteigta pagal 53 straipsnį.

1.  Gavusi Komisijos prašymą, ENISA parengia potencialią šio reglamento 45, 46 ir 47 straipsniuose nustatytus reikalavimus atitinkančią Europos kibernetinio saugumo sertifikavimo schemą. Parengti potencialią Europos kibernetinio saugumo sertifikavimo schemą Komisijai gali pasiūlyti valstybės narės, Europos kibernetinio saugumo sertifikavimo grupė (toliau – Grupė), įsteigta pagal 53 straipsnį, arba nuolatinė suinteresuotųjų subjektų grupė, įsteigta pagal 20 straipsnį.

Pakeitimas    65

Pasiūlymas dėl reglamento

44 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Rengdama potencialias šio straipsnio 1 dalyje nurodytas schemas ENISA konsultuojasi su visais suinteresuotaisiais subjektais ir glaudžiai bendradarbiauja su grupe. Grupė teikia ENISA pagalbą ir ekspertų konsultacijas, kurių jai reikia rengiant potencialią schemą, ir prireikus teikia nuomones.

2.  Rengdama potencialias šio straipsnio 1 dalyje nurodytas schemas ENISA konsultuojasi su nuolatine suinteresuotųjų subjektų grupe, ypač su Europos standartizacijos organizacijomis ir visais kitais suinteresuotaisiais subjektais, įskaitant vartotojų organizacijas, ir, atsižvelgdama į jau taikomus nacionalinius ir tarptautinius standartus, glaudžiai bendradarbiauja su grupe vykstant oficialiam, standartizuotam ir skaidriam procesui. Rengdama kiekvieną potencialią schemą ENISA sudaro rizikos ir atitinkamų kibernetinio saugumo savybių kontrolinį sąrašą.

 

Grupė teikia ENISA pagalbą ir ekspertų konsultacijas, kurių jai reikia rengiant potencialią schemą, ir prireikus teikia nuomones.

 

Kad galėtų toliau teikti pagalbą ir rekomendacijas, tam tikrais atvejais ENISA taip pat gali įsteigti konsultacinę suinteresuotųjų subjektų ekspertų grupę, sudarytą iš nuolatinės suinteresuotųjų subjektų grupės ir kitų atitinkamų suinteresuotųjų subjektų, turinčių konkrečių ekspertinių potencialios schemos srities žinių.

Pakeitimas    66

Pasiūlymas dėl reglamento

44 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  ENISA pagal šio straipsnio 2 dalį parengtą potencialią Europos kibernetinio saugumo sertifikavimo schemą teikia Komisijai.

3.  ENISA pagal šio straipsnio 2 dalį parengtą potencialią Europos kibernetinio saugumo sertifikavimo schemą teikia Komisijai. Komisija įvertina jos tinkamumą siekiant 1 prašymo dalyje nurodytų tikslų.

Pakeitimas    67

Pasiūlymas dėl reglamento

44 straipsnio 3 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

3a.  ENISA laikosi profesinės paslapties, susijusios su visa informacija, gauta vykdant savo užduotis pagal šį reglamentą.

Pakeitimas    68

Pasiūlymas dėl reglamento

44 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Komisija, remdamasi ENISA pasiūlyta potencialia schema, pagal 55 straipsnio 1 dalį gali priimti įgyvendinimo aktus, kuriuose nustatomos šio reglamento 45, 46 ir 47 straipsnių reikalavimus atitinkančios IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemos.

4.  Komisijai pagal 55a straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, kuriuose nustatomos šio reglamento 45, 46 ir 47 straipsnių reikalavimus atitinkančios IRT produktų ir paslaugų Europos kibernetinio saugumo sertifikavimo schemos. Priimdama tuos deleguotuosius aktus, Komisija pagrindžia kibernetinio saugumo sertifikavimo schemas, skirtas IRT produktams ir paslaugoms, bet kokiomis tinkamomis potencialiomis schemomis, kurias pasiūlo ENISA. Prieš priimdama tokius deleguotuosius aktus, Komisija gali konsultuotis su Europos duomenų apsaugos valdyba ir atsižvelgti į jos nuomonę.

Pakeitimas    69

Pasiūlymas dėl reglamento

44 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  ENISA administruoja specialią interneto svetainę, kurioje teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas ir jos viešinamos.

5.  ENISA administruoja specialią interneto svetainę, kurioje teikiama informacija apie Europos kibernetinio saugumo sertifikavimo schemas, įskaitant informaciją apie visas potencialias schemas, kurias Komisija paprašė ENISA parengti, ir atsako už jų paskelbimą.

Pakeitimas    70

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

Europos kibernetinio saugumo sertifikavimo schema turi būti parengta taip, kad būtų atsižvelgta į šiuos saugumo tikslus (jei taikomi):

Kiekviena Europos kibernetinio saugumo sertifikavimo schema turi būti parengta taip, kad būtų atsižvelgta į bent šiuos saugumo tikslus tiek, kiek jie atitinka situaciją:

Pakeitimas    71

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  užtikrinti, kad IRT produktai ir paslaugos būtų teikiami su atnaujinta programine įranga be žinomų saugumo spragų ir kad būtų teikiami saugaus programinės įrangos atnaujinimo mechanizmai.

g)  užtikrinti, kad IRT produktai ir paslaugos būtų teikiami su atnaujinta programine ir aparatine įranga be žinomų saugumo spragų; užtikrinti, kad jie būtų sukurti ir įdiegti taip, kad būtų veiksmingai apribotas jų pažeidžiamumas, ir kad jie būtų teikiami su saugaus programinės įrangos atnaujinimo mechanizmais, įskaitant aparatinės įrangos atnaujinimus ir automatinius saugumo atnaujinimus;

Pakeitimas    72

Pasiūlymas dėl reglamento

45 straipsnio 1 pastraipos g a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ga)  užtikrinti, kad IRT produktai ir paslaugos būtų kuriami ir naudojami garantuojant standartiškai aukštą kibernetinio saugumo ir duomenų apsaugos lygį pagal integruotojo saugumo principą.

Pakeitimas    73

Pasiūlymas dėl reglamento

46 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Europos kibernetinio saugumo sertifikavimo schemoje gali būti nurodytas vienas ar daugiau iš šių IRT produktams ir paslaugoms, sertifikuotiems pagal tą schemą, taikomų saugumo užtikrinimo lygių: bazinis, pakankamas ir (arba) aukštas.

1.  Kiekvienoje Europos kibernetinio saugumo sertifikavimo schemoje IRT produktams ir paslaugoms gali būti nurodytas vienas ar daugiau iš šių rizika pagrįsto saugumo užtikrinimo lygių: funkciškai saugus, pakankamai saugus ir (arba) labai saugus.

 

Kiekvienai Europos kibernetinio saugumo sertifikavimo sistemai saugumo užtikrinimo lygis nustatomas remiantis 44 straipsnio 2 dalyje nurodytame kontroliniame sąraše išvardyta rizika ir kibernetinio saugumo savybių, kuriomis šalinama ši IRT produktų ir paslaugų, kurioms taikoma sertifikavimo schema, prieinamumu.

Pakeitimas    74

Pasiūlymas dėl reglamento

46 straipsnio 1 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

1a.  Kiekvienoje schemoje nurodoma vertinimo metodika arba vertinimo procesas, kurio reikia laikytis išduodant sertifikatus, patvirtinančius kiekvieno lygio užtikrinimą, atsižvelgiant į numatomą panaudojimą ir riziką, būdingą IRT produktams ir paslaugoms pagal šią schemą.

Pakeitimas    75

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Bazinis, pakankamas ir aukštas saugumo užtikrinimo lygiai atitinkamai turi atitikti šiuos kriterijus:

2.  Funkciškai saugus, pakankamai saugus ir (arba) labai saugus saugumo užtikrinimo lygiai atitinkamai turi atitikti šiuos kriterijus:

Pakeitimas    76

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  bazinis saugumo užtikrinimo lygis patvirtinimas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas ribotas pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti kibernetinio saugumo incidentų riziką;

a)  „funkciškai saugus“ saugumo užtikrinimo lygis patvirtinamas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas tinkamas pareikštų arba patvirtintų IRT proceso, produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti kibernetinio saugumo incidentų riziką;

Pakeitimas    77

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  pakankamas saugumo užtikrinimo lygis patvirtinimas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas pakankamas pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti kibernetinio saugumo incidentų riziką;

b)  saugumo užtikrinimo lygis „pakankamai saugus“ patvirtinamas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas pakankamas pareikštų arba patvirtintų IRT proceso, produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti kibernetinio saugumo incidentų riziką;

Pakeitimas    78

Pasiūlymas dėl reglamento

46 straipsnio 2 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  aukštas saugumo užtikrinimo lygis patvirtinamas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas aukštesnis pareikštų arba patvirtintų IRT produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis nei sertifikatais, kuriais patvirtinamas pakankamas saugumo užtikrinimo lygis, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – išvengti kibernetinio saugumo incidentų.

c)  saugumo užtikrinimo lygis „labai saugus“ patvirtinamas pagal Europos kibernetinio saugumo sertifikavimo schemą išduotu sertifikatu, kuriuo užtikrinamas aukštesnis pareikštų arba patvirtintų IRT proceso, produkto arba paslaugos kibernetinio saugumo savybių patikimumo laipsnis nei sertifikatais, kuriais patvirtinamas saugumo užtikrinimo lygis „pakankamai saugus“, ir apibūdinamas remiantis su juo susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – išvengti kibernetinio saugumo incidentų. Tai visų pirma taikoma produktams ir paslaugoms, kuriuos naudoja esminių paslaugų operatoriai, kaip apibrėžta Direktyvoje (ES) 2016/1148.

Pakeitimas    79

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Europos kibernetinio saugumo sertifikavimo schemą sudaro šie elementai:

1.  Europos kibernetinio saugumo sertifikavimo schemą, jei taikoma, sudaro šie elementai:

Pakeitimas    80

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  sertifikavimo dalykas ir apimtis, įskaitant sertifikuojamų IRT produktų ir paslaugų rūšį arba kategorijas;

a)  sertifikavimo schemos dalykas ir apimtis, įskaitant visus konkrečius sektorius, kuriuos ji apima, ir sertifikuojamų IRT produktų ir paslaugų rūšį arba kategorijas;

Pakeitimas    81

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  išsamūs kibernetinio saugumo reikalavimai, pagal kuriuos vertinami konkretūs IRT produktai ir paslaugos, pavyzdžiui, nurodant Sąjungos ar tarptautinius standartus arba technines specifikacijas;

b)  išsamūs kibernetinio saugumo reikalavimai, pagal kuriuos vertinami konkretūs IRT produktai ir paslaugos, pavyzdžiui, nurodant tarptautinius, Europos arba nacionalinius standartus arba technines specifikacijas;

Pakeitimas    82

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  išsami specifikacija, jei suteiktas sertifikatas gali būti taikomas tik atskiram produktui arba gali būti taikomas produktų asortimentui [pvz., skirtingoms to paties bazinio produkto struktūros versijoms arba modeliams];

Pakeitimas    83

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  informacija, ar atitikties savideklaracija leidžiama pagal tą schemą, ir taikoma atitikties vertinimo arba atitikties savideklaracijos arba abiejų procedūra;

Pakeitimas    84

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies c b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

cb)  sertifikavimo reikalavimai, apibrėžti taip, kad sertifikavimas galėtų būti įtrauktas į gamintojo sisteminius kibernetinio saugumo procesus, kurie buvo taikomi IRT proceso, produkto ar paslaugos projektavimo, kūrimo ir gyvavimo ciklo metu, arba būtų jais grindžiamas;

Pakeitimas    85

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies f punktas

Komisijos siūlomas tekstas

Pakeitimas

f)  jeigu schemoje numatomas ženklų arba etikečių naudojimas, tokių ženklų arba etikečių naudojimo sąlygos;

f)  jeigu schemoje numatomas ženklų arba etikečių, pvz., ES kibernetinio saugumo atitikties etiketės, kuri reiškia, kad IRT procesas, produktas ar paslauga atitinka schemos kriterijus, naudojimas, tokių ženklų arba etikečių naudojimo sąlygos;

Pakeitimas    86

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies g punktas

Komisijos siūlomas tekstas

Pakeitimas

g)  jeigu pagal schemą numatoma stebėsena, sertifikatų reikalavimų laikymosi stebėsenos taisyklės, įskaitant mechanizmus, kuriais įrodoma, kad nuolat laikomasi nurodytų kibernetinio saugumo reikalavimų;

g)  sertifikatų reikalavimų laikymosi stebėsenos taisyklės, įskaitant mechanizmus, kuriais įrodoma, kad nuolat laikomasi nurodytų kibernetinio saugumo reikalavimų, kaip antai, jei taikoma ir įmanoma, naudojant privalomus atitinkamo IRT proceso, produkto ar paslaugos atnaujinimus, patobulinimus ar pataisas;

Pakeitimas    87

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies h punktas

Komisijos siūlomas tekstas

Pakeitimas

h)  sertifikavimo taikymo srities suteikimo, išlaikymo, tęsimo, išplėtimo ir sumažinimo sąlygos;

h)  sertifikavimo taikymo srities suteikimo, išlaikymo, tęsimo, atnaujinimo, išplėtimo ir sumažinimo sąlygos;

Pakeitimas    88

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies i punktas

Komisijos siūlomas tekstas

Pakeitimas

i)  taisyklės, susijusios su sertifikuotų IRT produktų ir paslaugų neatitikties sertifikavimo reikalavimams padariniais;

i)  taisyklės, susijusios su sertifikuotų IRT produktų ir paslaugų neatitikties sertifikavimo reikalavimams padariniais, ir bendra informacija apie sankcijas, kaip nustatyta šio reglamento 54 straipsnyje;

Pakeitimas    89

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies j punktas

Komisijos siūlomas tekstas

Pakeitimas

j)  taisyklės, nustatančios, kaip turi būti pranešta apie anksčiau nenustatytas IRT produktų ir paslaugų kibernetinio saugumo spragas ir kaip jos turi būti šalinamos;

j)  taisyklės, nustatančios, kaip turi būti pranešta apie anksčiau nenustatytas IRT produktų ir paslaugų kibernetinio saugumo spragas ir kaip jos turi būti šalinamos, be kita ko, vykdant koordinuotą pažeidžiamumo atskleidimo procesą;

Pakeitimas    90

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies l punktas

Komisijos siūlomas tekstas

Pakeitimas

l)  nustatytos nacionalinės kibernetinio saugumo sertifikavimo schemos, taikomos tos pačios rūšies ar kategorijų IRT produktams ir paslaugoms;

l)  nustatytos nacionalinės arba tarptautinės kibernetinio saugumo sertifikavimo schemos arba galiojantys tarptautiniai tarpusavio pripažinimo susitarimai, taikomi tos pačios rūšies ar kategorijos IRT produktams ir paslaugoms;

Pakeitimas    91

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies m a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ma)  ilgiausias sertifikatų galiojimo laikotarpis;

Pakeitimas    92

Pasiūlymas dėl reglamento

47 straipsnio 1 dalies m b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

mb)  atsparumo ir atsparumo bandymų taisyklės „labai saugaus“ saugumo užtikrinimo lygio atveju;

Pakeitimas    93

Pasiūlymas dėl reglamento

47 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Kai tai numatoma konkrečiame Sąjungos teisės akte, sertifikavimas pagal Europos kibernetinio saugumo sertifikavimo schemą gali būti naudojamas siekiant įrodyti atitikties to teisės akto reikalavimams prielaidą.

3.  Kai tai numatoma konkrečiame būsimame Sąjungos teisės akte, sertifikavimas pagal Europos kibernetinio saugumo sertifikavimo schemą gali būti naudojamas siekiant įrodyti atitikties to teisės akto reikalavimams prielaidą.

Pakeitimas    94

Pasiūlymas dėl reglamento

48 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Sertifikavimas yra savanoriškas, išskyrus atvejus, kai Sąjungos teisėje nustatyta kitaip.

2.  sertifikavimas pagal Europos kibernetinio saugumo sertifikavimo schemą privalomas IRT produktams ir paslaugoms, kuriems būdinga didelė rizika ir kurie skirti naudoti esminių paslaugų operatoriams, kaip apibrėžta Direktyvos 2016/1148/ES 4 straipsnio 4 dalyje. Visiems kitiems IRT produktams ir paslaugoms sertifikavimas yra savanoriškas, išskyrus atvejus, kai Sąjungos teisėje nustatyta kitaip.

Pakeitimas    95

Pasiūlymas dėl reglamento

48 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Europos kibernetinio saugumo sertifikatą pagal šį straipsnį išduoda 51 straipsnyje nurodytos atitikties vertinimo įstaigos remdamosi kriterijais, įtrauktais į Europos kibernetinio saugumo sertifikavimo schemą, patvirtintą pagal 44 straipsnį.

3.  Europos kibernetinio saugumo sertifikatus pagal šį straipsnį išduoda 51 straipsnyje nurodytos atitikties vertinimo įstaigos remdamosi kriterijais, įtrauktais į Europos kibernetinio saugumo sertifikavimo schemą, patvirtintą pagal 44 straipsnį.

 

Kaip alternatyvą atitikties vertinimo įstaigų vykdomam sertifikavimui, jei konkrečioje schemoje numatyta tokia galimybė, produktų gamintojai ir paslaugų teikėjai gali pateikti atitikties savideklaraciją, kurioje jie pareiškia, kad procesas, produktas arba paslauga atitinka sertifikavimo schemos kriterijus. Tokiais atvejais produkto gamintojas arba paslaugos teikėjas atitikties savideklaraciją pateikia nacionalinėms sertifikavimo priežiūros institucijoms ir ENISA, jeigu jos to prašo.

Pakeitimas    96

Pasiūlymas dėl reglamento

48 straipsnio 4 dalies įžanginė dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Nukrypstant nuo 3 dalies, tinkamai pagrįstais atvejais konkrečioje Europos kibernetinio saugumo schemoje gali būti nustatyta, kad Europos kibernetinio saugumo sertifikatą pagal tą schemą gali išduoti tik viešoji įstaiga. Tokia viešoji įstaiga yra viena iš šių įstaigų:

4.  Nukrypstant nuo 3 dalies, tinkamai pagrįstais atvejais, pavyzdžiui, dėl nacionalinio saugumo priežasčių, konkrečioje Europos kibernetinio saugumo sertifikavimo schemoje gali būti nustatyta, kad Europos kibernetinio saugumo sertifikatą pagal tą schemą gali išduoti tik viešoji įstaiga. Tokia viešoji įstaiga yra viena iš šių įstaigų:

Pakeitimas    97

Pasiūlymas dėl reglamento

48 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Savo IRT produktus ir paslaugas sertifikuoti teikiantis fizinis arba juridinis asmuo pateikia 51 straipsnyje nurodytai atitikties vertinimo įstaigai visą sertifikavimo procedūrai atlikti reikalingą informaciją.

5.  Savo IRT produktus ir paslaugas sertifikuoti teikiantis fizinis arba juridinis asmuo pateikia 51 straipsnyje nurodytai atitikties vertinimo įstaigai visą sertifikavimo procedūrai atlikti reikalingą informaciją, įskaitant informaciją apie bet kokias žinomas saugumo spragas.

Pakeitimas    98

Pasiūlymas dėl reglamento

48 straipsnio 6 dalis

Komisijos siūlomas tekstas

Pakeitimas

6.  Sertifikatai išduodami ne ilgesniam kaip trejų metų laikotarpiui ir gali būti pratęsti tomis pačiomis sąlygomis, jei ir toliau atitinkami reikalavimai.

6.  Sertifikatai išduodami ir galioja maksimalų laikotarpį, nustatytą kiekvienoje sertifikavimo schemoje, ir gali būti pratęsti tomis pačiomis sąlygomis, jei ir toliau atitinkami tos schemos reikalavimai, įskaitant visus persvarstytus ar iš dalies pakeistus reikalavimus.

Pakeitimas    99

Pasiūlymas dėl reglamento

48 straipsnio 6 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

6a.  Sertifikatas galioja visoms naujoms proceso, produkto ar paslaugos versijoms, kai pagrindinė naujos versijos išleidimo priežastis yra pataisyti, pakoreguoti ar kitaip pašalinti žinomas arba galimas saugumo spragas ar grėsmes.

Pakeitimas    100

Pasiūlymas dėl reglamento

49 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Nedarant poveikio 3 dalies taikymui, nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, netenka galios nuo pagal 44 straipsnio 4 dalį priimtame įgyvendinimo akte nustatytos datos. Esamos nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems Europos kibernetinio saugumo sertifikavimo schema netaikoma, ir toliau galios.

1.  Nedarant poveikio 3 dalies taikymui, nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, netenka galios nuo pagal 44 straipsnio 4 dalį priimtame deleguotajame akte nustatytos datos. Komisija stebi, kaip laikomasi šios pastraipos, kad būtų išvengta sutampančių schemų buvimo. Esamos nacionalinės kibernetinio saugumo sertifikavimo schemos ir susijusios procedūros, taikomos IRT produktams ir paslaugoms, kuriems Europos kibernetinio saugumo sertifikavimo schema netaikoma, ir toliau galios.

Pakeitimas    101

Pasiūlymas dėl reglamento

49 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Esami pagal nacionalines kibernetinio saugumo sertifikavimo schemas išduoti sertifikatai toliau galioja iki jų galiojimo pabaigos datos.

3.  Esami pagal nacionalines kibernetinio saugumo sertifikavimo schemas išduoti sertifikatai, kuriems taikoma Europos kibernetinio saugumo sertifikavimo schema, toliau galioja iki jų galiojimo pabaigos datos.

Pakeitimas    102

Pasiūlymas dėl reglamento

50 straipsnio 3 dalis

Komisijos siūlomas tekstas

Pakeitimas

3.  Kiekvienos nacionalinės sertifikavimo priežiūros institucijos veiklos organizavimas, finansavimo sprendimai, teisinė struktūra ir sprendimų priėmimas nepriklauso nuo prižiūrimų subjektų.

3.  Kiekvienos nacionalinės sertifikavimo priežiūros institucijos veiklos organizavimas, finansavimo sprendimai, teisinė struktūra ir sprendimų priėmimas nepriklauso nuo prižiūrimų subjektų, ir ta institucija nėra atitikties vertinimo įstaiga ar nacionalinė akreditavimo įstaiga.

Pakeitimas    103

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies a punktas

Komisijos siūlomas tekstas

Pakeitimas

a)  stebi ir užtikrina šioje antraštinėje dalyje nustatytų nuostatų taikymą nacionaliniu lygmeniu ir prižiūri atitinkamose savo teritorijose įsteigtų atitikties vertinimo įstaigų išduotų sertifikatų atitiktį šioje antraštinėje dalyje ir atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje nustatytiems reikalavimams;

a)  stebi ir užtikrina šioje antraštinėje dalyje nustatytų nuostatų taikymą nacionaliniu lygmeniu ir, laikydamasi Europos kibernetinio saugumo sertifikavimo grupės nustatytų taisyklių pagal 53 straipsnio 3 dalį, prižiūri atitiktį:

 

i)  atitinkamose savo teritorijose įsteigtų atitikties vertinimo įstaigų išduotų sertifikatų šioje antraštinėje dalyje ir atitinkamoje Europos kibernetinio saugumo sertifikavimo schemoje nustatytiems reikalavimams; taip pat

 

ii)  atitikties savideklaracijų, pagal schemą parengtų IRT procesui, produktui ar paslaugai.

Pakeitimas    104

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies b punktas

Komisijos siūlomas tekstas

Pakeitimas

b)  stebi ir prižiūri įgyvendinant šį reglamentą atitikties vertinimo įstaigų vykdomą veiklą, be kita ko, susijusią su atitikties vertinimo įstaigų notifikavimu ir susijusiais uždaviniais, nustatytais šio reglamento 52 straipsnyje;

b)  stebi, prižiūri ir bent kas dvejus metus vertina įgyvendinant šį reglamentą atitikties vertinimo įstaigų vykdomą veiklą, be kita ko, susijusią su atitikties vertinimo įstaigų notifikavimu ir susijusiais uždaviniais, nustatytais šio reglamento 52 straipsnyje;

Pakeitimas    105

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies c punktas

Komisijos siūlomas tekstas

Pakeitimas

c)  nagrinėja fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais, tiria, kiek įmanoma, skundo dalyką ir per pagrįstą laikotarpį informuoja skundo teikėją apie tyrimo eigą ir rezultatus;

c)  nagrinėja fizinių ar juridinių asmenų pateiktus skundus, susijusius su jų teritorijose įsteigtų atitikties vertinimo įstaigų išduotais sertifikatais arba atitikties savideklaracijomis, tiria, kiek įmanoma, skundo dalyką ir per pagrįstą laikotarpį informuoja skundo teikėją apie tyrimo eigą ir rezultatus;

Pakeitimas    106

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  pateikia a punkte nurodytų patikrinimų rezultatus ir b punkte nurodytų vertinimų rezultatus ENISA ir Europos kibernetinio saugumo sertifikavimo grupei;

Pakeitimas    107

Pasiūlymas dėl reglamento

50 straipsnio 6 dalies d punktas

Komisijos siūlomas tekstas

Pakeitimas

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams;

d)  bendradarbiauja su kitomis nacionalinėmis sertifikavimo priežiūros institucijomis, nacionalinėmis akreditavimo įstaigomis ar kitomis valdžios institucijomis, be kita ko, dalydamosi informacija apie galimą IRT produktų ir paslaugų neatitiktį, įskaitant apgaulingas, klaidingas ar nesąžiningas sertifikavimo paraiškas, šio reglamento arba konkrečių Europos kibernetinio saugumo sertifikavimo schemų reikalavimams;

Pakeitimas    108

Pasiūlymas dėl reglamento

50 straipsnio 7 dalies c a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ca)  atšaukti šio reglamento reikalavimų neatitinkančių atitikties vertinimo įstaigų akreditaciją;

Pakeitimas    109

Pasiūlymas dėl reglamento

50 straipsnio 7 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  pagal nacionalinę teisę atšaukti šio reglamento arba Europos kibernetinio saugumo sertifikavimo schemos reikalavimų neatitinkančius sertifikatus;

e)  pagal nacionalinę teisę atšaukti šio reglamento arba Europos kibernetinio saugumo sertifikavimo schemos reikalavimų neatitinkančius sertifikatus ir atitinkamai informuoti nacionalines akreditavimo įstaigas;

Pakeitimas    110

Pasiūlymas dėl reglamento

50 straipsnio 7 dalies f a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fa)  pasiūlyti ENISA ekspertus, kurie galėtų būti įtraukti į 44 straipsnio 2 dalyje nurodytą suinteresuotųjų subjektų konsultacinę ekspertų grupę;

Pakeitimas    111

Pasiūlymas dėl reglamento

50 straipsnio 8 dalies 1 a pastraipa (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

Komisija tokio apsikeitimo reikmėms teikia bendrą elektroninę informacijos teikimo sistemą.

Pakeitimas    112

Pasiūlymas dėl reglamento

50 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

50 a straipsnis

 

Tarpusavio vertinimas

 

1.  Nacionalinėms sertifikavimo priežiūros institucijoms taikomas tarpusavio vertinimas joms atliekant bet kokią veiklą, minimą šio Reglamento 50 straipsnyje.

 

2.  Tarpusavio vertinimas apima nacionalinių sertifikavimo priežiūros institucijų taikomų procedūrų vertinimus, visų pirma procedūrų, taikomų norint patikrinti produktų, kuriems taikomas kibernetinio saugumo sertifikavimas, atitiktį reikalavimams, darbuotojų kompetenciją, patikrinimų ir tikrinimo metodikos teisingumą, taip pat rezultatų teisingumą. Atliekant tarpusavio vertinimą taip pat įvertinama, ar atitinkamos nacionalinės sertifikavimo priežiūros institucijos turi pakankamai išteklių, kad galėtų tinkamai vykdyti savo pareigas, kaip reikalaujama 50 straipsnio 4 dalyje.

 

3.  Nacionalinės sertifikavimo priežiūros institucijos tarpusavio vertinimą atlieka dvi kitų valstybių narių nacionalinės sertifikavimo priežiūros institucijos ir Komisija; vertinimas atliekamas ne rečiau kaip kartą per penkerius metus. ENISA gali dalyvauti tarpusavio vertinime; ji sprendžia dėl savo dalyvavimo remdamasi rizikos vertinimo analize.

 

4.  Komisijai pagal 55a straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus, siekiant sudaryti tarpusavio vertinimo planą bent jau penkerių metų laikotarpiui, patvirtinant tarpusavio vertinimo grupės sudėties kriterijus, tarpusavio vertinimui naudojamą metodiką, tvarkaraštį, periodiškumą ir kitas su tarpusavio vertinimu susijusias užduotis. Priimdama šiuos deleguotuosius aktus Komisija tinkamai atsižvelgia į grupės pastabas.

 

5.  Tarpusavio vertinimo rezultatus išnagrinėja grupė. ENISA parengia rezultatų santrauką ir paskelbia ją viešai.

Pakeitimas    113

Pasiūlymas dėl reglamento

51 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Jeigu gamintojai pasirenka atitikties savideklaraciją pagal 48 straipsnio 3 dalį, atitikties vertinimo įstaigos imasi papildomų veiksmų, kad patikrintų gamintojo atliekamas vidaus procedūras, kuriomis užtikrinama, kad jų produktai ir (arba) paslaugos atitiktų Europos kibernetinio saugumo sertifikavimo sistemos reikalavimus.

Pakeitimas    114

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies d a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

da)  priimti privalomas taisykles, kuriomis nustatomi intervalai, kuriais nacionalinės sertifikavimo priežiūros institucijos turi atlikti sertifikatų ir atitikties savideklaracijų patikrinimą, šių patikrinimų kriterijus, mastą ir apimtį, taip pat priimti bendrąsias ataskaitų teikimo taisykles ir standartus pagal 50 straipsnio 6 dalį;

Pakeitimas    115

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies e punktas

Komisijos siūlomas tekstas

Pakeitimas

e)  nagrinėti aktualius kibernetinio saugumo sertifikavimo srities pokyčius ir keistis gerąja patirtimi, susijusia su kibernetinio saugumo sertifikavimo schemomis;

e)  nagrinėti aktualius kibernetinio saugumo sertifikavimo srities pokyčius ir keistis informacija ir gerąja patirtimi, susijusia su kibernetinio saugumo sertifikavimo schemomis;

Pakeitimas    116

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fa)  keistis gerąja patirtimi dėl atitikties vertinimo įstaigų, Europos kibernetinio saugumo sertifikatų turėtojų ir atitikties savideklaracijas pateikusių gamintojų ir paslaugų teikėjų tyrimų;

Pakeitimas    117

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f b punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fb)  siekiant palengvinti Europos kibernetinio sertifikavimo schemų derinimą su tarptautiniu mastu pripažintais standartais ir tinkamais atvejais rekomenduoti ENISA sritis, kuriose ji galėtų bendradarbiauti su atitinkamomis tarptautinėmis ir Europos standartizacijos organizacijomis, siekiant pašalinti galiojančių tarptautiniu mastu pripažintų standartų spragas arba trūkumus;

Pakeitimas    118

Pasiūlymas dėl reglamento

53 straipsnio 3 dalies f c punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

fc)  ENISA rengiant 43a straipsnyje nurodytą darbo programą teikti patarimus dėl IRT produktų ir paslaugų, kurioms, jos manymu, reikalinga Europos kibernetinio saugumo sertifikavimo schema, prioritetinio sąrašo;

Pakeitimas    119

Pasiūlymas dėl reglamento

53 straipsnio 4 dalies 1 a pastraipa (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

ENISA užtikrina, kad būtų registruojama priimtų sprendimų darbotvarkė, protokolai ir įrašai, o paskelbtos šių dokumentų versijos būtų prieinamos visuomenei ENISA tinklalapyje po kiekvieno grupės posėdžio.

Pakeitimas    120

Pasiūlymas dėl reglamento

55 a straipsnis (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

55 a straipsnis

 

Įgaliojimų delegavimas

 

Įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami šiame straipsnyje nustatytomis sąlygomis.

 

44 straipsnio 4 dalyje ir 50a straipsnio 4 dalyje nurodyti įgaliojimai priimti deleguotuosius aktus Komisijai suteikiami penkerių metų laikotarpiui nuo [pagrindinio teisės akto įsigaliojimo diena]. Likus ne mažiau kaip devyniems mėnesiams iki penkerių metų laikotarpio pabaigos Komisija parengia naudojimosi deleguotaisiais įgaliojimais ataskaitą. Deleguotieji įgaliojimai savaime pratęsiami tokios pačios trukmės laikotarpiams, išskyrus atvejus, kai Europos Parlamentas arba Taryba pareiškia prieštaravimų dėl tokio pratęsimo likus ne mažiau kaip trims mėnesiams iki kiekvieno laikotarpio pabaigos.

 

Europos Parlamentas arba Taryba gali bet kada atšaukti 44 straipsnio 4 dalyje ir 50a straipsnio 4 dalyje nurodytus deleguotuosius įgaliojimus. Sprendimu dėl įgaliojimų atšaukimo nutraukiami tame sprendime nurodyti įgaliojimai priimti deleguotuosius aktus. Sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje arba vėlesnę jame nurodytą dieną. Jis nedaro poveikio jau galiojančių deleguotųjų aktų galiojimui.

 

Prieš priimdama deleguotąjį aktą, Komisija konsultuojasi su kiekvienos valstybės narės paskirtais ekspertais, vadovaudamasi 2016 m. balandžio 13 d. Tarpinstituciniame susitarime dėl geresnės teisėkūros nustatytais principais.

 

Apie priimtą deleguotąjį aktą Komisija nedelsdama vienu metu praneša Europos Parlamentui ir Tarybai.

 

Pagal 44 straipsnio 4 dalį arba 50a straipsnio 4 dalį priimtas deleguotasis aktas įsigalioja tik tuo atveju, jeigu per du mėnesius nuo pranešimo Europos Parlamentui ir Tarybai apie šį aktą dienos nei Europos Parlamentas, nei Taryba nepareiškia prieštaravimų arba jeigu dar nepasibaigus šiam laikotarpiui ir Europos Parlamentas, ir Taryba praneša Komisijai, kad prieštaravimų nereikš. Europos Parlamento arba Tarybos iniciatyva šis laikotarpis pratęsiamas [dviem mėnesiais].

NUOMONĘ TEIKIANČIO KOMITETO PROCEDŪRA

Pavadinimas

Reglamentas dėl Europos kibernetinio saugumo agentūros ENISA ir dėl informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

Nuorodos

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Atsakingas komitetas

       Paskelbimo plenariniame posėdyje data

ITRE

23.10.2017

 

 

 

Nuomonę pateikė

       Paskelbimo plenariniame posėdyje data

IMCO

23.10.2017

Susiję komitetai - paskelbimo plenariniame posėdyje data

18.1.2018

Nuomonės referentas (-ė)

       Paskyrimo data

Nicola Danti

25.9.2017

Svarstymas komitete

21.2.2018

21.3.2018

 

 

Priėmimo data

17.5.2018

 

 

 

Galutinio balsavimo rezultatai

+:

–:

0:

31

2

1

Posėdyje per galutinį balsavimą dalyvavę nariai

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Posėdyje per galutinį balsavimą dalyvavę pavaduojantys nariai

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Posėdyje per galutinį balsavimą dalyvavę pavaduojantys nariai (200 straipsnio 2 dalis)

Inés Ayala Sender, Flavio Zanonato

GALUTINIS VARDINIS BALSAVIMAS NUOMONĘ TEIKIANČIAME KOMITETE

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Sutartiniai ženklai:

+  :  už

-  :  prieš

0  :  susilaikė


Biudžeto komiteto NUOMONĖ (16.5.2018)

pateikta Pramonės, mokslinių tyrimų ir energetikos komitetui

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

(COM(2017) 0477 – C8-0310/2017 – 2017/0225(COD))

Nuomonės referentas: Jens Geier

TRUMPAS PAGRINDIMAS

Nuomonės referentas iš esmės palankiai vertina Komisijos pasiūlymą dėl Kibernetinio saugumo akto, kuriuo Europos Sąjungos tinklų ir informacijos apsaugos agentūrai (ENISA) būtų suteikiamas dar didesnis vaidmuo, nes kibernetinis saugumas akivaizdžiai yra tarpvalstybinė problema, kuriai spręsti reikalingas labiau europinis požiūris. Nuomonės referentas ypač palankiai vertina Komisijos pasiūlymą ENISA suteikti nuolatinį įgaliojimą, turint omenyje išaugusį Agentūros vaidmenį ir taip suteikiant užtikrintumo jos darbuotojams. Komisija iki 2022 m. siūlo AD / AST darbuotojų skaičių padidinti 41 etatu(1), o metinį agentūros biudžetą – 23 milijonais EUR(2).

Nuomonės referentas mano, kad dabartinis susitarimas dėl agentūros buveinės, pagal kurį agentūra turi kelias įsikūrimo vietas Heraklione ir Atėnuose, trukdo efektyviam Agentūros veikimui ir jos įgaliojimų vykdymui. Tarpinstitucinė darbo grupė agentūrų išteklių klausimais, įkurta pagal susitarimą dėl 2014 m. biudžeto, rekomenduoja „Komisijai atlikti agentūrų kelių įsikūrimo vietų (dvigubų buveinių, esamų techninių stočių, papildančių buveinę, ir darbuotojų komandiravimo ne į būstines) įvertinimą laikantis nuoseklaus požiūrio ir taikant skaidrius kriterijus, visų pirma siekiant įvertinti jų papildomą vertę, taip pat atsižvelgiant į patiriamas išlaidas.“ Visos ES institucijos sutiko su šia rekomendacija ir nuomonės referentas mano, kad tokį įvertinimą reikėtų atlikti nedelsiant. Atlikus įvertinimą, institucijos turėtų be tolesnių atidėliojimų padaryti būtinas išvadas.

Nuomonės referentas taip pat mano, kad agentūros įgaliojimai teikti ekspertines žinias galėtų būti toliau stiprinami agentūrai suteikiant biudžetą, kuris leistų jai savo lėšas skirti mokslinių tyrimų ir technologinės plėtros veiklai. Tam įvykdyti agentūra turi būti aprūpinta reikiamais ištekliais.

Agentūrai leidus pasinaudoti kitų paslaugų teikėjų teikiamomis vertimo paslaugomis būtų galima sutaupyti dar daugiau lėšų. Vadovaujantis bendru požiūriu į agentūras, demokratinė Agentūros priežiūra galėtų būti sustiprinta į valdančiąją tarybą paskiriant Europos Parlamento atstovą.

PAKEITIMAI

Biudžeto komitetas ragina atsakingą Pramonės, mokslinių tyrimų ir energetikos komitetą atsižvelgti į šiuos pakeitimus:

Pakeitimas    1

Pasiūlymas dėl reglamento

3 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(3a)  ENISA turėtų teikti daugiau praktinės ir informacija pagrįstos paramos ES kibernetinio saugumo pramonei, visų pirma mažosioms ir vidutinėms įmonėms (MVĮ) ir startuoliams (tai pagrindiniai inovatyvių sprendimų kibernetinės gynybos srityje šaltiniai), ir skatinti glaudesnį bendradarbiavimą su universitetinėmis mokslinių tyrimų organizacijomis ir stambiais veikėjais, siekiant mažinti priklausomybę nuo išorės šaltinių tiekiamų kibernetinio saugumo produktų ir sukurti strateginio tiekimo grandinę Sąjungoje;

Pakeitimas    2

Pasiūlymas dėl reglamento

4 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Mokymo poreikiai kibernetinės gynybos srityje yra dideli ir vis auga, juos veiksmingiausia patenkinti bendradarbiaujant Europos lygmeniu. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

Pakeitimas    3

Pasiūlymas dėl reglamento

10 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(10)  Sprendimu 2004/97/EB, Euratomas, kuris buvo priimtas 2003 m. gruodžio 13 d. įvykusiame Europos Vadovų Tarybos susitikime, valstybių narių atstovai nusprendė, kad ENISA būstinė bus viename iš Graikijos miestų, dėl kurio nuspręs Graikijos vyriausybė. Agentūrą priimančioji valstybė narė turėtų užtikrinti kuo geresnes jos sklandžios ir veiksmingos veiklos sąlygas. Kad Agentūra tinkamai ir veiksmingai vykdytų savo užduotis, samdytų ir išsaugotų darbuotojus bei didintų tinklų kūrimo veiklos veiksmingumą, yra būtina Agentūrą įkurdinti tinkamoje vietovėje, be kita ko, užtikrinant tinkamas transporto jungtis ir infrastruktūrą Agentūros darbuotojus lydintiems sutuoktiniams ir vaikams. Agentūros ir priimančiosios valstybės narės susitarime, sudarytame gavus Agentūros Valdančiosios tarybos pritarimą, turėtų būti nustatytos reikiamos nuostatos;

(10)  Sprendimu 2004/97/EB, Euratomas, kuris buvo priimtas 2003 m. gruodžio 13 d. įvykusiame Europos Vadovų Tarybos susitikime, valstybių narių atstovai nusprendė, kad ENISA būstinė bus viename iš Graikijos miestų, dėl kurio nuspręs Graikijos vyriausybė. Agentūrą priimančioji valstybė narė turėtų užtikrinti kuo geresnes jos sklandžios ir veiksmingos veiklos sąlygas. Kad Agentūra tinkamai ir veiksmingai vykdytų savo užduotis, samdytų ir išsaugotų darbuotojus bei didintų tinklų kūrimo veiklos veiksmingumą, yra būtina Agentūrą įkurdinti tinkamoje vietovėje, be kita ko, užtikrinant tinkamas transporto jungtis ir infrastruktūrą Agentūros darbuotojus lydintiems sutuoktiniams ir vaikams. Agentūros ir priimančiosios valstybės narės susitarime, sudarytame gavus Agentūros Valdančiosios tarybos pritarimą, turėtų būti nustatytos reikiamos nuostatos. Susitarimas turėtų būti persvarstytas Komisijai atlikus tarpinstitucinės darbo grupės agentūrų išteklių klausimais rekomenduojamą vertinimą, siekiant padidinti Agentūros veiksmingumą, taip pat turėtų būti persvarstyta jos įsikūrimo vieta;

Pakeitimas    4

Pasiūlymas dėl reglamento

12 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų. Be to, Agentūra turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip Agentūra turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų, tačiau turėtų vengti veiklos dubliavimo, skatinti sinergiją ir papildomumą ir tokiu būdu užtikrinti koordinavimą ir taupyti biudžeto lėšas. Be to, Agentūra turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip Agentūra turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

Pakeitimas    5

Pasiūlymas dėl reglamento

15 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(15a)  kibernetinei erdvei taikoma tarptautinė teisė, o 2013 m. ir 2015 m. JT Vyriausybių ekspertų grupės (UNGGE) ataskaitose pateikiamos reikiamos gairės, visų pirma, dėl draudimo valstybėms vykdyti arba sąmoningai remti kibernetinę veiklą nusižengiant savo įsipareigojimams pagal tarptautines taisykles. Šiomis aplinkybėmis aktualus Talino vadovas 2.0 yra puikus pagrindas diskutuoti, kaip kibernetinei erdvei reikėtų taikyti tarptautinę teisę, ir valstybėms narėms dabar laikas pradėti analizuoti ir taikyti š vadovą;

Pakeitimas    6

Pasiūlymas dėl reglamento

36 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(36)  Agentūra turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti patarimus Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms, ir prireikus ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srityje;

(36)  Agentūra turėtų visiškai atsižvelgti į šiuo metu vykdomą mokslinių tyrimų, plėtros ir technologijų vertinimo veiklą, visų pirma atliekamą pagal įvairias Sąjungos mokslinių tyrimų iniciatyvas, siekdama teikti patarimus Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms, ir prireikus ir joms paprašius – valstybėms narėms – dėl mokslinių tyrimų poreikių tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srityje. Agentūrai reikėtų suteikti papildomą biudžetą mokslinių tyrimų ir technologinės plėtros veiklai, kuria būtų prisidedama prie dabartinių Sąjungos mokslinių tyrimų programų;

Pakeitimas    7

Pasiūlymas dėl reglamento

46 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(46a)  Agentūros biudžetas turėtų būti parengtas taikant rezultatais grindžiamo biudžeto sudarymo principą, atsižvelgiant į Agentūros tikslus ir tikėtinus jos veiklos rezultatus;

Pakeitimas    8

Pasiūlymas dėl reglamento

4 straipsnio 4 dalis

Komisijos siūlomas tekstas

Pakeitimas

4.  Agentūra skatina valstybes nares, Sąjungos institucijas, agentūras ir įstaigas bei susijusius suinteresuotuosius subjektus, įskaitant privatųjį sektorių, bendradarbiauti ir koordinuoti su kibernetiniu saugumu susijusius klausimus Sąjungos lygmeniu.

4.  Agentūra skatina valstybes nares, Sąjungos institucijas, agentūras ir įstaigas bei susijusius suinteresuotuosius subjektus, įskaitant privatųjį sektorių, bendradarbiauti ir koordinuoti su kibernetiniu saugumu susijusius klausimus Sąjungos lygmeniu, kad būtų užtikrintas koordinavimas ir sutaupyta lėšų, išvengta dubliavimo ir skatinama sinergija bei papildomumas jiems vykdant savo veiklą.

Pakeitimas    9

Pasiūlymas dėl reglamento

9 straipsnio 1 pastraipos g a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ga)  informuoti apie savo veiklą ir pasiektus rezultatus ir juos propaguoti, kad būtų padidintas matomumas ir informuotumas tarp piliečių.

Pakeitimas    10

Pasiūlymas dėl reglamento

10 straipsnio b a punktas (naujas)

Komisijos siūlomas tekstas

Pakeitimas

 

ba)  skiria lėšas mokslinių tyrimų veiklai vykdyti tose interesų srityse, kurios dar nėra įtrauktos į dabartines Sąjungos tyrimų programas ir kuriose yra aiškiai matoma Europos pridėtinė vertė.

Pakeitimas    11

Pasiūlymas dėl reglamento

13 straipsnio 1 dalis

Komisijos siūlomas tekstas

Pakeitimas

1.  Valdančiąją tarybą sudaro po vieną kiekvienos valstybės narės atstovą ir du Komisijos paskirti atstovai. Kiekvienas narys turi balsavimo teisę.

1.  Valdančiąją tarybą sudaro po vieną kiekvienos valstybės narės atstovą, vienas Europos Parlamento paskirtas atstovas ir du Komisijos paskirti atstovai. Kiekvienas narys turi balsavimo teisę.

Pakeitimas    12

Pasiūlymas dėl reglamento

26 straipsnio 1 dalies 1 pastraipa (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

Preliminarus pajamų ir išlaidų sąmatos projektas grindžiamas tikslais ir tikėtinais rezultatais, nurodytais 21 straipsnio 1 dalyje minėtame metiniame programavimo dokumente, ir jame atsižvelgiama į finansinius išteklius, būtinus minėtiems tikslams ir tikėtiniems rezultatams pasiekti, laikantis rezultatais grindžiamo biudžeto sudarymo principo.

Pakeitimas    13

Pasiūlymas dėl reglamento

36 straipsnio 5 dalis

Komisijos siūlomas tekstas

Pakeitimas

5.  Asmeninę tarnautojų atsakomybę Agentūros atžvilgiu reguliuoja atitinkamos Agentūros darbuotojams taikomos atitinkamos nuostatos.

5.  Asmeninę tarnautojų atsakomybę Agentūros atžvilgiu reguliuoja atitinkamos Agentūros darbuotojams taikomos atitinkamos nuostatos. Užtikrinamas veiksmingas darbuotojų įdarbinimas.

Pakeitimas    14

Pasiūlymas dėl reglamento

37 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūros veiklai būtinas vertimo paslaugas teikia Europos Sąjungos įstaigų vertimo centras.

2.  Agentūros veiklai būtinas vertimo paslaugas teikia Europos Sąjungos įstaigų vertimo centras arba kiti vertimo paslaugų teikėjai pagal viešųjų pirkimų taisykles ir atsižvelgiant į atitinkamose finansinėse taisyklėse numatytus apribojimus.

Pakeitimas    15

Pasiūlymas dėl reglamento

41 straipsnio 2 dalis

Komisijos siūlomas tekstas

Pakeitimas

2.  Agentūrą priimančioji valstybė narė sudaro geriausias įmanomas sąlygas, kad būtų užtikrintas tinkamas Agentūros veikimas, įskaitant vietos prieinamumą, tinkamas galimybes mokytis darbuotojų vaikams, tinkamas galimybes įsidarbinti, naudotis socialinės apsaugos ir medicininės priežiūros paslaugomis vaikams ir sutuoktiniams.

2.  Agentūrą priimančioji valstybė narė sudaro geriausias įmanomas sąlygas, kad būtų užtikrintas tinkamas Agentūros veikimas, įskaitant vienintelę buveinę visai Agentūrai, vietos prieinamumą, tinkamas galimybes mokytis darbuotojų vaikams, tinkamas galimybes įsidarbinti, naudotis socialinės apsaugos ir medicininės priežiūros paslaugomis vaikams ir sutuoktiniams.

Pagrindimas

Dabartinė Agentūros struktūra, jos administracinei buveinei esant Heraklione (Kretoje), o pagrindinę veiklą vykdant Atėnuose, pasirodė esanti neefektyvi ir brangiai kainuojanti. Visi ENISA darbuotojai turėtų dirbti viename mieste. Atsižvelgiant į šioje dalyje paminėtus kriterijus, tas miestas turėtų būti Atėnai.

Pakeitimas    16

Pasiūlymas dėl reglamento

41 straipsnio 2 a dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

2a.  Komisijai atlikus tarpinstitucinės darbo grupės agentūrų išteklių klausimais rekomenduojamą vertinimą, turi būti persvarstytas Susitarimas dėl būstinės ir atitinkamai persvarstyta Agentūros įsikūrimo vieta.

NUOMONĘ TEIKIANČIO KOMITETO PROCEDŪRA

Pavadinimas

Reglamentas dėl Europos kibernetinio saugumo agentūros ENISA ir dėl informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

Nuorodos

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Atsakingas komitetas

       Paskelbimo plenariniame posėdyje data

ITRE

23.10.2017

 

 

 

Nuomonę pateikė

       Paskelbimo plenariniame posėdyje data

BUDG

23.10.2017

Nuomonės referentas (-ė)

       Paskyrimo data

Jens Geier

26.9.2017

Svarstymas komitete

21.3.2018

 

 

 

Priėmimo data

16.5.2018

 

 

 

Galutinio balsavimo rezultatai

+:

–:

0:

22

4

0

Posėdyje per galutinį balsavimą dalyvavę nariai

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Posėdyje per galutinį balsavimą dalyvavę pavaduojantys nariai

Ivana Maletić, Andrey Novakov

GALUTINIS VARDINIS BALSAVIMAS NUOMONĘ TEIKIANČIAME KOMITETE

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Sutartiniai ženklai:

+  :  už

-  :  prieš

0  :  susilaikė

(1)

26 AD, 6 AST darbuotojai ir 9 deleguotieji nacionaliniai ekspertai. Į šį skaičių nėra įtraukti numatomi kuruojančio generalinio direktorato, sutartininkų ir išorės paslaugų teikėjų žmogiškųjų išteklių poreikiai.

(2)

Apytiksliai, nedarant poveikio ES finansavimui po 2020 m.


Piliečių laisvių, teisingumo ir vidaus reikalų komiteto NUOMONĖ (16.3.2018)

pateikta Pramonės, mokslinių tyrimų ir energetikos komitetui

dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Nuomonės referentas: Jan Philipp Albrecht

TRUMPAS PAGRINDIMAS

Nuomonės referentas teigiamai vertina Komisijos pasiūlymą dėl kibernetinio saugumo akto(1), nes jame geriau apibrėžiamas ENISA vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir parengiamos priemonės, susijusios su kibernetinio saugumo standartais, sertifikavimu ir ženklinimu, kad IRT pagrįstų sistemų, taip pat susietųjų objektų saugumas būtų didesnis.

Vis dėlto nuomonės referentas mano, kad jį būtų galima toliau tobulinti. Nuomonės referentas tvirtai tiki, kad informacijos saugumas yra itin svarbus siekiant apsaugoti pagrindines piliečių teises, įtvirtintas ES pagrindinių teisių chartijoje, taip pat kovoti su kibernetiniais nusikaltimais ir apsaugoti demokratiją bei teisinę valstybę.

Pagrindinės teisės Nesaugios sistemos gali nulemti duomenų saugumo pažeidimus ir tapatybės klastojimą, dėl to galėtų būti padaryta reali žala ir sukelta kančių privatiems asmenims, įskaitant pavojų gyvybei, privatumui, orumui ar nuosavybei. Pavyzdžiui, gali kilti pavojus, kad liudytojai bus bauginami arba nukentės fiziškai, arba kad moterims kils smurto šeimoje rizika, jei bus atskleistas jų namų adresas. Kalbant apie daiktų internetą, kuris apima ir fizines pavaras, o ne vien tik jutiklius, asmenų fizinei neliečiamybei ir gyvybei gali grėsti pavojus dėl atakų prieš informacines sistemas. Nuomonės referento siūlomais pakeitimais visų pirma siekiama apsaugoti ES pagrindinių teisių chartijos 1, 2, 3, 6, 7, 8, 11 ir 17 straipsnius. Randasi netgi konstitucinių teismų praktika, kai, remiantis bendrosiomis asmens teisėmis, nustatoma speciali pagrindinė teisė į informacinių ir techninių sistemų konfidencialumą ir vientisumą(2) , pritaikyta šiuolaikiniam skaitmeniniam pasauliui.

Kova su kibernetiniais nusikaltimais Kai kurių rūšių nusikaltimai, vykdomi internete, tokie kaip duomenų vagystės ar finansinis ir bankinis sukčiavimas, yra piktnaudžiavimas pasitikėjimu, jo negalima įveikti IT saugumo priemonėmis. Nuomonės referentas palankiai vertina tai, kad su šių rūšių nusikaltimais siūloma kovoti vykdant reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kurias organizuotų ENISA. Kitų rūšių internetiniai nusikaltimai yra susiję su atakomis prieš informacines sistemas, kaip antai neteisėta prieiga ar paskirstytojo paslaugos trikdymo atakos (DDoS atakos). Nuomonės referentas mano, kad IT saugumo didinimas padės veiksmingai sustiprinti kovą su šių rūšių nusikaltimais ir ypač užkirsti kelią kibernetiniams nusikaltimams.

Demokratija ir teisinė valstybė Vyriausybių ir nevalstybinių subjektų vykdomos IT sistemų atakos kelia akivaizdžią ir vis didėjančią grėsmę demokratijai, nes kišamasi į laisvus ir sąžiningus rinkimus, pvz., manipuliuojant faktus ir nuomones, darant įtaką tam, kaip piliečiai balsuos, kišantis į balsavimo procesą ir keičiant balsavimo rezultatus ar mažinant pasitikėjimą balsų neliečiamumu.

Todėl rengiamame LIBE komiteto nuomonės projekte nuomonės referentas siūlo iš dalies pakeisti Komisijos pasiūlymą dėmesį skiriant šiems pagrindiniams LIBE klausimams:

•  Agentūra turėtų atlikti svarbesnį vaidmenį skatinant, kad visi Europos informacinės visuomenės subjektai taikytų tvirtas prevencines privatumo didinimo technologijas ir IT saugumo priemones;

•  Agentūra turėtų siūlyti politiką, pagal kurią būtų nustatoma aiški visų subjektų, dalyvaujančių IRT ekosistemose, kur negebėjimas pakankamai apdairiai veikti siekiant užtikrinti tinkamą IT saugumą galėtų turėti didelių padarinių saugumui, nulemti didelio masto aplinkos naikinimą, sukelti sisteminę finansų ar ekonomikos krizę;

•  Agentūra, konsultuodamasi su IT saugumo ekspertais, turėtų pasiūlyti aiškius ir privalomus pagrindinius IT saugumo reikalavimus;

•  Agentūra turėtų pasiūlyti IT saugumo sertifikavimo schemą, kuri sudarytų sąlygas IRT pardavėjams padidinti skaidrumą vartotojams naujovinimo galimybių ir programinės įrangos priežiūros trukmės klausimais. Tokia sertifikavimo schema turi būti dinamiška, nes saugumas yra procesas, kurį būtina nuolat tobulinti;

•  Agentūra turėtų skelbti gaires ir geriausios praktikos pavyzdžius ir tokiu būdu užtikrinti, kad IRT produktų gamintojams būtų paprasčiau ir pigiau įgyvendinti integruotojo saugumo principus;

•  Paprašyta Sąjungos institucijų, įstaigų, biurų ir agentūrų bei valstybių narių, Agentūra turėtų atlikti reguliarius prevencinius savo ypatingos svarbos infrastruktūros objektų IT saugumo auditus (teisė atlikti auditą);

•  Agentūra turėtų nedelsdama pranešti apie IT saugumo spragas, kurios dar nėra viešai žinomos gamintojams. Agentūra neturėtų nuslėpti neskelbiamų įmonių ar produktų saugumo spragų ar naudotis jomis savo tikslams. Kurdamos, supirkdamos ar naudodamos užpakalines duris IT sistemose už mokesčių mokėtojų pinigus, vyriausybinės įstaigos kelia riziką piliečių saugumui. Siekiant apsaugoti kitus suinteresuotuosius subjektus, kurie atsakingai elgiasi su tokiomis saugumo spragomis, Agentūra turėtų pasiūlyti politinių priemonių, skirtų atsakingai keistis informacija apie nuslėptąsias spragas ir kitas saugumo spragas, apie kurias dar viešai nežinoma, ir palengvinti saugumo spragų šalinimą;

•  Siekdama, kad ES neatsiliktų nuo trečiųjų valstybių IT saugumo pramonės, Agentūra turėtų nustatyti ir pradėti ilgalaikį ES IT saugumo projektą, kurio aprėptis būtų panaši į tai, kas buvo padaryta aviacijos sektoriuje su „Airbus“.

Komisijos pasiūlyme turėtų būti vengiama vartoti sąvoką „kibernetinis saugumas“, nes jis yra neapibrėžtas teisiniu požiūriu ir dėl jo galėtų kilti neaiškumų. Nuomonės referentas siūlo sąvoką „kibernetinis saugumas“ pakeisti sąvoka „IT saugumas“, kad padaugėtų teisinio tikrumo.

PAKEITIMAI

Piliečių laisvių, teisingumo ir vidaus reikalų komitetas ragina atsakingą Pramonės, mokslinių tyrimų ir energetikos komitetą atsižvelgti į šiuos pakeitimus:

Pakeitimas    1

Pasiūlymas dėl reglamento

Antraštinė dalis

Komisijos siūlomas tekstas

Pakeitimas

EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS

EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS

dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas)

dėl Europos tinklų ir informacijos apsaugos agentūros ENISA ir informacinių ir ryšių technologijų saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (IT saugumo aktas)

 

(Šis pakeitimas taikomas visam tekstui.)

Pagrindimas

Priešdėlis „kiber-“ yra kilęs iš praėjusio šimtmečio septintojo dešimtmečio mokslinės fantastikos kūrinių, jis buvo vis dažniau vartojamas siekiant aprašyti neigiamus interneto aspektus (kibernetinė ataka, kibernetinis nusikaltimas ir kt.), tačiau teisiniu požiūriu yra labai neapibrėžtas. Siekiant teisinio tikrumo, pranešėjas siūlo pakeisti terminą „kibernetinis saugumas“ į terminą „IT saugumas“.

Pakeitimas    2

Pasiūlymas dėl reglamento

2 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų kibernetinis saugumas yra nepakankamas. Šiomis aplinkybėmis dėl nepakankamo sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų ir paslaugų kibernetinį saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais;

(2)  tinklų ir informacines sistemas piliečiai, įmonės ir valdžios institucijos visoje Sąjungoje dabar naudoja labai plačiai. Skaitmeninimas ir ryšys tampa pagrindinėmis vis didesnės produktų ir paslaugų dalies savybėmis, ir numatoma, kad, įsitvirtinus daiktų internetui, per ateinantį dešimtmetį ES bus įdiegta milijonai, jei ne milijardai susietųjų skaitmeninių įrenginių. Nors prie interneto prijungiama vis daugiau įrenginių, juos projektuojant neužtikrinamas pakankamas saugumas ir atsparumas, dėl to jų IT saugumas yra nepakankamas. Šiomis aplinkybėmis dėl nepakankamo ir pavienio sertifikavimo organizacijos ir pavieniai vartotojai negauna pakankamai informacijos apie IRT produktų ir paslaugų IT saugumą, o tai mažina pasitikėjimą skaitmeniniais sprendimais. Nuo IRT tinklų priklauso skaitmeniniai produktai ir paslaugos, galintys palaikyti visus piliečių gyvenimo aspektus ir skatinti Europos ekonomikos plėtrą. Siekiant užtikrinti, kad bendrosios skaitmeninės rinkos kūrimo tikslai būtų visiškai pasiekti, turi būti įdiegti svarbiausi technologiniai elementai, kuriais gali remtis tokios svarbios sritys kaip e. sveikata, daiktų internetas, dirbtinis intelektas, kvantinė technologija, taip pat intelektinės transporto sistemos ir pažangioji gamyba;

Pakeitimas    3

Pasiūlymas dėl reglamento

4 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, kibernetinio saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas kibernetinio saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

(4)  kibernetinių išpuolių daugėja, todėl susietajai ekonomikai ir visuomenei, labiau pažeidžiamai dėl kibernetinių grėsmių ir išpuolių, reikalinga didesnė ir saugesnė apsauga. Vis dėlto, nors kibernetiniai išpuoliai dažnai yra tarpvalstybinio pobūdžio, IT saugumo institucijų atsakomosios politikos priemonės ir teisėsaugos institucijų kompetencijos daugiausia yra nacionalinės. Didelio masto kibernetiniai incidentai gali sutrikdyti esminių paslaugų visoje ES teikimą. Todėl būtinas veiksmingas ES lygmens atsakas ir krizių valdymas, paremtas specializuota politika ir bendresnio pobūdžio Europos solidarumo ir savitarpio pagalbos priemonėmis. Be to, politikos formuotojams, sektoriaus atstovams ir naudotojams yra svarbu, kad reguliariai būtų vykdomas patikimais Sąjungos duomenimis grindžiamas IT saugumo ir atsparumo būklės Sąjungoje vertinimas ir sistemingai prognozuojami Sąjungos ir pasaulinio masto ateities pokyčiai, sunkumai ir grėsmės;

Pakeitimas    4

Pasiūlymas dėl reglamento

5 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(5)  atsižvelgiant į padidėjusius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą ir koordinavimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju. Taip pat reikia dėti daugiau pastangų siekiant didinti piliečių ir įmonių informuotumą apie kibernetinio saugumo problemas. Be to, reikėtų dar labiau didinti pasitikėjimą skaitmenine bendrąja rinka teikiant skaidrią informaciją apie IRT produktų ir paslaugų saugumo lygį. To siekti galėtų padėti ES masto sertifikavimas, numatant bendrus kibernetinio saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose;

(5)  atsižvelgiant į padidėjusius IT saugumo iššūkius, su kuriais susiduria Sąjunga, būtina parengti išsamų ankstesniais Sąjungos veiksmais grindžiamų priemonių, kuriomis remiami vienas kitą papildantys tikslai, rinkinį. Tam būtina dar labiau gerinti valstybių narių ir įmonių pajėgumus bei parengtį, taip pat gerinti valstybių narių ir ES institucijų, agentūrų ir įstaigų bendradarbiavimą ir koordinavimą. Be to, dėl tarpvalstybinio kibernetinių grėsmių pobūdžio būtina didinti Sąjungos lygmens pajėgumus, kurie galėtų papildyti valstybių narių veiksmus, visų pirma didelių tarpvalstybinių kibernetinių incidentų ir krizių atveju. Taip pat reikia dėti daugiau pastangų siekiant duoti koordinuotą ES atsaką ir didinti piliečių ir įmonių informuotumą apie IT saugumo problemas. Be to, reikėtų dar labiau didinti pasitikėjimą skaitmenine bendrąja rinka teikiant skaidrią informaciją apie IRT produktų ir paslaugų saugumo lygį. To siekti galėtų padėti ES masto sertifikavimas, numatant bendrus IT saugumo reikalavimus ir vertinimo kriterijus visose nacionalinėse rinkose ir sektoriuose. Kartu su Sąjungos masto sertifikavimu yra įvairių rinkoje visuotinai priimtų savanoriškų priemonių, kurios priklauso nuo produkto, paslaugos, naudojimo arba standarto. Reikėtų skatinti taikyti šias priemones, sektoriaus požiūrį „iš apačios į viršų“, taip pat užtikrinti integruotąjį saugumą, veiksmingą panaudojimą ir prisėdėti rengiant tarptautinius standartus;

Pakeitimas    5

Pasiūlymas dėl reglamento

7 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti kibernetinį saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į kibernetinio saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą kibernetinio saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). TIS direktyva buvo nustatyti reikalavimai, susiję su kibernetinio saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ypatingo svarbos ekonomikai ir visuomenei sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių). Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą kibernetinio saugumo lygį;

(7)  Sąjunga jau ėmėsi svarbių veiksmų siekdama užtikrinti IT saugumą ir padidinti pasitikėjimą skaitmeninėmis technologijomis. 2013 m. buvo priimta ES kibernetinio saugumo strategija siekiant Sąjungos politikos atsaką nukreipti į IT saugumo grėsmes ir riziką. Siekdama geriau apsaugoti europiečius internete 2016 m. Sąjunga priėmė pirmąjį teisėkūros procedūra priimamą IT saugumo srities aktą – Direktyvą (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (TIS direktyvą). TIS direktyva buvo įgyvendinta bendrosios skaitmeninės rinkos strategija ir kartu su kitomis priemonėmis, pvz., Direktyva .../..., kuria nustatomas Europos elektroninių ryšių kodeksas, Europos Parlamento ir Tarybos reglamentu (ES) 2016/6791a ir Europos Parlamento ir Tarybos direktyva 2002/58/EB1b, nustatyti reikalavimai, susiję su IT saugumo srities nacionaliniais pajėgumais, sukurti pirmieji mechanizmai, kuriais siekiama stiprinti strateginį ir operatyvinį valstybių narių bendradarbiavimą, ir nustatytos prievolės, susijusios su saugumo priemonėmis ir pranešimais apie incidentus ypatingos svarbos ekonomikai ir visuomenei sektoriuose, pvz., energetikos, transporto, vandens, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, skaitmeninės infrastruktūros, taip pat pagrindinių skaitmeninių paslaugų teikėjų (paieškos sistemų, debesijos kompiuterijos paslaugų ir elektroninių prekyviečių). Pagrindinis vaidmuo padėti įgyvendinti šią direktyvą buvo priskirtas ENISA. Be to, svarbus Europos saugumo darbotvarkės prioritetas – veiksmingai kovoti su kibernetiniais nusikaltimais, prisidedant prie bendro tikslo užtikrinti aukštą IT saugumo lygį;

 

_______________

 

1a 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

 

1b 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių)(OL L 201, 2002 7 31, p. 37).

Pakeitimas    6

Pasiūlymas dėl reglamento

8 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(8)  pripažįstama, kad nuo tada, kai 2013 m. buvo priimta ES kibernetinio saugumo strategija ir paskutinį kartą buvo persvarstyti Agentūros įgaliojimai, bendros politinės aplinkybės labai pasikeitė, taip pat dėl labiau nenuspėjamos ir nesaugesnės aplinkos visame pasaulyje. Šiomis sąlygomis ir remiantis nauja Sąjungos kibernetinio saugumo politika būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje kibernetinio saugumo ekosistemoje ir užtikrinti, kad ji veiksmingai prisidėtų prie Sąjungos veiksmų reaguojant į kibernetinio saugumo problemas dėl radikaliai pasikeitusių grėsmių, kurioms spręsti, kaip pripažinta Agentūros vertinime, esamų įgaliojimų nepakanka;

(8)  pripažįstama, kad nuo tada, kai 2013 m. buvo priimta ES kibernetinio saugumo strategija ir paskutinį kartą buvo persvarstyti Agentūros įgaliojimai, bendros politinės aplinkybės labai pasikeitė, taip pat dėl labiau nenuspėjamos ir nesaugesnės aplinkos visame pasaulyje. Šiomis sąlygomis ir remiantis nauja Sąjungos IT saugumo politika būtina peržiūrėti ENISA įgaliojimus, kad būtų apibrėžtas jos vaidmuo pasikeitusioje IT saugumo ekosistemoje ir užtikrinti, kad ji atliktų vadovaujamąjį vaidmenį, ir taip būtų veiksmingai pagerinti Sąjungos veiksmai reaguojant į IT saugumo problemas dėl radikaliai pasikeitusių grėsmių, kurioms spręsti, kaip pripažinta Agentūros vertinime, esamų įgaliojimų nepakanka;

Pakeitimas    7

Pasiūlymas dėl reglamento

11 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(11)  atsižvelgiant į didėjančius kibernetinio saugumo iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje;

(11)  atsižvelgiant į didėjančius IT saugumo iššūkius, su kuriais susiduria Sąjunga, reikėtų padidinti Agentūrai skiriamus finansinius ir žmogiškuosius išteklius, kad būtų atsižvelgta į didesnį jos vaidmenį ir uždavinius, taip pat labai svarbų jos vaidmenį Europos skaitmeninę ekosistemą ginančių organizacijų ekosistemoje. Deramą dėmesį reikėtų skirti tolesniam Agentūros pajėgumo stiprinimui.

Pagrindimas

Svarbu, kad mums netrūktų Agentūros pajėgumų. Taip pat privalome siekti užtikrinti tolesnę Agentūros plėtrą, atsižvelgdami į tai, koks svarbus kibernetinis saugumas yra šiandien ir, dar svarbiau – koks svarbus jis bus rytoj. Atsižvelgiant į Rusijos kišimąsi į rinkimus ir didėjančius viso pasaulio supervalstybių ir valstybių pajėgumus, pagrindinių sektorių skaitmeninimas yra neišvengiamas.

Pakeitimas    8

Pasiūlymas dėl reglamento

11 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(11a)  skaitmeniniame amžiuje iššūkiai IT saugumo srityje yra glaudžiai susiję su iššūkiais duomenų apsaugos, privataus gyvenimo apsaugos ir elektroninių ryšių apsaugos srityje. Kad Agentūra sugebėtų reaguoti į tuos iššūkius tinkamai, būtinas glaudus bendradarbiavimas ir reguliarios konsultacijos su institucijomis, įsteigtomis pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/20011a, Reglamentą (ES) 2016/679, Direktyvą (ES) 2016/680 ir Reglamentą (EB) Nr. 1211/2009, o taip pat su pramone ir pilietine visuomene.

 

________________

 

1a 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

Pakeitimas    9

Pasiūlymas dėl reglamento

12 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų. Be to, Agentūra turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Užduočių sąraše turėtų būti nurodyta, kaip Agentūra turi siekti savo tikslų, tačiau jos veiklos sąlygos turėtų būti lanksčios;

(12)  Agentūra turėtų kurti ir išlaikyti aukšto lygio ekspertines žinias ir veikti kaip informacinis centras, skatinantis pasitikėti bendrąja rinka – visa tai ji galėtų pasiekti būdama nepriklausoma, teikdama kokybiškas konsultacijas ir skleisdama kokybišką informaciją, užtikrindama savo procedūrų ir veiklos būdų skaidrumą bei uoliai vykdydama savo užduotis. Vykdydama savo užduotis ir visapusiškai bendradarbiaudama su Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis bei valstybėmis narėmis Agentūra turėtų aktyviai prisidėti prie nacionalinių ir Sąjungos veiksmų. Be to, Agentūra turėtų remtis privačiojo sektoriaus ir kitų atitinkamų suinteresuotųjų subjektų indėliu ir bendradarbiavimu su jais. Aiški darbotvarkė, užduočių sąrašas ir tikslai, kurių Agentūra turi siekti, turėtų būti aiškiai nustatyti, tačiau turėtų būti tinkamai atsižvelgiama į jos veiklos sąlygoms būtiną lankstumą. Jei įmanoma, turėtų būti išlaikytas kuo didesnis skaidrumas ir kuo intensyvesnis keitimasis informacija;

Pakeitimas    10

Pasiūlymas dėl reglamento

14 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(14)  pagrindinė Agentūros užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti TIS direktyvą, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omeny sparčiai kintančias grėsmes kibernetiniam saugumui, akivaizdu, kad valstybėms narėms būtina padėti laikantis platesnio, įvairias politikos sritis apimančio požiūrio į kibernetinio atsparumo didinimą;

(14)  pagrindinė Agentūros užduotis yra skatinti nuosekliai įgyvendinti atitinkamus teisės aktus, visų pirma veiksmingai įgyvendinti TIS direktyvą, Direktyvą .../..., kuria nustatomas Europos elektroninių ryšių kodeksas, Reglamentą (ES) 2016/679 ir Direktyvą 2002/58/EB, nes tai itin svarbu siekiant padidinti kibernetinį atsparumą. Turint omeny sparčiai kintančias grėsmes IT saugumui, akivaizdu, kad valstybėms narėms būtina padėti laikantis platesnio, įvairias politikos sritis apimančio požiūrio į kibernetinio atsparumo didinimą;

Pakeitimas    11

Pasiūlymas dėl reglamento

21 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(21a)  Komisija turėtų pasiūlyti vykdyti privalomą valstybių narių bendradarbiavimą ypatingos svarbos informacinės infrastruktūros apsaugos klausimais;

Pakeitimas    12

Pasiūlymas dėl reglamento

26 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(26)  siekdama geriau suprasti kibernetinio saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms Agentūra turi analizuoti esamą ir atsirandančią riziką. Šiuo tikslu Agentūra, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitais subjektais, turėtų rinkti reikiamą informaciją ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu tinklų ir informacijos saugumo, visų pirma kibernetinio saugumo, srities technologinių inovacijų visuomeniniu, teisiniu, ekonominiu ir reguliavimo poveikiu. Be to, Agentūra, vykdydama grėsmių ir incidentų analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, agentūroms ir įstaigoms nustatyti atsirandančias tendencijas ir išvengti su kibernetiniu saugumu susijusių problemų;

(26)  siekdama geriau suprasti IT saugumo srities problemas ir teikti strategines ilgalaikes rekomendacijas valstybėms narėms ir Sąjungos institucijoms Agentūra turi analizuoti esamą ir atsirandančią riziką, incidentus ir pažeidžiamumą. Šiuo tikslu Agentūra, bendradarbiaudama su valstybėmis narėmis ir prireikus su statistikos įstaigomis ir kitais subjektais, turėtų rinkti reikiamą informaciją ir vykdyti naujausių technologijų analizę bei teikti teminius vertinimus, susijusius su numatomu tinklų ir informacijos saugumo, visų pirma IT saugumo, srities technologinių inovacijų visuomeniniu, teisiniu, ekonominiu ir reguliavimo poveikiu. Be to, Agentūra, vykdydama grėsmių, incidentų ir pažeidžiamumo analizę, turėtų padėti valstybėms narėms ir Sąjungos institucijoms, agentūroms ir įstaigoms nustatyti atsirandančias tendencijas ir išvengti su IT saugumu susijusių rizikų, incidentų ir pažeidžiamumų.

Pakeitimas    13

Pasiūlymas dėl reglamento

28 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą apie riziką, susijusią su kibernetiniu saugumu, ir piliečiams bei organizacijoms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Agentūra taip pat turėtų padėti skatinti asmenis ir organizacijas taikyti geriausią patirtį ir sprendimus, šiuo tikslu rinkdama ir analizuodama viešai prieinamą informaciją apie didelius incidentus, taip pat rengti ataskaitas siekdama įmonėms ir piliečiams teikti rekomendacijas bei pagerinti bendrą pasirengimo ir atsparumo lygį. Agentūra, bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas, kuriomis būtų siekiama propaguoti saugesnį asmens elgesį internetinėje aplinkoje ir skatinti informuoti apie galimas grėsmes kibernetinėje erdvėje, įskaitant elektroninius nusikaltimus, kaip antai duomenų vagystes, botnetus, finansinį ir bankinį sukčiavimą, taip pat skatinti teikti pagrindinę patariamojo pobūdžio informaciją apie autentiškumo patvirtinimą ir duomenų apsaugą. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą;

(28)  Agentūra turėtų padėti didinti visuomenės informuotumą apie riziką, susijusią su IT saugumu, ir piliečiams bei organizacijoms pateikti atskiriems naudotojams skirtas gerosios praktikos rekomendacijas. Siekdama pagerinti bendrą pasirengimo ir atsparumo lygį, Agentūra taip pat turėtų padėti skatinti asmenis ir organizacijas taikyti geriausią patirtį ir sprendimus, šiuo tikslu rinkdama ir analizuodama prieinamą informaciją apie didelius incidentus, taip pat rengti ataskaitas siekdama įmonėms, piliečiams ir atitinkamoms institucijoms Sąjungos ir nacionaliniu lygmenimis teikti rekomendacijas. Agentūra, bendradarbiaudama su valstybėmis narėmis ir Sąjungos institucijomis, įstaigomis, tarnybomis ir agentūromis, taip pat turėtų organizuoti reguliarias galutiniams vartotojams skirtas visuomenės švietimo kampanijas. Šiomis kampanijomis turėtų būti skatinamas IT saugumo lavinimas ir saugesnis asmens elgesys internetinėje aplinkoje bei didinamas informuotumas apie galimas grėsmes kibernetinėje erdvėje, įskaitant elektroninius nusikaltimus, kaip antai duomenų vagystes, kenksmingu programiniu kodu užkrėstų kompiuterių tinklus, finansinį ir bankinį sukčiavimą, klastotes ir neteisėtą turinį, taip pat propaguoti duomenų apsaugą ir pagrindinį autentiškumo patvirtinimą, siekiant užkirsti kelią duomenų ir tapatybės vagystėms. Agentūra turėtų atlikti pagrindinį vaidmenį spartindama galutinių vartotojų informuotumą apie įrenginių saugumą;

Pakeitimas    14

Pasiūlymas dėl reglamento

28 a konstatuojamoji dalis (nauja)

Komisijos siūlomas tekstas

Pakeitimas

 

(28a)  Agentūra turėtų didinti visuomenės informuotumą apie su duomenimis susijusio sukčiavimo atvejus ir duomenų vagystes, kurie gali turėti didelį poveikį pagrindinėms asmenų teisėms, kelti grėsmę teisinei valstybei ir kelti pavojų demokratinėms visuomenėms, įskaitant demokratinius procesus valstybėse narėse.

Pakeitimas    15

Pasiūlymas dėl reglamento

30 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(30)  kad Agentūra galėtų pasiekti visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis institucijomis, agentūromis ir įstaigomis, be kita ko, CERT-EU, Europolo Europos kovos su elektroniniu nusikalstamumu centru (EC3), Europos gynybos agentūra (EGA), Europos didelės apimties IT sistemų operacijų valdymo agentūra (eu-LISA), Europos aviacijos saugos agentūra (EASA) ir kitoms su kibernetiniu saugumu susijusiomis ES agentūromis. Ji taip pat turėtų bendradarbiauti su duomenų apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausia praktika ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti kibernetinio saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti Agentūros nuolatinės suinteresuotųjų subjektų grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis tinklų ir informacijos saugumo aspektais, galinčiais turėti įtakos jų darbui, Agentūra turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais;

(30)  kad Agentūra galėtų pasiekti visus savo tikslus, ji turėtų bendradarbiauti su atitinkamomis institucijomis, agentūromis ir įstaigomis, be kita ko, CERT-EU, Europolo Europos kovos su elektroniniu nusikalstamumu centru (EC3), Europos gynybos agentūra (EGA), Europos didelės apimties IT sistemų operacijų valdymo agentūra (eu-LISA), Europos aviacijos saugos agentūra (EASA), Europos pasaulinės navigacijos palydovų sistemos priežiūros institucija ir kitomis su IT saugumu susijusiomis ES agentūromis. Ji taip pat turėtų bendradarbiauti su Sąjungos ir nacionalinėmis duomenų apsaugos institucijomis siekiant keistis praktine patirtimi ir geriausia praktika ir teikti rekomendacijas dėl poveikį jų darbui galinčių daryti IT saugumo aspektų. Nacionalinių ir Sąjungos teisėsaugos ir duomenų apsaugos institucijų atstovams turėtų būti suteikta teisė dalyvauti Agentūros nuolatinės suinteresuotųjų subjektų grupės veikloje. Bendradarbiaudama su teisėsaugos įstaigomis tinklų ir informacijos saugumo aspektais, galinčiais turėti įtakos jų darbui, Agentūra turėtų naudotis esamais informacijos kanalais ir sukurtais tinklais;

Pagrindimas

Kadangi sistemoje GALILEO esama kibernetinio saugumo problemų, ypač antžeminiuose jos segmentuose, bendradarbiaujant su pasaulinės navigacijos palydovų sistemos priežiūros institucija realiai sustiprėtų ENISA vaidmuo ir kartu padidėtų sistemos GALILEO patikimumas.

Pakeitimas    16

Pasiūlymas dėl reglamento

35 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(35)  Agentūra turėtų skatinti valstybes nares ir paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam kibernetiniam saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti arba pakoreguoti kibernetinio saugumo standartų neatitinkančius produktus ir paslaugas. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų kibernetinio saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų saugumą, įskaitant kibernetinį saugumą;

(35)  Agentūra turėtų skatinti valstybes nares, aparatinės ir programinės įrangos gamintojus, IRT bei internetinių paslaugų teikėjus griežtinti savo bendruosius saugumo standartus, kad visi interneto naudotojai galėtų imtis reikiamų veiksmų savo asmeniniam IT saugumui užtikrinti. Visų pirma, paslaugų teikėjai ir produktų gamintojai turėtų atšaukti arba pakoreguoti IT saugumo standartų neatitinkančius produktus ir paslaugas. Bendradarbiaudama su kompetentingomis institucijomis ENISA gali skleisti informaciją apie vidaus rinkoje siūlomų produktų ir paslaugų IT saugumo lygį ir įspėti paslaugų teikėjus bei gamintojus ir reikalauti, kad jie pagerintų savo produktų IT saugumą. Agentūra turėtų veikti su suinteresuotuoju subjektu, siekiant parengti Sąjungos masto metodą, taikomą atsakingam pažeidžiamumo problemų atskleidimui, ir turėtų skatinti geriausią patirtį šioje srityje;

Pakeitimas    17

Pasiūlymas dėl reglamento

44 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė suinteresuotųjų subjektų grupė pagrindinį dėmesį turėtų skirti suinteresuotiesiems subjektams svarbiems klausimams ir į tuos klausimus atkreipti Agentūros dėmesį. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą Agentūros veikloje;

(44)  siekiant palaikyti nuolatinį dialogą su privačiuoju sektoriumi, vartotojų organizacijomis ir kitais atitinkamais suinteresuotaisiais subjektais Agentūroje turėtų būti įsteigta nuolatinė suinteresuotųjų subjektų grupė, veikianti kaip patariamasis organas. Vykdomojo direktoriaus pasiūlymu Valdančiosios tarybos įsteigta nuolatinė suinteresuotųjų subjektų grupė pagrindinį dėmesį turėtų skirti suinteresuotiesiems subjektams svarbiems klausimams ir į tuos klausimus atkreipti Agentūros dėmesį. Nuolatinės suinteresuotųjų subjektų grupės sudėtis ir šiai grupei, su kuria turi būti konsultuojamasi dėl veiklos programos projekto, priskirtos užduotys, turėtų užtikrinti pakankamą suinteresuotųjų subjektų atstovavimą Agentūros veikloje. Atsižvelgdama į sertifikavimo reikalavimų svarbą siekiant užtikrinti pasitikėjimą daiktų internetu, Komisija turėtų specialiai apsvarstys įgyvendinimo priemones, kuriomis būtų užtikrintas daiktų interneto įrenginių saugumo standartų suderinimas visos Sąjungos mastu.

Pakeitimas    18

Pasiūlymas dėl reglamento

50 konstatuojamoji dalis

Komisijos siūlomas tekstas

Pakeitimas

(50)  šiuo metu IRT produktų ir paslaugų kibernetinio saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės kibernetinio saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius kibernetinio saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu;

(50)  šiuo metu IRT produktų ir paslaugų IT saugumo sertifikavimas yra ribotas. Kai jie sertifikuojami, toks sertifikavimas dažniausiai vykdomas valstybių narių lygmeniu arba pagal pramonės iniciatyva pagrįstas schemas. Tai reiškia, kad vienos nacionalinės IT saugumo institucijos išduotas sertifikatas iš esmės kitose valstybėse narėse nepripažįstamas. Todėl bendrovėms gali reikėti savo produktus ir paslaugas sertifikuoti keliose valstybėse narėse, kuriose jos vykdo veiklą, pavyzdžiui, siekiant dalyvauti nacionalinėse viešųjų pirkimų procedūrose, tačiau dėl šių procedūrų įmonės gali patirti papildomų išlaidų. Be to, nors atsiranda naujų schemų, atrodo, nėra nuoseklaus ir visapusiško požiūrio į horizontalius IT saugumo klausimus, pavyzdžiui, daiktų interneto srityje. Esamose schemose yra didelių trūkumų ir skirtumų, susijusių su sertifikuojamais produktais, saugumo užtikrinimo lygiais, esminiais kriterijais ir faktiniu naudojimu.