Procedura : 2017/0225(COD)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury : A8-0264/2018

Teksty złożone :

A8-0264/2018

Debaty :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Głosowanie :

PV 12/03/2019 - 9.17
Wyjaśnienia do głosowania

Teksty przyjęte :

P8_TA(2019)0151

SPRAWOZDANIE     ***I
PDF 2197kWORD 328k
17.7.2018
PE 619.373v03-00 A8-0264/2018

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie „Agencji UE ds. Cyberbezpieczeństwa” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych („akt ws. cyberbezpieczeństwa”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Komisja Przemysłu, Badań Naukowych i Energii

Sprawozdawczyni: Angelika Niebler

Sprawozdawca komisji opiniodawczej (*):

Nicola Danti, Komisja Rynku Wewnętrznego i Ochrony Konsumentów

(*) Zaangażowana komisja – art. 54 Regulaminu

POPRAWKI
PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
 UZASADNIENIE
 OPINIA Komisji Rynku Wewnętrznego i Ochrony Konsumentów
 OPINIA Komisji Budżetowej
 OPINIA Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
 PROCEDURA W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ
 GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ

PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie „Agencji UE ds. Cyberbezpieczeństwa” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych („akt ws. cyberbezpieczeństwa”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–  uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2017)0477),

–  uwzględniając art. 294 ust. 2 i art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C8-0310/2017),

–  uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 14 lutego 2018 r.(1),

–  uwzględniając art. 59 Regulaminu,

–   uwzględniając uzasadnioną opinię przedstawione – na mocy protokołu nr 2 w sprawie stosowania zasad pomocniczości i proporcjonalności – przez francuski Senat, w której stwierdzono, że projekt aktu ustawodawczego nie jest zgodny z zasadą pomocniczości,

–  uwzględniając sprawozdanie Komisji Przemysłu, Badań Naukowych i Energii, a także opinie Komisji Rynku Wewnętrznego i Ochrony Konsumentów, Komisji Budżetowej oraz Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (A8-0264/2018),

1.  przyjmuje poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.

Poprawka    1

Wniosek dotyczący rozporządzenia

Motyw 1

Tekst proponowany przez Komisję

Poprawka

(1)  Sieci i systemy informatyczne oraz sieci i usługi telekomunikacyjne odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne stanowią podstawę złożonych systemów wspierających działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

(1)  Sieci i systemy informatyczne oraz sieci i usługi telekomunikacyjne odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne (ICT) stanowią podstawę złożonych systemów wspierających codzienne działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

Poprawka    2

Wniosek dotyczący rozporządzenia

Motyw 2

Tekst proponowany przez Komisję

Poprawka

(2)  Korzystanie z sieci i systemów informatycznych przez obywateli, przedsiębiorstwa i administrację rządową w całej Unii jest obecnie bardzo rozpowszechnione. Digitalizacja i połączalność stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja milionów, jeśli nie miliardów połączonych urządzeń cyfrowych w całej UE. Coraz więcej urządzeń jest połączonych z internetem, a jednocześnie zabezpieczenia i odporność nie są wystarczająco uwzględnione w projektowaniu, co powoduje, że bezpieczeństwo cybernetyczne jest niewystarczające. W związku z powyższym ograniczone korzystanie z certyfikacji prowadzi do niewystarczającego informowania użytkowników instytucjonalnych i indywidualnych o właściwościach produktów i usług ICT w zakresie bezpieczeństwa cybernetycznego, co podważa zaufanie do rozwiązań cyfrowych.

(2)  Korzystanie z sieci i systemów informatycznych przez obywateli, przedsiębiorstwa i administrację rządową w całej Unii jest obecnie bardzo rozpowszechnione. Digitalizacja i połączalność stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja milionów, jeśli nie miliardów połączonych urządzeń cyfrowych w całej UE. Coraz więcej urządzeń jest połączonych z internetem, a jednocześnie zabezpieczenia i odporność nie są wystarczająco uwzględnione w projektowaniu, co powoduje, że bezpieczeństwo cybernetyczne jest niewystarczające. W związku z powyższym ograniczone korzystanie z certyfikacji prowadzi do niewystarczającego informowania użytkowników instytucjonalnych i indywidualnych o właściwościach produktów, procesów i usług ICT w zakresie cyberbezpieczeństwa, co podważa zaufanie do rozwiązań cyfrowych. Cel ten stanowi centralny punkt planu reform Komisji Europejskiej zmierzającego do osiągnięcia jednolitego rynku cyfrowego, z sieciami ICT tworzącymi szkielet dla produktów i usług cyfrowych, które mogą potencjalnie wesprzeć wszelkie aspekty naszego życia i stymulować wzrost gospodarczy Europy. Dla zapewnienia pełnej realizacji celów jednolitego rynku cyfrowego niezbędne jest posiadanie zasadniczych technologicznych elementów składowych, na których opierają się ważne obszary, takie jak e-zdrowie, internet rzeczy, sztuczna inteligencja, technologia kwantowa, a także inteligentny system transportowy oraz zaawansowana produkcja.

Poprawka    3

Wniosek dotyczący rozporządzenia

Motyw 3

Tekst proponowany przez Komisję

Poprawka

(3)  Coraz większa digitalizacja i połączalność prowadzą do zwiększonych zagrożeń dla bezpieczeństwa cybernetycznego, zwiększając tym samym podatność ogółu społeczeństwa na zagrożenia cybernetyczne i potęgując zagrożenia dla jednostek, w tym osób bardziej podatnych na zagrożenia, takich jak dzieci. W celu ograniczenia tych zagrożeń dla społeczeństwa należy podjąć wszystkie niezbędne działania na rzecz poprawy bezpieczeństwa cybernetycznego w UE, aby lepiej chronić przed zagrożeniami cybernetycznymi sieci i systemy informatyczne, sieci telekomunikacyjne oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, administrację i przedsiębiorstwa – od MŚP aż po operatorów infrastruktur krytycznych.

(3)  Coraz większa digitalizacja i połączalność prowadzą do zwiększonych zagrożeń dla bezpieczeństwa cybernetycznego, zwiększając tym samym podatność ogółu społeczeństwa na zagrożenia cybernetyczne i potęgując zagrożenia dla jednostek, w tym osób bardziej podatnych na zagrożenia, takich jak dzieci. W celu ograniczenia tych zagrożeń dla społeczeństwa należy podjąć wszystkie niezbędne działania na rzecz poprawy bezpieczeństwa cybernetycznego w UE, aby lepiej chronić przed zagrożeniami cybernetycznymi sieci i systemy informatyczne, sieci telekomunikacyjne oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, administrację i przedsiębiorstwa – od MŚP aż po operatorów infrastruktur krytycznych. W związku z tym opublikowany przez Komisję Europejską w dniu 17 stycznia 2018 r. Plan działania w dziedzinie edukacji cyfrowej, w szczególności ogólnounijną kampanię podnoszenia świadomości skierowaną do nauczycieli, rodziców i uczniów w celu wspierania bezpieczeństwa w internecie, higieny cyberbezpieczeństwa i umiejętność korzystania z mediów, a także inicjatywę kształcenia w dziedzinie cyberbezpieczeństwa w oparciu o ramy kompetencji cyfrowych dla obywateli, tak aby obywatele mogli korzystać z technologii w sposób pewny i odpowiedzialny, należy uznać za krok we właściwym kierunku.

Poprawka    4

Wniosek dotyczący rozporządzenia

Motyw 3 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(3a)  Wyraża przekonanie, że cele i zadania ENISA powinny być w większym stopniu dostosowane do wspólnego komunikatu, jeżeli chodzi o odniesienia do promowania higieny cyberbezpieczeństwa i świadomości na ten temat; podkreśla, że cyberodporność można osiągnąć przez wdrożenie podstawowych zasad higieny cyberbezpieczeństwa;

Poprawka    5

Wniosek dotyczący rozporządzenia

Motyw 3 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(3b)  ENISA powinna zapewniać unijnej branży cyberbezpieczeństwa większe, oparte na informacjach wsparcie praktyczne, w szczególności MŚP i przedsiębiorstwom typu start-up, które są głównym źródłem innowacyjnych rozwiązań w dziedzinie cyberobrony, a także powinna propagować ściślejszą współpracę z uniwersyteckimi organizacjami badawczymi i dużymi podmiotami z myślą o zmniejszeniu zależności od produktów cyberbezpieczeństwa ze źródeł zewnętrznych i utworzeniu strategicznego łańcucha dostaw na terytorium Unii.

Poprawka    6

Wniosek dotyczący rozporządzenia

Motyw 4

Tekst proponowany przez Komisję

Poprawka

(4)  Ataki cybernetyczne nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia i ataki cybernetyczne, wymagają silniejszej ochrony. Tymczasem jednak, mimo że ataki cybernetyczne mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za bezpieczeństwo cybernetyczne i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Incydenty cybernetyczne na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu bezpieczeństwa cybernetycznego i odporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

(4)  Cyberataki nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia dla cyberbezpieczeństwa i cyberataki, wymagają lepszych zabezpieczeń. Tymczasem jednak, mimo że ataki cybernetyczne mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za bezpieczeństwo cybernetyczne i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Incydenty cybernetyczne na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Potrzeby szkoleniowe w dziedzinie cyberobrony są znaczne i stale rosną, i najskuteczniej można je zaspokoić dzięki wspólnym działaniom na szczeblu unijnym. Ponadto regularna ocena stanu bezpieczeństwa cybernetycznego i odporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

Poprawka    7

Wniosek dotyczący rozporządzenia

Motyw 5

Tekst proponowany przez Komisję

Poprawka

(5)  Wobec narastających wyzwań w zakresie bezpieczeństwa cybernetycznego, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te to m.in. potrzeba dodatkowego zwiększenia potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawy współpracy i koordynacji wśród państw członkowskich oraz instytucji, agencji i organów UE. Ponadto z uwagi na ponadgraniczny charakter zagrożeń cybernetycznych konieczne jest zwiększenie na szczeblu Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadku transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych. Potrzebnerównież dodatkowe wysiłki na rzecz zwiększenia wiedzy obywateli i przedsiębiorstw o zagadnieniach bezpieczeństwa cybernetycznego. Należy poza tym nadal zwiększać zaufanie do jednolitego rynku cyfrowego, oferując przejrzyste informacje o poziomie bezpieczeństwa produktów i usług ICT. Można to ułatwić dzięki ogólnounijnej certyfikacji, ustanawiając wspólne wymogi w zakresie bezpieczeństwa cybernetycznego i kryteria oceny na wszystkich rynkach i we wszystkich sektorach krajowych.

(5)  Wobec narastających wyzwań w zakresie bezpieczeństwa cybernetycznego, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te to m.in. potrzeba dodatkowego zwiększenia potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawy współpracy, koordynacji i wymiany informacji wśród państw członkowskich oraz instytucji, agencji i organów UE. Ponadto z uwagi na ponadgraniczny charakter zagrożeń dla cyberbezpieczeństwa konieczne jest zwiększenie na szczeblu Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadku transgranicznych cyberincydentów i cyberkryzysów na dużą skalę, podkreślając jednocześnie znaczenie utrzymania i dalszego ulepszania krajowych zdolności do reagowania na różnorakie zagrożenia dla cyberbezpieczeństwa. Niezbędnetakże dodatkowe wysiłki w celu zapewnienia skoordynowanego reagowania UE oraz zwiększenia wiedzy obywateli i przedsiębiorstw o zagadnieniach cyberbezpieczeństwa. Ponadto, z uwagi na fakt, że cyberincydenty osłabiają zaufanie do dostawców usług cyfrowych i do samego jednolitego rynku cyfrowego, zwłaszcza wśród konsumentów, zaufanie to należy zwiększać przez oferowanie przejrzystych informacji o poziomie bezpieczeństwa produktów, procesów i usług ICT, podkreślając jednocześnie, że nawet wysoki poziom certyfikacji cyberbezpieczeństwa nie może zagwarantować całkowitego bezpieczeństwa produktów i usług ICT. Można to ułatwić dzięki ogólnounijnej certyfikacji, ustanawiając wspólne wymogi w zakresie cyberbezpieczeństwa i kryteria oceny na wszystkich rynkach i we wszystkich sektorach krajowych, a także dzięki promowaniu umiejętności korzystania z internetu. Oprócz ogólnounijnej certyfikacji, z uwagi na rosnącą dostępność urządzeń internetu rzeczy, istnieje szereg dobrowolnych środków, takich jak technologie szyfrowania czy łańcucha bloków, które sektor prywatny powinien wdrożyć, aby zwiększyć zaufanie do bezpieczeństwa produktów, procesów i usług ICT. Napotykane wyzwania powinny znaleźć proporcjonalne odzwierciedlenie w budżecie Agencji, tak aby zapewnić optymalną funkcjonalność w obecnych warunkach.

Poprawka    8

Wniosek dotyczący rozporządzenia

Motyw 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(5a)  W celu wzmocnienia europejskich struktur cyberbezpieczeństwa i cyberobrony, ważne jest, aby utrzymywać i rozwijać zdolności państw członkowskich do kompleksowej reakcji na zagrożenia dla cyberbezpieczeństwa, w tym na incydenty transgraniczne, natomiast koordynacja na poziomie UE przez Agencję nie powinna prowadzić do zmniejszenia zdolności państwa członkowskich lub działań podejmowanych na szczeblu krajowym.

Poprawka    9

Wniosek dotyczący rozporządzenia

Motyw 5 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(5b)  Przedsiębiorstwa, a także poszczególni konsumenci powinni dysponować dokładnymi informacjami dotyczącymi poziomu bezpieczeństwa swoich produktów ICT. Jednocześnie należy mieć świadomość, że żaden produkt nie jest bezpieczny w cyberprzestrzeni oraz że należy promować i priorytetowo traktować podstawowe zasady higieny cyberbezpieczeństwa.

Poprawka    10

Wniosek dotyczący rozporządzenia

Motyw 7

Tekst proponowany przez Komisję

Poprawka

(7)  Unia przedsięwzięła już istotne kroki w celu zapewnienia bezpieczeństwa cybernetycznego i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię UE w zakresie bezpieczeństwa cybernetycznego, dyktującą reakcję polityczną Unii na zagrożenia i ryzyko cybernetyczne. W ramach starań, aby lepiej chronić obywateli europejskich w internecie, Unia przyjęła w roku 2016 pierwszy akt ustawodawczy w dziedzinie bezpieczeństwa cybernetycznego – dyrektywę (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii („dyrektywę w sprawie bezpieczeństwa sieci i informacji”). W dyrektywie w sprawie bezpieczeństwa sieci i informacji wprowadzono wymogi dotyczące zdolności krajowych w dziedzinie bezpieczeństwa cybernetycznego, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w podstawowych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę, bankowość, infrastruktury rynku finansowego, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i internetowych platform handlowych). Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto ważny priorytet Europejskiej agendy bezpieczeństwa, przyczyniając się do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu bezpieczeństwa cybernetycznego.

(7)  Unia przedsięwzięła już istotne kroki w celu zapewnienia bezpieczeństwa cybernetycznego i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię UE w zakresie bezpieczeństwa cybernetycznego, dyktującą reakcję polityczną Unii na zagrożenia i ryzyko cybernetyczne. W ramach starań, aby lepiej chronić obywateli europejskich w internecie, Unia przyjęła w roku 2016 pierwszy akt ustawodawczy w dziedzinie bezpieczeństwa cybernetycznego – dyrektywę (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii („dyrektywę w sprawie bezpieczeństwa sieci i informacji”). W dyrektywie w sprawie bezpieczeństwa sieci i informacji, której powodzenie w dużej mierze zależy od skutecznego wdrożenia przez państwa członkowskie, realizuje się strategię jednolitego rynku cyfrowego oraz, w połączeniu z innymi instrumentami, takimi jak dyrektywa ustanawiająca Europejski kodeks łączności elektronicznej, rozporządzenie (UE) 2016/679 i dyrektywa 2002/58/WE, wprowadza się wymogi dotyczące zdolności krajowych w dziedzinie cyberbezpieczeństwa, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w podstawowych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę, bankowość, infrastruktury rynku finansowego, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i internetowych platform handlowych). Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto ważny priorytet Europejskiej agendy bezpieczeństwa, przyczyniając się do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu bezpieczeństwa cybernetycznego.

Poprawka    11

Wniosek dotyczący rozporządzenia

Motyw 8

Tekst proponowany przez Komisję

Poprawka

(8)  Jest rzeczą wiadomą, że od czasu przyjęcia w 2013 r. strategii UE w zakresie bezpieczeństwa cybernetycznego oraz ostatniej zmiany mandatu Agencji ogólny kontekst polityczny znacznie się zmienił, również w związku z bardziej niepewnym i mniej bezpiecznym otoczeniem ogólnoświatowym. W tych warunkach i w ramach nowej unijnej polityki w zakresie bezpieczeństwa cybernetycznego konieczne jest dokonanie przeglądu mandatu agencji ENISA, aby określić jej rolę w zmienionym ekosystemie bezpieczeństwa cybernetycznego i zapewnić jej skuteczny wkład w reakcję Unii na wyzwania w dziedzinie bezpieczeństwa cybernetycznego wynikające z tego radykalnie przekształconego profilu zagrożeń, w odniesieniu do którego, jak uznano w ocenie, jakiej poddano Agencję, obecny mandat nie jest wystarczający.

(8)  Jest rzeczą wiadomą, że od czasu przyjęcia w 2013 r. strategii UE w zakresie bezpieczeństwa cybernetycznego oraz ostatniej zmiany mandatu Agencji ogólny kontekst polityczny znacznie się zmienił, również w związku z bardziej niepewnym i mniej bezpiecznym otoczeniem ogólnoświatowym. W tych warunkach i w kontekście pozytywnej roli, jaką odegrała Agencja na przestrzeni lat w zakresie gromadzenia wiedzy eksperckiej, koordynacji i budowania zdolności oraz w ramach nowej unijnej polityki w zakresie cyberbezpieczeństwa konieczne jest dokonanie przeglądu mandatu agencji ENISA, aby określić jej rolę w zmienionym ekosystemie cyberbezpieczeństwa i zapewnić jej skuteczny wkład w reakcję Unii na wyzwania w dziedzinie cyberbezpieczeństwa wynikające z tego radykalnie przekształconego profilu zagrożeń, w odniesieniu do którego, jak uznano w ocenie, której poddano Agencję, obecny mandat nie jest wystarczający.

Poprawka    12

Wniosek dotyczący rozporządzenia

Motyw 11

Tekst proponowany przez Komisję

Poprawka

(11)  Ze względu na narastające wyzwania w zakresie bezpieczeństwa cybernetycznego, z jakimi boryka się Unia, należy zwiększyć przydzielone Agencji zasoby finansowe i ludzkie, aby odzwierciedlić jej poszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących europejski ekosystem cyfrowy.

(11)  Ze względu na narastające zagrożenia i wyzwania w zakresie cyberbezpieczeństwa, z jakimi boryka się Unia, należy zwiększyć przydzielone Agencji zasoby finansowe i ludzkie, aby odzwierciedlić jej poszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących europejski ekosystem cyfrowy, pozwalając ENISA na skuteczne wykonywanie działań powierzonych jej w niniejszym rozporządzeniu.

Poprawka    13

Wniosek dotyczący rozporządzenia

Motyw 12

Tekst proponowany przez Komisję

Poprawka

(12)  Agencja powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz działać jako punkt odniesienia służący budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa i rozpowszechnianych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań. Agencja powinna aktywnie włączać się w działania krajowe i unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz państwami członkowskimi. Ponadto Agencja powinna bazować na wkładzie i współpracy ze strony sektora prywatnego, jak również innych odpowiednich zainteresowanych stron. Zakres zadań powinien określać sposób, w jaki Agencja ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie.

(12)  Agencja powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz działać jako punkt odniesienia służący budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa i rozpowszechnianych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań. Agencja powinna aktywnie włączać się w działania krajowe i unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz państwami członkowskimi, unikając przy tym powielania prac, promując synergię i komplementarność i tym samym zapewniając koordynację i oszczędności budżetowe. Ponadto Agencja powinna bazować na wkładzie i współpracy ze strony sektorów prywatnego i publicznego, jak również innych odpowiednich zainteresowanych stron. Wyraźnie określony i przejrzysty program oraz zakres zadań i celów powinny ustalać, w jaki sposób Agencja ma osiągać swoje cele, z należytym uwzględnieniem niezbędnej elastyczności jej działań. O ile to możliwe, należy utrzymywać jak najwyższy stopień przejrzystości i rozpowszechniania informacji.

Poprawka    14

Wniosek dotyczący rozporządzenia

Motyw 12 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(12a)  Rola Agencji, w szczególności jej rola koordynatora w stosunku do państw członkowskich i ich organów krajowych oraz ewentualna możliwość działania jako pojedynczy punkt kontaktowy dla państw członkowskich oraz organów i instytucji UE powinna podlegać ciągłej ocenie i terminowemu przeglądowi. Ocenie należy poddać również rolę Agencji w unikaniu fragmentacji rynku wewnętrznego i możliwość wprowadzenia obowiązkowych systemów certyfikacji w zakresie cyberbezpieczeństwa, gdyby sytuacja w przyszłości wymagała takiej zmiany, podobnie jak rolę Agencji w odniesieniu do oceny produktów pochodzących z państw trzecich wprowadzanych na rynek UE oraz ewentualnego wpisywania na czarną listę przedsiębiorstw, które nie spełniają kryteriów UE.

Poprawka    15

Wniosek dotyczący rozporządzenia

Motyw 12 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(12b)  Aby zapewnić państwom członkowskim odpowiednie wsparcie we współpracy operacyjnej, ENISA powinna dodatkowo wzmocnić swoje możliwości techniczne i wiedzę fachową. W tym celu Agencja powinna stopniowo zwiększać personel odpowiedzialny za to zadanie, aby być w stanie samodzielnie gromadzić i analizować wielorakie cyberzagrożenia i złośliwe oprogramowanie, przeprowadzać analizy kryminalistyczne oraz pomagać państwom członkowskim w reagowaniu na incydenty na dużą skalę. Aby uniknąć powielania istniejących zdolności w państwach członkowskich, ENISA powinna zwiększać swoje możliwości i wiedzę techniczną w oparciu o istniejące zasoby państw członkowskich, w szczególności przez delegowanie do Agencji ekspertów krajowych, tworzenie grup ekspertów, programy wymiany pracowników itp.. Dobierając pracowników odpowiedzialnych za ten obszar, Agencja powinna stopniowo gwarantować, że spełniają oni odpowiednie kryteria, aby zapewnić właściwe wsparcie.

Poprawka    16

Wniosek dotyczący rozporządzenia

Motyw 13

Tekst proponowany przez Komisję

Poprawka

(13)  Agencja powinna wspomagać Komisję poprzez doradztwo, opinie i analizy we wszystkich sprawach Unii związanych z opracowywaniem, aktualizacją i przeglądem polityki i prawa w dziedzinie bezpieczeństwa cybernetycznego, w tym w zakresie ochrony infrastruktury krytycznej oraz odporności cybernetycznej. Agencja powinna działać jako punkt odniesienia w zakresie doradztwa i wiedzy fachowej na rzecz unijnych sektorowych inicjatyw w dziedzinie polityki i prawa, dotyczących kwestii związanych z bezpieczeństwem cybernetycznym.

(13)  Agencja powinna wspomagać Komisję poprzez doradztwo, opinie i analizy we wszystkich sprawach Unii związanych z opracowywaniem, aktualizacją i przeglądem polityki i prawa w dziedzinie bezpieczeństwa cybernetycznego, w tym w zakresie ochrony infrastruktury krytycznej oraz odporności cybernetycznej. Agencja powinna działać jako punkt odniesienia w zakresie doradztwa i wiedzy fachowej na rzecz unijnych sektorowych inicjatyw w dziedzinie polityki i prawa, dotyczących kwestii związanych z bezpieczeństwem cybernetycznym. Jej wiedza fachowa będzie szczególnie potrzebna do przygotowywania unijnego wieloletniego programu prac dla europejskich systemów certyfikacji cyberbezpieczeństwa. Agencja powinna regularnie przedstawiać Parlamentowi aktualne informacje, analizy i przeglądy dotyczące cyberbezpieczeństwa i ewolucji zadań Agencji.

Poprawka    17

Wniosek dotyczący rozporządzenia

Motyw 14

Tekst proponowany przez Komisję

Poprawka

(14)  Podstawowym zadaniem Agencji jest wspieranie konsekwentnego wprowadzania odpowiednich ram prawnych, a w szczególności skutecznego wdrożenia dyrektywy w sprawie bezpieczeństwa sieci i informacji, co ma kluczowe znaczenie dla zwiększenia odporności cybernetycznej. W obliczu szybko ewoluującego profilu zagrożeń cybernetycznych jasne jest, że państwa członkowskie muszą mieć wsparcie w postaci bardziej kompleksowego, przekrojowego pod względem politycznym podejścia do budowania odporności cybernetycznej.

(14)  Podstawowym zadaniem Agencji jest wspieranie konsekwentnego wprowadzania odpowiednich ram prawnych, a w szczególności skutecznego wdrożenia dyrektywy w sprawie bezpieczeństwa sieci i informacji, dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej, rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE, co ma kluczowe znaczenie dla zwiększenia cyberodporności. W obliczu szybko ewoluującego profilu zagrożeń cybernetycznych jasne jest, że państwa członkowskie muszą mieć wsparcie w postaci bardziej kompleksowego, przekrojowego pod względem politycznym podejścia do budowania odporności cybernetycznej.

Poprawka    18

Wniosek dotyczący rozporządzenia

Motyw 15

Tekst proponowany przez Komisję

Poprawka

(15)  Agencja powinna wspierać państwa członkowskie oraz unijne instytucje, organy i jednostki organizacyjne w ich staraniach na rzecz budowy i umocnienia zdolności i gotowości do zapobiegania problemom i incydentom w dziedzinie bezpieczeństwa cybernetycznego, wykrywania ich i reagowania na nie oraz w odniesieniu do bezpieczeństwa sieci i systemów informatycznych. Agencja powinna w szczególności wspierać rozwój i wzmocnienie krajowych CSIRT z myślą o osiągnięciu wysokiego wspólnego poziomu ich zaawansowania w Unii. Agencja powinna również pomagać w opracowaniu i aktualizacji strategii Unii i państw członkowskich w zakresie bezpieczeństwa sieci i systemów informatycznych, w szczególności w odniesieniu do bezpieczeństwa cybernetycznego, propagować ich upowszechnienie i śledzić postępy w ich realizacji. Agencja powinna również oferować szkolenia i materiały szkoleniowe organom publicznym, a w razie potrzeby „szkolić szkoleniowców”, aby pomóc państwom członkowskim w rozwoju własnych zdolności szkoleniowych.

(15)  Agencja powinna wspierać państwa członkowskie oraz unijne instytucje, organy i jednostki organizacyjne w ich staraniach na rzecz budowy i umocnienia zdolności i gotowości do zapobiegania problemom i incydentom w dziedzinie bezpieczeństwa cybernetycznego, wykrywania ich i reagowania na nie oraz w odniesieniu do bezpieczeństwa sieci i systemów informatycznych. Agencja powinna w szczególności wspierać rozwój i wzmocnienie krajowych CSIRT z myślą o osiągnięciu wysokiego wspólnego poziomu ich zaawansowania w Unii. Agencja powinna również pomagać w opracowaniu i aktualizacji strategii Unii i państw członkowskich w zakresie bezpieczeństwa sieci i systemów informatycznych, w szczególności w odniesieniu do bezpieczeństwa cybernetycznego, propagować ich upowszechnienie i śledzić postępy w ich realizacji. Biorąc pod uwagę, że błędy ludzkie są jednym z najbardziej istotnych zagrożeń dla cyberbezpieczeństwa, Agencja powinna również oferować szkolenia i materiały szkoleniowe organom publicznym, i w możliwie największym zakresie „szkolić szkoleniowców”, aby pomóc państwom członkowskim oraz unijnym instytucjom i agencjom w rozwoju własnych zdolności szkoleniowych. Agencja powinna również służyć jako punkt kontaktowy dla państw członkowskich i instytucji unijnych, które powinny mieć możliwość zwrócenia się do Agencji o pomoc w ramach kompetencji przypisanych Agencji i powierzonych jej zadań.

Poprawka    19

Wniosek dotyczący rozporządzenia

Motyw 18

Tekst proponowany przez Komisję

Poprawka

(18)  Agencja powinna gromadzić i analizować raporty krajowe przekazywane przez CSIRT i CERT-UE, ustalając wspólne zasady, język i terminologię do celów wymiany informacji. Agencja powinna również angażować sektor prywatny, działając w ramach wyznaczonych przez dyrektywę w sprawie bezpieczeństwa sieci i informacji, w której wraz z utworzeniem sieci CSIRT położono podstawy pod dobrowolną wymianę informacji technicznych na poziomie operacyjnym.

(18)  Agencja powinna gromadzić i analizować raporty krajowe przekazywane przez CSIRT i CERT-UE, ustalając wspólne zasady, język i terminologię do celów wymiany informacji. Agencja powinna również angażować sektory prywatny i publiczny, działając w ramach wyznaczonych przez dyrektywę w sprawie bezpieczeństwa sieci i informacji, w której wraz z utworzeniem sieci CSIRT położono podstawy pod dobrowolną wymianę informacji technicznych na poziomie operacyjnym.

Poprawka    20

Wniosek dotyczący rozporządzenia

Motyw 19

Tekst proponowany przez Komisję

Poprawka

(19)  Agencja powinna wnosić wkład w reakcję na szczeblu UE w przypadku transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych. Funkcja ta powinna obejmować gromadzenie odpowiednich informacji i działanie w charakterze pośrednika ułatwiającego współpracę sieci CSIRT i środowiska technicznego, jak również decydentów odpowiedzialnych za zarządzanie w sytuacji kryzysowej. Agencja mogłaby ponadto wspierać postępowania w przypadku incydentów z perspektywy technicznej, ułatwiając odpowiednią wymianę rozwiązań technicznych między państwami członkowskimi i oferując wkład w komunikację publiczną. Agencja powinna wspierać cały ten proces, testując sposoby takiej współpracy poprzez przeprowadzanie corocznych ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego.

(19)  Agencja powinna wnosić wkład w reakcję na szczeblu UE w przypadku transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych. Funkcja ta powinna obejmować zwoływanie organów państw członkowskich oraz pomoc w koordynacji działań podejmowanych w odpowiedzi na zagrożenia, gromadzenie odpowiednich informacji i działanie w charakterze pośrednika ułatwiającego współpracę sieci CSIRT i środowiska technicznego, jak również decydentów odpowiedzialnych za zarządzanie w sytuacji kryzysowej. Agencja mogłaby ponadto wspierać działania podejmowane w przypadku incydentów z perspektywy technicznej, na przykład ułatwiając odpowiednią wymianę rozwiązań technicznych między państwami członkowskimi i oferując wkład w komunikację publiczną. Agencja powinna wspierać cały ten proces, testując sposoby takiej współpracy poprzez przeprowadzanie corocznych ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego. Agencja powinna szanować kompetencje państw członkowskich w zakresie cyberbezpieczeństwa, zwłaszcza związane z bezpieczeństwem publicznym, obroną i bezpieczeństwem narodowym oraz działaniami państwa w dziedzinie prawa karnego.

Poprawka    21

Wniosek dotyczący rozporządzenia

Motyw 25

Tekst proponowany przez Komisję

Poprawka

(25)  Państwa członkowskie mogą wzywać przedsiębiorstwa, których dotyczy dany incydent, do współpracy, polegającej na zapewnieniu Agencji niezbędnych informacji i pomocy, bez uszczerbku dla ich prawa do ochrony szczególnie chronionych informacji handlowych.

(25)  Państwa członkowskie mogą wzywać przedsiębiorstwa, których dotyczy dany incydent, do współpracy, polegającej na zapewnieniu Agencji niezbędnych informacji i pomocy, bez uszczerbku dla ich prawa do ochrony szczególnie chronionych informacji handlowych oraz informacji istotnych dla bezpieczeństwa publicznego.

Poprawka    22

Wniosek dotyczący rozporządzenia

Motyw 26

Tekst proponowany przez Komisję

Poprawka

(26)  Aby lepiej pojmować wyzwania w dziedzinie bezpieczeństwa cybernetycznego i z myślą o zapewnianiu strategicznego długoterminowego doradztwa państwom członkowskim i instytucjom Unii, Agencja musi analizować bieżące i pojawiające się zagrożenia. W tym celu Agencja powinna, we współpracy z państwami członkowskimi oraz, w stosownych przypadkach, z urzędami statystycznymi i innymi podmiotami, gromadzić odpowiednie informacje, przeprowadzać analizy powstających technologii oraz zapewniać oceny tematyczne dotyczące spodziewanego wpływu społecznego, prawnego, gospodarczego i regulacyjnego wywieranego przez innowacje technologiczne na bezpieczeństwo sieci i informacji, a w szczególności na bezpieczeństwo cybernetyczne. Agencja powinna ponadto – poprzez przeprowadzanie analiz zagrożeń i incydentów – wspierać państwa członkowskie oraz instytucje, agencje i organy Unii w identyfikowaniu pojawiających się tendencji i zapobieganiu problemom związanym z bezpieczeństwem cybernetycznym.

(26)  Aby lepiej pojmować wyzwania w dziedzinie cyberbezpieczeństwa i z myślą o zapewnianiu strategicznego długoterminowego doradztwa państwom członkowskim i instytucjom Unii, Agencja musi analizować bieżące i pojawiające się ryzyka, incydenty, zagrożenia oraz luki w zabezpieczeniach. W tym celu Agencja powinna, we współpracy z państwami członkowskimi oraz, w stosownych przypadkach, z urzędami statystycznymi i innymi podmiotami, gromadzić odpowiednie informacje, przeprowadzać analizy powstających technologii oraz zapewniać oceny tematyczne dotyczące spodziewanego wpływu społecznego, prawnego, gospodarczego i regulacyjnego wywieranego przez innowacje technologiczne na bezpieczeństwo sieci i informacji, a w szczególności na bezpieczeństwo cybernetyczne. Agencja powinna ponadto – poprzez przeprowadzanie analiz zagrożeń, incydentów i luk w zabezpieczeniach – wspierać państwa członkowskie oraz instytucje, agencje i organy Unii w identyfikowaniu pojawiających się tendencji i zapobieganiu problemom związanym z cyberbezpieczeństwem.

Poprawka    23

Wniosek dotyczący rozporządzenia

Motyw 27

Tekst proponowany przez Komisję

Poprawka

(27)  W celu wzmocnienia odporności Unii Agencja powinna przyczyniać się do osiągnięcia doskonałości w dziedzinie bezpieczeństwa infrastruktury internetowej i infrastruktur krytycznych, zapewniając doradztwo, wytyczne i najlepsze praktyki. Z myślą o zapewnieniu łatwiejszego dostępu do bardziej usystematyzowanych informacji na temat zagrożeń dla bezpieczeństwa cybernetycznego i potencjalnych środków zaradczych Agencja powinna rozwijać i utrzymywać unijny „węzeł informacyjny” – portal stanowiący punkt kompleksowej obsługi zapewniający ogółowi społeczeństwa informacje na temat bezpieczeństwa cybernetycznego pochodzące od unijnych i krajowych instytucji, agencji i organów.

(27)  W celu wzmocnienia odporności Unii Agencja powinna przyczyniać się do osiągnięcia doskonałości w dziedzinie bezpieczeństwa infrastruktury internetowej i infrastruktur krytycznych, zapewniając doradztwo, wytyczne i najlepsze praktyki. Z myślą o zapewnieniu łatwiejszego dostępu do bardziej usystematyzowanych informacji na temat zagrożeń dla bezpieczeństwa cybernetycznego i potencjalnych środków zaradczych Agencja powinna rozwijać i utrzymywać unijny „węzeł informacyjny” – portal stanowiący punkt kompleksowej obsługi zapewniający ogółowi społeczeństwa informacje na temat bezpieczeństwa cybernetycznego pochodzące od unijnych i krajowych instytucji, agencji i organów. Łatwiejszy dostęp do lepiej uporządkowanych informacji na temat zagrożeń dla bezpieczeństwa cybernetycznego i potencjalnych środków zaradczych powinien pomóc państwom członkowskim wzmocnić ich zdolności i dostosować praktyki, a także poprawić swoją ogólną odporność na ataki.

Poprawka    24

Wniosek dotyczący rozporządzenia

Motyw 28

Tekst proponowany przez Komisję

Poprawka

(28)  Agencja powinna działać na rzecz podniesienia poziomu świadomości ogółu społeczeństwa na temat różnych postaci ryzyka związanego z bezpieczeństwem cybernetycznym i przedstawiać skierowane do obywateli organizacji wytyczne na temat dobrych praktyk, które powinni stosować użytkownicy końcowi. Agencja powinna również przyczyniać się do propagowania najlepszych praktyk i rozwiązań na poziomie jednostek i organizacji poprzez gromadzenie i analizowanie publicznie dostępnych informacji dotyczących istotnych incydentów oraz poprzez sporządzanie raportów w celu dostarczenia wytycznych przedsiębiorstwom i obywatelom oraz poprawy ogólnego poziomu gotowości i odporności. Agencja powinna ponadto organizować, we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych, mające na celu propagowanie bezpieczniejszych zachowań użytkowników w internecie oraz podnoszenie poziomu wiedzy o potencjalnych zagrożeniach występujących w cyberprzestrzeni, w tym o cyberprzestępstwach takich jak ataki phishingowe (wyłudzanie informacji), botnety oraz oszustwa finansowe i bankowe, a także mające na celu promocję podstawowego doradztwa w kwestii uwierzytelnianiaochrony danych. Agencja powinna odgrywać centralną rolę w przyspieszaniu rozwoju wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń.

(28)  Agencja powinna działać na rzecz podniesienia poziomu świadomości ogółu społeczeństwa, również przez promowanie edukacji, na temat różnych postaci ryzyka związanego z cyberbezpieczeństwem i przedstawiać skierowane do obywateli, organizacji i przedsiębiorstw wytyczne na temat dobrych praktyk, które powinni stosować użytkownicy końcowi. Agencja powinna również przyczyniać się do propagowania najlepszych praktyk cyberhigieny obejmującej kilka czynności, które powinny być wdrażane i przeprowadzane regularnie, by chronić użytkowników i przedsiębiorstwa w sieci, oraz propagowania rozwiązań na poziomie jednostek, organizacji i przedsiębiorstw przez gromadzenie i analizowanie publicznie dostępnych informacji dotyczących istotnych incydentów oraz przez sporządzanie i publikowanie raportów i przewodników w celu dostarczenia wytycznych przedsiębiorstwom i obywatelom oraz poprawy ogólnego poziomu gotowości i odporności. ENISA powinna również dążyć do zapewnienia konsumentom odpowiednich informacji na temat obowiązujących systemów certyfikacji, na przykład przez dostarczanie wytycznych i zaleceń dla rynków internetowych i pozainternetowych. Agencja powinna ponadto organizować, zgodnie z Planem działania w dziedzinie edukacji cyfrowej i we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych, mające na celu propagowanie bezpieczniejszych zachowań użytkowników w internecie, umiejętności cyfrowych oraz podnoszenie poziomu wiedzy o potencjalnych zagrożeniach występujących w cyberprzestrzeni, w tym o cyberprzestępstwach takich jak ataki phishingowe (wyłudzanie informacji), botnety oraz oszustwa finansowe i bankowe, a także mające na celu promocję podstawowego doradztwa w kwestii wieloskładnikowego uwierzytelniania, wstawiania poprawek, szyfrowania, anonimizacji oraz ochrony danych. Agencja powinna odgrywać centralną rolę w przyspieszaniu rozwoju wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń i bezpiecznego korzystania z usług, w popularyzowaniu uwzględniania bezpieczeństwa i ochrony prywatności na etapie projektowania oraz incydentów i ich rozwiązań na szczeblu UE. W tym celu Agencja musi jak najlepiej wykorzystać dostępne najlepsze praktyki i doświadczenie, szczególnie pochodzące od instytucji akademickich i naukowców w obszarze bezpieczeństwa informatycznego. Biorąc pod uwagę, że błędy jednostek i brak wiedzy o zagrożeniach dla cyberbezpieczeństwa stanowią główny czynnik niepewności w zakresie cyberbezpieczeństwa, Agencji należy zapewnić odpowiednie zasoby do wykonywania jej zadań w możliwie najszerszym zakresie.

Poprawka    25

Wniosek dotyczący rozporządzenia

Motyw 28 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(28a)  Agencja powinna podnosić poziom wiedzy społeczeństwa o ryzyku incydentów fałszerstwa i kradzieży danych, które to incydenty mogą mieć poważny wpływ na prawa podstawowe osób, mogą stanowić zagrożenie dla praworządności i zagrażać stabilności społeczeństw demokratycznych, w tym procesów demokratycznych w państwach członkowskich.

Poprawka    26

Wniosek dotyczący rozporządzenia

Motyw 30

Tekst proponowany przez Komisję

Poprawka

(30)  Dla zapewnienia pełnej realizacji swoich celów Agencja powinna współpracować z odpowiednimi instytucjami, agencjami i organami, w tym z CERT-UE, Europejskim Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, Europejską Agencją Obrony (EDA), Europejską Agencją ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi (eu-LISA), Europejską Agencją Bezpieczeństwa Lotniczego (EASA) i każdą inną agencją UE zaangażowaną w kwestie bezpieczeństwa cybernetycznego. Agencja powinna również współpracować z organami zajmującymi się ochroną danych, aby wymieniać know-how i najlepsze praktyki oraz zapewniać doradztwo dotyczące tych aspektów bezpieczeństwa cybernetycznego, które mogą mieć wpływ na ich pracę. Przedstawiciele krajowych i unijnych organów ds. egzekwowania prawa oraz ochrony danych powinni być uprawnieni do przynależności do istniejącej przy Agencji Stałej Grupy Przedstawicieli Zainteresowanych Stron. Utrzymując kontakty z organami egzekwowania prawa w kwestiach z zakresu bezpieczeństwa sieci i informacji, które mogłyby mieć wpływ na ich pracę, Agencja powinna respektować istniejące kanały informacji i ustanowione sieci.

(30)  Dla zapewnienia pełnej realizacji jej celów Agencja powinna współpracować z odpowiednimi instytucjami, unijnymi organami nadzoru i innymi właściwymi organami, agencjami i podmiotami, w tym z CERT-UE, Europejskim Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, Europejską Agencją Obrony (EDA), Agencją Europejskiego GNSS (GSA), Organem Europejskich Regulatorów Łączności Elektronicznej (BEREC), Europejską Agencją ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi (eu-LISA), Europejskim Bankiem Centralnym (EBC), Europejskim Urzędem Nadzoru Bankowego (EUNB), Europejską Radą Ochrony Danych, Europejską Agencją Bezpieczeństwa Lotniczego (EASA) i każdą inną agencją UE zaangażowaną w kwestie cyberbezpieczeństwa. Agencja powinna również współpracować z europejskimi organizacjami normalizacyjnymi, zainteresowanymi stronami oraz władzami zajmującymi się ochroną danych, aby wymieniać know-how i najlepsze praktyki oraz zapewniać doradztwo dotyczące tych aspektów cyberbezpieczeństwa, które mogą mieć wpływ na ich pracę. Przedstawiciele krajowych i unijnych organów ds. egzekwowania prawa oraz ochrony danych powinni być uprawnieni do przynależności do grupy doradczej ENISA. Utrzymując kontakty z organami egzekwowania prawa w kwestiach z zakresu bezpieczeństwa sieci i informacji, które mogłyby mieć wpływ na ich pracę, Agencja powinna respektować istniejące kanały informacji i ustanowione sieci. Należy nawiązać partnerstwa z instytucjami akademickimi podejmującymi inicjatywy badawcze w odpowiednich dziedzinach, a także zagwarantować odpowiednie kanały wymiany informacji otrzymywanych od organizacji konsumenckich i innych organizacji oraz każdorazową ich analizę.

Poprawka    27

Wniosek dotyczący rozporządzenia

Motyw 31

Tekst proponowany przez Komisję

Poprawka

(31)  Agencja jako członek, który ponadto zapewnia sieci CSIRT obsługę sekretariatu, powinna wspierać CSIRT państw członkowskich i CERT-UE we współpracy operacyjnej dotyczącej wszystkich odpowiednich zadań sieci CSIRT określonych w dyrektywie w sprawie bezpieczeństwa sieci i informacji. Agencja powinna ponadto propagować i wspierać współpracę między odpowiednimi zespołami CSIRT w przypadku incydentów, ataków bądź zakłóceń dotyczących sieci lub infrastruktury zarządzanej lub chronionej przez zespoły CSIRT i angażujących lub potencjalnie angażujących co najmniej dwa zespoły CSIRT, z należytym uwzględnieniem standardowych procedur operacyjnych sieci CSIRT.

(31)  Agencja jako członek, który ponadto zapewnia sieci CSIRT obsługę sekretariatu, powinna wspierać CSIRT państw członkowskich i CERT-UE we współpracy operacyjnej dotyczącej wszystkich odpowiednich zadań sieci CSIRT określonych w dyrektywie w sprawie bezpieczeństwa sieci i informacji. Agencja powinna ponadto propagować i wspierać współpracę między odpowiednimi zespołami CSIRT w przypadku incydentów, ataków bądź zakłóceń dotyczących sieci lub infrastruktury zarządzanej lub chronionej przez zespoły CSIRT i angażujących lub potencjalnie angażujących co najmniej dwa zespoły CSIRT, z należytym uwzględnieniem standardowych procedur operacyjnych sieci CSIRT. Agencja może, na prośbę Komisji lub państwa członkowskiego, przeprowadzać regularne kontrole bezpieczeństwa informatycznego krytycznej infrastruktury transgranicznej w celu zidentyfikowania możliwych zagrożeń cyberbezpieczeństwa i przedstawienia zaleceń umożliwiających wzmocnienie ich odporności.

Poprawka    28

Wniosek dotyczący rozporządzenia

Motyw 33

Tekst proponowany przez Komisję

Poprawka

(33)  Agencja powinna dodatkowo rozwijać i utrzymywać swoją wiedzę fachową w dziedzinie certyfikacji bezpieczeństwa cybernetycznego w celu wspierania polityki Unii w tej dziedzinie. Agencja powinna propagować wprowadzenie certyfikacji bezpieczeństwa cybernetycznego w Unii, w tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji bezpieczeństwa cybernetycznego na szczeblu unijnym, z myślą o zwiększeniu przejrzystości w zakresie zapewniania bezpieczeństwa cybernetycznego produktów i usług ICT i zwiększeniu dzięki temu zaufania do wewnętrznego rynku cyfrowego.

(33)  Agencja powinna dodatkowo rozwijać i utrzymywać swoją wiedzę fachową w dziedzinie certyfikacji bezpieczeństwa cybernetycznego w celu wspierania polityki Unii w tej dziedzinie. Agencja powinna rozbudować istniejące najlepsze praktyki i propagować wprowadzenie certyfikacji bezpieczeństwa cybernetycznego w Unii, w tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji bezpieczeństwa cybernetycznego na szczeblu unijnym, z myślą o zwiększeniu przejrzystości w zakresie zapewniania bezpieczeństwa cybernetycznego produktów i usług ICT i zwiększeniu dzięki temu zaufania do wewnętrznego rynku cyfrowego.

Poprawka    29

Wniosek dotyczący rozporządzenia

Motyw 35

Tekst proponowany przez Komisję

Poprawka

(35)  Agencja powinna zachęcać państwa członkowskie i usługodawców do podnoszenia ich ogólnych standardów bezpieczeństwa, tak aby wszyscy użytkownicy internetu mogli zastosować niezbędne kroki celem zapewnienia sobie własnego bezpieczeństwa cybernetycznego. Dostawcy usług i wytwórcy produktów powinni w szczególności wycofywać lub przetwarzać produkty i usługi niespełniające norm bezpieczeństwa cybernetycznego. We współpracy z właściwymi organami ENISA może rozpowszechniać informacje dotyczące poziomu bezpieczeństwa cybernetycznego produktów i usług oferowanych na rynku wewnętrznym oraz wydawać ostrzeżenia skierowane do dostawców i producentów, żądając od nich poprawy poziomu bezpieczeństwa – w tym bezpieczeństwa cybernetycznego – ich produktów i usług.

(35)  Agencja powinna zachęcać państwa członkowskie, wytwórców i usługodawców do podnoszenia ogólnych standardów bezpieczeństwa ich produktów, procesów, usług i systemów ICT, które powinny przestrzegać podstawowych wymogów bezpieczeństwa zgodnie z zasadą uwzględniania bezpieczeństwa na etapie projektowania oraz zasadą bezpieczeństwa domyślnego, zwłaszcza przez zapewnianie koniecznych aktualizacji, tak aby wszyscy użytkownicy internetu byli zabezpieczeni i byli zachęcani do podejmowania niezbędnych kroków celem zapewnienia sobie cyberbezpieczeństwa. Dostawcy usług i wytwórcy produktów powinni w szczególności wycofywać od konsumentów, wycofywać ze sprzedaży lub przetwarzać produkty i usługi niespełniające podstawowych wymogów cyberbezpieczeństwa, natomiast importerzy i dystrybutorzy powinni upewnić się, czy produkty, procesy, usługi i systemy ICT wprowadzane przez nich do obrotu w UE są zgodne z obowiązującymi wymogami oraz nie stanowią zagrożenia dla europejskich konsumentów. We współpracy z właściwymi organami ENISA może rozpowszechniać informacje dotyczące poziomu cyberbezpieczeństwa produktów i usług oferowanych na rynku wewnętrznym oraz wydawać ostrzeżenia skierowane do dostawców i producentów, żądając od nich poprawy poziomu bezpieczeństwa – w tym cyberbezpieczeństwa – ich produktów, procesów, usług i systemów. Agencja powinna współpracować z zainteresowanymi stronami w celu stworzenia ogólnounijnego podejścia do odpowiedzialnego ujawniania luk w zabezpieczeniach oraz powinna promować najlepsze praktyki w tej dziedzinie.

Poprawka    30

Wniosek dotyczący rozporządzenia

Motyw 36

Tekst proponowany przez Komisję

Poprawka

(36)  Agencja powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologicznej, w szczególności prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii potrzeb badawczych w dziedzinie bezpieczeństwa sieci i informacji, a w szczególności bezpieczeństwa cybernetycznego.

(36)  Agencja powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologicznej, w szczególności prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii potrzeb badawczych w dziedzinie bezpieczeństwa sieci i informacji, a w szczególności bezpieczeństwa cybernetycznego. Konkretnie rzecz ujmując, należy nawiązać współpracę z Europejską Radą ds. Badań Naukowych (ERBN) i Europejskim Instytutem Innowacji i Technologii (EIT)oraz włączyć badania nad bezpieczeństwem do dziewiątego programu ramowego w zakresie badań (9PR) i programu „Horyzont 2020”.

Poprawka    31

Wniosek dotyczący rozporządzenia

Motyw 36 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(36a)  Normy stanowią dobrowolne, kształtowane przez rynek narzędzie określające wymogi techniczne i wytyczne, przy czym powstają one w wyniku otwartego, przejrzystego i integracyjnego procesu. Agencja powinna przeprowadzać regularne konsultacje i współpracować ściśle z organizacjami normalizacyjnymi, w szczególności w toku przygotowywania europejskich systemów certyfikacji cyberbezpieczeństwa.

Poprawka    32

Wniosek dotyczący rozporządzenia

Motyw 37

Tekst proponowany przez Komisję

Poprawka

(37)  Problemy bezpieczeństwa cybernetycznego mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm bezpieczeństwa – w tym zdefiniowania wspólnych norm zachowania – oraz wymiany informacji, propagowania sprawniejszej współpracy międzynarodowej w reakcji na kwestie bezpieczeństwa sieci i informacji oraz w celu wypracowania wspólnego globalnego podejścia do tych kwestii. W tym celu Agencja powinna wspierać dalsze zaangażowanie Unii oraz współpracę z państwami trzecimi i organizacjami międzynarodowymi, udostępniając, w stosownych przypadkach, właściwym instytucjom, organom i jednostkom organizacyjnym Unii niezbędną wiedzę fachową i analizy.

(37)  Problemy bezpieczeństwa cybernetycznego mają charakter globalny. Istnieje potrzeba zacieśnienia współpracy międzynarodowej w celu poprawy norm bezpieczeństwa, obejmującej zdefiniowanie wspólnych norm zachowania oraz kodeksu postępowania, wykorzystanie norm międzynarodowych i wymianę informacji oraz promowanie sprawniejszej współpracy międzynarodowej w odpowiedzi na pojawiające się wyzwania, oraz w celu wypracowania wspólnego globalnego podejścia do kwestii bezpieczeństwa sieci i informacji. W tym celu Agencja powinna wspierać dalsze zaangażowanie Unii oraz współpracę z państwami trzecimi i organizacjami międzynarodowymi, udostępniając, w stosownych przypadkach, właściwym instytucjom, organom i jednostkom organizacyjnym Unii niezbędną wiedzę fachową i analizy.

Poprawka    33

Wniosek dotyczący rozporządzenia

Motyw 40

Tekst proponowany przez Komisję

Poprawka

(40)  Zarząd składający się z przedstawicieli państw członkowskich i Komisji powinien określać ogólny kierunek działalności Agencji oraz zapewniać, aby wykonywała ona swoje zadania zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do uchwalania budżetu, kontroli jego wykonania, przyjmowania stosownych przepisów finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez Agencję, przyjmowania jednolitego dokumentu programowego Agencji, uchwalania jej regulaminu wewnętrznego, powoływania dyrektora wykonawczego oraz podejmowania decyzji o przedłużeniu jego kadencji lub jej zakończeniu.

(40)  Zarząd reprezentujący państwa członkowskie i Komisję, a także zainteresowane strony mające znaczenie dla realizacji celów Agencji, powinien określać ogólny kierunek działalności Agencji oraz zapewniać, aby wykonywała ona swoje zadania zgodnie z niniejszym rozporządzeniem. Zarząd powinien posiadać uprawnienia niezbędne do uchwalania budżetu, kontroli jego wykonania, przyjmowania stosownych przepisów finansowych, ustalania przejrzystych procedur pracy w zakresie podejmowania decyzji przez Agencję, przyjmowania jednolitego dokumentu programowego Agencji, uchwalania jej regulaminu wewnętrznego, powoływania dyrektora wykonawczego oraz podejmowania decyzji o przedłużeniu jego kadencji lub jej zakończeniu. Z uwagi na wysoce techniczny i naukowy charakter zadań Agencji członkowie zarządu powinni posiadać odpowiednie doświadczenie i wysoki poziom wiedzy fachowej w kwestiach wchodzących w zakres misji Agencji.

Poprawka    34

Wniosek dotyczący rozporządzenia

Motyw 41

Tekst proponowany przez Komisję

Poprawka

(41)  Aby Agencja mogła prawidłowo i skutecznie funkcjonować, Komisja i państwa członkowskie powinny zapewnić, aby osoby, które mają zostać powołane na członków zarządu, posiadały odpowiednią zawodową wiedzę fachową i doświadczenie w dziedzinach funkcjonalnych. Komisja i państwa członkowskie powinny również dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w zarządzie, tak aby zapewnić ciągłość jego pracy.

(41)  Aby Agencja mogła prawidłowo i skutecznie funkcjonować, Komisja i państwa członkowskie powinny zapewnić, aby osoby, które mają zostać powołane na członków zarządu, posiadały odpowiednią zawodową wiedzę fachową i doświadczenie w dziedzinach funkcjonalnych. Komisja i państwa członkowskie powinny również dołożyć starań, aby ograniczyć rotację swoich przedstawicieli w zarządzie, tak aby zapewnić ciągłość jego pracy. Ze względu na wysoką wartość rynkową umiejętności wymaganych do pracy w Agencji należy zapewnić konkurencyjne wynagrodzenia i warunki socjalne oferowane wszystkim pracownikom Agencji oraz zagwarantować, aby najlepsi fachowcy decydowali się na podjęcie w niej pracy.

Uzasadnienie

W celu zagwarantowania odpowiedniego poziomu wiedzy fachowej ENISA musi być konkurencyjnym pracodawcą na wysoce konkurencyjnym rynku.

Poprawka    35

Wniosek dotyczący rozporządzenia

Motyw 42

Tekst proponowany przez Komisję

Poprawka

(42)  Sprawne funkcjonowanie Agencji wymaga, aby dyrektor wykonawczy był powoływany w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie bezpieczeństwa cybernetycznego, oraz aby wykonywał swoje obowiązki w sposób całkowicie niezależny. Dyrektor wykonawczy powinien opracowywać propozycję programu prac Agencji, po uprzednim zasięgnięciu opinii Komisji, oraz podjąć wszystkie niezbędne czynności w celu zapewnienia prawidłowego wykonania tego programu. Dyrektor wykonawczy powinien przygotowywać sprawozdanie roczne przedkładane zarządowi, sporządzać projekt preliminarza dochodów i wydatków Agencji oraz wykonywać budżet. Dyrektor wykonawczy powinien mieć ponadto możliwość powoływania grup roboczych ad hoc w celu rozwiązywania określonych kwestii, w szczególności o charakterze naukowym, technicznym, prawnym lub społeczno-gospodarczym. Dyrektor wykonawczy powinien zapewnić, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej rygorystycznych kryteriów dotyczących kompetencji zawodowych, z należytym uwzględnieniem zrównoważonej reprezentacji – w zależności od specyfiki rozpatrywanych kwestii – przedstawicieli administracji publicznej państw członkowskich, instytucji Unii i sektora prywatnego, w tym przemysłu, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji.

(42)  Sprawne funkcjonowanie Agencji wymaga, aby dyrektor wykonawczy był powoływany w oparciu o względy merytoryczne oraz udokumentowane umiejętności administracyjne i zarządcze, a także kompetencje i doświadczenie w zakresie bezpieczeństwa cybernetycznego, oraz aby wykonywał swoje obowiązki w sposób całkowicie niezależny. Dyrektor wykonawczy powinien opracowywać propozycję programu prac Agencji, po uprzednim zasięgnięciu opinii Komisji, oraz podjąć wszystkie niezbędne czynności w celu zapewnienia prawidłowego wykonania tego programu. Dyrektor wykonawczy powinien przygotowywać sprawozdanie roczne przedkładane zarządowi, sporządzać projekt preliminarza dochodów i wydatków Agencji oraz wykonywać budżet. Dyrektor wykonawczy powinien mieć ponadto możliwość powoływania grup roboczych ad hoc w celu rozwiązywania określonych kwestii, w szczególności o charakterze naukowym, technicznym, prawnym lub społeczno-gospodarczym. Dyrektor wykonawczy powinien zapewnić, aby członkowie grup roboczych ad hoc byli wybierani według najbardziej surowych kryteriów dotyczących kompetencji zawodowych, z należytym uwzględnieniem zrównoważonej reprezentacji i równowagi płci – w zależności od specyfiki rozpatrywanych kwestii – przedstawicieli administracji publicznej państw członkowskich, instytucji Unii i sektora prywatnego, w tym przemysłu, użytkowników oraz ekspertów akademickich w dziedzinie bezpieczeństwa sieci i informacji.

Poprawka    36

Wniosek dotyczący rozporządzenia

Motyw 44

Tekst proponowany przez Komisję

Poprawka

(44)  Agencja powinna posiadać organ doradczy w postaci Stałej Grupy Przedstawicieli Zainteresowanych Stron w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi zainteresowanymi stronami. Stała Grupa Przedstawicieli Zainteresowanych Stron, ustanowiona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla zainteresowanych stron i kierować na nie uwagę Agencji. Skład Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz przydzielone jej zadania, w tym fakt zasięgania jej opinii w szczególności w sprawie projektu programu prac, powinny zapewniać wystarczającą reprezentację zainteresowanych stron w pracach Agencji.

(44)  Agencja powinna posiadać organ doradczy w postaci grupy doradczej ENISA w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi, środowiskiem akademickim i innymi odpowiednimi zainteresowanymi stronami. Grupa doradcza ENISA, ustanowiona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla zainteresowanych stron i kierować na nie uwagę Agencji. Skład Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz przydzielone jej zadania, w tym fakt zasięgania jej opinii w szczególności w sprawie projektu programu prac, powinny zapewniać wystarczającą reprezentację zainteresowanych stron w pracach Agencji. Mając na uwadze znaczenie wymogów dotyczących certyfikacji dla zapewnienia zaufania do internetu rzeczy, Komisja rozważy w szczególności środki wdrażania mające na celu zapewnienie ogólnounijnej harmonizacji norm bezpieczeństwa dla urządzeń internetu rzeczy.

Poprawka    37

Wniosek dotyczący rozporządzenia

Motyw 44 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(44a)  Agencja powinna posiadać organ doradczy w postaci grupy zainteresowanych stron ds. certyfikacji w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi, środowiskiem akademickim i innymi odpowiednimi zainteresowanymi stronami. Grupa zainteresowanych stron ds. certyfikacji, ustanowiona przez dyrektora wykonawczego, powinna składać się z ogólnego komitetu doradczego, który będzie określał, jakie produkty i usługi ICT należy uwzględnić w przyszłych europejskich systemach certyfikacji bezpieczeństwa informatycznego, oraz z komitetów ad hoc, które zapewniają informacje potrzebne do projektów, opracowywania i wdrażania kandydujących europejskich systemów certyfikacji cyberbezpieczeństwa będących przedmiotem wniosku.

Poprawka    38

Wniosek dotyczący rozporządzenia

Motyw 46

Tekst proponowany przez Komisję

Poprawka

(46)  W celu zagwarantowania pełnej autonomii i niezależności Agencji oraz umożliwienia jej wykonywania dodatkowych oraz nowych zadań, w tym również nieprzewidzianych, nagłych zadań nadzwyczajnych, należy przyznać Agencji wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Większość personelu Agencji powinna pracować bezpośrednio przy operacyjnym wykonywaniu jej mandatu. Przyjmujące państwo członkowskie bądź jakiekolwiek inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz dochodów Agencji. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych Agencji w celu zapewnienia przejrzystości i odpowiedzialności.

(46)  W celu zagwarantowania pełnej autonomii i niezależności Agencji oraz umożliwienia jej wykonywania dodatkowych oraz nowych zadań, w tym również nieprzewidzianych, nagłych zadań nadzwyczajnych, należy przyznać Agencji wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Właściwy budżet ma zasadnicze znaczenie dla zapewnienia Agencji wystarczających zdolności do realizacji wszystkich coraz liczniejszych zadań i celów. Większość personelu Agencji powinna pracować bezpośrednio przy operacyjnym wykonywaniu jej mandatu. Przyjmujące państwo członkowskie bądź jakiekolwiek inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz dochodów Agencji. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych Agencji w celu zapewnienia przejrzystości, odpowiedzialności i skuteczności wydatkowania.

Poprawka    39

Wniosek dotyczący rozporządzenia

Motyw 47

Tekst proponowany przez Komisję

Poprawka

(47)  Ocena zgodności jest to proces wykazujący, czy zostały spełnione określone wymagania odnoszące się do produktu, procesu, usługi, systemu, osoby lub jednostki. Do celów niniejszego rozporządzenia certyfikację należy traktować jako rodzaj oceny zgodności odnoszącej się do właściwości danego produktu, procesu, usługi, systemu lub ich połączenia („produktów i usług ICT”) w zakresie bezpieczeństwa cybernetycznego, przeprowadzanej przez niezależną stronę trzecią, inną niż wytwórca produktu lub dostawca usług. Certyfikacja nie jest w stanie sama w sobie zagwarantować, że produkty i usługi ICT są bezpieczne pod względem cybernetycznym. Poświadczanie, że produkty i usługi ICT zostały zbadane i że spełniają określone wymogi w zakresie bezpieczeństwa cybernetycznego ustanowione w innych regulacjach, na przykład określone w normach technicznych, jest raczej rolą procedury i metodyki technicznej.

(47)  Ocena zgodności jest to proces wykazujący, czy zostały spełnione określone wymagania odnoszące się do produktu, procesu, usługi, systemu, osoby lub jednostki. Do celów niniejszego rozporządzenia certyfikację należy traktować jako rodzaj oceny zgodności odnoszącej się do właściwości danego produktu, procesu, usługi, systemu lub ich połączenia („produktów, procesów i usług ICT”) w zakresie cyberbezpieczeństwa, przeprowadzanej przez niezależną stronę trzecią lub, jeśli to dozwolone, przez wytwórcę produktu lub dostawcę usług. Samoocena może zostać przeprowadzona przez wytwórcę produktu, MŚP lub dostawcę usług, jak przewidziano w niniejszym rozporządzeniu, oraz, w stosownych przypadkach, jak określono w nowych ramach prawnych i zgodnie z nimi. Ponadto samoocena może zostać przeprowadzona przez wytwórcę produktu lub podmiot gospodarczy, jeżeli prawdopodobieństwo wystąpienia cyberincydentu lub prawdopodobieństwo poważnych szkód takiego incydentu dla społeczeństwa lub dużej jego części nie wydaje się wysokie lub poważne, biorąc pod uwagę zamierzone przez producenta lub dostawcę usług zastosowanie danego produktu lub usługi. Sama certyfikacja nie jest w stanie zagwarantować, że objęte nią produkty, procesy i usługi ICT są odpowiednio zabezpieczone, a informacja ta winna być należycie przekazana konsumentom i przedsiębiorstwom. Poświadczanie, że produkty, procesy i usługi ICT zostały zbadane i że spełniają określone wymogi w zakresie cyberbezpieczeństwa ustanowione w innych regulacjach, na przykład określone w normach technicznych, jest raczej rolą procedury i metodyki technicznej. Te normy techniczne obejmują wskazanie, czy możliwe jest normalne korzystanie z danego produktu, procesu i usługi ICT bez podłączenia do internetu.

Poprawka    40

Wniosek dotyczący rozporządzenia

Motyw 48

Tekst proponowany przez Komisję

Poprawka

(48)  Certyfikacja bezpieczeństwa cybernetycznego odgrywa ważną rolę, jeżeli chodzi o zwiększanie zaufania do produktów i usług ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie wtedy, gdy istnieje ogólne publiczne zaufanie, że takie produkty i usługi zapewniają określony poziom pewności co do ich bezpieczeństwa cybernetycznego. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej lub też inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane przepisami dyrektywy w sprawie bezpieczeństwa sieci i informacji są również sektorami, w których certyfikacja bezpieczeństwa cybernetycznego ma krytyczne znaczenie.

(48)  Europejska certyfikacja cyberbezpieczeństwa odgrywa zasadniczą rolę, jeżeli chodzi o zwiększanie zaufania do produktów, procesów i usług ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie wtedy, gdy istnieje ogólne publiczne zaufanie, że takie produkty i usługi zapewniają wysoki poziom pewności co do ich cyberbezpieczeństwa. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej lub też inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane przepisami dyrektywy w sprawie bezpieczeństwa sieci i informacji są również sektorami, w których certyfikacja bezpieczeństwa cybernetycznego ma krytyczne znaczenie.

Poprawka    41

Wniosek dotyczący rozporządzenia

Motyw 49

Tekst proponowany przez Komisję

Poprawka

(49)  W komunikacie z roku 2016 „Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego” Komisja przedstawiła potrzebę wysokojakościowych, dostępnych cenowo i interoperacyjnych produktów i rozwiązań w dziedzinie bezpieczeństwa cybernetycznego. Podaż produktów i usług ICT na jednolitym rynku jest wciąż bardzo nierównomierna pod względem geograficznym. Jest to spowodowane tym, że branża bezpieczeństwa cybernetycznego w Europie rozwijała się głównie w oparciu o krajowe zamówienia rządowe. Do luk mających wpływ na jednolity rynek bezpieczeństwa cybernetycznego należy ponadto – między innymi – brak interoperacyjnych rozwiązań (norm technicznych), praktyk i ogólnounijnych mechanizmów certyfikacji. Z jednej strony sprawia to, że przedsiębiorstwa europejskie mają trudności w konkurowaniu na poziomie krajowym, europejskim i globalnym. Z drugiej strony sytuacja ta powoduje, że wybór opłacalnych i nadających się do użytku technologii z dziedziny bezpieczeństwa cybernetycznego, do których mają dostęp jednostki i przedsiębiorstwa, jest ograniczony. Podobnie w przeglądzie śródokresowym realizacji strategii jednolitego rynku cyfrowego Komisja podkreśliła zapotrzebowanie na bezpieczne podłączone do sieci produkty i systemy oraz wskazała, że ustanowienie europejskich ram bezpieczeństwa ICT określających zasady certyfikacji bezpieczeństwa ICT w Unii mogłoby zarówno podtrzymać zaufanie do internetu, jak i przeciwdziałać obecnemu rozdrobnieniu rynku bezpieczeństwa cybernetycznego.

(49)  W komunikacie z roku 2016 „Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego” Komisja przedstawiła potrzebę wysokojakościowych, dostępnych cenowo i interoperacyjnych produktów i rozwiązań w dziedzinie bezpieczeństwa cybernetycznego. Podaż produktów, procesów i usług ICT na jednolitym rynku jest wciąż bardzo nierównomierna pod względem geograficznym. Jest to spowodowane tym, że branża bezpieczeństwa cybernetycznego w Europie rozwijała się głównie w oparciu o krajowe zamówienia rządowe. Do luk mających wpływ na jednolity rynek bezpieczeństwa cybernetycznego należy ponadto – między innymi – brak interoperacyjnych rozwiązań (norm technicznych), praktyk i ogólnounijnych mechanizmów certyfikacji. Z jednej strony sprawia to, że przedsiębiorstwa europejskie mają trudności w konkurowaniu na poziomie krajowym, europejskim i globalnym. Z drugiej strony sytuacja ta powoduje, że wybór opłacalnych i nadających się do użytku technologii z dziedziny bezpieczeństwa cybernetycznego, do których mają dostęp jednostki i przedsiębiorstwa, jest ograniczony. Podobnie w przeglądzie śródokresowym realizacji strategii jednolitego rynku cyfrowego Komisja podkreśliła zapotrzebowanie na bezpieczne podłączone do sieci produkty i systemy oraz wskazała, że ustanowienie europejskich ram bezpieczeństwa ICT określających zasady certyfikacji bezpieczeństwa ICT w Unii mogłoby zarówno podtrzymać zaufanie do internetu, jak i przeciwdziałać obecnemu rozdrobnieniu rynku bezpieczeństwa cybernetycznego.

Poprawka    42

Wniosek dotyczący rozporządzenia

Motyw 50

Tekst proponowany przez Komisję

Poprawka

(50)  Obecnie certyfikacja bezpieczeństwa cybernetycznego produktów i usług ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na szczeblu państw członkowskich lub w ramach systemów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. bezpieczeństwa cybernetycznego nie jest co do zasady uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty i usługi w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych. Co więcej, w sytuacji gdy powstają nowe systemy, najwyraźniej brak jest spójnego i całościowego podejścia w odniesieniu do horyzontalnych kwestii bezpieczeństwa cybernetycznego, na przykład w obszarze internetu rzeczy. Istniejące systemy mają istotne niedociągnięcia i różnią się pod względem zakresu produktów, poziomów pewności, kryteriów merytorycznych i faktycznego wykorzystania.

(50)  Obecnie certyfikacja cyberbezpieczeństwa produktów, procesów i usług ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na szczeblu państw członkowskich lub w ramach systemów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. bezpieczeństwa cybernetycznego nie jest co do zasady uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty, procesy i usługi w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych, co powoduje zwiększenie kosztów dla tych przedsiębiorstw. Co więcej, w sytuacji gdy powstają nowe systemy, najwyraźniej brak jest spójnego i całościowego podejścia w odniesieniu do horyzontalnych kwestii bezpieczeństwa cybernetycznego, na przykład w obszarze internetu rzeczy. Istniejące systemy mają istotne niedociągnięcia i różnią się pod względem zakresu produktów, poziomów pewności w odniesieniu do poziomu ryzyka, kryteriów merytorycznych i faktycznego wykorzystania. Kluczowe znaczenie w tym względzie ma wzajemne uznawanie i zaufanie między państwami członkowskimi. ENISA ma do odegrania ważną rolę w pomaganiu państwom członkowskim rozwijać solidną strukturę instytucjonalną i wiedzę fachową w obszarze ochrony przed potencjalnymi cyberatakami. Podejście skupiające się na poszczególnych przypadkach jest niezbędne dla zapewnienia, aby usługi, procesy i produkty podlegały odpowiednim systemom certyfikacji. Dodatkowo konieczne jest zastosowanie podejścia opartego na ryzyku celem skutecznej identyfikacji i ograniczania ryzyka, pamiętając jednocześnie, że uniwersalny system pasujący do wszystkich przypadków nie jest możliwy.

Poprawka    43

Wniosek dotyczący rozporządzenia

Motyw 52

Tekst proponowany przez Komisję

Poprawka

(52)  W związku z powyższym konieczne jest ustanowienie europejskich ram certyfikacji bezpieczeństwa cybernetycznego, określających wymogi horyzontalne dotyczące europejskich systemów certyfikacji bezpieczeństwa cybernetycznego, które mają zostać opracowane, oraz umożliwiających uznawanie i stosowanie we wszystkich państwach członkowskich certyfikatów odnoszących się do produktów i usług ICT. Te europejskie ramy powinny mieć dwojaki cel: z jednej strony powinny działać na rzecz zwiększenia zaufania do produktów i usług ICT, które uzyskały certyfikację zgodnie ze wspomnianymi systemami. Z drugiej strony powinny pozwalać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych systemów certyfikacji bezpieczeństwa cybernetycznego i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Systemy powinny mieć charakter niedyskryminujący i opierać się normach międzynarodowych lub unijnych, o ile normy te nie są nieskuteczne lub nieodpowiednie na potrzeby realizacji uzasadnionych celów UE w tym zakresie.

(52)  W związku z powyższym konieczne jest przyjęcie wspólnego podejścia i ustanowienie europejskich ram certyfikacji cyberbezpieczeństwa, określających wymogi horyzontalne dotyczące europejskich systemów certyfikacji cyberbezpieczeństwa, które mają zostać opracowane, oraz umożliwiających uznawanie i stosowanie we wszystkich państwach członkowskich certyfikatów odnoszących się do produktów i usług ICT. Należy przy tym wykorzystać istniejące systemy krajowe i międzynarodowe, a także wzajemne systemy uznawania, w szczególności SOG-IS, oraz umożliwić płynne przejście od systemów istniejących w ich ramach do systemów podlegających nowym ramom europejskim. Te europejskie ramy powinny mieć dwojaki cel: z jednej strony powinny działać na rzecz zwiększenia zaufania do produktów, procesów i usług ICT, które uzyskały certyfikację zgodnie ze wspomnianymi systemami. Z drugiej strony powinny pozwalać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych systemów certyfikacji bezpieczeństwa cybernetycznego i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Jeśli europejski system certyfikacji cyberbezpieczeństwa zastąpił system krajowy, certyfikaty wydawane w ramach systemu europejskiego należy uznać za ważne w przypadkach, gdy wymagana była certyfikacja w ramach systemu krajowego. Systemy powinny kierować się zasadą uwzględniania bezpieczeństwa na etapie projektowania oraz zasadami, o których mowa w rozporządzeniu (UE) 2016/679. Powinny również mieć charakter niedyskryminujący i opierać się normach międzynarodowych lub unijnych, o ile normy te nie są nieskuteczne lub nieodpowiednie na potrzeby realizacji uzasadnionych celów UE w tym zakresie.

Poprawka    44

Wniosek dotyczący rozporządzenia

Motyw 52 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(52a)  Wspomniane europejskie ramy cyberbezpieczeństwa należy ustanowić w sposób ujednolicony we wszystkich państwach członkowskich, aby zapobiec praktykom „kupowania certyfikatów” z uwagi na różnice kosztów lub poziomów wymagań pomiędzy państwami członkowskimi.

Poprawka    45

Wniosek dotyczący rozporządzenia

Motyw 52 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(52b)  Zauważa, że systemy certyfikacji powinny wykorzystywać systemy już istniejące na szczeblu krajowym i międzynarodowym, uwzględniać obecne mocne punkty oraz poddawać ocenie i korygować słabe punkty.

Poprawka    46

Wniosek dotyczący rozporządzenia

Motyw 52 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(52c)  Elastyczne rozwiązania w zakresie cyberbezpieczeństwa są konieczne, aby sektor ten był w stanie antycypować celowe ataki i zagrożenia, dlatego też ewentualny system certyfikacji powinien unikać ryzyka szybkiej dezaktualizacji.

Poprawka    47

Wniosek dotyczący rozporządzenia

Motyw 53

Tekst proponowany przez Komisję

Poprawka

(53)  Komisja powinna być uprawniona do przyjęcia europejskich systemów certyfikacji bezpieczeństwa cybernetycznego dotyczących określonych grup produktów i usług ICT. Systemy te powinny być wprowadzane i nadzorowane przez krajowe organy nadzoru ds. certyfikacji, a certyfikaty wydawane w ramach tych systemów powinny być ważne i uznawane w całej Unii. Systemy certyfikacji prowadzone przez przemysł lub inne organizacje prywatne nie powinny być objęte zakresem niniejszego rozporządzenia. Organy zarządzające takimi systemami mogą jednak wnioskować do Komisji o wzięcie takich systemów pod uwagę jako podstawy zatwierdzenia ich jako systemu europejskiego.

(53)  Komisja powinna być uprawniona do przyjęcia europejskich systemów certyfikacji cyberbezpieczeństwa dotyczących określonych grup produktów, procesów i usług ICT. Systemy te powinny być wprowadzane i nadzorowane przez krajowe organy nadzoru ds. certyfikacji, a certyfikaty wydawane w ramach tych systemów powinny być ważne i uznawane w całej Unii. Systemy certyfikacji prowadzone przez przemysł lub inne organizacje prywatne nie powinny być objęte zakresem niniejszego rozporządzenia. Organy zarządzające takimi systemami mogą jednak wnioskować do Komisji o wzięcie takich systemów pod uwagę jako podstawy zatwierdzenia ich jako systemu europejskiego. Agencja powinna zidentyfikować i ocenić systemy stosowane już przez branżę lub organizacje prywatne w celu wybrania najlepszych praktyk, które mogłyby stać się częścią systemu europejskiego. Podmioty z branży mogą przeprowadzać samoocenę swoich produktów lub usług przed certyfikacją, wskazując tym samym, że ich produkt lub usługa mogą zostać poddane procesowi certyfikacji, jeżeli jest to wymagane lub konieczne.

Poprawka    48

Wniosek dotyczący rozporządzenia

Motyw 53 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(53a)  Agencja i Komisja powinny jak najlepiej wykorzystywać systemy certyfikacji już istniejące na poziomie UE lub międzynarodowym. ENISA powinna mieć możliwość oceny adekwatności systemów będących już w eksploatacji i możliwości ich przeniesienia do prawa europejskiego we współpracy z organizacjami normalizacyjnymi UE i, w miarę możliwości, uznanymi na szczeblu międzynarodowym. Należy gromadzić istniejące dobre praktyki i rozpowszechniać informacje o nich wśród państw członkowskich.

Poprawka    49

Wniosek dotyczący rozporządzenia

Motyw 54

Tekst proponowany przez Komisję

Poprawka

(54)  Przepisy niniejszego rozporządzenia nie powinny naruszać przepisów Unii ustanawiających szczegółowe zasady certyfikacji produktów i usług ICT. W szczególności w ogólnym rozporządzeniu o ochronie danych wprowadzono przepisy dotyczące ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych mających świadczyć o zgodności z tym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Takie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w zakresie ochrony danych powinny umożliwiać osobom, których dane dotyczą, szybką ocenę poziomu ochrony danych zapewnianego przez odnośne produkty i usługi. Przepisy niniejszego rozporządzenia nie powodują uszczerbku dla certyfikacji operacji przetwarzania danych, także wówczas, gdy takie operacje są wbudowane w produkty i usługi, zgodnie z ogólnym rozporządzeniem o ochronie danych.

(54)  Przepisy niniejszego rozporządzenia nie powinny naruszać przepisów Unii ustanawiających szczegółowe zasady certyfikacji produktów, procesów i usług ICT. W szczególności w ogólnym rozporządzeniu o ochronie danych wprowadzono przepisy dotyczące ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych mających świadczyć o zgodności z tym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Takie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w zakresie ochrony danych powinny umożliwiać osobom, których dane dotyczą, szybką ocenę poziomu ochrony danych zapewnianego przez odnośne produkty i usługi. Przepisy niniejszego rozporządzenia nie powodują uszczerbku dla certyfikacji operacji przetwarzania danych, także wówczas, gdy takie operacje są wbudowane w produkty i usługi, zgodnie z ogólnym rozporządzeniem o ochronie danych.

Poprawka    50

Wniosek dotyczący rozporządzenia

Motyw 55

Tekst proponowany przez Komisję

Poprawka

(55)  Celem europejskich systemów certyfikacji bezpieczeństwa cybernetycznego powinno być zapewnienie, aby produkty i usługi ICT certyfikowane w ramach danego systemu spełniały określone wymogi. Wymogi takie dotyczą odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności i poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów, usług i systemów w rozumieniu niniejszego rozporządzenia. Nie jest możliwe szczegółowe określenie w niniejszym rozporządzeniu wymogów w zakresie bezpieczeństwa cybernetycznego odnoszących się do wszystkich produktów i usług ICT. Produkty i usługi ICT oraz powiązane z nimi potrzeby w zakresie bezpieczeństwa cybernetycznego są tak zróżnicowane, że przedstawienie ogólnych wymogów w zakresie bezpieczeństwa cybernetycznego obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia bezpieczeństwa cybernetycznego do celów certyfikacji, uzupełnionego zestawem szczegółowych celów w zakresie bezpieczeństwa cybernetycznego, które muszą być uwzględniane przy projektowaniu europejskich systemów certyfikacji bezpieczeństwa cybernetycznego. Metody osiągania tych celów w przypadku określonych produktów i usług ICT należy następnie doprecyzować na poziomie poszczególnych systemów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odniesienie do norm lub specyfikacji technicznych.

(55)  Celem europejskich systemów certyfikacji cyberbezpieczeństwa powinno być zapewnienie, aby produkty, usługi i procesy ICT certyfikowane w ramach danego systemu spełniały określone wymogi. Wymogi takie dotyczą odporności, przy danym poziomie ryzyka, na działania, których celem jest naruszenie dostępności, autentyczności, integralności i poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów, usług i systemów w rozumieniu niniejszego rozporządzenia. Nie jest możliwe szczegółowe określenie w niniejszym rozporządzeniu wymogów w zakresie cyberbezpieczeństwa odnoszących się do wszystkich produktów, usług i procesów ICT. Produkty, usługi i procesy ICT oraz powiązane z nimi potrzeby w zakresie cyberbezpieczeństwa są tak zróżnicowane, że przedstawienie ogólnych wymogów w zakresie cyberbezpieczeństwa obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia bezpieczeństwa cybernetycznego do celów certyfikacji, uzupełnionego zestawem szczegółowych celów w zakresie bezpieczeństwa cybernetycznego, które muszą być uwzględniane przy projektowaniu europejskich systemów certyfikacji bezpieczeństwa cybernetycznego. Metody osiągania tych celów w przypadku określonych produktów, usług i procesów ICT należy następnie doprecyzować na poziomie poszczególnych systemów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odniesienie do norm lub specyfikacji technicznych. Wszystkie podmioty zaangażowane w danym łańcuchu dostaw należy zachęcać do opracowania i przyjęcia norm bezpieczeństwa, norm technicznych i zasad uwzględniania bezpieczeństwa na etapie projektowania, na wszystkich etapach cyklu życia produktu, usługi lub procesu; do tego zakresu winny dążyć wszystkie europejskie systemy certyfikacji cyberbezpieczeństwa.

Poprawka    51

Wniosek dotyczący rozporządzenia

Motyw 56

Tekst proponowany przez Komisję

Poprawka

(56)  Komisja powinna zostać uprawniona do zwracania się do agencji ENISA z wnioskiem o przygotowanie kandydujących systemów w odniesieniu do określonych produktów lub usług ICT. Następnie Komisja, w oparciu o kandydujący system zaproponowany przez agencję ENISA, powinna zostać uprawniona do przyjęcia w drodze aktów wykonawczych danego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego. Ze względu na cel ogólny oraz cele w zakresie bezpieczeństwa określone w niniejszym rozporządzeniu europejskie systemy certyfikacji bezpieczeństwa cybernetycznego przyjęte przez Komisję powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych systemów. Elementy te to między innymi zakres i przedmiot certyfikacji bezpieczeństwa cybernetycznego, w tym kategorie objętych nią produktów i usług ICT, dokładne wyszczególnienie wymogów w zakresie bezpieczeństwa cybernetycznego, na przykład poprzez odniesienie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny, jak również docelowy poziom pewności: podstawowy, znaczny lub wysoki.

(56)  Komisja powinna zostać uprawniona do zwracania się do ENISA z wnioskiem o przygotowanie kandydujących systemów w odniesieniu do określonych produktów, procesów lub usług ICT z uzasadnionych powodów, czyli rozdrobnienia rynku wewnętrznego przez obowiązujące europejskie systemy certyfikacji cyberbezpieczeństwa; potrzeby lub przewidywanej potrzeby wsparcia unijnego prawodawstwa; opinii grupy ds.. certyfikacji państw członkowskich lub grupy zainteresowanych stron ds.. certyfikacji. Po ocenie kandydujących systemów certyfikacji zaproponowanych przez ENISA na podstawie wniosku Komisji Komisja powinna zostać uprawniona do przyjęcia w drodze aktów delegowanych europejskich systemów certyfikacji cyberbezpieczeństwa. Ze względu na cel ogólny oraz cele w zakresie bezpieczeństwa określone w niniejszym rozporządzeniu europejskie systemy certyfikacji cyberbezpieczeństwa powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych systemów. Elementy te to między innymi zakres i przedmiot certyfikacji cyberbezpieczeństwa, w tym kategorie objętych nią produktów i usług ICT, dokładne wyszczególnienie wymogów w zakresie cyberbezpieczeństwa, na przykład poprzez odniesienie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny, jak również docelowy poziom pewności: podstawowy, znaczny lub wysoki.

Poprawka    52

Wniosek dotyczący rozporządzenia

Motyw 56 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56a)  Agencja powinna stanowić punkt odniesienia zapewniający informacje o europejskich systemach cyberbezpieczeństwa. Powinna prowadzić stronę internetową ze wszystkimi istotnymi informacjami, w tym na temat wycofanych i nieaktualnych certyfikatów oraz uwzględnionych certyfikatach krajowych. Agencja powinna zagwarantować, że właściwa część zawartości strony jest zrozumiała dla zwykłych konsumentów.

Poprawka    53

Wniosek dotyczący rozporządzenia

Motyw 56 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56b)  Określenie poziomów pewności dla certyfikatów jest konieczne do wskazania użytkownikowi końcowemu przewidywanych rodzajów cyberzagrożeń oraz środków cyberbezpieczeństwa w produkcie, procesie lub usłudze, które mają im zapobiegać. Cyberzagrożenia muszą być określane z uwzględnieniem spodziewanego ryzyka oraz możliwości autora lub autorów ataku w kontekście przewidywanego wykorzystania uwzględnionych produktów, procesów i usług ICT. „Podstawowy” poziom pewności odnosi się do zdolności odpierania ataków, których da się uniknąć dzięki podstawowym środkom cyberbezpieczeństwa oraz które łatwo da się sprawdzić, przeglądając dokumentację techniczną. „Znaczny” poziom pewności odnosi się do zdolności odpierania znanych rodzajów ataków ze strony atakujących o pewnym stopniu zaawansowania, ale z ograniczonymi zasobami. „Wysoki” poziom pewności odnosi się do zdolności radzenia sobie z nieznanymi wcześniej słabymi punktami i zaawansowanymi atakami z użyciem najnowocześniejszych technik i znacznych zasobów takich jak finansowane zespoły multidyscyplinarne.

Poprawka    54

Wniosek dotyczący rozporządzenia

Motyw 56 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56c)  Aby uniknąć fragmentacji rynku wewnętrznego spowodowanej przez krajowe systemy cyberbezpieczeństwa, wspierać przyszłe przepisy oraz zwiększać zaufanie i bezpieczeństwo, Komisji należy zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej przekazać uprawnienia do ustalania priorytetów europejskiej certyfikacji cyberbezpieczeństwa, przyjmowania programów kroczących oraz przyjmowania europejskich systemów certyfikacji. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

Poprawka    55

Wniosek dotyczący rozporządzenia

Motyw 56 d (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56d)  Wśród metod i procedur oceny związanych z poszczególnymi europejskimi systemami certyfikacji cyberbezpieczeństwa należy propagować na szczeblu unijnym etyczne hakowanie, którego celem jest zidentyfikowanie słabych stron i luk w zabezpieczeniach urządzeń i systemów informacyjnych poprzez przewidywanie zamierzonych działań i umiejętności złośliwych hakerów.

Poprawka    56

Wniosek dotyczący rozporządzenia

Motyw 57

Tekst proponowany przez Komisję

Poprawka

(57)  Korzystanie z europejskiej certyfikacji bezpieczeństwa cybernetycznego powinno pozostać dobrowolne, chyba że przepisy unijne lub krajowe stanowią inaczej. Jednakże w celu osiągnięcia celów określonych w niniejszym rozporządzeniu i uniknięcia rozdrobnienia rynku wewnętrznego krajowe systemy lub procedury certyfikacji bezpieczeństwa cybernetycznego dotyczące produktów i usług ICT objętych europejskim systemem certyfikacji bezpieczeństwa cybernetycznego powinny przestać wywoływać skutki z dniem określonym przez Komisję w trybie aktu wykonawczego. Państwa członkowskie nie powinny ponadto wprowadzać nowych krajowych systemów certyfikacji będących systemami certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT objętych już istniejącym europejskim systemem certyfikacji bezpieczeństwa cybernetycznego.

(57)  Korzystanie z europejskiej certyfikacji bezpieczeństwa cybernetycznego powinno pozostać dobrowolne, chyba że przepisy unijne lub krajowe stanowią inaczej. Jednakże w celu osiągnięcia celów określonych w niniejszym rozporządzeniu i uniknięcia rozdrobnienia rynku wewnętrznego krajowe systemy lub procedury certyfikacji cyberbezpieczeństwa dotyczące produktów i usług ICT objętych europejskim systemem certyfikacji cyberbezpieczeństwa powinny przestać wywoływać skutki z dniem określonym przez Komisję w trybie aktu delegowanego. Państwa członkowskie nie powinny ponadto wprowadzać nowych krajowych systemów certyfikacji będących systemami certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT objętych już istniejącym europejskim systemem certyfikacji bezpieczeństwa cybernetycznego. Niniejsze rozporządzenie nie wyklucza jednak możliwości stosowania systemów krajowych, a państwa członkowskie zachowują suwerenność w zakresie zarządzania produktami, procesami i usługami ICT wykorzystywanymi na potrzeby suwerennych domen państw członkowskich.

Poprawka    57

Wniosek dotyczący rozporządzenia

Motyw 57 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(57a)  Nakłada się obowiązek wydania deklaracji produktu zawierającej uporządkowane informacje dotyczące certyfikacji produktu, procesu lub usługi, tak aby dostarczyć konsumentowi dodatkowe informacje i umożliwić mu podejmowanie uzasadnionych wyborów.

Poprawka    58

Wniosek dotyczący rozporządzenia

Motyw 57 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(57b)  Proponując nowe europejskie systemy cyberbezpieczeństwa, ENISA i inne właściwe organy powinny zwracać należytą uwagę na dynamikę konkurencji w danym wniosku, w szczególności zapewniając, że gdy w danym sektorze działa wiele małych i średnich przedsiębiorstw, np. w branży oprogramowań, systemy certyfikacji nie stanowią bariery dla wejścia na rynek dla nowych przedsiębiorstw i innowacji.

Poprawka    59

Wniosek dotyczący rozporządzenia

Motyw 57 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(57c)  Europejskie systemy cyberbezpieczeństwa przyczynią się do harmonizacji i ujednolicenia praktyk w zakresie cyberbezpieczeństwa w Unii. Nie mogą one jednak stać się minimalnym poziom cyberbezpieczeństwa. Przy opracowywaniu europejskich systemów cyberbezpieczeństwa należy również uwzględnić i umożliwić opracowywanie nowych innowacji w dziedzinie cyberbezpieczeństwa.

Poprawka    60

Wniosek dotyczący rozporządzenia

Motyw 58

Tekst proponowany przez Komisję

Poprawka

(58)  Po przyjęciu europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego wytwórcy produktów ICT lub dostawcy usług ICT powinni móc złożyć wniosek o certyfikację swoich produktów lub usług do wybranej jednostki oceniającej zgodność. Jednostki oceniające zgodność powinny uzyskiwać akredytację ze strony jednostki akredytującej, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat i można by ją odnowić na tych samych warunkach, o ile jednostka oceniająca zgodność spełnia wymogi. Jednostki akredytujące powinny cofać akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełnione, bądź w przypadku gdy działania podejmowane przez jednostkę oceniającą zgodność naruszają niniejsze rozporządzenie.

(58)  Po przyjęciu europejskiego systemu certyfikacji cyberbezpieczeństwa wytwórcy produktów ICT lub dostawcy procesów lub usług ICT powinni móc złożyć wniosek o certyfikację swoich produktów lub usług do wybranej jednostki oceniającej zgodność gdziekolwiek na terytorium Unii. Jednostki oceniające zgodność powinny uzyskiwać akredytację ze strony jednostki akredytującej, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat i można by ją odnowić na tych samych warunkach, o ile jednostka oceniająca zgodność spełnia wymogi. Jednostki akredytujące powinny cofać akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełnione, bądź w przypadku gdy działania podejmowane przez jednostkę oceniającą zgodność naruszają niniejsze rozporządzenie. Agencja powinna przeprowadzać kontrole w celu zapewnienia równoważnego poziomu jakości i staranności jednostek oceniających zgodność, aby uniknąć arbitrażu regulacyjnego. Wyniki powinny być zgłaszane do Agencji, Komisji i Parlamentu oraz podawane do wiadomości publicznej.

Poprawka    61

Wniosek dotyczący rozporządzenia

Motyw 58 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(58a)  Obowiązkowe stosowanie europejskiego systemu certyfikacji cyberbezpieczeństwa powinno ograniczać się do przypadków, w których analiza ryzyka uzasadnia ponoszone z tego tytułu koszty dla przemysłu, obywateli i konsumentów. Incydenty zakłócające świadczenie kluczowych usług mogą utrudniać prowadzenie działalności gospodarczej, powodować znaczne straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty w gospodarce Unii. Obowiązkowe stosowanie europejskiego systemu certyfikacji cyberbezpieczeństwa przez operatorów usług kluczowych powinno ograniczać się do tych elementów, które są kluczowe dla ich funkcjonowania, i nie powinno być rozszerzane na produkty, procesy i usługi ogólnego użytku, co obciążałoby przemysł i konsumentów nieuzasadnionymi kosztami. Komisja powinna współpracować z grupą współpracy ustanowioną zgodnie z art. 11 dyrektywy (UE) 2016/1148, żeby opracować wykaz kategorii produktów, procesów i usług, które są przeznaczone szczególnie dla operatorów usług kluczowych i których niewłaściwe funkcjonowanie w razie incydentu mogłoby poważnie zakłócić świadczenie kluczowych usług. Wykaz ten powinien być opracowywany stopniowo i w razie potrzeby aktualizowany. Wyłącznie produkty, procesy i usługi znajdujące się w wykazie powinny być obowiązkowe dla operatorów usług kluczowych.

Poprawka    62

Wniosek dotyczący rozporządzenia

Motyw 58 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(58b)  Obecność w przepisach krajowych odniesień do standardów krajowych, które przestały wywoływać skutki prawne ze względu na wejście w życie europejskiego systemu certyfikacji, może dezorientować wytwórców i użytkowników końcowych. Aby uniknąć sytuacji, kiedy wytwórcy nadal stosują specyfikacje zgodne z krajowymi certyfikatami, które już nie obowiązują, państwa członkowskie powinny, zgodnie z obowiązkami wynikającymi z Traktatów, dostosować ustawodawstwo krajowe tak, by odzwierciedlało ono przyjęcie europejskiego systemu certyfikacji.

Poprawka    63

Wniosek dotyczący rozporządzenia

Motyw 59

Tekst proponowany przez Komisję

Poprawka

(59)  Należy zobowiązać wszystkie państwa członkowskie do wyznaczenia jednego organu nadzoru ds. certyfikacji bezpieczeństwa cybernetycznego odpowiedzialnego za nadzór nad stosowaniem się jednostek oceniających zgodność do wymogów niniejszego rozporządzenia oraz nad zgodnością z tymi wymogami certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na podlegającym organowi nadzoru terytorium, jak również odpowiednich systemów certyfikacji bezpieczeństwa cybernetycznego. Krajowe organy nadzoru ds. certyfikacji powinny rozpatrywać skargi składane przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach, badać w odpowiednim zakresie przedmiot skarg oraz informować skarżących w stosownym terminie o postępach i wynikach badania. Powinny one ponadto współpracować z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych systemów certyfikacji bezpieczeństwa cybernetycznego.

(59)  Należy zobowiązać wszystkie państwa członkowskie do wyznaczenia jednego organu nadzoru ds. certyfikacji cyberbezpieczeństwa odpowiedzialnego za nadzór nad stosowaniem się jednostek oceniających zgodność do wymogów niniejszego rozporządzenia oraz nad zgodnością z tymi wymogami certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na podlegającym organowi nadzoru terytorium, jak również odpowiednich systemów certyfikacji cyberbezpieczeństwa, oraz do zapewnienia uznawania europejskich certyfikatów cyberbezpieczeństwa na swoim terytorium. Krajowe organy nadzoru ds. certyfikacji powinny rozpatrywać skargi składane przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach lub w związku z zarzutami nieuznawania certyfikatów na terytorium danego państwa, badać w odpowiednim zakresie przedmiot skarg oraz informować skarżących w stosownym terminie o postępach i wynikach badania. Powinny one ponadto współpracować z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym przez wymianę informacji na temat ewentualnej niezgodności produktów, procesów i usług ICT z wymogami niniejszego rozporządzenia lub określonych systemów certyfikacji cyberbezpieczeństwa lub na temat nieuznawania europejskich certyfikatów cyberbezpieczeństwa. Ponadto powinny nadzorować i weryfikować zgodność własnych deklaracji zgodności oraz europejskich certyfikatów cyberbezpieczeństwa wydanych przez jednostki oceniające zgodność z wymogami niniejszego rozporządzenia, w tym z zasadami przyjętymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i wymogami określonymi w odpowiednim europejskim systemie certyfikacji cyberbezpieczeństwa. Skuteczna współpraca krajowych organów nadzoru ds. certyfikacji ma kluczowe znaczenie dla właściwego wdrażania europejskich systemów certyfikacji cyberbezpieczeństwa oraz kwestii technicznych związanych z cyberbezpieczeństwem produktów i usług ICT. Komisja powinna ułatwiać wymianę informacji przez udostępnienie ogólnego elektronicznego systemu wspierającego wymianę informacji, na przykład systemu informacyjnego i komunikacyjnego do celów nadzoru rynku (ICSMS) i wspólnotowego systemu szybkiej informacji (RAPEX) dla produktów innych niż spożywcze, które to systemy są już wykorzystywane przez organy nadzoru rynku zgodnie z rozporządzeniem (WE) nr 765/2008.

Poprawka    64

Wniosek dotyczący rozporządzenia

Motyw 60

Tekst proponowany przez Komisję

Poprawka

(60)  Z myślą o zapewnieniu konsekwentnego stosowania europejskich ram certyfikacji bezpieczeństwa cybernetycznego należy ustanowić Europejską Grupę ds. Certyfikacji Bezpieczeństwa Cybernetycznego („Grupę”), w której skład wchodzić powinni przedstawiciele krajowych organów nadzoru ds. certyfikacji. Głównymi zadaniami Grupy powinny być doradzanie i pomaganie Komisji przy pracach nad zapewnieniem konsekwentnego wprowadzania i stosowania europejskich ram certyfikacji bezpieczeństwa cybernetycznego, pomoc Agencji i ścisła z nią współpraca przy przygotowywaniu kandydujących systemów certyfikacji bezpieczeństwa cybernetycznego, rekomendowanie Komisji zwrócenia się do Agencji o przygotowanie kandydującego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego oraz przyjmowanie skierowanych do Komisji opinii dotyczących utrzymania i przeglądu istniejących europejskich systemów certyfikacji bezpieczeństwa cybernetycznego.

(60)  Z myślą o zapewnieniu konsekwentnego stosowania europejskich ram certyfikacji cyberbezpieczeństwa należy ustanowić grupę ds. certyfikacji państw członkowskich, w skład której wchodzić powinni przedstawiciele krajowych organów nadzoru ds. certyfikacji. Głównymi zadaniami grupy ds. certyfikacji państw członkowskich powinny być doradzanie i pomaganie Komisji w pracach nad zapewnieniem konsekwentnego wprowadzania i stosowania europejskich ram certyfikacji cyberbezpieczeństwa; pomoc Agencji i ścisła z nią współpraca przy przygotowywaniu kandydujących systemów certyfikacji bezpieczeństwa cybernetycznego, rekomendowanie Komisji zwrócenia się do Agencji o przygotowanie kandydującego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego oraz przyjmowanie skierowanych do Komisji opinii dotyczących utrzymania i przeglądu istniejących europejskich systemów certyfikacji bezpieczeństwa cybernetycznego.

Poprawka    65

Wniosek dotyczący rozporządzenia

Motyw 60 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(60a)  Aby zapewnić równoważność poziomu kompetencji jednostek oceniających zgodność i ułatwić wzajemne uznawanie, jak też promować powszechną akceptację certyfikatów i wyników oceny zgodności wydawanych przez jednostki oceniające zgodność, niezbędne jest, aby krajowe organy nadzoru ds. certyfikacji funkcjonowały w oparciu o rygorystyczny i przejrzysty system oceny wzajemnej i systematycznie poddawały się tej ocenie.

Poprawka    66

Wniosek dotyczący rozporządzenia

Motyw 60 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(60b)  Efektywna współpraca pomiędzy krajowymi organami nadzoru ds. certyfikacji jest kluczowa dla prawidłowego wdrożenia oceny wzajemnej oraz z punktu widzenia akredytacji transgranicznej. Dlatego ze względu na zapewnienie przejrzystości konieczne jest nałożenie na krajowe organy nadzoru ds. certyfikacji obowiązku wymiany informacji z innymi takimi organami, jak również dostarczania istotnych informacji władzom krajowym i Komisji. Informacje aktualne i dokładne na temat działalności akredytacyjnej prowadzonej przez krajowe jednostki akredytujące powinny być podane do wiadomości publicznej i w związku z tym dostępne w szczególności dla jednostek oceniających zgodność.

Poprawka    67

Wniosek dotyczący rozporządzenia

Motyw 61

Tekst proponowany przez Komisję

Poprawka

(61)  W celu poszerzania wiedzy na temat przyszłych unijnych systemów certyfikacji bezpieczeństwa cybernetycznego oraz ułatwienia ich akceptacji Komisja Europejska może wydawać ogólne lub sektorowe wytyczne dotyczące bezpieczeństwa cybernetycznego, np. na temat dobrych praktyk lub odpowiedzialnego zachowania w zakresie bezpieczeństwa cybernetycznego, podkreślające pozytywne konsekwencje stosowania certyfikowanych produktów i usług ICT.

(61)  W celu poszerzania wiedzy na temat przyszłych unijnych systemów certyfikacji cyberbezpieczeństwa oraz ułatwienia ich akceptacji Komisja Europejska może wydawać ogólne lub sektorowe wytyczne dotyczące cyberbezpieczeństwa, np. na temat dobrych praktyk lub odpowiedzialnego zachowania w zakresie cyberbezpieczeństwa, podkreślające pozytywne konsekwencje stosowania certyfikowanych produktów, procesów i usług ICT.

Poprawka    68

Wniosek dotyczący rozporządzenia

Motyw 63

Tekst proponowany przez Komisję

Poprawka

(63)  W celu doprecyzowania kryteriów akredytacji jednostek oceniających zgodność należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej: W czasie prac przygotowawczych Komisja powinna prowadzić stosowne konsultacje, w tym na poziomie ekspertów. Konsultacje te powinny być prowadzone zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te powinny otrzymywać wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji powinni móc systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(63)  W celu doprecyzowania kryteriów akredytacji jednostek oceniających zgodność należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej: W czasie prac przygotowawczych Komisja powinna prowadzić stosowne konsultacje, w tym w razie potrzeby na poziomie ekspertów i z odpowiednimi zainteresowanymi stronami. Konsultacje te powinny być prowadzone zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te powinny otrzymywać wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji powinni móc systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

Poprawka    69

Wniosek dotyczący rozporządzenia

Motyw 65

Tekst proponowany przez Komisję

Poprawka

(65)  Należy stosować procedurę sprawdzającą w celu przyjęcia aktów wykonawczych dotyczących europejskich systemów certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT, metod prowadzenia przez Agencję postępowań wyjaśniających oraz okoliczności, formatów i procedur notyfikowania Komisji akredytowanych jednostek oceniających zgodność przez krajowe organy nadzoru ds. certyfikacji.

(65)  Ponadto można przyjmować akty delegowane dotyczące europejskich systemów certyfikacji cyberbezpieczeństwa produktów, procesów i usług ICT, metod prowadzenia przez Agencję postępowań wyjaśniających; metod prowadzenia przez Agencję postępowań wyjaśniających; oraz okoliczności, formatów i procedur notyfikowania Komisji akredytowanych jednostek oceniających zgodność przez krajowe organy nadzoru ds. certyfikacji.

Poprawka    70

Wniosek dotyczący rozporządzenia

Motyw 66

Tekst proponowany przez Komisję

Poprawka

(66)  Działalność Agencji powinna być oceniana w sposób niezależny. Ocena ta powinna dotyczyć realizacji przez Agencję jej celów, jej metod pracy i zasadności jej zadań. Ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji bezpieczeństwa cybernetycznego.

(66)  Działalność Agencji powinna być oceniana w sposób ciągły i niezależny. Ocena powinna dotyczyć realizacji przez Agencję jej celów, jej metod pracy i zasadności jej zadań, a zwłaszcza jej roli koordynującej względem państw członkowskich i ich władz krajowych. W przypadku przeglądu Komisja powinna ocenić możliwość sprawowania przez Agencję funkcji punktu kompleksowej obsługi dla państw członkowskich oraz instytucji i organów Unii.

Poprawka    71

Wniosek dotyczący rozporządzenia

Motyw 66 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(66a)  Ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji bezpieczeństwa cybernetycznego. W przypadku przeglądu, Komisja może ocenić, czy Agencja mogłaby pełnić funkcję oceniania produktów i usług z państw trzecich wprowadzanych do obrotu w Unii oraz oceniania możliwości wpisywania na czarną listę przedsiębiorstw, które nie stosują się do przepisów Unii.

Poprawka    72

Wniosek dotyczący rozporządzenia

Motyw 66 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(66b)  Ocena powinna zawierać analizę poziomu cyberbezpieczeństwa produktów i usług sprzedawanych w Unii. W przypadku przeglądu Komisja powinna ocenić, czy zasadnicze wymogi cyberbezpieczeństwa powinny stanowić warunek dostępu do rynku wewnętrznego.

Poprawka    73

Wniosek dotyczący rozporządzenia

Artykuł 1 – akapit 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  określa się cele, zadania i aspekty organizacyjne „Agencji UE ds. Bezpieczeństwa Cybernetycznego” ENISA, zwanej dalej „Agencją”; oraz

a)  określa się cele, zadania i aspekty organizacyjne „Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji” („Agencji”); oraz

Poprawka    74

Wniosek dotyczący rozporządzenia

Artykuł 1 – akapit 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  określa się ramy ustanawiania europejskich systemów certyfikacji bezpieczeństwa cybernetycznego w celu zapewnienia odpowiedniego poziomu bezpieczeństwa cybernetycznego produktów i usług ICT w Unii. Ramy te stosuje się, nie naruszając przepisów szczegółowych dotyczących dobrowolnej lub obowiązkowej certyfikacji zawartych w innych aktach Unii.

b)  określa się ramy ustanawiania europejskich systemów certyfikacji cyberbezpieczeństwa, aby uniknąć fragmentacji systemów certyfikacji w Unii, zapewnić odpowiedni poziom cyberbezpieczeństwa produktów, procesów i usług w Unii, które obowiązują, nie naruszając przepisów szczegółowych dotyczących dobrowolnej lub, w stosownych przypadkach, obowiązkowej certyfikacji zawartych niniejszym rozporządzeniu lub w innych aktach Unii.

Poprawka    75

Wniosek dotyczący rozporządzenia

Artykuł 1 – akapit 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Agencja wykonuje swoje zadanie, nie naruszając kompetencji państw członkowskich w zakresie cyberbezpieczeństwa, a zwłaszcza kompetencji państw członkowskich dotyczących bezpieczeństwa publicznego, ochrony, bezpieczeństwa narodowego oraz prawa karnego.

Poprawka    76

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 1

Tekst proponowany przez Komisję

Poprawka

1)  „bezpieczeństwo cybernetyczne” obejmuje wszystkie działania niezbędne do ochrony przed zagrożeniami cybernetycznymi sieci i systemów informatycznych, ich użytkowników oraz osób, których zagrożenia te dotyczą;

1)  „cyberbezpieczeństwo” oznacza wszystkie działania niezbędne do ochrony przed cyberzagrożeniami sieci i systemów informatycznych, ich użytkowników oraz osób, których zagrożenia te dotyczą;

Poprawka    77

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 2

Tekst proponowany przez Komisję

Poprawka

2)  „sieci i systemy informatyczne” oznaczają systemy w rozumieniu art. 4 pkt 1 dyrektywy (UE) 2016/1148;

2)  „sieci i systemy informatyczne” oznaczają sieci i systemy informatyczne w rozumieniu art. 4 pkt 1 dyrektywy (UE) 2016/1148;

Poprawka    78

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 3

Tekst proponowany przez Komisję

Poprawka

3)  „krajowa strategia w zakresie bezpieczeństwa sieci i systemów informatycznych” oznacza ramy w rozumieniu art. 4 pkt 3 dyrektywy (UE) 2016/1148;

3)  „krajowa strategia w zakresie bezpieczeństwa sieci i systemów informatycznych” oznacza krajową strategię w zakresie bezpieczeństwa sieci i systemów informatycznych w rozumieniu art. 4 pkt 3 dyrektywy (UE) 2016/1148;

Poprawka    79

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 4

Tekst proponowany przez Komisję

Poprawka

4)  „operator usług kluczowych” oznacza podmiot publiczny lub prywatny zdefiniowany w art. 4 pkt 4 dyrektywy (UE) 2016/1148;

4)  „operator usług kluczowych” oznacza operatora usług kluczowych zdefiniowanego w art. 4 pkt 4 dyrektywy (UE) 2016/1148;

Poprawka    80

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 5

Tekst proponowany przez Komisję

Poprawka

5)  „dostawca usług cyfrowych” oznacza każdą osobę prawną, która świadczy usługi cyfrowe, zdefiniowaną w art. 4 pkt 6 dyrektywy (UE) 2016/1148;

5)  „dostawca usług cyfrowych” oznacza dostawcę usług cyfrowych zdefiniowanego w art. 4 pkt 6 dyrektywy (UE) 2016/1148;

Poprawka    81

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 6

Tekst proponowany przez Komisję

Poprawka

6)  „incydent” oznacza każde zdarzenie zdefiniowane w art. 4 pkt 7 dyrektywy (UE) 2016/1148;

6)  „incydent” oznacza incydent zdefiniowany w art. 4 pkt 7 dyrektywy (UE) 2016/1148;

Poprawka    82

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 7

Tekst proponowany przez Komisję

Poprawka

7)  „postępowanie w przypadku incydentu” oznacza każdą procedurę zdefiniowaną w art. 4 pkt 8 dyrektywy (UE) 2016/1148;

7)  „postępowanie w przypadku incydentu” oznacza postępowanie w przypadku incydentu zdefiniowane w art. 4 pkt 8 dyrektywy (UE) 2016/1148;

Poprawka    83

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 8

Tekst proponowany przez Komisję

Poprawka

8)  „zagrożenie cybernetyczne” oznacza wszelkie potencjalne okoliczności lub zdarzenia, które mogą niekorzystnie wpływać na sieci i systemy informatyczne, ich użytkowników oraz osoby, których zagrożenie to dotyczy;

8)  „zagrożenie dla cyberbezpieczeństwa” oznacza wszelkie potencjalne okoliczności, zdarzenia lub wszelkie celowe działania, w tym zautomatyzowane polecenia, które mogą uszkodzić lub zakłócić sieci i systemy informatyczne, ich użytkowników oraz osoby, których zagrożenie to dotyczy, albo w inny sposób niekorzystnie wpływać na te sieci i systemy informatyczne, użytkowników i osoby, których zagrożenie to dotyczy.

Poprawka    84

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 8 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(8a)  „higiena cyberbezpieczeństwa” odnosi się do prostych rutynowych środków, których wdrożenie i regularne stosowanie przez użytkowników i przedsiębiorstwa w internecie ogranicza ich podatność na ryzyko związane z cyberzagrożeniami.

Poprawka    85

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 9

Tekst proponowany przez Komisję

Poprawka

9)  „europejski system certyfikacji bezpieczeństwa cybernetycznego” oznacza kompleksowy zbiór przepisów, wymagań technicznych, norm i procedur określonych na poziomie Unii i mających zastosowanie do certyfikacji produktów i usług z zakresu technologii informacyjno-komunikacyjnych (ICT) objętych zakresem danego systemu;

9)  „europejski system certyfikacji cyberbezpieczeństwa” oznacza kompleksowy zbiór przepisów, wymagań technicznych, norm i procedur określonych na poziomie Unii zgodnie z międzynarodowymi i europejskimi standardami oraz specyfikacjami ICT określonymi przez Agencję i mających zastosowanie do certyfikacji produktów, usług i procesów z zakresu technologii informacyjno-komunikacyjnych (ICT) objętych zakresem danego systemu;

Poprawka    86

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 10

Tekst proponowany przez Komisję

Poprawka

10)  „europejski certyfikat bezpieczeństwa cybernetycznego” oznacza dokument wydany przez jednostkę oceniającą zgodność i poświadczający, że dany produkt lub dana usługa ICT spełniają szczegółowe wymagania określone w europejskim systemie certyfikacji bezpieczeństwa cybernetycznego;

10)  „europejski certyfikat cyberbezpieczeństwa” oznacza dokument wydany przez jednostkę oceniającą zgodność i poświadczający, że dany produkt, dana usługa lub dany proces ICT spełniają szczegółowe wymagania określone w europejskim systemie certyfikacji cyberbezpieczeństwa;

Poprawka    87

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 11 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

11a)  „proces ICT” oznacza zestaw czynności wykonywanych w celu projektowania, rozwijania, utrzymywania i dostarczania produktów lub usług ICT;

Poprawka    88

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 11 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

11b)  „elektroniczne urządzenie konsumenckie” oznacza urządzenie złożone ze sprzętu komputerowego i oprogramowania, które przetwarza dane osobowe lub łączy się z internetem na potrzeby domotyki i obsługi urządzeń zdalnego sterowania domem, urządzeń biurowych, urządzeń routingowych oraz urządzeń łączących z siecią, takich jak telewizja hybrydowa, zabawki i konsole do gier, wirtualni lub osobiści asystenci, połączone urządzenia do transmisji strumieniowej, urządzenia do noszenia na ciele, systemy sterowania głosem i rzeczywistości wirtualnej;

Poprawka    89

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16

Tekst proponowany przez Komisję

Poprawka

16)  „norma” oznacza normę zdefiniowaną w art. 2 pkt 1 rozporządzenia (UE) nr 1025/2012.

16)  „norma”, „specyfikacja techniczna” oraz „specyfikacja techniczna ICT” oznaczają normę, specyfikację techniczną oraz specyfikację techniczną ICT zdefiniowane w art. 2 pkt 1, pkt 4 i pkt 5 rozporządzenia (UE) nr 1025/2012;

Poprawka    90

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

16a)  „krajowy organ nadzoru ds. certyfikacji” oznacza organ wyznaczony przez każde państwo członkowskie zgodnie z art. 50 niniejszego rozporządzenia;

Poprawka    91

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

16b)  „samoocena” oznacza oświadczenie o zgodności, za pomocą którego wytwórca deklaruje, że spełnił określone w systemie certyfikacji wymogi związane z danym produktem, procesem lub usługą;

Poprawka    92

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

16c)  „bezpieczeństwo domyślne” oznacza sytuację, w której, jeżeli produkt, oprogramowanie lub proces da się skonfigurować w sposób zapewniający większy poziom bezpieczeństwa, pierwszy użytkownik powinien otrzymać domyślną konfigurację z maksymalnie bezpiecznymi ustawieniami. Jeżeli, w poszczególnych przypadkach, analiza ryzyka i użyteczności wykaże, że tego typu ustawienia są niewykonalne, użytkowników należy zachęcać do wyboru najbezpieczniejszych ustawień.

Poprawka    93

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16 d (nowy)

Tekst proponowany przez Komisję

Poprawka

 

16d)  „operatorzy usług kluczowych” oznacza operatorów usług kluczowych zdefiniowanych w art. 4 pkt 4 dyrektywy (UE) 2016/1148;

Poprawka    94

Wniosek dotyczący rozporządzenia

Artykuł 3 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Agencja podejmuje zadania przypisane jej na mocy niniejszego rozporządzenia w celu przyczyniania się do wysokiego poziomu bezpieczeństwa cybernetycznego w Unii.

1.  Agencja podejmuje zadania przypisane jej na mocy niniejszego rozporządzenia i zostaje wzmocniona w celu przyczyniania się do osiągania wysokiego wspólnego poziomu cyberbezpieczeństwa, tak aby zapobiegać cyberatakom w Unii; ograniczać fragmentację rynku wewnętrznego i poprawę jego funkcjonowania; zapewnianie spójności dzięki uwzględnianiu osiągnięć we współpracy państw członkowskich w ramach dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Poprawka    95

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Agencja stanowi ośrodek wiedzy fachowej z dziedziny bezpieczeństwa cybernetycznego z racji swojej niezależności, jakości naukowo-technicznej oferowanego doradztwa i pomocy oraz przekazywanych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań.

1.  Agencja stanowi ośrodek teoretycznej i praktycznej wiedzy fachowej z dziedziny cyberbezpieczeństwa z racji swojej niezależności, jakości naukowo-technicznej oferowanego doradztwa i pomocy oraz przekazywanych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań.

Poprawka    96

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Agencja pomaga instytucjom, agencjom i organom Unii oraz państwom członkowskim w opracowywaniu i realizacji polityki dotyczącej bezpieczeństwa cybernetycznego.

2.  Agencja pomaga instytucjom, agencjom i organom Unii oraz państwom członkowskim w opracowywaniu i realizacji polityki dotyczącej cyberbezpieczeństwa oraz podnoszeniu świadomości wśród obywateli i przedsiębiorstw.

Poprawka    97

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Agencja wspiera budowanie potencjału i gotowości w całej Unii, pomagając Unii, państwom członkowskim oraz zainteresowanym stronom z sektora publicznego i prywatnego w celu zwiększenia ochrony ich sieci i systemów informatycznych, rozwoju umiejętności i kompetencji z dziedziny bezpieczeństwa cybernetycznego oraz osiągnięcia odporności cybernetycznej.

3.  Agencja wspiera budowanie potencjału i gotowości w instytucjach, agencjach i organach Unii, pomagając Unii, państwom członkowskim oraz zainteresowanym stronom z sektora publicznego i prywatnego w zwiększeniu ochrony ich sieci i systemów informatycznych, rozwijaniu i polepszaniu cyberodporności i zdolności reagowania, podnoszeniu świadomości i rozwijaniu umiejętności i kompetencji z dziedziny cyberbezpieczeństwa oraz osiąganiu cyberodporności.

Poprawka    98

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Agencja propaguje współpracę i koordynację na szczeblu unijnym pomiędzy państwami członkowskimi, instytucjami, agencjami i organami Unii oraz właściwymi zainteresowanymi stronami, w tym z sektora prywatnego, w kwestiach związanych z bezpieczeństwem cybernetycznym.

4.  Agencja propaguje współpracę, koordynację i wymianę informacji na szczeblu unijnym pomiędzy państwami członkowskimi, instytucjami, agencjami i organami Unii oraz właściwymi zainteresowanymi stronami w kwestiach związanych z cyberbezpieczeństwem.

Poprawka    99

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Agencja zwiększa zdolności w zakresie bezpieczeństwa cybernetycznego na poziomie unijnym w celu uzupełnienia działań państw członkowskich na rzecz zapobiegania zagrożeniom cybernetycznymi i reagowania na nie, zwłaszcza w przypadku incydentów transgranicznych.

5.  Agencja przyczynia się do zwiększania zdolności w zakresie cyberbezpieczeństwa na poziomie unijnym w celu uzupełnienia działań państw członkowskich na rzecz zapobiegania zagrożeniom dla cyberbezpieczeństwa i reagowania na nie, zwłaszcza w przypadku incydentów transgranicznych, oraz aby pełnić swoją funkcję wsparcia dla instytucji Unii w opracowywaniu polityk związanych z cyberbezpieczeństwem.

Poprawka    100

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6.  Agencja propaguje stosowanie certyfikacji, w tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji bezpieczeństwa cybernetycznego na szczeblu unijnym zgodnie z tytułem III niniejszego rozporządzenia, z myślą o zwiększeniu przejrzystości w zakresie zapewniania bezpieczeństwa cybernetycznego produktów usług ICT, zwiększając w ten sposób zaufanie do wewnętrznego rynku cyfrowego.

6.  Aby uniknąć fragmentacji rynku wewnętrznego i poprawić jego funkcjonowanie, Agencja propaguje stosowanie certyfikacji, w tym przez przyczynianie się do utworzenia i utrzymywania ram certyfikacji cyberbezpieczeństwa na szczeblu unijnym zgodnie z tytułem III niniejszego rozporządzenia, z myślą o zwiększeniu przejrzystości w zakresie zapewniania cyberbezpieczeństwa produktów, usług i procesów ICT, zwiększając w ten sposób zaufanie do wewnętrznego rynku cyfrowego oraz zgodność między istniejącymi krajowymi i międzynarodowymi systemami certyfikacji.

Poprawka    101

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 7

Tekst proponowany przez Komisję

Poprawka

7.  Agencja działa na rzecz wysokiego poziomu wiedzy obywateli i przedsiębiorstw o zagadnieniach związanych z bezpieczeństwem cybernetycznym.

7.  Agencja propaguje i wspiera projekty przyczyniające się do utrzymania wysokiego poziomu wiedzy, cyberhigieny i umiejętności cyfrowych wśród obywateli i przedsiębiorstw w kwestii zagadnień związanych z cyberbezpieczeństwem.

Poprawka    102

Wniosek dotyczący rozporządzenia

Artykuł 5 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  pomoc i doradztwo, w szczególności przez wydawanie niezależnych opinii i wykonywanie prac przygotowawczych, w sprawach opracowywania i przeglądu polityki i prawa Unii w dziedzinie bezpieczeństwa cybernetycznego, jak również w odniesieniu do inicjatyw dotyczących polityki i prawa Unii w poszczególnych sektorach, w których występują kwestie związane z bezpieczeństwem cybernetycznym;

1.  pomoc i doradztwo, w szczególności przez wydawanie niezależnych opinii i analizę istotnej aktywności w cyberprzestrzeni oraz wykonywanie prac przygotowawczych, w sprawach opracowywania i przeglądu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa, jak również w odniesieniu do inicjatyw dotyczących polityki i prawa Unii w poszczególnych sektorach, w których występują kwestie związane z cyberbezpieczeństwem;

Poprawka    103

Wniosek dotyczący rozporządzenia

Artykuł 5 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  pomoc dla państw członkowskich przy jednolitym wdrażaniu polityki i prawa Unii w dziedzinie bezpieczeństwa cybernetycznego, zwłaszcza w związku z dyrektywą (UE) 2016/1148, w tym za pomocą opinii, wytycznych, porad i najlepszych praktyk dotyczących takich tematów jak zarządzanie ryzykiem, zgłaszanie incydentów i wymiana informacji, jak również ułatwianie wymiany najlepszych praktyk w tej dziedzinie między właściwymi organami;

2.  pomoc dla państw członkowskich przy jednolitym wdrażaniu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa, zwłaszcza w związku z dyrektywą (UE) 2016/1148, dyrektywą ... ustanawiającą Europejski kodeks łączności elektronicznej, rozporządzeniem (UE) 2016/679 i dyrektywą 2002/58/WE, w tym za pomocą opinii, wytycznych, porad i najlepszych praktyk dotyczących takich tematów jak rozwój odpowiednio zabezpieczonego oprogramowania i systemów, zarządzanie ryzykiem, zgłaszanie incydentów i wymiana informacji, środki techniczne i organizacyjne, w szczególności ustanawianie skoordynowanych programów ujawniania luk w zabezpieczeniach, jak również ułatwianie wymiany najlepszych praktyk w tej dziedzinie między właściwymi organami;

Poprawka    104

Wniosek dotyczący rozporządzenia

Artykuł 5 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  opracowywanie i propagowanie polityk zapewniających ogólną dostępność lub integralność publicznego rdzenia otwartego internetu, gwarantujących niezbędną funkcjonalność całego internetu i leżących u podstaw jego normalnego funkcjonowania, w tym m.in. bezpieczeństwa i stabilności kluczowych protokołów (w szczególności DNS, BGP i IPv6), funkcjonowania systemu nazw domen (w tym wszystkich domen najwyższego poziomu) oraz strefy głównej;

Poprawka    105

Wniosek dotyczący rozporządzenia

Artykuł 5 – ustęp 4 – punkt 2

Tekst proponowany przez Komisję

Poprawka

2)  działań na rzecz podwyższonego poziomu bezpieczeństwa łączności elektronicznej, w tym przez zapewnianie wiedzy fachowej i doradztwa, jak również ułatwianie wymiany najlepszych praktyk między właściwymi organami;

2)  działań na rzecz podwyższonego poziomu bezpieczeństwa łączności elektronicznej, przechowywania i przetwarzania danych, w tym przez zapewnianie wiedzy fachowej i doradztwa, jak również ułatwianie wymiany najlepszych praktyk między właściwymi organami;

Poprawka    106

Wniosek dotyczący rozporządzenia

Artykuł 5 – ustęp 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

5a.  wspieranie państw członkowskich w spójnym wdrażaniu polityki i prawa Unii dotyczących ochrony danych, zwłaszcza w odniesieniu do rozporządzenia (UE) 2016/679, a także wspieranie Europejskiej Rady Ochrony Danych w opracowywaniu wytycznych dotyczących wykonania rozporządzenia (UE) 2016/679 do celów cyberbezpieczeństwa. Europejska Rada Ochrony Danych przeprowadza konsultacje z Agencją za każdym razem, gdy wydaje opinię lub przyjmuje decyzję dotyczącą wdrożenia ogólnego rozporządzenia o ochronie danych i cyberbezpieczeństwa, nie tylko w sprawie kwestii dotyczących oceny skutków w zakresie prywatności, zgłaszania naruszenia ochrony danych, bezpieczeństwa przetwarzania, wymogów bezpieczeństwa i ochrony prywatności już w fazie projektowania.

Poprawka    107

Wniosek dotyczący rozporządzenia

Artykuł 6 – ustęp 1 – litera a a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

aa)  państwom członkowskim i instytucjom unijnym w ustanawianiu i wdrażaniu skoordynowanych polityk ujawniania luk w zabezpieczeniach i rządowych procesów przeglądu ujawnień luk w zabezpieczeniach, których praktyki i określenia powinny być przejrzyste i podlegać niezależnemu nadzorowi;

Poprawka    108

Wniosek dotyczący rozporządzenia

Artykuł 6 – ustęp 1 – litera a b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ab)  Agencja ułatwi zaplanowanie i uruchomienie długoterminowego europejskiego projektu w dziedzinie bezpieczeństwa IT, aby nadal wspierać badania naukowe w dziedzinie cyberbezpieczeństwa w Unii i państwach członkowskich, we współpracy z Europejską Radą ds. Badań Naukowych (ERBN) i Europejskim Instytutem Innowacji i Technologii (EIT) oraz z uwzględnieniem unijnych programów badawczych;

Poprawka    109

Wniosek dotyczący rozporządzenia

Artykuł 6 – ustęp 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  państwom członkowskim, organizując na szczeblu unijnym coroczne ćwiczenia na wielką skalę w dziedzinie bezpieczeństwa cybernetycznego, o których mowa w art. 7 ust. 6, oraz wydając zalecenia dotyczące polityki w oparciu o proces oceny tych ćwiczeń i wyciągnięte z nich doświadczenia;

g)  państwom członkowskim, organizując na szczeblu unijnym regularnie i przynajmniej raz w roku ćwiczenia na wielką skalę w dziedzinie cyberbezpieczeństwa, o których mowa w art. 7 ust. 6, oraz wydając zalecenia dotyczące polityki i wymieniając się najlepszymi praktykami w oparciu o proces oceny tych ćwiczeń i wyciągnięte z nich doświadczenia;

Poprawka    110

Wniosek dotyczący rozporządzenia

Artykuł 6 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Agencja ułatwia utworzenie sektorowych ośrodków wymiany i analizy informacji oraz stale je wspiera, w szczególności w sektorach wymienionych w załączniku II do dyrektywy (UE) 2016/1148, udostępniając najlepsze praktyki i wytyczne dotyczące dostępnych narzędzi, procedury, jak również sposobu postępowania w kwestiach regulacyjnych związanych z wymianą informacji.

2.  Agencja ułatwia utworzenie sektorowych ośrodków wymiany i analizy informacji oraz stale je wspiera, w szczególności w sektorach wymienionych w załączniku II do dyrektywy (UE) 2016/1148, udostępniając najlepsze praktyki i wytyczne dotyczące dostępnych narzędzi, procedury, zasad cyberhigieny, jak również sposobu postępowania w kwestiach regulacyjnych związanych z wymianą informacji.

Poprawka    111

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Agencja wspiera współpracę operacyjną między właściwymi organami publicznymi oraz między zainteresowanymi stronami.

1.  Agencja wspiera współpracę operacyjną państw członkowskich, instytucji, agencji i organów Unii oraz zainteresowanych stron, dążąc do osiągnięcia kooperacji, przez analizę i ocenę istniejących programów krajowych, opracowanie i wdrażanie planu oraz stosowanie odpowiednich instrumentów do osiągnięcia najwyższego stopnia certyfikacji cyberbezpieczeństwa w Unii i państwach członkowskich.

Poprawka    112

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 4 – akapit 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  świadczenie, na ich wniosek, pomocy technicznej w przypadku incydentów o znacznych lub istotnych skutkach;

b)  świadczenie, na ich wniosek, pomocy technicznej przez dzielenie się informacjami i wiedzą fachową w przypadku incydentów o znacznych lub istotnych skutkach;

Poprawka    113

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 4 – akapit 1 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  gdy sytuacja wymaga podjęcia pilnych działań, kiedy incydent wywołuje poważne zakłócenia, państwo członkowskie może zwrócić się o pomoc do ekspertów z Agencji w celu dokonania oceny sytuacji. Wniosek zawiera opis sytuacji, możliwe cele i planowane potrzeby.

Poprawka    114

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 5 – akapit 1

Tekst proponowany przez Komisję

Poprawka

Na wniosek co najmniej dwóch zainteresowanych państw członkowskich, oraz w wyłącznym celu udzielania porad dotyczących zapobiegania przyszłym incydentom, Agencja wspiera przeprowadzenie technicznego postępowania wyjaśniającego ex post lub przeprowadza takie postępowanie w wyniku zawiadomień o incydentach o znacznych lub istotnych skutkach, złożonych przez poszkodowane przedsiębiorstwa na podstawie dyrektywy (UE) 2016/1148. Agencja przeprowadza również takie postępowanie wyjaśniające na należycie uzasadniony wniosek Komisji, złożony w porozumieniu z zainteresowanymi państwami członkowskimi, w przypadku takich incydentów mających wpływ na więcej niż dwa państwa członkowskie.

Na wniosek co najmniej jednego zainteresowanego państwa członkowskiego, oraz w wyłącznym celu udzielania pomocy, czy to w formie porad dotyczących zapobiegania przyszłym incydentom, czy też w formie wsparcia w reagowaniu na bieżące incydenty na dużą skalę, Agencja wspiera przeprowadzenie technicznego postępowania wyjaśniającego ex post lub przeprowadza takie postępowanie w wyniku zawiadomień o incydentach o znacznych lub istotnych skutkach, złożonych przez poszkodowane przedsiębiorstwa na podstawie dyrektywy (UE)2016/1148. Agencja realizuje wspomniane wyżej działania, korzystając z istotnych informacji od zainteresowanych państw członkowskich i z wykorzystaniem zasobów własnych w zakresie analiz zagrożeń, a także środków w zakresie reagowania na incydenty. Agencja przeprowadza również takie postępowanie wyjaśniające na należycie uzasadniony wniosek Komisji, złożony w porozumieniu z zainteresowanymi państwami członkowskimi, w przypadku takich incydentów mających wpływ na więcej niż jedno państwo członkowskie. Przeprowadzając je, Agencja dopilnowuje, żeby nie ujawniać działań podjętych przez państwa członkowskie w celu zabezpieczenia ich podstawowych funkcji państwowych, w szczególności tych, które dotyczą bezpieczeństwa narodowego.

Poprawka    115

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6.  Agencja organizuje coroczne ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego na szczeblu unijnym i wspiera państwa członkowskie oraz instytucje, agencje i organy UE w organizacji ćwiczeń w odpowiedzi na ich wnioski. Coroczne ćwiczenia na szczeblu unijnym obejmują elementy techniczne, operacyjne i strategiczne oraz pomagają przygotować wspólną reakcję na szczeblu unijnym na transgraniczne incydenty cybernetyczne na dużą skalę. W stosownych przypadkach Agencja wnosi również wkład w sektorowe ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego i pomaga w ich organizacji wspólnie z odpowiednimi ośrodkami wymiany i analizy informacji oraz zezwala tym ośrodkom na udział również w ćwiczeniach w dziedzinie bezpieczeństwa cybernetycznego na szczeblu unijnym.

6.  Agencja organizuje regularne, i w każdym wypadku przynajmniej coroczne ćwiczenia w dziedzinie cyberbezpieczeństwa na szczeblu unijnym i wspiera państwa członkowskie oraz instytucje, agencje i organy UE w organizacji ćwiczeń w odpowiedzi na ich wnioski. Coroczne ćwiczenia na szczeblu unijnym obejmują elementy techniczne, operacyjne i strategiczne oraz pomagają przygotować wspólną reakcję na szczeblu unijnym na transgraniczne incydenty cybernetyczne na dużą skalę. W stosownych przypadkach Agencja wnosi również wkład w sektorowe ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego i pomaga w ich organizacji wspólnie z odpowiednimi ośrodkami wymiany i analizy informacji oraz zezwala tym ośrodkom na udział również w ćwiczeniach w dziedzinie bezpieczeństwa cybernetycznego na szczeblu unijnym.

Poprawka    116

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 7

Tekst proponowany przez Komisję

Poprawka

7.  Agencja przygotowuje regularne unijny raport techniczny z zakresu bezpieczeństwa cybernetycznego na temat incydentów i zagrożeń, w oparciu o informacje ze źródeł otwartych, własne analizy oraz raporty udostępniane przez, między innymi: zespoły CSIRT w państwach członkowskich (na zasadzie dobrowolności) lub pojedyncze punkty kontaktowe wyznaczone na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji (zgodnie z art. 14 ust. 5 dyrektywy w sprawie bezpieczeństwa sieci i informacji), Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, CERT-UE.

7.  Agencja przygotowuje cykliczny, szczegółowy unijny raport techniczny z zakresu bezpieczeństwa cybernetycznego na temat incydentów i zagrożeń, w oparciu o informacje ze źródeł otwartych, własne analizy oraz raporty udostępniane przez, między innymi: zespoły CSIRT w państwach członkowskich (na zasadzie dobrowolności) lub pojedyncze punkty kontaktowe wyznaczone na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji (zgodnie z art. 14 ust. 5 dyrektywy w sprawie bezpieczeństwa sieci i informacji), Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu, CERT-UE. W stosownych przypadkach dyrektor wykonawczy przedstawia publicznie dostępne rezultaty analiz Parlamentowi Europejskiemu.

Poprawka    117

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 7 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

7a.  W stosownych przypadkach i z zastrzeżeniem uzyskania uprzedniej zgody Komisji Agencja przyczynia się do cyberwspółpracy z Centrum Doskonałości NATO ds. Współpracy w Dziedzinie Obrony przed Atakami Cybernetycznymi oraz z Akademią Komunikacji i Informacji pod egidą NATO.

Poprawka    118

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 8 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  gromadzenie raportów ze źródeł krajowych w celu przyczynienia się do ustalenia wspólnej orientacji sytuacyjnej;

a)  analizowanie i zestawianie danych z raportów ze źródeł krajowych w celu przyczynienia się do ustalenia wspólnej orientacji sytuacyjnej;

Poprawka    119

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 8 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  wsparcie techniczne przy postępowaniu w przypadku incydentu lub kryzysu, w tym ułatwianie wymiany rozwiązań technicznych między państwami członkowskimi;

c)  wsparcie techniczne przy postępowaniu w przypadku incydentu lub kryzysu przy udziale własnych niezależnych ekspertów i zasobów, w tym ułatwianie dobrowolnej wymiany rozwiązań technicznych między państwami członkowskimi;

Poprawka    120

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 8 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

8a.  W razie potrzeby Agencja organizuje wymianę poglądów i pomaga władzom państw członkowskich w koordynacji ich odpowiedzi, zgodnie z zasadami pomocniczości i proporcjonalności.

Poprawka    121

Wniosek dotyczący rozporządzenia

Artykuł 7 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 7a

 

Techniczne zdolności Agencji

 

1. Aby osiągnąć cele opisane w art. 7 oraz zgodnie z programem działania Agencji, Agencja opracowuje między innymi następujące zdolności i umiejętności techniczne:

 

a) zdolność gromadzenia informacji dotyczących cyberzagrożeń ze środowiska otwartego oprogramowania; oraz

 

b) zdolność rozlokowywania sprzętu technicznego, posługiwania się narzędziami i wykorzystywania wiedzy eksperckiej na odległość;

 

2. Aby osiągnąć zdolności techniczne wymienione w ust. 1 niniejszego artykułu oraz wypracować odpowiednie umiejętności, Agencja:

 

a) zapewnia, że jej procesy rekrutacyjne odzwierciedlają różnorodne umiejętności techniczne, które są wymagane; oraz

 

b) współpracuje z CERT-UE i Europolem zgodnie z art. 7 ust. 2 niniejszego rozporządzenia.

Poprawka    122

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

a)  wspiera i propaguje opracowanie i realizację polityki Unii w zakresie certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT, ustanowionej w tytule III niniejszego rozporządzenia, poprzez:

a)  wspiera i propaguje opracowanie i realizację polityki Unii w zakresie certyfikacji cyberbezpieczeństwa produktów, usług i procesów ICT, ustanowionej w tytule III niniejszego rozporządzenia, poprzez:

Poprawka    123

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt -1 (nowy)

Tekst proponowany przez Komisję

Poprawka

 

-1)  na bieżąco określa normy, specyfikacje techniczne i specyfikacje techniczne ICT;

Poprawka    124

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt 1

Tekst proponowany przez Komisję

Poprawka

1)  przygotowywanie kandydujących europejskich systemów certyfikacji bezpieczeństwa cybernetycznego w odniesieniu do produktów i usług ICT zgodnie z art. 44 niniejszego rozporządzenia;

1)  przygotowywanie – we współpracy z zainteresowanymi stronami i organizacjami normalizacyjnymi z branży, w drodze znormalizowanego, przejrzystego procesu – kandydujących europejskich systemów certyfikacji cyberbezpieczeństwa w odniesieniu do produktów, usług i procesów ICT zgodnie z art. 44 niniejszego rozporządzenia;

Poprawka    125

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a)  przeprowadzanie – we współpracy z grupą państw członkowskich ds. Certyfikacji zgodnie z art.. 53 niniejszego rozporządzenia – ocen procedur wydawania europejskich certyfikatów cyberbezpieczeństwa, ustanowionych przez jednostki oceniające zgodność, o których mowa w art. 51 niniejszego rozporządzenia, w trosce o zapewnienie jednolitego stosowania niniejszego rozporządzenia przez jednostki oceniające zgodność przy wydawaniu certyfikatów;

Poprawka    126

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt 1 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1b)  przeprowadzanie niezależnych okresowych kontroli ex post w zakresie zgodności certyfikowanych produktów, procesów i usług ICT z zasadami europejskich systemów certyfikacji cyberbezpieczeństwa;

Poprawka    127

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt 2

Tekst proponowany przez Komisję

Poprawka

2)  pomoc udzielaną Komisji przy zapewnianiu obsługi sekretariatu dla Europejskiej Grupy ds. Certyfikacji Bezpieczeństwa Cybernetycznego na podstawie art. 53 niniejszego rozporządzenia;

2)  pomoc udzielaną Komisji przy zapewnianiu obsługi sekretariatu dla grupy państw członkowskich ds. certyfikacji na podstawie art. 53 niniejszego rozporządzenia;

Poprawka    128

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – punkt 3

Tekst proponowany przez Komisję

Poprawka

3)  sporządzanie i publikowanie wytycznych oraz opracowywanie dobrych praktyk dotyczących wymogów w zakresie bezpieczeństwa cybernetycznego produktów i usług ICT, we współpracy z krajowymi organami nadzoru ds. certyfikacji oraz z przemysłem;

3)  sporządzanie i publikowanie wytycznych oraz opracowywanie dobrych praktyk, w tym w zakresie zasad cyberhigieny, dotyczących wymogów w zakresie cyberbezpieczeństwa produktów, procesów i usług ICT, we współpracy z krajowymi organami nadzoru ds. certyfikacji oraz z przemysłem w ramach formalnego, znormalizowanego i przejrzystego procesu;

Poprawka    129

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  ułatwia ustanowienie i upowszechnienie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem i bezpieczeństwa produktów i usług ICT, jak również opracowuje, we współpracy z państwami członkowskimi, porady i wytyczne dotyczące kwestii technicznych związanych z wymogami bezpieczeństwa odnoszącymi się do operatorów usług kluczowych i dostawców usług cyfrowych, a także dotyczące już istniejących norm, w tym norm krajowych państw członkowskich, na podstawie art. 19 ust. 2 dyrektywy (UE) 2016/1148;

b)  ułatwia ustanowienie i upowszechnienie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem i bezpieczeństwa produktów i usług ICT, jak również opracowuje, we współpracy z państwami członkowskimi, porady i wytyczne dotyczące kwestii technicznych związanych z wymogami bezpieczeństwa odnoszącymi się do operatorów usług kluczowych i dostawców usług cyfrowych, a także dotyczące już istniejących norm, w tym norm krajowych państw członkowskich, na podstawie art. 19 ust. 2 dyrektywy (UE) 2016/1148, i rozpowszechnia te informacje wśród państw członkowskich;

Poprawka    130

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  zapewnia, we współpracy z ekspertami z organów państw członkowskich, doradztwo, wytyczne i najlepsze praktyki dotyczące bezpieczeństwa sieci i systemów informatycznych, w szczególności w odniesieniu do bezpieczeństwa infrastruktury internetowej i tych infrastruktur, które stanowią wsparcie sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148;

c)  zapewnia, we współpracy z ekspertami z organów państw członkowskich oraz istotnymi zainteresowanymi stronami, doradztwo, wytyczne i najlepsze praktyki dotyczące bezpieczeństwa sieci i systemów informatycznych, w szczególności w odniesieniu do bezpieczeństwa infrastruktury internetowej i tych infrastruktur, które stanowią wsparcie sektorów wymienionych w załączniku II do dyrektywy (UE) 2016/1148;

Poprawka    131

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  działa na rzecz podniesienia świadomości ogółu społeczeństwa na temat różnych postaci ryzyka cybernetycznego i przedstawia wytyczne na temat dobrych praktyk dla użytkowników końcowych, skierowane do obywateli i organizacji;

e)  na bieżąco działa na rzecz zwiększania i podnoszenia świadomości ogółu społeczeństwa na temat różnych postaci zagrożeń cyberbezpieczeństwa i zapewnia szkolenia oraz wytyczne na temat dobrych praktyk dla użytkowników indywidualnych, skierowane do obywateli i organizacji, a także propaguje stosowanie solidnych zapobiegawczych środków w zakresie bezpieczeństwa informatycznego oraz niezawodną ochronę danych i prywatności;

Poprawka    132

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  organizuje, we współpracy z państwami członkowskimi oraz instytucjami, organami jednostkami organizacyjnymi Unii, regularne kampanie informacyjne na rzecz zwiększenia bezpieczeństwa cybernetycznego i jego wyeksponowania w Unii.

g)  organizuje, we współpracy z państwami członkowskimi oraz instytucjami, organami, jednostkami organizacyjnymi i agencjami Unii, regularne kampanie komunikacyjne, aby zachęcać do szerokiej debaty publicznej.

Poprawka    133

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera g a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ga)  wspiera ściślejszą koordynację i wymianę najlepszych praktyk między państwami członkowskimi w zakresie wiedzy i umiejętności w dziedzinie cyberbezpieczeństwa, cyberhigieny i podnoszenia świadomości w tym zakresie.

Poprawka    134

Wniosek dotyczący rozporządzenia

Artykuł 10 – akapit 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  doradza Unii i państwom członkowskim w zakresie potrzeb badawczych i priorytetów w dziedzinie bezpieczeństwa cybernetycznego z myślą o umożliwieniu skutecznego reagowania na bieżące i pojawiające się ryzyko i zagrożenia, w tym również w odniesieniu do nowych i powstających technologii informacyjno-komunikacyjnych, a także z myślą o skutecznym stosowaniu technologii zapobiegania ryzyku;

a)  zapewnia uprzednie konsultacje z odpowiednimi grupami użytkowników oraz doradza Unii i państwom członkowskim w zakresie potrzeb badawczych i priorytetów w dziedzinie cyberbezpieczeństwa, ochrony danych i prywatności z myślą o umożliwieniu skutecznego reagowania na bieżące i pojawiające się ryzyko i zagrożenia, w tym również w odniesieniu do nowych i powstających technologii informacyjno-komunikacyjnych, a także z myślą o skutecznym stosowaniu technologii zapobiegania ryzyku;

Poprawka    135

Wniosek dotyczący rozporządzenia

Artykuł 10 – akapit 1 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  zleca własne działania badawcze w obszarach zainteresowania, które nie są jeszcze objęte istniejącymi unijnymi programami badawczymi, jeżeli mają wyraźnie stwierdzoną europejską wartość dodaną.

Poprawka    136

Wniosek dotyczący rozporządzenia

Artykuł 11 – akapit 1 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  zapewnianie doradztwa i wsparcia Komisji, we współpracy z grupą państw członkowskich ds. certyfikacji ustanowioną na mocy art. 53, w kwestiach dotyczących wzajemnego uznawania certyfikatów cyberbezpieczeństwa z krajami trzecimi.

Poprawka    137

Wniosek dotyczący rozporządzenia

Artykuł 12 – akapit 1 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  Stała Grupa Przedstawicieli Zainteresowanych Stron, która pełni funkcje określone w art. 20.

d)  Grupa doradcza ENISA, która pełni funkcje określone w art. 20.

Poprawka    138

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  ocenia i przyjmuje skonsolidowane sprawozdanie roczne z działalności Agencji oraz do dnia 1 lipca następnego roku przesyła zarówno sprawozdanie, jak i jego ocenę Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu. Sprawozdanie roczne zawiera sprawozdanie finansowe i opis sposobu osiągnięcia przez Agencję wskaźników skuteczności jej działania. Sprawozdanie roczne podaje się do wiadomości publicznej;

e)  ocenia i przyjmuje skonsolidowane sprawozdanie roczne z działalności Agencji oraz do dnia 1 lipca następnego roku przesyła zarówno sprawozdanie, jak i jego ocenę Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu. Sprawozdanie roczne zawiera sprawozdanie finansowe, opis skuteczności wydatkowania oraz ocenę skuteczności Agencji i stopień, w jakim zrealizowano wskaźniki skuteczności jej działania. Sprawozdanie roczne podaje się do wiadomości publicznej;

Poprawka    139

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera m

Tekst proponowany przez Komisję

Poprawka

m)  mianuje dyrektora wykonawczego oraz w stosownych przypadkach podejmuje decyzje o przedłużeniu jego kadencji lub odwołaniu go ze stanowiska zgodnie z art. 33 niniejszego rozporządzenia;

m)  mianuje dyrektora wykonawczego w drodze wyboru w oparciu o kwalifikacje zawodowe oraz w stosownych przypadkach podejmuje decyzje o przedłużeniu jego kadencji lub odwołaniu go ze stanowiska zgodnie zart.33 niniejszego rozporządzenia;

Poprawka    140

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera o

Tekst proponowany przez Komisję

Poprawka

o)  podejmuje wszystkie decyzje dotyczące ustanowienia wewnętrznej struktury Agencji, a w razie potrzeby jej modyfikacji, uwzględniając potrzeby w zakresie działań Agencji i mając na uwadze należyte zarządzanie budżetem;

o)  podejmuje wszystkie decyzje dotyczące ustanowienia wewnętrznej struktury Agencji, a w razie potrzeby jej modyfikacji, uwzględniając potrzeby w zakresie działań Agencji, o których mowa w niniejszym rozporządzeniu, i mając na uwadze należyte zarządzanie budżetem;

Poprawka    141

Wniosek dotyczący rozporządzenia

Artykuł 16 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Członkowie Stałej Grupy Przedstawicieli Zainteresowanych Stron mogą brać udział w posiedzeniach zarządu, na zaproszenie przewodniczącego, bez prawa głosu.

4.  Członkowie grupy doradczej ENISA mogą brać udział w posiedzeniach zarządu, na zaproszenie przewodniczącego, bez prawa głosu.

Poprawka    142

Wniosek dotyczący rozporządzenia

Artykuł 18 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  W skład rady wykonawczej wchodzi pięciu członków powołanych spośród członków zarządu, w tym przewodniczący zarządu, który może również przewodniczyć radzie wykonawczej, oraz jeden z przedstawicieli Komisji. Dyrektor wykonawczy bierze udział w posiedzeniach rady wykonawczej, ale nie posiada prawa głosu.

3.  W skład rady wykonawczej wchodzi pięciu członków powołanych spośród członków zarządu, w tym przewodniczący zarządu, który może również przewodniczyć radzie wykonawczej, oraz jeden z przedstawicieli Komisji. Dyrektor wykonawczy bierze udział w posiedzeniach rady wykonawczej, ale nie posiada prawa głosu. Nominacje mają na celu osiągnięcie zrównoważonej reprezentacji płci w radzie wykonawczej.

Uzasadnienie

Nominacje do rady wykonawczej muszą również mieć na celu zachowanie równowagi płci i tym samym odzwierciedlać przepisy dotyczące zarządu w art. 13 ust. 3.

Poprawka    143

Wniosek dotyczący rozporządzenia

Artykuł 19 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Dyrektor wykonawczy na wezwanie Parlamentu Europejskiego informuje go o wykonywaniu swoich obowiązków. Rada może wezwać dyrektora wykonawczego do poinformowania jej o wykonywaniu powierzonych mu obowiązków.

2.  Dyrektor wykonawczy na wezwanie Parlamentu Europejskiego co roku informuje go o wykonywaniu swoich obowiązków. Rada może wezwać dyrektora wykonawczego do poinformowania jej o wykonywaniu powierzonych mu obowiązków.

Poprawka    144

Wniosek dotyczący rozporządzenia

Artykuł 19 – ustęp 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

5a.  Dyrektor wykonawczy jest również uprawniony do występowania jako specjalny doradca instytucjonalny ds. polityki w zakresie cyberbezpieczeństwa przewodniczącego Komisji Europejskiej, z mandatem określonym w decyzji Komisji C(2014) 541 z dnia 6 lutego 2014 r.

Poprawka    145

Wniosek dotyczący rozporządzenia

Artykuł 20 – tytuł

Tekst proponowany przez Komisję

Poprawka

Stała Grupa Przedstawicieli Zainteresowanych Stron

Grupa doradcza ENISA

 

(Zmiana dotyczy całości tekstu; jej przyjęcie wiąże się z koniecznością wprowadzenia zmian w całym dokumencie).

Poprawka    146

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Działając na wniosek dyrektora wykonawczego, zarząd ustanawia Stałą Grupę Przedstawicieli Zainteresowanych Stron złożoną z uznanych ekspertów reprezentujących odpowiednie zainteresowane strony, takie jak sektor ICT, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, grupy konsumenckie, eksperci akademiccy w dziedzinie bezpieczeństwa cybernetycznego oraz przedstawiciele właściwych organów zgłoszonych na podstawie [dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej], a także organy nadzorcze ds. egzekwowania prawa i ochrony danych.

1.  Działając na wniosek dyrektora wykonawczego w sposób przejrzysty, zarząd ustanawia grupę doradczą ENISA złożoną z uznanych ekspertów ds. bezpieczeństwa reprezentujących odpowiednie zainteresowane strony, takie jak branża ICT – w tym MŚP, operatorzy usług kluczowych zdefiniowani w dyrektywie w sprawie bezpieczeństwa sieci i informacji, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, grupy konsumenckie, eksperci akademiccy w dziedzinie cyberbezpieczeństwa, europejskie organizacje normalizacyjne, agencje UE oraz przedstawiciele właściwych organów zgłoszonych na podstawie [dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej], a także organy nadzorcze ds. egzekwowania prawa i ochrony danych. Zarząd zapewnia odpowiednią równowagę pomiędzy różnymi grupami zainteresowanych stron.

Poprawka    147

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Procedury dotyczące Stałej Grupy Przedstawicieli Zainteresowanych Stron, w szczególności liczby jej członków, jej składu i powoływania jej członków przez zarząd, wniosku dyrektora wykonawczego, a także działania grupy, określa się w wewnętrznych zasadach działania Agencji i podaje do wiadomości publicznej.

2.  Procedury dotyczące grupy doradczej ENISA, w szczególności liczby jej członków, jej składu i powoływania jej członków przez zarząd, wniosku dyrektora wykonawczego, a także działania grupy, określa się w wewnętrznych zasadach działania Agencji i podaje do wiadomości publicznej.

Poprawka    148

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Stałej Grupie Przedstawicieli Zainteresowanych Stron przewodniczy dyrektor wykonawczy lub inna osoba wyznaczona w danym przypadku przez dyrektora wykonawczego.

3.  Grupie doradczej ENISA przewodniczy dyrektor wykonawczy lub inna osoba wyznaczona w danym przypadku przez dyrektora wykonawczego.

Poprawka    149

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Kadencja członków Stałej Grupy Przedstawicieli Zainteresowanych Stron wynosi dwa i pół roku. Członkowie zarządu nie mogą być członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron. Eksperci z Komisji i z państw członkowskich mają prawo do udziału w posiedzeniach i pracach Stałej Grupy Przedstawicieli Zainteresowanych Stron. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe, którzy nie są członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron, mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.

4.  Kadencja członków grupy doradczej ENISA trwa dwa i pół roku. Członkowie zarządu nie mogą być członkami grupy doradczej ENISA. Eksperci z Komisji i z państw członkowskich mają prawo do udziału w posiedzeniach i pracach grupy doradczej ENISA. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe, którzy nie są członkami grupy doradczej ENISA, mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.

Poprawka    150

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 4 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

4a.  Grupa doradcza ENISA będzie dokonywać regularnych aktualizacji swoich planów w ciągu roku i określać cele w programie prac, który będzie publikowany co sześć miesięcy, aby zapewnić przejrzystość;

Poprawka    151

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Stała Grupa Przedstawicieli Zainteresowanych Stron doradza Agencji w związku z realizacją jej działań. Grupa doradza w szczególności dyrektorowi wykonawczemu w sprawie sporządzenia wniosku dotyczącego programu prac Agencji oraz w sprawie zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami we wszystkich kwestiach związanych z programem prac.

5.  Grupa doradcza ENISA doradza Agencji w związku z realizacją jej działań, z wyjątkiem stosowania tytułu III niniejszego rozporządzenia. Grupa doradza w szczególności dyrektorowi wykonawczemu w sprawie sporządzenia wniosku dotyczącego programu prac Agencji oraz w sprawie zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami w kwestiach związanych z programem prac.

Poprawka    152

Wniosek dotyczący rozporządzenia

Artykuł 20 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 20a

 

Grupa ds. Certyfikacji Zainteresowanych Stron

 

1.   Dyrektor wykonawczy powołuje Grupę ds. Certyfikacji Zainteresowanych Stron złożoną z ogólnego komitetu doradczego, który zapewnia ogólne doradztwo w kwestii stosowania tytułu III niniejszego rozporządzenia, oraz powołuje on też komitety ah hoc do projektów, opracowywania i wdrażania każdego systemu kandydującego. Członkowie tej grupy wybierani są spośród uznanych ekspertów ds. bezpieczeństwa reprezentujących odpowiednie zainteresowane strony, takie jak branża ICT – w tym MŚP, operatorzy usług kluczowych zdefiniowani w dyrektywie w sprawie bezpieczeństwa sieci i informacji, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, grupy konsumenckie, eksperci akademiccy w dziedzinie cyberbezpieczeństwa, europejskie organizacje normalizacyjne oraz przedstawiciele właściwych organów zgłoszonych na podstawie [dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej], a także organy nadzorcze ds. egzekwowania prawa i ochrony danych.

 

2.   Procedury dotyczące Grupy ds. Certyfikacji Zainteresowanych Stron, w szczególności liczby jej członków, składu i powoływania członków przez dyrektora wykonawczego, są określane w wewnętrznych zasadach działania Agencji, zgodne z najlepszymi praktykami w dziedzinie zapewniania wszystkim zainteresowanym stronom sprawiedliwej reprezentacji i równych praw, i podawane do wiadomości publicznej.

 

3.   Członkowie zarządu nie mogą być członkami Grupy ds. Certyfikacji Zainteresowanych Stron. Członkowie grupy doradczej ENISA mogą równocześnie być członkami grupy państw członkowskich ds. certyfikacji. Eksperci z Komisji i państw członkowskich są uprawnieni, na zaproszenie, do udziału w posiedzeniach Grupy ds. Certyfikacji Zainteresowanych Stron. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.

 

4.   Grupa ds. Certyfikacji Zainteresowanych Stron doradza Agencji w związku z realizacją jej działań w odniesieniu do tytułu III niniejszego rozporządzenia. Ma ona w szczególności prawo zaproponować Komisji przygotowanie europejskiego kandydującego systemu certyfikacji cyberbezpieczeństwa, przyznane w art. 44 niniejszego rozporządzenia, a także prawo uczestnictwa w procedurach opisanych w art. 43-48 oraz art. 53 niniejszego rozporządzenia dotyczących zatwierdzenia takich systemów.

Poprawka    153

Wniosek dotyczący rozporządzenia

Artykuł 21 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 21a

 

Wniosek kierowany do Agencji

 

1. Agencja powinna stworzyć pojedynczy punkt kontaktowy, za którego pośrednictwem kierowane są wnioski o udzielenie doradztwa i pomocy w zakresie celów i zadań Agencji, oraz powinna ona zarządzać tym punktem. Do takich wniosków należy załączyć informacje ogólne wyjaśniające kwestię, do której należy się odnieść. Agencja powinna przewidzieć potencjalne skutki pod względem zasobów, oraz, w odpowiednim terminie, działania następcze. W przypadku odrzucenia wniosku przez Agencję uzasadnia ona tę decyzję.

 

2. Wnioski, o których mowa w ust. 1, mogą być zgłaszane przez:

 

a) Parlament Europejski;

 

b) Radę;

 

c) Komisję; oraz

 

d) dowolny inny właściwy organ wyznaczony przez państwo członkowskie, taki jak krajowy organ regulacyjny określony w art. 2 dyrektywy 2002/21/WE.

 

3. Praktyczne rozwiązania w zakresie stosowania ust. 1 i 2, dotyczące w szczególności składania wniosków, określania priorytetów, podejmowania działań w odniesieniu do wniosków oraz informowania, są określane przez zarząd w wewnętrznych zasadach działania Agencji.

Poprawka    154

Wniosek dotyczący rozporządzenia

Artykuł 24 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Członkowie zarządu, dyrektor wykonawczy, członkowie Stałej Grupy Przedstawicieli Zainteresowanych Stron, eksperci zewnętrzni uczestniczący w pracach grup roboczych ad hoc oraz pracownicy Agencji, w tym również urzędnicy oddelegowani czasowo przez państwa członkowskie, podlegają wymogom dotyczącym poufności określonym w art. 339 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), nawet po zakończeniu pełnienia swoich obowiązków.

2.  Członkowie zarządu, dyrektor wykonawczy, członkowie grupy doradczej ENISA, eksperci zewnętrzni uczestniczący w pracach grup roboczych ad hoc oraz pracownicy Agencji, w tym również urzędnicy oddelegowani czasowo przez państwa członkowskie, podlegają wymogom dotyczącym poufności określonym w art. 339 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), nawet po zakończeniu pełnienia swoich obowiązków.

Poprawka    155

Wniosek dotyczący rozporządzenia

Artykuł 26 – ustęp 1 – akapit 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Wstępny projekt preliminarza opiera się na celach i oczekiwanych wynikach jednolitego dokumentu programowego, o którym mowa w art. 21 ust. 1 niniejszego rozporządzenia, oraz uwzględnia zasoby finansowe potrzebne do osiągnięcia tych celów i oczekiwanych wyników, zgodnie z zasadą budżetowania zadaniowego.

Poprawka    156

Wniosek dotyczący rozporządzenia

Artykuł 30 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Trybunał Obrachunkowy jest uprawniony do kontroli, na podstawie dokumentacji i na miejscu, wszystkich beneficjentów dotacji, wykonawców i podwykonawców, którzy otrzymują od Agencji unijne środki finansowe.

2.  Trybunał Obrachunkowy jest uprawniony do kontroli, na podstawie dokumentacji i inspekcji na miejscu, wszystkich beneficjentów dotacji, wykonawców i podwykonawców, którzy otrzymują od Agencji unijne środki finansowe.

Poprawka    157

Wniosek dotyczący rozporządzenia

Artykuł 36 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Odpowiedzialność osobista pracowników Agencji wobec Agencji jest regulowana odpowiednimi warunkami mającymi zastosowanie do jej personelu.

5.  Odpowiedzialność osobista pracowników Agencji wobec Agencji jest regulowana odpowiednimi warunkami mającymi zastosowanie do jej personelu. Należy zapewnić skuteczny proces naboru pracowników.

Poprawka    158

Wniosek dotyczący rozporządzenia

Artykuł 37 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej.

2.  Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej lub inni dostawcy usług tłumaczeniowych zgodnie z przepisami dotyczącymi zamówień publicznych i w ramach limitów określonych w stosownych przepisach finansowych.

Poprawka    159

Wniosek dotyczący rozporządzenia

Artykuł 39 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  W zakresie, w jakim jest to niezbędne do osiągnięcia celów określonych w niniejszym rozporządzeniu, Agencja może współpracować z właściwymi organami państw trzecich lub z organizacjami międzynarodowymi, bądź też z jednymi i drugimi. W tym celu, pod warunkiem uzyskania uprzedniej zgody Komisji, Agencja może poczynić ustalenia robocze z organami państw trzecich i organizacjami międzynarodowymi. Ustalenia te nie mogą powodować powstania zobowiązań prawnych dla Unii ani jej państw członkowskich.

1.  W zakresie, w jakim jest to niezbędne do osiągnięcia celów określonych w niniejszym rozporządzeniu, Agencja może współpracować z właściwymi organami państw trzecich lub z organizacjami międzynarodowymi, bądź też z jednymi i drugimi. W tym celu, pod warunkiem uzyskania uprzedniej zgody Komisji, Agencja może poczynić ustalenia robocze z organami państw trzecich i organizacjami międzynarodowymi. Współpraca z NATO, jeśli ma miejsce, może obejmować wspólne ćwiczenia dotyczące cyberbezpieczeństwa i koordynacji reagowania na cyberincydenty. Ustalenia te nie mogą powodować powstania zobowiązań prawnych dla Unii ani jej państw członkowskich.

Uzasadnienie

Z uwagi na transgraniczny charakter cyberincydentów w stosownych przypadkach ENISA powinna współdziałać z podmiotami ds. cyberbezpieczeństwa w Europie, np. NATO. Jest to szczególnie istotne z tego względu, że NATO może dysponować cyberzdolnościami, których nie posiada ENISA, i vice versa. W kontekście większej liczby cyberataków skierowanych przeciw państwom jako całość dla bezpieczeństwa Europy niezbędna jest współpraca ENISA z organizacjami międzynarodowymi, takimi jak NATO, na szczeblu międzynarodowym.

Poprawka    160

Wniosek dotyczący rozporządzenia

Artykuł 41 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla zapewnienia właściwego funkcjonowania Agencji, w tym dostępność lokalizacji, odpowiednią infrastrukturę szkolną dla dzieci członków personelu, odpowiedni dostęp do rynku pracy, zabezpieczenie społeczne i opiekę zdrowotną zarówno dla dzieci, jak i dla małżonków.

2.  Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla zapewnienia właściwego funkcjonowania Agencji, w tym jedną lokalizację dla całej Agencji, dostępność lokalizacji, odpowiednią infrastrukturę szkolną dla dzieci członków personelu, odpowiedni dostęp do rynku pracy, zabezpieczenie społeczne i opiekę zdrowotną zarówno dla dzieci, jak i dla małżonków.

Uzasadnienie

Obecna struktura Agencji, której siedziba administracyjna znajduje się w Heraklionie, a podstawowe operacje prowadzone są w Atenach, okazała się nieskuteczna i kosztowna. Cały personel ENISA powinien zatem pracować w tym samym mieście. Biorąc pod uwagę kryteria określone w niniejszym ustępie, Agencja powinna mieć siedzibę w Atenach.

Poprawka    161

Wniosek dotyczący rozporządzenia

Artykuł 43 – akapit 1

Tekst proponowany przez Komisję

Poprawka

Europejski system certyfikacji bezpieczeństwa cybernetycznego poświadcza, że produkty i usługi ICT, które zostały poddane certyfikacji zgodnie z takim systemem, spełniają określone wymogi w odniesieniu do swojej odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności lub poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów, usług i systemów.

Europejski system certyfikacji cyberbezpieczeństwa poświadcza, że objęte nim produkty, procesy i usługi ICT w momencie certyfikacji nie mają żadnych znanych luk w zabezpieczeniach oraz spełniają określone wymogi, które mogą odnosić się do norm europejskich lub międzynarodowych, specyfikacji technicznych i specyfikacji technicznych ICT dotyczących ich odporności, w całym cyklu życia, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności lub poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów i usług, oraz że są zgodne z określonymi celami bezpieczeństwa.

Poprawka    162

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp -1 (nowy)

Tekst proponowany przez Komisję

Poprawka

 

-1.  Komisja przyjmuje akty delegowane zgodnie z art. 55a, uzupełniając niniejsze rozporządzenie dzięki ustanowieniu unijnego kroczącego programu prac dla europejskich systemów certyfikacji cyberbezpieczeństwa. W aktach tych określa się wspólne działania, które należy podjąć na szczeblu Unii, oraz priorytety strategiczne. Unijny kroczący program prac zawiera w szczególności wykaz priorytetowych produktów, procesów i usług ICT nadających się do objęcia systemem certyfikacji cyberbezpieczeństwa, jak również analizę tego, czy poziomy jakości i wiedzy fachowej organów oceny zgodności oraz krajowych organów nadzoru ds. certyfikacji są ekwiwalentne i, jeśli to konieczne, propozycje środków, za pomocą których można osiągnąć ekwiwalencję tych poziomów.

 

Wstępny unijny kroczący program prac zostanie ustanowiony nie później niż... [sześć miesięcy od daty wejścia w życie niniejszego rozporządzenia] i aktualizowany w razie potrzeby, ale w każdym wypadku przynajmniej co dwa lata. Unijny kroczący program prac podaje się do wiadomości publicznej.

 

Przed przyjęciem lub aktualizacją unijnego kroczącego programu prac Komisja przeprowadza konsultacje z grupą państw członkowskich ds.. certyfikacji, Agencją i Grupą ds. Certyfikacji Zainteresowanych Stron w sposób otwarty, przejrzysty i integracyjny.

Poprawka    163

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp -1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

-1a.  W uzasadnionych przypadkach Komisja może zwrócić się do Agencji o przygotowanie kandydującego europejskiego systemu certyfikacji cyberbezpieczeństwa; Wniosek ten powinien opierać się na unijnym kroczącym programie prac.

Poprawka    164

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Po otrzymaniu wniosku Komisji ENISA przygotowuje kandydujący europejski system certyfikacji bezpieczeństwa cybernetycznego, który spełnia wymogi określone w art. 45, 46 i 47 niniejszego rozporządzenia. Państwa członkowskie lub Europejska Grupa ds. Certyfikacji Bezpieczeństwa Cybernetycznego („Grupa”) ustanowiona na mocy art. 53 mogą zaproponować Komisji przygotowanie kandydującego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego.

1.  Wniosek Komisji dotyczący europejskiego systemu certyfikacji cyberbezpieczeństwa zawiera zakres, stosowne cele w zakresie bezpieczeństwa określone w art.. 45, odpowiednie elementy określone w art.. 47 oraz termin wejścia w życie danego systemu kandydującego. Sporządzając wniosek Komisja może konsultować się z Agencją, grupą państw członkowskich ds.. certyfikacji oraz Grupą ds. Certyfikacji Zainteresowanych Stron.

Poprawka    165

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Przygotowując kandydujące systemy, o których mowa w ust. 1 niniejszego artykułu, ENISA konsultuje się z wszystkimi odpowiednimi zainteresowanymi stronami i ściśle współpracuje z Grupą. ENISA uzyskuje od Grupy pomoc i fachowe doradztwo, których potrzebuje w związku z przygotowywaniem kandydującego systemu, w tym – w razie potrzeby – opinie.

2.  Przygotowując systemy kandydujące, o których mowa w ust. - 1 (nowym), Agencja zasięga opinii wszystkich właściwych zainteresowanych stron w procesie formalnych, otwartych, przejrzystych i integracyjnych konsultacji oraz współpracuje ściśle z grupą państw członkowskich ds.. certyfikacji, Grupą ds. Certyfikacji Zainteresowanych Stron, komitetami ad hoc zgodnie z art.. 20 a niniejszego rozporządzenia oraz z europejskimi organami normalizacyjnymi. Agencja uzyskuje od nich pomoc i fachowe doradztwo, których potrzebuje w związku z przygotowywaniem kandydującego systemu, w tym – w razie potrzeby – opinie.

Poprawka    166

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  ENISA przekazuje Komisji kandydujący europejski system certyfikacji bezpieczeństwa cybernetycznego przygotowany zgodnie z ust. 2 niniejszego artykułu.

3.  Agencja przekazuje Komisji kandydujący europejski system certyfikacji cyberbezpieczeństwa przygotowany zgodnie z ust.1 i  2 niniejszego artykułu.

Poprawka    167

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Komisja, w oparciu o kandydujący system zaproponowany przez ENISA, może zgodnie z art. 55 ust. 1 przyjąć akty wykonawcze ustanawiające europejskie systemy certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT spełniające wymogi art. 45, 46 i 47 niniejszego rozporządzenia.

4.  Komisja, w oparciu o kandydujący system zaproponowany przez Agencję, może zgodnie z art. 55a, przyjąć akty delegowane uzupełniające niniejsze rozporządzenie przez ustanowienie europejskich systemów certyfikacji cyberbezpieczeństwa produktów, procesów i usług ICT spełniające wymogi art. 45, 46 i 47.

Poprawka    168

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  ENISA utrzymuje specjalną stronę internetową zawierającą informacje na temat europejskich systemów certyfikacji bezpieczeństwa cybernetycznego i propagującą te systemy.

5.  Agencja utrzymuje specjalną stronę internetową zawierającą informacje na temat europejskich systemów certyfikacji cyberbezpieczeństwa, w tym dotyczące wycofanych i nieaktualnych certyfikatów oraz ujętych w nich certyfikacji krajowych.

 

W przypadku gdy europejski system certyfikacji cyberbezpieczeństwa spełnia wymagania przewidziane w odnośnym prawodawstwie harmonizacyjnym Unii, Komisja bezzwłocznie publikuje odniesienie do tego systemu certyfikacji w Dzienniku Urzędowym Unii Europejskiej lub ogłasza w innej formie zgodnie z warunkami określonymi w odnośnym prawodawstwie harmonizacyjnym Unii.

Poprawka    169

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

5a.  Agencja, zgodnie ze strukturą ustanowioną na mocy niniejszego rozporządzenia, przeprowadza przegląd przyjętych systemów na końcu ich okresu ważności przewidzianego w art.. 47 (1.ac) lub na wniosek Komisji, biorąc pod uwagę informacje zwrotne uzyskane od istotnych stron zainteresowanych.

Poprawka    170

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

Europejski system certyfikacji bezpieczeństwa cybernetycznego musi być tak zaprojektowany, aby odpowiednio uwzględniać następujące cele w zakresie bezpieczeństwa:

Europejski system certyfikacji cyberbezpieczeństwa musi być tak zaprojektowany, aby odpowiednio uwzględniać następujące cele w zakresie bezpieczeństwa:

Poprawka    171

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  ochronę przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych przed przypadkowym lub nieuprawnionym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;

a)  poufności, integralności, dostępności i prywatności usług, funkcji i danych;

Poprawka    172

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  ochronę przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych przed przypadkowym lub nieuprawnionym zniszczeniem, przypadkową utratą lub zmianą;

b)  aby dostęp do usług, funkcji i danych oraz korzystanie z nich mogły mieć wyłącznie osoby uprawnione lub uprawnione systemy i programy;

Poprawka    173

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  zapewnienie możliwości dostępu uprawnionych osób, programów lub maszyn wyłącznie do tych danych, usług lub funkcji, do których odnoszą się ich prawa dostępu;

c)  procesu identyfikacji i dokumentowania wszystkich zależności i znanych luk w produktach, procesach i usługach ICT;

Poprawka    174

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  rejestrację tego, które dane, funkcje lub usługi zostały przekazane, kiedy i przez kogo;

d)  aby produkty, procesy i usługi ICT nie zawierały znanych luk;

Poprawka    175

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  zapewnienie możliwości kontroli, do których danych, usług lub funkcji uzyskano dostęp lub z których danych, usług lub funkcji korzystano, kiedy to miało miejsce i kto tego dokonał;

e)  procesu pozwalającego zaradzić nowo odkrytym lukom w produktach, procesach i usługach ICT;

Poprawka    176

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera f

Tekst proponowany przez Komisję

Poprawka

f)  przywracanie w odpowiednim czasie dostępności danych, usług i funkcji oraz dostępu do nich w przypadku incydentu fizycznego lub technicznego;

f)  aby produkty, procesy, usługi i systemy ICT były opracowywane i funkcjonowały zgodnie z zasadą bezpieczeństwa na etapie projektowania oraz jako opcji domyślnej

Poprawka    177

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  zapewnienie oferowania produktów i usług ICT wraz z aktualnym oprogramowaniem niezawierającym znanych luk w zabezpieczeniach oraz istnienia mechanizmów bezpiecznej aktualizacji oprogramowania.

g)  oferowania produktów i usług ICT wraz z aktualnym oprogramowaniem niezawierającym znanych luk w zabezpieczeniach oraz istnienia mechanizmów bezpiecznej aktualizacji oprogramowania.

Poprawka    178

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera g a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ga)  aby inne zagrożenia związane z cyberincydentami, takie jak zagrożenia życia, zdrowia, środowiska oraz inne znaczne interesy prawne były ograniczane.

Poprawka    179

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  W odniesieniu do produktów i usług ICT certyfikowanych w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego można określić jeden lub więcej następujących poziomów pewności: podstawowy, znaczny lub wysoki.

1.  W ramach europejskiego systemu certyfikacji cyberbezpieczeństwa można określić jeden lub więcej następujących poziomów pewności opartych na analizie ryzyka, w zależności od kontekstu i przeznaczenia produktów, procesów i usług ICT: podstawowy, znaczny lub wysoki.

Poprawka    180

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  podstawowy poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia ograniczony poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zmniejszenie ryzyka wystąpienia incydentów cybernetycznych;

a)  podstawowy poziom pewności odnosi się do niskiego ryzyka, łącznie prawdopodobieństwa i szkody, związanego z produktami, procesami i usługami ICT pod względem ich przewidywanego wykorzystania i kontekstu. Podstawowy poziom pewności daje gwarancję, że znane podstawowe zagrożenia cyberincydentami mogą zostać odparte.

Poprawka    181

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  znaczny poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia znaczny poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest znaczne zmniejszenie ryzyka wystąpienia incydentów cybernetycznych;

b)  znaczny poziom pewności odnosi się do wyższego ryzyka, łącznie prawdopodobieństwa i szkody, związanego z produktami, procesami i usługami ICT. Znaczny poziom pewności daje gwarancję, że znanym zagrożeniom cyberincydentami można zapobiec oraz że istnieje możliwość odparcia cyberataków z ograniczonymi zasobami.

Poprawka    182

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  wysoki poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia wyższy poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT niż certyfikaty poświadczające znaczny poziom pewności i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zapobieganie incydentom cybernetycznym.

c)  wysoki poziom pewności odnosi się do wysokiego ryzyka, łącznie prawdopodobieństwa i szkody, związanego z produktami, procesami i usługami ICT. Wysoki poziom pewności daje gwarancję, że zagrożeniom cyberincydentami można zapobiec oraz że istnieje możliwość odparcia zaawansowanych technologicznie cyberataków ze znacznymi zasobami.

Poprawka    183

Wniosek dotyczący rozporządzenia

Artykuł 46 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 46a

 

Ocena poziomów pewności europejskich systemów certyfikacji cyberbezpieczeństwa

 

1.   Odnośnie do podstawowego poziomu pewności, możliwe jest przeprowadzenie samooceny zgodności na wyłączną odpowiedzialność producenta lub dostawcy produktów, procesów i usług ITC.

 

2.   Odnośnie do znacznego poziomu pewności, przy ocenie należy kierować się co najmniej weryfikacją zgodności funkcji bezpieczeństwa produktu, procesu lub usługi z ich dokumentacją techniczną.

 

3.   Odnośnie do znacznego poziomu pewności metodyka oceny powinna opierać się co najmniej na badaniu efektywności oceniającym odporność zabezpieczeń na ataki przeprowadzone z użyciem znacznych środków.

Poprawka    184

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  przedmiot i zakres certyfikacji, w tym rodzaj lub kategorie objętych danym systemem produktów i usług ICT;

a)  przedmiot i zakres certyfikacji, w tym rodzaj lub kategorie objętych danym systemem produktów, procesów i usług ICT;

Poprawka    185

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera a a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

aa)  zakres i wymogi cyberbezpieczeństwa oraz, w stosownych przypadkach, ten zakres i te wymogi powinny odzwierciedlać krajowe systemy certyfikacji cyberbezpieczeństwa, które zastępuje, lub które są przewidziane w aktach prawnych;

Poprawka    186

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera a b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ab)  okres ważności systemu certyfikacji;

Poprawka    187

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  szczegółową specyfikację wymogów w zakresie bezpieczeństwa cybernetycznego, w stosunku do których oceniane są produkty i usługi ICT, na przykład poprzez odniesienie do norm unijnych lub międzynarodowych bądź specyfikacji technicznych;

b)  szczegółową specyfikację wymogów w zakresie cyberbezpieczeństwa, w stosunku do których oceniane są produkty, procesy i usługi ICT, na przykład poprzez odniesienie do norm europejskich lub międzynarodowych bądź specyfikacji technicznych lub specyfikacji technicznych ICT, określonych w ten sposób, by certyfikacja mogła zostać wbudowana w systematyczne procesy bezpieczeństwa przeprowadzane przez producenta na etapie opracowywania i cyklu życia danego produktu lub usługi lub oparta na nich;

Poprawka    188

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  informacje o znanych cyberzagrożeniach, które nie są ujęte w systemie certyfikacji oraz doradztwo, jak sobie z nimi radzić;

Poprawka    189

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  w stosownych przypadkach jeden lub więcej poziomów pewności;

c)  w stosownych przypadkach jeden lub więcej poziomów pewności z uwzględnieniem między innymi podejścia opartego na ryzyku;

Poprawka    190

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  wskazanie czy system dopuszcza samoocenę zgodności oraz mającą zastosowanie procedurę oceny zgodności lub własną deklarację zgodności lub oba elementy;

Poprawka    191

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  szczegółowe kryteria oceny i metody, w tym rodzaje oceny, stosowane w celu wykazania, że zostały osiągnięte szczegółowe cele, o których mowa w art. 45;

d)  szczegółowe kryteria oceny, rodzaje oceny zgodności i metody, stosowane w celu wykazania, że zostały osiągnięte szczegółowe cele, o których mowa w art. 45;

Poprawka    192

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  informacje, które wnioskodawca ma dostarczać jednostkom oceniającym zgodność i które są niezbędne do celów certyfikacji;

e)  informacje, które wnioskodawca ma dostarczać jednostkom oceniającym zgodność i które są niezbędne do celów certyfikacji;

Poprawka    193

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera f

Tekst proponowany przez Komisję

Poprawka

f)  w przypadku gdy system przewiduje stosowanie znaków lub etykiet – warunki, na jakich takie znaki lub etykiety mogą być stosowane;

f)  informacje na temat cyberbezpieczeństwa zgodnie z art.. 47a niniejszego rozporządzenia;

Poprawka    194

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  jeżeli nadzór stanowi część systemu – zasady monitorowania zgodności z wymogami certyfikatów, w tym mechanizmy wykazywania ciągłej zgodności z określonymi wymogami w zakresie bezpieczeństwa cybernetycznego;

g)  Zasady monitorowania zgodności z wymogami certyfikatów, w tym mechanizmy wykazywania ciągłej zgodności z określonymi wymogami w zakresie cyberbezpieczeństwa;

Poprawka    195

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera h

Tekst proponowany przez Komisję

Poprawka

h)  warunki przyznawania, utrzymania, kontynuowania oraz rozszerzania i zmniejszania zakresu certyfikacji;

h)  warunki przyznawania, utrzymania, kontynuowania, przeglądu, rozszerzania i zmniejszania zakresu certyfikacji oraz wydłużania i skracania jej okresu ważności;

Poprawka    196

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera h a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ha)  przepisy mające na celu radzenie sobie z lukami, które mogą powstać po wydaniu certyfikacji, przez ustanowienie dynamicznego, nieprzerwanego procesu organizacyjnego, w który zaangażowani są zarówno dostawcy, jak i użytkownicy;

Poprawka    197

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera i

Tekst proponowany przez Komisję

Poprawka

i)  zasady dotyczące konsekwencji niezgodności certyfikowanych produktów i usług ICT z wymogami w zakresie certyfikacji;

i)  zasady dotyczące konsekwencji niezgodności poddanych samoocenie i certyfikowanych produktów i usług ICT z wymogami w zakresie certyfikacji;

Poprawka    198

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera j

Tekst proponowany przez Komisję

Poprawka

j)  zasady dotyczące sposobu zgłaszania uprzednio niewykrytych luk w zabezpieczeniach cybernetycznych produktów i usług ICT oraz sposobu postępowania z takimi lukami;

j)  zasady dotyczące sposobu zgłaszania niepodanych do wiadomości publicznej luk w cyberzabezpieczeniach produktów i usług ICT oraz sposobu postępowania z takimi lukami po ich wykryciu;

Poprawka    199

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera l

Tekst proponowany przez Komisję

Poprawka

l)  identyfikację krajowych systemów certyfikacji bezpieczeństwa cybernetycznego, obejmujących ten sam rodzaj lub kategorie produktów i usług ICT;

l)  identyfikację krajowych lub międzynarodowych systemów certyfikacji cyberbezpieczeństwa obejmujących ten sam rodzaj lub kategorie produktów, procesów i usług ICT, wymogów w zakresie bezpieczeństwa oraz kryteriów i metod oceny;

Poprawka    200

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera m a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ma)  warunki wzajemnego uznawania systemów certyfikacji z państwami trzecimi;

Poprawka    201

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a.  Czynności konserwacyjne z aktualizacjami nie unieważniają certyfikacji, jeżeli aktualizacje te nie mają znacznego negatywnego wpływu na bezpieczeństwo produktu, procesu lub usługi ICT.

Poprawka    202

Wniosek dotyczący rozporządzenia

Artykuł 47 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 47a

 

Informacje na temat cyberbezpieczeństwa certyfikowanych produktów, procesów i usług

 

1.   Producent lub dostawca produktów, procesów i usług ICT podlegający systemowi certyfikacji zgodnie z niniejszym rozporządzeniem zapewnia użytkownikowi końcowemu dokument w formie elektronicznej lub papierowej, który zawiera przynajmniej następujące informacje: poziom pewności certyfikatu związany z planowanym wykorzystaniem produktów, procesów i usług ICT; opis zagrożeń, na które – zgodnie z certyfikacją – dany produkt, proces lub dana usługa ICT mają być odporne; zalecenia dla użytkowników, jak zwiększać cyberbezpieczeństwo produktu, procesu lub usługi, regularność wszelkich aktualizacji oraz przedłużyć następujący po nich okres wsparcia; w stosownym przypadkach informacje, w jaki sposób użytkownicy mogą utrzymać główne cechy produktu, procesu lub usługi na wypadek ataku.

 

2.   Dokument, o którym mowa w ust. 1 niniejszego artykułu, jest dostępny przez cały cykl życia produktu, procesu lub usługi, aż do czasu wycofania go z rynku i minimum przez okres pięciu lat.

 

3.   W drodze aktów wykonawczych Komisja ustanawia szablon dokumentu. Komisja może zwrócić się do Agencji o zaproponowanie kandydującego szablonu. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 55 niniejszego rozporządzenia.

Poprawka    203

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Przyjmuje się, że produkty i usługi ICT, które uzyskały certyfikację w ramach przyjętego na podstawie art. 44 europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, są zgodne z wymogami takiego systemu.

1.  Przyjmuje się, że produkty, procesy i usługi ICT, które uzyskały certyfikację w ramach przyjętego na podstawie art. 44 europejskiego systemu certyfikacji cyberbezpieczeństwa, są zgodne z wymogami takiego systemu.

Poprawka    204

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 4 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

4.  Na zasadzie odstępstwa od ust. 3, w należycie uzasadnionych przypadkach, określony europejski system certyfikacji bezpieczeństwa cybernetycznego może przewidywać, że europejski certyfikat bezpieczeństwa cybernetycznego będący wynikiem tego systemu może być wydawany jedynie przez podmiot publiczny. Takim podmiotem publicznym musi być jeden z wymienionych poniżej podmiotów:

4.  Na zasadzie odstępstwa od ust. 3 i wyłącznie w należycie uzasadnionych przypadkach, takich jak względy bezpieczeństwa narodowego, określony europejski system certyfikacji cyberbezpieczeństwa może przewidywać, że europejski certyfikat cyberbezpieczeństwa będący wynikiem tego systemu może być wydawany jedynie przez podmiot publiczny. Podmiot ten jest akredytowany jako jednostka oceniająca zgodność na podstawie art. 51 ust. 1 niniejszego rozporządzenia. Osoba fizyczna lub prawna, która poddaje swoje produkty lub usługi ICT mechanizmowi certyfikacji, udostępnia jednostce oceniającej zgodność, o której mowa w art. 51, wszystkie informacje niezbędne do przeprowadzenia procedury certyfikacji.

Poprawka    205

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Osoba fizyczna lub prawna, która poddaje swoje produkty lub usługi ICT mechanizmowi certyfikacji, przekazuje jednostce oceniającej zgodność, o której mowa w art. 51, wszystkie informacje niezbędne do przeprowadzenia procedury certyfikacji.

5.  Osoba fizyczna lub prawna, która poddaje swoje produkty, usługi lub procesy ICT mechanizmowi certyfikacji, przekazuje jednostce oceniającej zgodność, o której mowa w art. 51, wszystkie informacje niezbędne do przeprowadzenia procedury certyfikacji, w tym informacje na temat wszelkich wykrytych luk w zabezpieczeniach. Może je przekazać każdej z jednostek oceniających zgodność, o których mowa w art. 51.

Poprawka    206

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6.  Certyfikaty wydaje się na maksymalny okres trzech lat i mogą one zostać odnowione, na tych samych warunkach, o ile nadal spełnione są odpowiednie wymogi.

6.  Certyfikaty wydaje się na maksymalny okres określany indywidualnie dla każdego przypadku w odniesieniu do danego systemu, biorąc pod uwagę rozsądny cykl życia, który w żadnym wypadku nie powinien przekraczać pięciu lat, i mogą one zostać odnowione, na tych samym warunkach, o ile nadal spełnione są odpowiednie wymogi.

Uzasadnienie

Poprawka zapewnia elastyczność w dostosowaniu okresu ważności do zamierzonego zastosowania.

Poprawka    207

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 7

Tekst proponowany przez Komisję

Poprawka

7.  Europejski certyfikat bezpieczeństwa cybernetycznego wydany na podstawie niniejszego artykułu jest uznawany we wszystkich państwach członkowskich.

7.  Europejski certyfikat cyberbezpieczeństwa wydany na podstawie niniejszego artykułu jest uznawany we wszystkich państwach członkowskich jako spełniający lokalne wymogi cyberbezpieczeństwa w odniesieniu do produktów i procesów ICT oraz urządzeń elektronicznych konsumentów objętych tym certyfikatem z uwzględnieniem określonego poziomu pewności, o którym mowa w art. 46, i nie czyni się rozróżnienia między takimi certyfikatami wydanymi przez państwo członkowskie pochodzenia albo jednostkę oceniającą zgodność, o której mowa w art. 51.

Uzasadnienie

Aby uniknąć rozdrobnienia w uznawaniu lub zgodności systemów certyfikacji cyberbezpieczeństwa UE, w artykule należy podkreślić, że nie można dyskryminować żadnego miejsca wydania certyfikatu.

Poprawka    208

Wniosek dotyczący rozporządzenia

Artykuł 48 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 48a

 

Systemy certyfikacji dla operatorów usług kluczowych

 

1.   Po przyjęciu europejskich systemów certyfikacji cyberbezpieczeństwa zgodnie z ust. 2 niniejszego artykułu operatorzy usług kluczowych, aby spełniać wymogi bezpieczeństwa zgodnie z art. 14 dyrektywy (UE) 2016/1148, korzystają z produktów, procesów i usług objętych tymi systemami certyfikacji.

 

2.    Do dnia ...[rok od wejścia w życie niniejszego rozporządzenia] Komisja, po konsultacjach z grupą współpracy, o której mowa w art. 11 dyrektywy (UE) 2016/1148, przyjmuje akty delegowane zgodnie z art. 55A, uzupełniając niniejsze rozporządzenie wykazem kategorii produktów, procesów i usług, które spełniają oba poniższe kryteria:

 

a)  są przeznaczone do wykorzystywania przez operatorów usług kluczowych; oraz

 

b)  w razie incydentu ich niewłaściwe funkcjonowanie mogłoby poważnie zakłócić świadczenie kluczowych usług.

 

3.   Komisja przyjmuje akty delegowane zgodnie z art. 55a, zmieniając niniejsze rozporządzenie przez aktualizowanie, w razie potrzeby, wykazu kategorii produktów, procesów i usług, o których mowa w ust. 3 niniejszego artykułu.

 

4.   Komisja zwraca się do Agencji o przygotowywanie kandydujących europejskich systemów certyfikacji cyberbezpieczeństwa zgodnie z art. 44 ust. -1 niniejszego rozporządzenia dla wykazu produktów, procesów i usług, o których mowa w ust. 2 i 3 niniejszego artykułu, jak tylko wykaz zostanie przyjęty lub zaktualizowany. Certyfikaty wydane zgodnie z tymi europejskimi systemami certyfikacji cyberbezpieczeństwa mają poziom pewności wysoki.

Poprawka    209

Wniosek dotyczący rozporządzenia

Artykuł 48 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 48b

 

Cele w zakresie bezpieczeństwa europejskich systemów certyfikacji cyberbezpieczeństwa

 

1.  Jeżeli państwo członkowskie uważa, że europejski system certyfikacji cyberbezpieczeństwa nie spełnia w pełni wymogów, z którymi ma być zgodny i które określono w odpowiednich unijnych przepisach harmonizacyjnych, informuje o tym Komisję i przedstawia szczegółowe wyjaśnienie. Komisja, w stosownych przypadkach, po konsultacji z komitetem ustanowionym zgodnie z odpowiednimi unijnymi przepisami harmonizacyjnymi lub po przeprowadzeniu innych form konsultacji z ekspertami sektorowymi, podejmuje decyzje:

 

a)  o opublikowaniu, niepublikowaniu w Dzienniku Urzędowym Unii Europejskiej odniesień do danego europejskiego systemu cyberbezpieczeństwa lub ich opublikowaniu z ograniczeniami;

 

b)  o utrzymaniu, utrzymaniu z ograniczeniami odniesień do danego europejskiego systemu cyberbezpieczeństwa w Dzienniku Urzędowym Unii Europejskiej lub wycofaniu z niego tych odniesień.

 

2.  Komisja publikuje na swojej stronie internetowej informacje na temat europejskich systemów cyberbezpieczeństwa, które były przedmiotem decyzji, o której mowa w ust. 1.

 

3.  Komisja informuje Agencję o decyzji, o której mowa w ust. 1 niniejszego artykułu, a w razie potrzeby zwraca się z wnioskiem o zmianę danego europejskiego systemu cyberbezpieczeństwa.

 

4.  Decyzję, o której mowa w ust. 1 lit. a) niniejszego artykułu, przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 55 ust. 2 niniejszego rozporządzenia.

 

5.  Decyzję, o której mowa w ust. 1 lit. b) niniejszego artykułu, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 55 ust. 2 niniejszego rozporządzenia.

Poprawka    210

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Bez uszczerbku dla przepisów ust. 3 krajowe systemy certyfikacji bezpieczeństwa cybernetycznego i powiązane procedury dotyczące produktów i usług ICT objętych europejskim systemem certyfikacji bezpieczeństwa cybernetycznego przestają wywoływać skutki z dniem określonym w akcie wykonawczym przyjętym na podstawie art. 44 ust. 4. Istniejące krajowe systemy certyfikacji bezpieczeństwa cybernetycznego i powiązane procedury dotyczące produktów i usług ICT nieobjętych europejskim systemem certyfikacji bezpieczeństwa cybernetycznego nadal funkcjonują.

1.  Bez uszczerbku dla przepisów ust. 3 krajowe systemy certyfikacji cyberbezpieczeństwa i powiązane procedury dotyczące produktów, procesów i usług ICT objętych europejskim systemem certyfikacji cyberbezpieczeństwa przestają wywoływać skutki z dniem określonym w akcie wykonawczym przyjętym na podstawie art. 44 ust. 4. Istniejące krajowe systemy certyfikacji cyberbezpieczeństwa i powiązane procedury dotyczące produktów, procesów i usług ICT nieobjętych europejskim systemem certyfikacji cyberbezpieczeństwa nadal funkcjonują.

Poprawka    211

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Państwa członkowskie nie wprowadzają nowych krajowych systemów certyfikacji bezpieczeństwa cybernetycznego dotyczących produktów i usług ICT objętych obowiązującym europejskim systemem certyfikacji bezpieczeństwa cybernetycznego.

2.  Państwa członkowskie nie wprowadzają nowych krajowych systemów certyfikacji cyberbezpieczeństwa dotyczących produktów, procesów i usług ICT objętych obowiązującym europejskim systemem certyfikacji cyberbezpieczeństwa.

Poprawka    212

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 3 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3a.  Państwa członkowskie przekazują Komisji wszystkie wnioski o opracowanie krajowych systemów certyfikacji cyberbezpieczeństwa i przedstawiają uzasadnienie ich wprowadzenia w życie.

Poprawka    213

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 3 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3b.  Na żądanie państwa członkowskie przesyłają innym państwom członkowskim, Agencji lub Komisji, przynajmniej w formie elektronicznej, wszelkie projekty krajowych systemów certyfikacji cyberbezpieczeństwa.

Poprawka    214

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 3 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3c.  Bez uszczerbku dla dyrektywy (UE) 2015/1535 w terminie trzech miesięcy każde państwo członkowskie odpowiada na wszystkie uwagi otrzymane od pozostałych państw członkowskich, Agencji lub Komisji w odniesieniu do wszelkich projektów, o których mowa w ust. 3b, oraz należycie uwzględnia te uwagi.

Poprawka    215

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 3 d (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3d.  Jeżeli uwagi otrzymane na podstawie ust. 3c niniejszego artykułu wskazują, że zaproponowany w projekcie krajowy system certyfikacji cyberbezpieczeństwa prawdopodobnie wpłynie negatywnie na właściwe funkcjonowanie rynku wewnętrznego, otrzymujące te uwagi państwo członkowskie przed przyjęciem projektu systemu konsultuje się z Agencją i z Komisją i w jak największym stopniu uwzględnia ich obserwacje.

Poprawka    216

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  W celu skutecznego wykonania niniejszego rozporządzenia organy te powinny uczestniczyć w aktywny, skuteczny, wydajny i bezpieczny sposób w pracach Europejskiej Grupy ds. Certyfikacji Bezpieczeństwa Cybernetycznego ustanowionej na mocy art. 53.

5.  W celu skutecznego wykonania niniejszego rozporządzenia organy te powinny uczestniczyć w aktywny, skuteczny, wydajny i bezpieczny sposób w pracach grupy państw członkowskich ds. certyfikacji ustanowionej na mocy art. 53.

Poprawka    217

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  monitorują i egzekwują stosowanie przepisów niniejszego tytułu na poziomie krajowym oraz sprawują nadzór nad zgodnością certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na odpowiednio podlegających tym organom terytoriach z wymogami określonymi w niniejszym tytule i w odpowiednim europejskim systemie certyfikacji bezpieczeństwa cybernetycznego;

a)  monitorują i egzekwują stosowanie przepisów niniejszego tytułu na szczeblu krajowym oraz sprawdzają zgodność zgodnie z zasadami przyjętymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa stosownie do art. 53 ust. 3 lit. da):

 

(i)   certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na odpowiednio podlegających tym organom terytoriach z wymogami określonymi w niniejszym tytule i w odpowiednim europejskim systemie certyfikacji cyberbezpieczeństwa; oraz

 

(ii)   własnych deklaracji zgodności wydanych w ramach systemu w odniesieniu do procesu, produktu lub usługi ICT;

Poprawka    218

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  monitorują i nadzorują działalność jednostek oceniających zgodność do celów niniejszego rozporządzenia, w tym w związku z notyfikacją jednostek oceniających zgodność i związanymi z tym zadaniami określonymi w art. 52 niniejszego rozporządzenia;

b)  monitorują, nadzorują i przynajmniej raz na dwa lata ewaluują działalność jednostek oceniających zgodność do celów niniejszego rozporządzenia, w tym w związku z notyfikacją jednostek oceniających zgodność i związanymi z tym zadaniami określonymi w art. 52 niniejszego rozporządzenia;

Poprawka    219

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  przeprowadzają audyty w celu zapewnienia stosowania równoważnych norm w Unii oraz składają Agencji i Grupie sprawozdanie z wyników;

Uzasadnienie

Poprawka ma pomóc w zapewnieniu jednolitego poziomu usług i jakości w całej UE oraz w zapobieganiu możliwości „zakupów certyfikacyjnych”.

Poprawka    220

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  rozpatrują skargi złożone przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach, badają w odpowiednim zakresie przedmiot skarg oraz informują skarżących w stosownym terminie o postępach i wynikach badania;

c)  rozpatrują skargi złożone przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach lub w związku z dokonanymi samoocenami zgodności, badają w odpowiednim zakresie przedmiot skarg oraz informują skarżących w stosownym terminie o postępach i wynikach badania;

Poprawka    221

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  przedstawiają sprawozdanie z wyników weryfikacji, o których mowa w lit. a), oraz ocen, o których mowa w lit. b), Agencji oraz Europejskiej Grupie ds. Certyfikacji Cyberbezpieczeństwa;

Poprawka    222

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji bezpieczeństwa cybernetycznego;

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, takimi jak krajowe organy nadzorcze ds. ochrony danych, w tym przez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji cyberbezpieczeństwa;

Poprawka    223

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji bezpieczeństwa cybernetycznego;

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, takimi jak krajowe organy nadzorcze ds. ochrony danych, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji bezpieczeństwa informatycznego;

Uzasadnienie

Z opinii EIOD.

Poprawka    224

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 7 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  prawo wycofania akredytacji jednostek oceniających zgodność nieprzestrzegających niniejszego rozporządzenia;

Poprawka    225

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 7 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  prawo cofania certyfikatów, zgodnie z prawem krajowym, które nie są zgodne z niniejszym rozporządzeniem lub danym europejskim systemem certyfikacji bezpieczeństwa cybernetycznego;

e)  prawo cofania certyfikatów, zgodnie z prawem krajowym, które nie są zgodne z niniejszym rozporządzeniem lub danym europejskim systemem certyfikacji cyberbezpieczeństwa, oraz prawo przekazania krajowym jednostkom akredytującym stosownych informacji;

Poprawka    226

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 8

Tekst proponowany przez Komisję

Poprawka

8.  Krajowe organy nadzoru ds. certyfikacji współpracują ze sobą i z Komisją, a w szczególności wymieniają informacje, doświadczenia i dobre praktyki odnoszące się do certyfikacji bezpieczeństwa cybernetycznego i kwestii technicznych dotyczących bezpieczeństwa cybernetycznego produktów i usług ICT.

8.  Krajowe organy nadzoru ds. certyfikacji współpracują ze sobą i z Komisją, a w szczególności wymieniają informacje, doświadczenia i dobre praktyki odnoszące się do certyfikacji cyberbezpieczeństwa i kwestii technicznych dotyczących cyberbezpieczeństwa produktów, procesów i usług ICT.

Poprawka    227

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 8 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

8a.  Każdy krajowy organ nadzoru ds. certyfikacji, każdy członek oraz personel każdego z krajowych organów nadzoru ds. certyfikacji zgodnie z prawem Unii lub prawem państwa członkowskiego podlega obowiązkowi zachowania tajemnicy służbowej – w trakcie kadencji oraz po jej zakończeniu – w odniesieniu do wszelkich poufnych informacji, które uzyskał w toku wypełniania zadań lub wykonywania swoich uprawnień.

Poprawka    228

Wniosek dotyczący rozporządzenia

Artykuł 50 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 50a

 

Wzajemna ocena

 

1.  Krajowe organy nadzoru ds. certyfikacji podlegają wzajemnej ocenie w kwestii wszelkich działań wykonywanych na podstawie art. 50 niniejszego rozporządzenia organizowanych przez Agencję.

 

2.   Ocenę wzajemną prowadzi się w oparciu o rzetelne i przejrzyste kryteria i procedury oceny, w szczególności w odniesieniu do wymagań dotyczących struktury, zasobów ludzkich i procedur, poufności i skarg. Przewiduje się odpowiednie procedury odwoławcze od decyzji podejmowanych w wyniku takiej oceny.

 

3.   Wzajemna ocena obejmuje ocenianie procedur wprowadzonych przez krajowe organy nadzoru ds. certyfikacji, zwłaszcza procedur kontroli zgodności certyfikatów, procedur monitorowania i nadzoru działalności organów oceniających zgodność, kompetencji personelu, poprawności kontroli i metodyki badań, a także poprawności wyników. Podczas wzajemnej oceny ocenia się także, czy rzeczone krajowe organy nadzoru ds. certyfikacji posiadają wystarczające zasoby do prawidłowego wykonywania obowiązków nałożonych na nie w art. 50 ust. 4.

 

4.   Wzajemna ocena krajowego organu nadzoru ds. certyfikacji przeprowadzana jest przez dwa krajowe organy nadzoru ds. certyfikacji z innych państw członkowskich i Komisję oraz odbywa się co najmniej raz na pięć lat. Agencja może uczestniczyć w tej ocenie wzajemnej, a decyzję o swoim uczestnictwie podejmuje na podstawie analizy oceny ryzyka.

 

5.   Zgodnie z art. 55a Komisja może przyjąć akty delegowane, uzupełniając niniejsze rozporządzenie przez ustalenie planu ocen wzajemnych obejmującego okres co najmniej pięciu lat i określającego kryteria dotyczące składu zespołu ds. oceny wzajemnej, metody oceniania, harmonogramu, częstotliwości oraz innych zadań związanych z oceną wzajemną. Przyjmując te akty delegowane, Komisja należycie uwzględnia uwagi grupy państw członkowskich ds. certyfikacji.

 

6.   Wyniki oceny wzajemnej analizowane są przez grupę państw członkowskich ds. certyfikacji. Agencja sporządza podsumowanie wyników i w razie potrzeby zapewnia doradztwo i dokumenty na temat najlepszych praktyk i udostępnia je publicznie.

Poprawka    229

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a.  W przypadku wysokiego poziomu pewności jednostka oceniająca zgodność musi być nie tylko akredytowana, ale również notyfikowana przez krajowy organ nadzoru ds. certyfikacji w celu potwierdzenia jej kompetencji i specjalistycznej wiedzy w dziedzinie oceny cyberbezpieczeństwa. Krajowy organ nadzoru ds. certyfikacji musi prowadzić regularne audyty specjalistycznej wiedzy i kompetencji notyfikowanych jednostek oceniających zgodność.

Uzasadnienie

Certyfikowanie wysokiego poziomu pewności wymaga przeprowadzenia testów wydajności. Specjalistyczna wiedza i kompetencje jednostek oceniających zgodność, które wykonują testy wydajności, muszą być poddawane regularnym audytom, zwłaszcza w celu zapewnienia jakości tych testów.

Poprawka    230

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  Należy przeprowadzać kontrole w celu zapewnienia w Unii równoważnych norm, a wyniki kontroli zgłaszać Agencji i Grupie.

Poprawka    231

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 2 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2b.  Jeżeli wytwórcy wybiorą „własną deklarację zgodności” zgodnie z art. 48 ust. 3, jednostki oceniające zgodność podejmują dodatkowe czynności w celu weryfikacji procedur realizowanych przez wytwórcę w celu zagwarantowania zgodności produktów lub usług z wymogami europejskiego systemu certyfikacji cyberbezpieczeństwa.

Poprawka    232

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Komisja może w drodze aktów wykonawczych określać okoliczności, formaty i procedury dotyczące notyfikacji, o których mowa w ust. 1 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 55 ust. 2.

5.  Komisja może w drodze aktów delegowanych określać okoliczności, formaty i procedury dotyczące notyfikacji, o których mowa w ust. 1 niniejszego artykułu. Te akty delegowane przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 55 ust. 2.

Poprawka    233

Wniosek dotyczący rozporządzenia

Artykuł 53 – tytuł

Tekst proponowany przez Komisję

Poprawka

Europejska Grupa ds. Certyfikacji Bezpieczeństwa Cybernetycznego

Grupa państw członkowskich ds. certyfikacji

 

(Zmiana dotyczy całości tekstu; jej przyjęcie wiąże się z koniecznością wprowadzenia zmian w całym dokumencie).

Poprawka    234

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Ustanawia się Europejską Grupę ds. Certyfikacji Bezpieczeństwa Cybernetycznego („Grupę”).

1.  Ustanawia się grupę państw członkowskich ds. certyfikacji.

Poprawka    235

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  W skład Grupy wchodzą krajowe organy nadzoru ds. certyfikacji. Organy te są reprezentowane przez kierowników lub innych przedstawicieli wysokiego szczebla krajowych organów nadzoru ds. certyfikacji.

2.  W skład grupy państw członkowskich ds. certyfikacji wchodzą krajowe organy nadzoru ds. certyfikacji z każdego państwa członkowskiego. Organy te są reprezentowane przez kierowników lub innych przedstawicieli wysokiego szczebla krajowych organów nadzoru ds. certyfikacji. Na zaproszenie członkowie grupy zainteresowanych stron ds. certyfikacji mogą uczestniczyć w posiedzeniach Grupy i brać udział w jej pracach.

Poprawka    236

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

3.  Zadania Grupy są następujące:

3.  Zadania grupy państw członkowskich ds. certyfikacji są następujące:

Poprawka    237

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  pomoc, doradztwo i współpraca z ENISA w związku z przygotowywaniem kandydującego systemu zgodnie z art. 44 niniejszego rozporządzenia;

b)  pomoc, doradztwo i współpraca z Agencją w związku z przygotowywaniem kandydującego systemu zgodnie z art. 44 niniejszego rozporządzenia;

Poprawka    238

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera d a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

da)  przyjmowanie zaleceń określających częstotliwość przeprowadzania przez krajowe organy nadzoru ds. certyfikacji weryfikacji certyfikatów oraz samoocen zgodności, a także kryteriów, skali i zakresu tych weryfikacji, jak również przyjmowanie wspólnych zasad i norm w zakresie sprawozdawczości, zgodnie z art. 50 ust. 6.

Poprawka    239

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  śledzenie odpowiednich zmian w dziedzinie certyfikacji bezpieczeństwa cybernetycznego i wymiana dobrych praktyk odnoszących się do systemów certyfikacji bezpieczeństwa cybernetycznego;

e)  śledzenie odpowiednich zmian w dziedzinie certyfikacji cyberbezpieczeństwa i wymiana informacji i dobrych praktyk odnoszących się do systemów certyfikacji cyberbezpieczeństwa;

Poprawka    240

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fa)  ułatwianie dostosowywania europejskich systemów cyberbezpieczeństwa z międzynarodowo uznanymi normami, w tym przez dokonywanie przeglądu istniejących europejskich systemów certyfikacji cyberbezpieczeństwa i, w stosownych przypadkach, wydawanie Agencji zaleceń podjęcia współpracy z odpowiednimi międzynarodowymi organizacjami normalizacyjnymi w celu wyeliminowania braków lub luk w dostępnych międzynarodowo uznanych standardach.

Poprawka    241

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fb)  ustanowienie procesu oceny wzajemnej. W procesie tym szczególną uwagę poświęcić należy wiedzy technicznej wymaganej od krajowych jednostek oceniających zgodność do wykonywania ich zadań, o których mowa w art. 48 i 50, oraz w razie potrzeby włączyć do niego opracowywanie dokumentów z wytycznymi i najlepszymi praktykami, żeby poprawić zgodność tych jednostek z niniejszym rozporządzeniem;

Poprawka    242

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f c (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fc)  kontrola monitorowania i obsługi certyfikatów.

Poprawka    243

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f d (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fd)  uwzględnianie wyników konsultacji z zainteresowanymi stronami przeprowadzonych podczas przygotowywania systemu kandydującego zgodnie z art. 44;

Poprawka    244

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Komisja przewodniczy Grupie i zapewnia jej obsługę sekretariatu, z pomocą ze strony ENISA, jak określono w art. 8 lit. a).

4.  Komisja przewodniczy grupie państw członkowskich ds. certyfikacji i zapewnia jej obsługę sekretariatu, z pomocą ze strony Agencji, jak określono w art. 8 lit. a).

Poprawka    245

Wniosek dotyczący rozporządzenia

Artykuł 53 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 53a

 

Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu lub jednostce oceniającej zgodność

 

1.  Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem:

 

a)  przeciwko dotyczącej ich decyzji jednostki oceniającej zgodność lub krajowego organu nadzoru ds. certyfikacji, w tym, w stosownych przypadkach, w związku z wydaniem lub niewydaniem bądź uznawaniem europejskiego certyfikatu cyberbezpieczeństwa, który osoba ta posiada; oraz

 

b)  jeżeli krajowy organ nadzoru ds. certyfikacji nie rozpatruje skarg leżących w jego kompetencjach.

 

2.  Postępowanie przeciwko jednostce oceniającej zgodność lub krajowemu organowi nadzoru ds. certyfikacji zostaje wszczęte przed sądem państwa członkowskiego, w którym jednostka oceniająca zgodność lub krajowy organ nadzoru ds. certyfikacji mają siedzibę.

Poprawka    246

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

Poprawka    247

Wniosek dotyczący rozporządzenia

Artykuł 55 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 55a

 

Wykonywanie przekazanych uprawnień

 

1.   Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.

 

2.   Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 44 i 48a, powierza się Komisji na czas nieokreślony od dnia... [data wejścia w życie podstawowego aktu ustawodawczego].

 

3.   Przekazanie uprawnień, o którym mowa w art. 44 i 48a, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

 

4.   Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

 

5.   Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

 

6.   Akt delegowany przyjęty na podstawie art. 44 i 48a wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Poprawka    248

Wniosek dotyczący rozporządzenia

Artykuł 56 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Nie później niż po pięciu latach od dnia, o którym mowa w art. 58, a następnie co pięć lat, Komisja ocenia wpływ, skuteczność i efektywność Agencji oraz jej metody pracy, a także ewentualną potrzebę zmiany mandatu Agencji oraz skutki finansowe wszelkich takich zmian. W ocenie tej uwzględnia się wszelkie informacje zwrotne przekazane Agencji w reakcji na jej działalność. Jeżeli Komisja uzna, że dalsze działanie Agencji w odniesieniu do powierzonych jej celów, mandatu i zadań nie jest już uzasadnione, może wnioskować o zmianę niniejszego rozporządzenia w zakresie przepisów dotyczących Agencji.

1.  Nie później niż po dwóch latach od dnia, o którym mowa w art. 58, a następnie co dwa lata, Komisja ocenia wpływ, skuteczność i efektywność Agencji oraz jej metody pracy, a także ewentualną potrzebę zmiany mandatu Agencji oraz skutki finansowe wszelkich takich zmian. W ocenie tej uwzględnia się wszelkie informacje zwrotne przekazane Agencji w reakcji na jej działalność. Jeżeli Komisja uzna, że dalsze działanie Agencji w odniesieniu do powierzonych jej celów, mandatu i zadań nie jest już uzasadnione, może wnioskować o zmianę niniejszego rozporządzenia w zakresie przepisów dotyczących Agencji.

Poprawka    249

Wniosek dotyczący rozporządzenia

Artykuł 56 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Ocena dotyczy również wpływu, skuteczności i efektywności przepisów tytułu III w odniesieniu do celów, którymi są zapewnienie odpowiedniego poziomu bezpieczeństwa cybernetycznego produktów i usług ICT w Unii oraz poprawa funkcjonowania rynku wewnętrznego.

2.  Ocena dotyczy również wpływu, skuteczności i efektywności przepisów tytułu III w odniesieniu do celów, którymi są zapewnienie odpowiedniego poziomu bezpieczeństwa cybernetycznego produktów, procesów i usług ICT w Unii oraz poprawa funkcjonowania rynku wewnętrznego.

Poprawka    250

Wniosek dotyczący rozporządzenia

Artykuł 56 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  Ocena obejmuje również ustalenie, czy zasadnicze wymogi cyberbezpieczeństwa dotyczące dostępu do rynku wewnętrznego są konieczne, by zapobiec wprowadzaniu na rynek unijny produktów, procesów i usług niespełniających podstawowych wymogów cyberbezpieczeństwa.

Poprawka    251

Wniosek dotyczący rozporządzenia

Załącznik -I (nowy)

Tekst proponowany przez Komisję

Poprawka

 

ZAŁĄCZNIK -I

 

Po wprowadzeniu europejskich ram certyfikacji cyberbezpieczeństwa uwaga prawdopodobnie skupi się na obszarach bezpośrednio związanych z wyzwaniami, jakie stwarzają powstające technologie. Szczególnie istotny jest obszar internetu rzeczy, ponieważ łączy wymogi zarówno konsumentów, jak i przemysłu. Proponuje się następującą listę priorytetów do włączenia w ramy certyfikacji:

 

1) Certyfikacja usług w chmurze.

 

2) Certyfikacja urządzeń internetu rzeczy, w tym:

 

a. urządzeń indywidualnych, takich jak inteligentne urządzenia ubieralne (smart wearables);

 

b. urządzeń wykorzystywanych przez społeczność, takich jak inteligentne samochody, inteligentne domy, urządzenia zdrowotne;

 

c. urządzeń wykorzystywanych przez społeczeństwa, takich jak inteligentne miasta i inteligentne sieci.

 

3) Przemysł 4.0 z inteligentnymi, wzajemnie połączonymi systemami cyberfizycznymi, które automatyzują wszystkie etapy procesów przemysłowych, od projektowania i produkcji po działanie, łańcuch dostaw i utrzymanie usług.

 

4) Certyfikacja technologii i produktów wykorzystywanych w życiu codziennym. Przykładem mogą być tu urządzenia sieciowe, takie jak domowe routery.

Poprawka    252

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

5a.  Jeżeli jednostka oceniająca zgodność jest własnością podmiotu publicznego lub instytucji publicznej bądź jest przez nie zarządzana, należy zapewnić i udokumentować brak zależności między, z jednej strony, organem nadzoru ds. certyfikacji oraz, z drugiej strony, jednostką oceniającą zgodność, a także brak konfliktu interesów między nimi.

Poprawka    253

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 8

Tekst proponowany przez Komisję

Poprawka

8.  Jednostka oceniająca zgodność musi być w stanie wykonywać wszelkie zadania dotyczące oceny zgodności wyznaczone jej na podstawie niniejszego rozporządzeniu, bez względu na to, czy zadania te wykonuje sama jednostka oceniająca zgodność, czy też są one wykonywane w jej imieniu i na jej odpowiedzialność.

8.  Jednostka oceniająca zgodność musi być w stanie wykonywać wszelkie zadania dotyczące oceny zgodności wyznaczone jej na podstawie niniejszego rozporządzeniu, bez względu na to, czy zadania te wykonuje sama jednostka oceniająca zgodność, czy też są one wykonywane w jej imieniu i na jej odpowiedzialność. Zlecanie podwykonawstwa lub konsultacje z personelem zewnętrznym są odpowiednio udokumentowane, nie uczestniczą w nich żadni pośrednicy i są one przedmiotem pisemnej umowy obejmującej między innymi kwestie poufności i konfliktu interesów. Jednostka oceniająca zgodność ponosi pełną odpowiedzialność za wykonywane zadania.

Poprawka    254

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 12

Tekst proponowany przez Komisję

Poprawka

12.  Należy zagwarantować bezstronność jednostek oceniających zgodność, ich ścisłego kierownictwa i pracowników wykonujących ocenę.

12.  Należy zagwarantować bezstronność jednostek oceniających zgodność, ich ścisłego kierownictwa, pracowników dokonujących oceny oraz podwykonawców.

Poprawka    255

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 15

Tekst proponowany przez Komisję

Poprawka

15.  Pracownicy jednostki oceniającej zgodność dochowują tajemnicy służbowej w odniesieniu do wszystkich informacji, które uzyskują w trakcie wykonywania swoich zadań zgodnie z niniejszym rozporządzeniem lub z wszelkimi przepisami prawa krajowego nadającymi mu skuteczność, są jednak zwolnieni z tego obowiązku w stosunku do właściwych organów państwa członkowskiego, w którym realizowane są zadania.

15.  Jednostka oceniająca zgodność, jej personel, komisje, jednostki zależne, podwykonawcy oraz wszelkie podmioty powiązane i pracownicy jednostek zewnętrznych zachowują poufność i dochowują tajemnicy służbowej w odniesieniu do wszystkich informacji, które uzyskują w trakcie wykonywania swoich zadań zgodnie z niniejszym rozporządzeniem lub z wszelkimi przepisami prawa krajowego nadającymi mu skuteczność, z wyjątkiem sytuacji, kiedy ujawnienia wymaga prawo unijne lub krajowe, któremu dany podmiot podlega wyjąwszy w odniesieniu do właściwych organów państw członkowskich, w których prowadzi działalność. Prawa własności podlegają ochronie. Jednostka oceniająca ma udokumentowane procedury związane z wymogami sekcji 15.

Poprawka    256

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 15 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

15a.  Z wyjątkiem sekcji 15 wymogi niniejszego załącznika w żadnym wypadku nie wykluczają wymiany informacji technicznych i wytycznych regulacyjnych między jednostką oceniającą zgodność a osobą ubiegającą się o certyfikację lub rozważającą ubieganie się o nią.

Poprawka    257

Wniosek dotyczący rozporządzenia

Załącznik I – akapit 1 – punkt 15 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

15b.  Jednostki oceniające zgodność kierują się w swojej działalności spójnymi, uczciwymi i racjonalnymi zasadami, biorąc pod uwagę interes małych i średnich przedsiębiorstw zgodnie z ich definicją zawartą w zaleceniu 2003/361/WE w odniesieniu do opłat.

(1)

Dz.U. C 227 z 28.6.2018, s. 86.


UZASADNIENIE

Jest faktem, że globalna rewolucja cyfrowa trwa i rozprzestrzenia się na nasze gospodarki, społeczeństwa i rządy, a wszystkie nasze dane są podatne na zagrożenia. Konsumenci, przemysł, instytucje i demokracje na szczeblu lokalnym, krajowym, europejskim i światowym padają ofiarą cyberataków, szpiegostwa cybernetycznego i sabotażu cybernetycznego i wszyscy mamy świadomość, że w nadchodzących latach zjawisko to znacznie przybierze na sile.

Z internetem połączone są miliardy urządzeń, które współdziałają na nowym poziomie i na nową skalę. Urządzenia te i związane z nimi usługi mogą usprawniać życie obywateli i nasze gospodarki. Jednak ludzie i organizacje staną się w pełni częścią świata cyfrowego tylko wtedy, gdy będą mieć zaufanie do technologii cyfrowych. Zaufanie wymaga, aby urządzenia, procesy i usługi internetu rzeczy były bezpieczne.

Aby osiągnąć te cele, Komisja zaproponowała „akt w sprawie cyberbezpieczeństwa”. Niniejsze rozporządzenie stanowi ważną część i narzędzie nowej strategii cyberbezpieczeństwa Unii Europejskiej, której celem jest zapewnienie Europie długoterminowej wizji cyberbezpieczeństwa oraz zapewnienie zaufania do technologii cyfrowych. Należy je rozpatrywać w kontekście już istniejącego prawodawstwa: UE utworzyła już Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) i przyjęła dyrektywę w sprawie bezpieczeństwa sieci i informacji, która jest w trakcie transpozycji przez państwa członkowskie.

„Akt w sprawie cyberbezpieczeństwa” składa się z dwóch części. W pierwszej określono rolę i mandat agencji ENISA w celu jej wzmocnienia. W drugiej części wprowadza się europejski system certyfikacji cybernetycznej w formie dobrowolnych ram mających na celu poprawę bezpieczeństwa podłączonych urządzeń oraz produktów i usług cyfrowych.

Ogólnie rzecz biorąc, sprawozdawczyni z zadowoleniem przyjmuje wniosek Komisji w sprawie europejskiego aktu w sprawie cyberbezpieczeństwa, ponieważ ma on zasadnicze znaczenie, aby zminimalizować ryzyko i zagrożenia dla bezpieczeństwa informacji i systemów sieciowych oraz aby zapewnić zaufanie konsumentów do rozwiązań informatycznych, w szczególności w odniesieniu do internetu rzeczy. Sprawozdawczyni jest głęboko przekonana, że Europa może stać się przodującym graczem w dziedzinie cyberbezpieczeństwa. Europa posiada silną bazę przemysłową, a zatem w interesie zarówno konsumentów, jak i przemysłu leży praca nad poprawą cyberbezpieczeństwa w odniesieniu do dóbr konsumpcyjnych, zastosowań przemysłowych i infrastruktury krytycznej.

Wniosek Komisji należy zmienić zarówno w odniesieniu do części dotyczącej agencji ENISA, jak i części dotyczącej certyfikacji.

Odnośnie do agencji ENISA, sprawozdawczyni uważa, że jeśli chcemy silnej i dobrze funkcjonującej agencji, musimy ustanowić odpowiednie ramy. Sprawozdawczyni przyjmuje z zadowoleniem wzmocnienie roli agencji ENISA, włączając w to jej stały mandat oraz zwiększenie budżetu i liczby pracowników, ale potrzebne jest również realistyczne podejście, zważywszy na wciąż niewielką liczbę ekspertów zatrudnionych przez ENISA w porównaniu z liczbą pracowników w niektórych krajowych organach nadzoru ds. certyfikacji. Zadaniem ENISA powinno nadal być organizowanie współpracy operacyjnej, z uwzględnieniem wiedzy specjalistycznej zgromadzonej w ramach dyrektywy w sprawie bezpieczeństwa sieci i informacji, aby w dalszym stopniu wspierać budowanie potencjału w państwach członkowskich i stanowić źródło informacji. Ponadto ENISA musi odgrywać znaczącą rolę w tworzeniu europejskich systemów cyberbezpieczeństwa we współpracy z państwami członkowskimi i odpowiednimi zainteresowanymi stronami.

Jeżeli chodzi o certyfikację, sprawozdawczyni opowiada się za jaśniejszym określeniem zakresu stosowania wniosku. Po pierwsze, niniejsze rozporządzenie powinno obejmować nie tylko produkty i usługi, ale cały cykl życia. W związku z tym w zakres stosowania należy włączyć również procesy. Z drugiej strony należy wyraźnie wykluczyć obszary kompetencji państw członkowskich, mianowicie gdy chodzi o bezpieczeństwo publiczne, obronność, bezpieczeństwo narodowe i obszar prawa karnego.

W odniesieniu do europejskiego systemu certyfikacji cybernetycznej sprawozdawczyni proponuje bardziej szczegółowe określenie podejścia opartego na ryzyku, nie zaś „uniwersalnego” systemu certyfikacji. Ponadto sprawozdawczyni opowiada się za systemem dobrowolnym, ale tylko w odniesieniu do podstawowego i znacznego poziomu pewności. W przypadku produktów, procesów lub usług objętych najwyższym poziomem pewności, według sprawozdawczyni zalecany jest system obowiązkowy. Jeżeli chodzi o ocenę technologii cyfrowych objętych podstawowym poziomem pewności, sprawozdawczyni sugeruje ponadto powiązanie z podejściem nowych ram prawnych. Pozwoli to na samoocenę, tańszy i mniej uciążliwy system, który sprawdził się w różnych poszczególnych obszarach.

Sprawozdawczyni uważa, że producent lub dostawca produktów, procesów i usług ICT powinien być zobowiązany do wydania obowiązkowej deklaracji produktu zawierającej ustrukturyzowane informacje dotyczące certyfikacji, wskazujące np. na dostępność aktualizacji lub interoperacyjność certyfikowanych produktów, procesu lub usługi. Zapewniłoby to konsumentowi użyteczne informacje przy wyborze urządzenia. Sprawozdawczyni preferuje taką deklarację produktu aniżeli etykietę lub oznakowanie, które mogą wprowadzać konsumentów w błąd.

Sprawozdawczyni jest głęboko przekonana, że struktura zarządzania zaproponowana przez Komisję wymaga udoskonalenia, aby była bardziej przejrzysta dla wszystkich zainteresowanych stron. Sprawozdawczyni proponuje zatem przyjęcie wieloletniego programu prac Unii, w którym zostaną określone wspólne działania, które należy podjąć na szczeblu unijnym, oraz wskazane priorytetowe obszary, w których należy ustanowić europejskie systemy certyfikacji, a także poziom równoważności know-how i wiedzy fachowej organów oceniających i nadzorczych w państwach członkowskich. Wzmocnione zarządzanie oznacza również większy udział państw członkowskich i przemysłu w procesie certyfikacji. Rola państw członkowskich może zostać wzmocniona, jeżeli Grupa ustanowiona na mocy art. 53 wniosku i złożona z krajowych organów nadzoru ds. certyfikacji ma być traktowana na równi z Komisją w procesie przygotowywania systemu certyfikacji. Grupa będzie również musiała zatwierdzić europejski system kandydujący. Po trzecie, należy również zwiększyć udział przemysłu w procesie certyfikacji. Można to osiągnąć poprzez doprecyzowanie składu Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz ustanowienie przez agencję ENISA grup doradczych ad hoc w celu zdobycia dalszej wiedzy fachowej i know-how przez przemysł i inne zainteresowane podmioty w ramach procesów certyfikacji. Sprawozdawczyni uważa, że wszystkie te środki pomogą MŚP w znacznie większym stopniu uczestniczyć w tym procesie.

Wreszcie europejski system certyfikacji wymaga większego zaangażowania europejskich organizacji normalizacyjnych, takich jak CEN i CENELEC, w opracowywanie nowych systemów. Dzięki temu nadrzędne znaczenie miałyby istniejące i akceptowane na całym świecie normy międzynarodowe.


OPINIA Komisji Rynku Wewnętrznego i Ochrony Konsumentów (22.5.2018)

dla Komisji Przemysłu, Badań Naukowych i Energii

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie „Agencji UE ds. Cyberbezpieczeństwa” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych („akt ws. cyberbezpieczeństwa”)

(COM(2017)0477 – C8‑0310-2017 – 2017/0225(COD))

Sprawozdawca komisji opiniodawczej: (*) Nicola Danti

(*)  Zaangażowana komisja – art. 54 Regulaminu

ZWIĘZŁE UZASADNIENIE

W dobie technologii cyfrowych cyberbezpieczeństwo stanowi zasadniczy element konkurencyjności gospodarczej i bezpieczeństwa Unii Europejskiej, a także integralności wolnych i demokratycznych społeczeństw UE oraz procesów leżących u ich podstaw. Zagwarantowanie wysokiego poziomu odporności w dziedzinie cyberbezpieczeństwa na terenie UE ma ogromne znaczenie dla osiągnięcia zaufania konsumentów do jednolitego rynku cyfrowego, a także dla dalszego rozwoju bardziej innowacyjnej i konkurencyjnej Europy.

Nie ulega wątpliwości, że zagrożenia dla cyberbezpieczeństwa i cyberataki prowadzone na skalę światową, takie jak „Wannacry” i „Meltdown”, mają rosnące znaczenie w naszym społeczeństwie, które w coraz większym stopniu objęte jest cyfryzacją. Jak wynika z badania Eurobarometru opublikowanego w lipcu 2017 r., 87 % respondentów postrzega cyberprzestępczość jako „poważne wyzwanie w zakresie bezpieczeństwa wewnętrznego UE”, przy czym większość „obawia się, że padnie ofiarą różnych form cyberprzestępczości”. Co więcej, od początku 2016 r. każdego dnia na świecie ma miejsce ponad 4 000 ataków oprogramowania typu ransomware, przy czym od 2015 r. liczba ataków zwiększyła się o 300 %, a ataki te dotknęły 80 % unijnych przedsiębiorstw. Te fakty i ustalenia wyraźnie wskazują na potrzebę poprawy odporności i skuteczności UE w walce z cyberatakami oraz zwiększenia zdolności Unii do zapewniania lepszej ochrony obywatelom, przedsiębiorstwom i instytucjom publicznym na terenie Europy.

Rok po wejściu w życie dyrektywy dotyczącej cyberbezpieczeństwa Komisja – w ramach szerszej strategii na rzecz cyberbezpieczeństwa w UE – przedstawiła rozporządzenie, którego celem jest dalsze zwiększenie cyberodporności, prewencji i obrony UE. W dniu 13 września 2017 r. Komisja przedstawiła „akt ws. cyberbezpieczeństwa” oparty na dwóch filarach:

1) stałym i wzmocnionym mandacie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako podmiotu wspierającego państwa członkowskie w skutecznym reagowaniu na cyberataki i zapobieganiu im, oraz 2) stworzeniu unijnych ram certyfikacji cyberbezpieczeństwa w celu zagwarantowania, że produkty i usługi ICT są bezpieczne pod względem cyberbezpieczeństwa.

W ujęciu ogólnym sprawozdawca przyjmuje z zadowoleniem podejście zaproponowane przez Komisję, a w szczególności opowiada się za wprowadzeniem ogólnounijnych systemów certyfikacji cyberbezpieczeństwa, które mają na celu zwiększenie bezpieczeństwa produktów i usług ICT oraz uniknięcie kosztownego rozdrobnienia jednolitego rynku w tej istotnej dziedzinie. Sprawozdawca wyraża nadzieję, że ramy certyfikacji cyberbezpieczeństwa UE oraz powiązane procedury – choć początkowo powinny utrzymać swój dobrowolny charakter – staną się stopniowo niezbędnym narzędziem budowania zaufania obywateli i użytkowników oraz zwiększenia bezpieczeństwa produktów i usług znajdujących się w obrocie na jednolitym rynku.

Sprawozdawca jest również przekonany, że szereg punktów wniosku należy doprecyzować i udoskonalić:

•  Po pierwsze, zwiększenie zaangażowania kluczowych zainteresowanych stron na różnych etapach systemu administrowania w celu przygotowania kandydujących systemów certyfikacji przez ENISA: zdaniem sprawozdawcy należy zapewnić formalne zaangażowanie najważniejszych zainteresowanych stron, m.in. sektora ICT, organizacji konsumenckich, MŚP, organizacji normalizacyjnych oraz agencji sektorowych UE, i umożliwić im proponowanie nowych systemów kandydujących, doradzanie agencji ENISA na podstawie posiadanej wiedzy specjalistycznej lub współpracę z nią podczas przygotowania systemów kandydujących.

•  Po drugie, rolę koordynacyjną Europejskiej Grupy ds. Certyfikacji cyberbezpieczeństwa (składającej się z władz krajowych przy wsparciu Komisji i ENISA) należy wzmocnić o dodatkowe zadania, aby zapewnić strategiczne wytyczne i opracować program prac dotyczący wspólnych działań podejmowanych na szczeblu Unii w dziedzinie certyfikacji oraz ustanowić i okresowo aktualizować priorytetowy wykaz produktów i usług ICT, w odniesieniu do którego Grupa uzna istnienie europejskiego systemu certyfikacji cyberbezpieczeństwa za niezbędne.

•  Sprawozdawca jest stanowczo przekonany, że należy zapobiec praktyce „turystyki” w dziedzinie unijnej certyfikacji, co ma już miejsce w innych sektorach. Przepisy dotyczące monitorowania i nadzoru ze strony ENISA oraz krajowych organów nadzoru ds. certyfikacji wymagają znacznego wzmocnienia, tak aby zagwarantować takie same standardy i wymogi dla europejskich certyfikatów wydawanych w poszczególnych państwach członkowskich. W związku z tym sprawozdawca proponuje:

1) aby wzmocnić uprawnienia nadzorcze ENISA: we współpracy z Grupą ds. Certyfikacji ENISA powinna dokonywać oceny procedur wdrożonych przez organy odpowiedzialne za wydawanie unijnych certyfikatów;

2) aby krajowe organy nadzoru ds. certyfikacji przeprowadzały okresową ocenę (co najmniej raz na dwa lata) certyfikatów UE wydanych przez jednostki oceniające zgodność;

3) aby wprowadzić wspólne wiążące kryteria zdefiniowane przez Grupę dla określania skali, zakresu i częstości przeprowadzania ocen, o których mowa w pkt 2, przez krajowe organy nadzoru ds. certyfikacji.

•  Sprawozdawca uważa, że należy wprowadzić obowiązkowy znak zaufania UE dla certyfikowanych produktów i usług ICT przeznaczonych dla użytkowników końcowych. Taki znak przyczyniłby się do podniesienia świadomości w zakresie cyberbezpieczeństwa i zapewniłby przewagę konkurencyjną przedsiębiorstwom posiadającym dobre referencje w zakresie cyberbezpieczeństwa.

•  Sprawozdawca podziela jednolite i zharmonizowane podejście przyjęte przez Komisję, lecz wyraża przekonanie, że powinno ono być bardziej elastyczne i zakładać możliwość dostosowania do specyficznej charakterystyki i podatności poszczególnych produktów lub usług na zagrożenia (brak uniwersalnej reguły). W związku z tym sprawozdawca uważa, że należy opracować nowe nazewnictwo w odniesieniu do poziomów pewności, które powinny być wykorzystywane z uwzględnieniem również przeznaczenia produktów i usług ICT. Podobnie, okres ważności certyfikatu należy określać dla każdego systemu z osobna.

•  Każdy system certyfikacji powinien być opracowany w taki sposób, aby stymulował i zachęcał wszystkie podmioty zaangażowane w działalność w sektorze do opracowywania i przyjmowania standardów bezpieczeństwa, norm technicznych i zasad uwzględniania bezpieczeństwa i ochrony prywatności już w fazie projektowania na wszystkich etapach istnienia produktu lub usługi.

POPRAWKI

Komisja Rynku Wewnętrznego i Ochrony Konsumentów zwraca się do Komisji Przemysłu, Badań Naukowych i Energii, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:

Poprawka    1

Wniosek dotyczący rozporządzenia

Motyw 1

Tekst proponowany przez Komisję

Poprawka

(1)  Sieci i systemy informatyczne oraz sieci i usługi telekomunikacyjne odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne stanowią podstawę złożonych systemów wspierających działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

(1)  Sieci i systemy informatyczne oraz sieci i usługi telekomunikacyjne odgrywają kluczową rolę w społeczeństwie i stały się podstawą wzrostu gospodarczego. Technologie informacyjno-komunikacyjne (ICT) stanowią podstawę złożonych systemów wspierających codzienne działania społeczne, zapewniają funkcjonowanie naszej gospodarki w kluczowych sektorach, takich jak opieka zdrowotna, energetyka, finanse i transport, a zwłaszcza wspomagają funkcjonowanie rynku wewnętrznego.

Poprawka    2

Wniosek dotyczący rozporządzenia

Motyw 2

Tekst proponowany przez Komisję

Poprawka

(2)  Korzystanie z sieci i systemów informatycznych przez obywateli, przedsiębiorstwa i administrację rządową w całej Unii jest obecnie bardzo rozpowszechnione. Digitalizacja i połączalność stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja milionów, jeśli nie miliardów połączonych urządzeń cyfrowych w całej UE. Coraz więcej urządzeń jest połączonych z internetem, a jednocześnie zabezpieczenia i odporność nie są wystarczająco uwzględnione w projektowaniu, co powoduje, że bezpieczeństwo cybernetyczne jest niewystarczające. W związku z powyższym ograniczone korzystanie z certyfikacji prowadzi do niewystarczającego informowania użytkowników instytucjonalnych i indywidualnych o właściwościach produktów i usług ICT w zakresie bezpieczeństwa cybernetycznego, co podważa zaufanie do rozwiązań cyfrowych.

(2)  Korzystanie z sieci i systemów informatycznych przez obywateli, przedsiębiorstwa i administrację rządową w całej Unii jest obecnie bardzo rozpowszechnione. Digitalizacja i połączalność stają się podstawowymi cechami coraz większej liczby produktów i usług, a wraz z nastaniem internetu rzeczy w następnym dziesięcioleciu spodziewana jest instalacja milionów, jeśli nie miliardów połączonych urządzeń cyfrowych w całej UE. Coraz więcej urządzeń jest połączonych z internetem, a jednocześnie zabezpieczenia i odporność nie są wystarczająco uwzględnione w projektowaniu, co powoduje, że cyberbezpieczeństwo jest niewystarczające. W związku z powyższym ograniczone korzystanie z certyfikacji prowadzi do niewystarczającego informowania użytkowników instytucjonalnych i indywidualnych o właściwościach produktów i usług ICT w zakresie cyberbezpieczeństwa, co podważa zaufanie do rozwiązań cyfrowych, które ma zasadnicze znaczenie dla wdrożenia jednolitego rynku cyfrowego.

Poprawka    3

Wniosek dotyczący rozporządzenia

Motyw 3

Tekst proponowany przez Komisję

Poprawka

(3)  Coraz większa digitalizacja i połączalność prowadzą do zwiększonych zagrożeń dla bezpieczeństwa cybernetycznego, zwiększając tym samym podatność ogółu społeczeństwa na zagrożenia cybernetyczne i potęgując zagrożenia dla jednostek, w tym osób bardziej podatnych na zagrożenia, takich jak dzieci. W celu ograniczenia tych zagrożeń dla społeczeństwa należy podjąć wszystkie niezbędne działania na rzecz poprawy bezpieczeństwa cybernetycznego w UE, aby lepiej chronić przed zagrożeniami cybernetycznymi sieci i systemy informatyczne, sieci telekomunikacyjne oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, administrację i przedsiębiorstwa – od MŚP aż po operatorów infrastruktur krytycznych.

(3)  Coraz większa digitalizacja i połączalność prowadzą do znacznie zwiększonych zagrożeń dla cyberbezpieczeństwa, zwiększając tym samym podatność ogółu społeczeństwa na zagrożenia dla cyberbezpieczeństwa i potęgując zagrożenia dla jednostek, w tym osób bardziej podatnych na zagrożenia, takich jak dzieci. Potencjał przekształceniowy sztucznej inteligencji i uczenia się maszyn jest wykorzystywany przez całe społeczeństwo, w tym przez cyberprzestępców. W celu ograniczenia tych zagrożeń dla społeczeństwa należy podjąć wszystkie niezbędne działania na rzecz poprawy zabezpieczeń przed cyberatakami w UE, aby lepiej chronić przed zagrożeniami dla cyberbezpieczeństwa sieci i systemy informatyczne, sieci telekomunikacyjne oraz produkty, usługi i urządzenia cyfrowe używane przez obywateli, administrację i przedsiębiorstwa – od MŚP aż po operatorów infrastruktur krytycznych.

Poprawka    4

Wniosek dotyczący rozporządzenia

Motyw 4

Tekst proponowany przez Komisję

Poprawka

(4)  Ataki cybernetyczne nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia i ataki cybernetyczne, wymagają silniejszej ochrony. Tymczasem jednak, mimo że ataki cybernetyczne mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za bezpieczeństwo cybernetyczne i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Incydenty cybernetyczne na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu bezpieczeństwa cybernetycznego i odporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

(4)  Cyberataki nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia dla cyberbezpieczeństwa cyberataki, wymagają lepszych zabezpieczeń. Tymczasem jednak, mimo że cyberataki mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za cyberbezpieczeństwo i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Cyberincydenty na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu cyberbezpieczeństwa i odporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

Poprawka    5

Wniosek dotyczący rozporządzenia

Motyw 5

Tekst proponowany przez Komisję

Poprawka

(5)  Wobec narastających wyzwań w zakresie bezpieczeństwa cybernetycznego, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te to m.in. potrzeba dodatkowego zwiększenia potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawy współpracy i koordynacji wśród państw członkowskich oraz instytucji, agencji i organów UE. Ponadto z uwagi na ponadgraniczny charakter zagrożeń cybernetycznych konieczne jest zwiększenie na szczeblu Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadku transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych. Potrzebne są również dodatkowe wysiłki na rzecz zwiększenia wiedzy obywateli i przedsiębiorstw o zagadnieniach bezpieczeństwa cybernetycznego. Należy poza tym nadal zwiększać zaufanie do jednolitego rynku cyfrowego, oferując przejrzyste informacje o poziomie bezpieczeństwa produktów i usług ICT. Można to ułatwić dzięki ogólnounijnej certyfikacji, ustanawiając wspólne wymogi w zakresie bezpieczeństwa cybernetycznego i kryteria oceny na wszystkich rynkach i we wszystkich sektorach krajowych.

(5)  Wobec narastających wyzwań w zakresie cyberbezpieczeństwa, w obliczu których stoi Unia, potrzebny jest kompleksowy zestaw środków, które byłyby oparte na wcześniejszych działaniach unijnych i sprzyjały osiąganiu wzajemnie wspierających się celów. Cele te to m.in. potrzeba dodatkowego zwiększenia potencjału i gotowości do reagowania państw członkowskich i przedsiębiorstw oraz poprawy współpracy i koordynacji wśród państw członkowskich oraz instytucji, agencji i organów UE. Ponadto z uwagi na ponadgraniczny charakter zagrożeń dla cyberbezpieczeństwa konieczne jest zwiększenie na szczeblu Unii tych zdolności, które mogłyby uzupełniać działania państw członkowskich, zwłaszcza w przypadku transgranicznych cyberincydentów na dużą skalę i cyberkryzysów. Potrzebne są również dodatkowe wysiłki na rzecz zwiększenia wiedzy obywateli i przedsiębiorstw o zagadnieniach cyberbezpieczeństwa. Poza tym, biorąc pod uwagę fakt, że cyberincydenty podważają zaufanie do dostawców usług cyfrowych oraz do samego jednolitego rynku cyfrowego, w szczególności wśród konsumentów, należy w dalszym ciągu zwiększać zaufanie, oferując przejrzyste informacje o poziomie bezpieczeństwa produktów i usług ICT. Można to ułatwić dzięki standardowej ogólnounijnej certyfikacji, wykorzystując europejskie lub międzynarodowe normy i ustanawiając wspólne wymogi w zakresie cyberbezpieczeństwa i kryteria oceny na wszystkich rynkach i we wszystkich sektorach krajowych. Obok ogólnounijnej certyfikacji istnieje szereg dobrowolnych środków, które sektor prywatny mógłby podjąć w celu wzmocnienia zaufania do produktów i usług ICT, w szczególności z myślą o coraz większej dostępności urządzeń internetu rzeczy. Przykładowo, należy skuteczniej wykorzystywać szyfrowanie oraz inne technologie, a także technologie przeciwdziałające pomyślnym cyberatakom jak np. blockchain, aby poprawić bezpieczeństwo danych i komunikacji użytkowników końcowych, a także ogólne bezpieczeństwo sieci i systemów informacyjnych w Unii.

Poprawka    6

Wniosek dotyczący rozporządzenia

Motyw 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(5a)  Pomimo istotnej roli certyfikacji oraz innych form oceny zgodności procesów, produktów i usług ICT poprawa cyberbezpieczeństwa wymaga wielopłaszczyznowego podejścia obejmującego ludzi, procesy i technologie. Ponadto UE musi w dalszym ciągu podkreślać i wspierać inne wysiłki, w tym edukację, szkolenia i rozwój umiejętności w dziedzinie cyberbezpieczeństwa, podnoszenie świadomości na szczeblu organów zarządzających i kierowniczych przedsiębiorstw, promowanie dobrowolnej wymiany informacji na temat zagrożeń dla cyberbezpieczeństwa, a także odejście od reaktywnej postawy UE na rzecz proaktywnego podejścia do reagowania na zagrożenia poprzez podkreślanie przeciwdziałania pomyślnym cyberatakom.

Poprawka    7

Wniosek dotyczący rozporządzenia

Motyw 7

Tekst proponowany przez Komisję

Poprawka

(7)  Unia przedsięwzięła już istotne kroki w celu zapewnienia bezpieczeństwa cybernetycznego i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię UE w zakresie bezpieczeństwa cybernetycznego, dyktującą reakcję polityczną Unii na zagrożenia i ryzyko cybernetyczne. W ramach starań, aby lepiej chronić obywateli europejskich w internecie, Unia przyjęła w roku 2016 pierwszy akt ustawodawczy w dziedzinie bezpieczeństwa cybernetycznego – dyrektywę (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii („dyrektywę w sprawie bezpieczeństwa sieci i informacji”). W dyrektywie w sprawie bezpieczeństwa sieci i informacji wprowadzono wymogi dotyczące zdolności krajowych w dziedzinie bezpieczeństwa cybernetycznego, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w podstawowych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę, bankowość, infrastruktury rynku finansowego, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i internetowych platform handlowych). Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto ważny priorytet Europejskiej agendy bezpieczeństwa, przyczyniając się do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu bezpieczeństwa cybernetycznego.

(7)  Unia przedsięwzięła już istotne kroki w celu zapewnienia cyberbezpieczeństwa i zwiększenia zaufania do technologii cyfrowych. W roku 2013 przyjęto strategię UE w zakresie cyberbezpieczeństwa, dyktującą reakcję polityczną Unii na zagrożenia i ryzyko dla cyberbezpieczeństwa. W ramach starań, aby lepiej chronić obywateli europejskich w internecie, Unia przyjęła w roku 2016 pierwszy akt ustawodawczy w dziedzinie cyberbezpieczeństwa – dyrektywę (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii („dyrektywę w sprawie bezpieczeństwa sieci i informacji”). W dyrektywie w sprawie bezpieczeństwa sieci i informacji – której powodzenie w znacznej mierze będzie zależne od skuteczności jej wdrożenia przez państwa członkowskie – wprowadzono wymogi dotyczące zdolności krajowych w dziedzinie cyberbezpieczeństwa, ustanowiono pierwsze mechanizmy zacieśniania strategicznej i operacyjnej współpracy państw członkowskich oraz wprowadzono obowiązki dotyczące środków bezpieczeństwa i zgłaszania incydentów w podstawowych dla gospodarki i społeczeństwa sektorach, takich jak energetyka, transport, zaopatrzenie w wodę, bankowość, infrastruktury rynku finansowego, opieka zdrowotna, infrastruktura cyfrowa, jak też w odniesieniu do dostawców kluczowych usług cyfrowych (wyszukiwarek, usług przetwarzania w chmurze i internetowych platform handlowych). Kluczową rolę we wspieraniu wdrażania tej dyrektywy wyznaczono agencji ENISA. Skuteczna walka z cyberprzestępczością stanowi ponadto ważny priorytet Europejskiej agendy bezpieczeństwa, przyczyniając się do realizacji ogólnego celu, jakim jest osiągnięcie wysokiego poziomu cyberbezpieczeństwa.

Poprawka    8

Wniosek dotyczący rozporządzenia

Motyw 11

Tekst proponowany przez Komisję

Poprawka

(11)  Ze względu na narastające wyzwania w zakresie bezpieczeństwa cybernetycznego, z jakimi boryka się Unia, należy zwiększyć przydzielone Agencji zasoby finansowe i ludzkie, aby odzwierciedlić jej poszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących europejski ekosystem cyfrowy.

(11)  Ze względu na narastające wyzwania i zagrożenia dla cyberbezpieczeństwa, z jakimi boryka się Unia, należy zwiększyć przydzielone Agencji zasoby finansowe i ludzkie, aby odzwierciedlić jej poszerzoną rolę i zadania oraz jej kluczową pozycję w ekosystemie organizacji chroniących europejski ekosystem cyfrowy.

Poprawka    9

Wniosek dotyczący rozporządzenia

Motyw 28

Tekst proponowany przez Komisję

Poprawka

(28)  Agencja powinna działać na rzecz podniesienia poziomu świadomości ogółu społeczeństwa na temat różnych postaci ryzyka związanego z bezpieczeństwem cybernetycznym i przedstawiać skierowane do obywateli i organizacji wytyczne na temat dobrych praktyk, które powinni stosować użytkownicy końcowi. Agencja powinna również przyczyniać się do propagowania najlepszych praktyk i rozwiązań na poziomie jednostek i organizacji poprzez gromadzenie i analizowanie publicznie dostępnych informacji dotyczących istotnych incydentów oraz poprzez sporządzanie raportów w celu dostarczenia wytycznych przedsiębiorstwom i obywatelom oraz poprawy ogólnego poziomu gotowości i odporności. Agencja powinna ponadto organizować, we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych, mające na celu propagowanie bezpieczniejszych zachowań użytkowników w internecie oraz podnoszenie poziomu wiedzy o potencjalnych zagrożeniach występujących w cyberprzestrzeni, w tym o cyberprzestępstwach takich jak ataki phishingowe (wyłudzanie informacji), botnety oraz oszustwa finansowe i bankowe, a także mające na celu promocję podstawowego doradztwa w kwestii uwierzytelniania i ochrony danych. Agencja powinna odgrywać centralną rolę w przyspieszaniu rozwoju wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń.

(28)  Agencja powinna działać na rzecz podniesienia poziomu świadomości ogółu społeczeństwa na temat różnych postaci ryzyka związanego z cyberbezpieczeństwem i przedstawiać skierowane do obywateli i organizacji wytyczne na temat dobrych praktyk, które powinni stosować użytkownicy końcowi. Agencja powinna również przyczyniać się do propagowania najlepszych praktyk i rozwiązań z zakresu cyberhigieny, co oznacza proste, rutynowe środki, takie jak uwierzytelnianie wieloskładnikowe, poprawki, szyfrowanie i zarządzanie dostępem, jakie użytkownicy indywidualni i organizacje mogą podejmować w celu minimalizacji ryzyka związanego z zagrożeniami dla cyberbezpieczeństwa. Agencja powinna to realizować za pomocą gromadzenia i analizowania publicznie dostępnych informacji dotyczących istotnych incydentów oraz poprzez sporządzanie i publikowanie raportów i przewodników w celu dostarczenia wytycznych przedsiębiorstwom i obywatelom oraz poprawy ogólnego poziomu gotowości i odporności. Agencja powinna ponadto organizować, we współpracy z państwami członkowskimi oraz instytucjami, organami i jednostkami organizacyjnymi Unii, regularne działania informacyjne i publiczne kampanie edukacyjne skierowane do użytkowników końcowych, mające na celu propagowanie bezpieczniejszych zachowań użytkowników w internecie oraz podnoszenie poziomu wiedzy o środkach, które można podjąć, aby ochronić się przed potencjalnymi zagrożeniami występującymi w cyberprzestrzeni, w tym o cyberprzestępstwach takich jak ataki phishingowe (wyłudzanie informacji), ataki za pomocą oprogramowania typu ransomware, przejmowanie kontroli nad urządzeniem, botnety oraz oszustwa finansowe i bankowe, a także mające na celu promocję doradztwa w kwestii uwierzytelniania wieloskładnikowego, szyfrowania, poprawek i zarządzania dostępem, ochrony danych, szyfrowania oraz innych technologii na rzecz bezpieczeństwa i ochrony prywatności oraz narzędzi służących anonimizacji. Agencja powinna odgrywać centralną rolę w przyspieszaniu rozwoju wiedzy użytkowników końcowych na temat bezpieczeństwa urządzeń i bezpiecznego korzystania z usług, promowania uwzględniania bezpieczeństwa i ochrony prywatności na etapie projektowania na szczeblu Unii, co ma podstawowe znaczenie dla poprawy bezpieczeństwa połączonych urządzeń w szczególności dla podatnych na zagrożenia użytkowników końcowych, w tym dzieci, oraz uwzględniania ochrony prywatności już w fazie projektowania. Agencja powinna zachęcać wszystkich użytkowników końcowych do podejmowania stosownych kroków w celu przeciwdziałania incydentom mającym wpływ na bezpieczeństwo ich sieci i systemów informacyjnych oraz ograniczania skutków takich incydentów. Należy nawiązać partnerstwa z instytucjami akademickimi podejmującymi inicjatywy badawcze w odpowiednich dziedzinach cyberbezpieczeństwa.

Poprawka    10

Wniosek dotyczący rozporządzenia

Motyw 35

Tekst proponowany przez Komisję

Poprawka

(35)  Agencja powinna zachęcać państwa członkowskie i usługodawców do podnoszenia ich ogólnych standardów bezpieczeństwa, tak aby wszyscy użytkownicy internetu mogli zastosować niezbędne kroki celem zapewnienia sobie własnego bezpieczeństwa cybernetycznego. Dostawcy usług i wytwórcy produktów powinni w szczególności wycofywać lub przetwarzać produkty i usługi niespełniające norm bezpieczeństwa cybernetycznego. We współpracy z właściwymi organami ENISA może rozpowszechniać informacje dotyczące poziomu bezpieczeństwa cybernetycznego produktów i usług oferowanych na rynku wewnętrznym oraz wydawać ostrzeżenia skierowane do dostawców i producentów, żądając od nich poprawy poziomu bezpieczeństwa – w tym bezpieczeństwa cybernetycznego – ich produktów i usług.

(35)  Agencja powinna zachęcać państwa członkowskie i usługodawców do podnoszenia ich ogólnych standardów bezpieczeństwa, tak aby wszyscy użytkownicy internetu mogli zastosować niezbędne kroki celem zapewnienia sobie własnego cyberbezpieczeństwa. Dostawcy usług i wytwórcy produktów powinni w szczególności wycofywać lub przetwarzać produkty i usługi niespełniające norm cyberbezpieczeństwa. We współpracy z właściwymi organami ENISA może rozpowszechniać informacje dotyczące poziomu cyberbezpieczeństwa produktów i usług oferowanych na rynku wewnętrznym oraz wydawać ostrzeżenia skierowane do dostawców i producentów, żądając od nich poprawy poziomu bezpieczeństwa – w tym cyberbezpieczeństwa – ich produktów i usług. ENISA powinna upubliczniać takie ostrzeżenia na specjalnej stronie internetowej zawierającej informacje o takich systemach certyfikacji. Agencja powinna opracować wytyczne dotyczące minimalnych wymogów w zakresie bezpieczeństwa odnoszące się do urządzeń informatycznych znajdujących się w obrocie w Unii lub wywożonych z Unii. W ramach takich wytycznych należy wezwać wytwórców do przedstawienia pisemnego oświadczenia potwierdzającego, że urządzenie nie zawiera komponentów sprzętu, oprogramowania lub oprogramowania układowego ze znanymi lukami w zabezpieczeniach ani niezmiennych lub niezabezpieczonych haseł lub kodów dostępu, że przyjmuje zaufane lub prawidłowo uwierzytelnione aktualizacje zabezpieczeń, że reakcja sprzedawcy w przypadku takich urządzeń obejmuje odpowiednią hierarchię środków zaradczych, a sami sprzedawcy informują użytkowników końcowych o zakończeniu wsparcia w zakresie bezpieczeństwa w odniesieniu do danego urządzenia.

Poprawka    11

Wniosek dotyczący rozporządzenia

Motyw 36 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(36a)  Standardy stanowią dobrowolne, kształtowane przez rynek narzędzie zapewniające wymogi techniczne i wytyczne, przy czym powstają one w wyniku otwartego, przejrzystego i integracyjnego procesu. Stosowanie standardów ułatwia zapewnienie zgodności towarów i usług z prawem Unii, a także stanowi wsparcie na rzecz europejskich strategii politycznych zgodnie z rozporządzeniem (UE) nr 1025/2012 w sprawie normalizacji europejskiej. Agencja powinna przeprowadzać regularne konsultacje i współpracować z europejskimi organizacjami normalizacyjnymi, w szczególności w toku przygotowywania europejskich systemów certyfikacji cyberbezpieczeństwa.

Poprawka    12

Wniosek dotyczący rozporządzenia

Motyw 44

Tekst proponowany przez Komisję

Poprawka

(44)  Agencja powinna posiadać organ doradczy w postaci Stałej Grupy Przedstawicieli Zainteresowanych Stron w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi i innymi odpowiednimi zainteresowanymi stronami. Stała Grupa Przedstawicieli Zainteresowanych Stron, ustanowiona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla zainteresowanych stron i kierować na nie uwagę Agencji. Skład Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz przydzielone jej zadania, w tym fakt zasięgania jej opinii w szczególności w sprawie projektu programu prac, powinny zapewniać wystarczającą reprezentację zainteresowanych stron w pracach Agencji.

(44)  Agencja powinna posiadać organ doradczy w postaci Stałej Grupy Przedstawicieli Zainteresowanych Stron w celu zapewnienia regularnego dialogu z sektorem prywatnym, organizacjami konsumenckimi, środowiskiem akademickim i innymi odpowiednimi zainteresowanymi stronami. Stała Grupa Przedstawicieli Zainteresowanych Stron, ustanowiona przez zarząd na wniosek dyrektora wykonawczego, powinna skupiać się na zagadnieniach istotnych dla zainteresowanych stron i kierować na nie uwagę Agencji. Aby zapewnić odpowiednie zaangażowanie zainteresowanych stron w ramach certyfikacji cyberbezpieczeństwa, Stała Grupa Przedstawicieli Zainteresowanych Stron powinna również udzielać porad w zakresie produktów i usług ICT, które należy uwzględnić w przyszłych europejskich systemach certyfikacji cyberbezpieczeństwa, a także powinna proponować Komisji, aby ta zwróciła się do Agencji o przygotowanie kandydujących systemów w odniesieniu do takich produktów i usług ICT, albo z własnej inicjatywy alby w następstwie wniosku złożonego przez zainteresowane strony. Skład Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz przydzielone jej zadania, w tym fakt zasięgania jej opinii w szczególności w sprawie projektu programu prac, powinny zapewniać skuteczną i sprawiedliwą reprezentację zainteresowanych stron w pracach Agencji.

Poprawka    13

Wniosek dotyczący rozporządzenia

Motyw 46

Tekst proponowany przez Komisję

Poprawka

(46)  W celu zagwarantowania pełnej autonomii i niezależności Agencji oraz umożliwienia jej wykonywania dodatkowych oraz nowych zadań, w tym również nieprzewidzianych, nagłych zadań nadzwyczajnych, należy przyznać Agencji wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Większość personelu Agencji powinna pracować bezpośrednio przy operacyjnym wykonywaniu jej mandatu. Przyjmujące państwo członkowskie bądź jakiekolwiek inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz dochodów Agencji. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych Agencji w celu zapewnienia przejrzystości i odpowiedzialności.

(46)  W celu zagwarantowania pełnej autonomii i niezależności Agencji oraz umożliwienia jej wykonywania dodatkowych oraz nowych zadań, w tym również nieprzewidzianych, nagłych zadań nadzwyczajnych, należy przyznać Agencji wystarczający i niezależny budżet, którego dochody pochodziłyby przede wszystkim z wkładu Unii oraz z wkładów państw trzecich uczestniczących w pracach Agencji. Większość personelu Agencji powinna pracować bezpośrednio przy operacyjnym wykonywaniu jej mandatu. Przyjmujące państwo członkowskie bądź jakiekolwiek inne państwo członkowskie powinno mieć możliwość dobrowolnego wnoszenia wkładu na rzecz dochodów Agencji. Procedura budżetowa Unii powinna nadal mieć zastosowanie do wszelkich dotacji pochodzących z budżetu ogólnego Unii. Ponadto Trybunał Obrachunkowy powinien przeprowadzać kontrolę sprawozdań finansowych Agencji w celu zapewnienia przejrzystości, odpowiedzialności, efektywności i skuteczności wydatkowania.

Poprawka    14

Wniosek dotyczący rozporządzenia

Motyw 47

Tekst proponowany przez Komisję

Poprawka

(47)  Ocena zgodności jest to proces wykazujący, czy zostały spełnione określone wymagania odnoszące się do produktu, procesu, usługi, systemu, osoby lub jednostki. Do celów niniejszego rozporządzenia certyfikację należy traktować jako rodzaj oceny zgodności odnoszącej się do właściwości danego produktu, procesu, usługi, systemu lub ich połączenia („produktów i usług ICT”) w zakresie bezpieczeństwa cybernetycznego, przeprowadzanej przez niezależną stronę trzecią, inną niż wytwórca produktu lub dostawca usług. Certyfikacja nie jest w stanie sama w sobie zagwarantować, że produkty i usługi ICT są bezpieczne pod względem cybernetycznym. Poświadczanie, że produkty i usługi ICT zostały zbadane i że spełniają określone wymogi w zakresie bezpieczeństwa cybernetycznego ustanowione w innych regulacjach, na przykład określone w normach technicznych, jest raczej rolą procedury i metodyki technicznej.

(47)  Ocena zgodności jest to proces wykazujący, czy zostały spełnione określone wymagania odnoszące się do produktu, procesu, usługi, systemu, osoby lub jednostki. Do celów niniejszego rozporządzenia certyfikację należy traktować jako rodzaj oceny zgodności odnoszącej się do właściwości i praktyk uwzględnionych w ramach danego produktu, procesu, usługi, systemu lub ich połączenia („produktów i usług ICT”) w zakresie cyberbezpieczeństwa, przeprowadzanej przez niezależną stronę trzecią lub za pośrednictwem procedury własnej deklaracji zgodności. Certyfikacja nie jest w stanie sama w sobie zagwarantować, że produkty i usługi ICT są bezpieczne pod względem cyberbezpieczeństwa, o czym użytkownik końcowy powinien zostać powiadomiony. Poświadczanie, że produkty i usługi ICT oraz ich procesy i systemy bazowe zostały zbadane i że spełniają określone wymogi w zakresie cyberbezpieczeństwa ustanowione w innych regulacjach, na przykład określone w normach technicznych, jest raczej rolą procedury i metodyki technicznej.

Poprawka    15

Wniosek dotyczący rozporządzenia

Motyw 48

Tekst proponowany przez Komisję

Poprawka

(48)  Certyfikacja bezpieczeństwa cybernetycznego odgrywa ważną rolę, jeżeli chodzi o zwiększanie zaufania do produktów i usług ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie wtedy, gdy istnieje ogólne publiczne zaufanie, że takie produkty i usługi zapewniają określony poziom pewności co do ich bezpieczeństwa cybernetycznego. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej lub też inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane przepisami dyrektywy w sprawie bezpieczeństwa sieci i informacji są również sektorami, w których certyfikacja bezpieczeństwa cybernetycznego ma krytyczne znaczenie.

(48)  Europejska certyfikacja cyberbezpieczeństwa odgrywa zasadniczą rolę, jeżeli chodzi o zwiększanie zaufania do produktów i usług ICT oraz ich bezpieczeństwa. Jednolity rynek cyfrowy, a w szczególności gospodarka oparta na danych i internet rzeczy, mogą się prawidłowo rozwijać jedynie wtedy, gdy istnieje ogólne publiczne zaufanie, że takie produkty i usługi zapewniają wysoki poziom pewności co do ich cyberbezpieczeństwa. Połączone z siecią i zautomatyzowane pojazdy, elektroniczne wyroby medyczne, systemy sterowania automatyki przemysłowej lub też inteligentne sieci stanowią tylko niektóre przykłady sektorów, w których certyfikacja jest już szeroko stosowana lub najprawdopodobniej będzie stosowana w najbliższej przyszłości. Sektory regulowane przepisami dyrektywy w sprawie bezpieczeństwa sieci i informacji są również sektorami, w których certyfikacja cyberbezpieczeństwa ma krytyczne znaczenie.

Poprawka    16

Wniosek dotyczący rozporządzenia

Motyw 50

Tekst proponowany przez Komisję

Poprawka

(50)  Obecnie certyfikacja bezpieczeństwa cybernetycznego produktów i usług ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na szczeblu państw członkowskich lub w ramach systemów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. bezpieczeństwa cybernetycznego nie jest co do zasady uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty i usługi w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych. Co więcej, w sytuacji gdy powstają nowe systemy, najwyraźniej brak jest spójnego i całościowego podejścia w odniesieniu do horyzontalnych kwestii bezpieczeństwa cybernetycznego, na przykład w obszarze internetu rzeczy. Istniejące systemy mają istotne niedociągnięcia i różnią się pod względem zakresu produktów, poziomów pewności, kryteriów merytorycznych i faktycznego wykorzystania.

(50)  Obecnie certyfikacja cyberbezpieczeństwa produktów i usług ICT jest stosowana jedynie w ograniczonym stopniu. Tam, gdzie się ją stosuje, istnieje ona głównie na szczeblu państw członkowskich lub w ramach systemów inicjowanych przez przemysł. W związku z powyższym certyfikat wydany przez dany krajowy organ ds. cyberbezpieczeństwa nie jest co do zasady uznawany w innych państwach członkowskich. Przedsiębiorstwa muszą zatem certyfikować swoje produkty i usługi w poszczególnych państwach członkowskich, w których działają, na przykład z myślą o uczestniczeniu w krajowych postępowaniach o udzielenie zamówień publicznych, co powoduje zwiększenie kosztów tych przedsiębiorstw. Co więcej, w sytuacji gdy powstają nowe systemy, najwyraźniej brak jest spójnego i całościowego podejścia w odniesieniu do horyzontalnych kwestii cyberbezpieczeństwa, na przykład w obszarze internetu rzeczy. Istniejące systemy mają istotne niedociągnięcia i różnią się pod względem zakresu produktów, poziomów pewności w odniesieniu do poziomu ryzyka, kryteriów merytorycznych i faktycznego wykorzystania.

Poprawka    17

Wniosek dotyczący rozporządzenia

Motyw 52

Tekst proponowany przez Komisję

Poprawka

(52)  W związku z powyższym konieczne jest ustanowienie europejskich ram certyfikacji bezpieczeństwa cybernetycznego, określających wymogi horyzontalne dotyczące europejskich systemów certyfikacji bezpieczeństwa cybernetycznego, które mają zostać opracowane, oraz umożliwiających uznawanie i stosowanie we wszystkich państwach członkowskich certyfikatów odnoszących się do produktów i usług ICT. Te europejskie ramy powinny mieć dwojaki cel: z jednej strony powinny działać na rzecz zwiększenia zaufania do produktów i usług ICT, które uzyskały certyfikację zgodnie ze wspomnianymi systemami. Z drugiej strony powinny pozwalać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych systemów certyfikacji bezpieczeństwa cybernetycznego i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Systemy powinny mieć charakter niedyskryminujący i opierać się normach międzynarodowych lub unijnych, o ile normy te nie są nieskuteczne lub nieodpowiednie na potrzeby realizacji uzasadnionych celów UE w tym zakresie.

(52)  W związku z powyższym konieczne jest przyjęcie wspólnego podejścia i ustanowienie europejskich ram certyfikacji cyberbezpieczeństwa, określających wymogi horyzontalne dotyczące europejskich systemów certyfikacji cyberbezpieczeństwa, które mają zostać opracowane, oraz umożliwiających uznawanie i stosowanie we wszystkich państwach członkowskich certyfikatów odnoszących się do produktów i usług ICT. Należy przy tym wykorzystać istniejące systemy krajowe i międzynarodowe, a także wzajemne systemy uznawania, w szczególności SOG-IS, oraz umożliwić płynne przejście od systemów istniejących w ich ramach do systemów podlegających nowym ramom europejskim. Te europejskie ramy powinny mieć dwojaki cel: z jednej strony powinny działać na rzecz zwiększenia zaufania do produktów i usług ICT, które uzyskały certyfikację zgodnie ze wspomnianymi systemami. Z drugiej strony powinny pozwalać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych systemów certyfikacji cyberbezpieczeństwa i ograniczać dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. Jeśli europejski system certyfikacji cyberbezpieczeństwa zastąpił system krajowy, certyfikaty wydawane w ramach systemu europejskiego należy uznać za ważne w przypadkach, gdy wymagana była certyfikacja w ramach systemu krajowego. Systemy powinny kierować się ideą uwzględniania bezpieczeństwa na etapie projektowania oraz zasadami, o których mowa w rozporządzeniu (UE) 2016/679. Powinny również mieć charakter niedyskryminujący i opierać się normach międzynarodowych lub unijnych, o ile normy te nie są nieskuteczne lub nieodpowiednie na potrzeby realizacji uzasadnionych celów UE w tym zakresie.

Poprawka    18

Wniosek dotyczący rozporządzenia

Motyw 52 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(52a)  Wspomniane europejskie ramy cyberbezpieczeństwa należy ustanowić w sposób ujednolicony we wszystkich państwach członkowskich, aby zapobiec praktykom „kupowania certyfikatów” z uwagi na różnice kosztów lub poziomów wymagań pomiędzy państwami członkowskimi.

Poprawka    19

Wniosek dotyczący rozporządzenia

Motyw 55

Tekst proponowany przez Komisję

Poprawka

(55)  Celem europejskich systemów certyfikacji bezpieczeństwa cybernetycznego powinno być zapewnienie, aby produkty i usługi ICT certyfikowane w ramach danego systemu spełniały określone wymogi. Wymogi takie dotyczą odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności i poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów, usług i systemów w rozumieniu niniejszego rozporządzenia. Nie jest możliwe szczegółowe określenie w niniejszym rozporządzeniu wymogów w zakresie bezpieczeństwa cybernetycznego odnoszących się do wszystkich produktów i usług ICT. Produkty i usługi ICT oraz powiązane z nimi potrzeby w zakresie bezpieczeństwa cybernetycznego są tak zróżnicowane, że przedstawienie ogólnych wymogów w zakresie bezpieczeństwa cybernetycznego obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia bezpieczeństwa cybernetycznego do celów certyfikacji, uzupełnionego zestawem szczegółowych celów w zakresie bezpieczeństwa cybernetycznego, które muszą być uwzględniane przy projektowaniu europejskich systemów certyfikacji bezpieczeństwa cybernetycznego. Metody osiągania tych celów w przypadku określonych produktów i usług ICT należy następnie doprecyzować na poziomie poszczególnych systemów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odniesienie do norm lub specyfikacji technicznych.

(55)  Celem europejskich systemów certyfikacji cyberbezpieczeństwa powinno być przyczynienie do wysokiego poziomu ochrony użytkowników końcowych oraz konkurencyjności, podwyższenie poziomu ochrony na jednolitym rynku cyfrowym oraz zapewnienie w szczególności, aby produkty i usługi ICT certyfikowane w ramach danego systemu spełniały określone wymogi. Wymogi takie dotyczą odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności i poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych procesów, produktów, usług i systemów w rozumieniu niniejszego rozporządzenia. Nie jest możliwe szczegółowe określenie w niniejszym rozporządzeniu wymogów w zakresie cyberbezpieczeństwa odnoszących się do wszystkich produktów i usług ICT. Produkty i usługi ICT oraz powiązane z nimi potrzeby w zakresie cyberbezpieczeństwa są tak zróżnicowane, że przedstawienie ogólnych wymogów w zakresie cyberbezpieczeństwa obowiązujących dla wszystkich przypadków jest bardzo trudne. Konieczne jest zatem przyjęcie szerokiego i ogólnego pojęcia cyberbezpieczeństwa do celów certyfikacji, uzupełnionego zestawem szczegółowych celów w zakresie cyberbezpieczeństwa, które muszą być uwzględniane przy projektowaniu europejskich systemów certyfikacji cyberbezpieczeństwa. Metody osiągania tych celów w przypadku określonych produktów i usług ICT należy następnie doprecyzować na poziomie poszczególnych systemów certyfikacji przyjmowanych przez Komisję, na przykład poprzez odniesienie do norm lub specyfikacji technicznych. Niezwykle ważne jest, aby każdy europejski system certyfikacji cyberbezpieczeństwa był opracowany w taki sposób, by stymulował i zachęcał wszystkie podmioty zaangażowane w działalność w sektorze do opracowywania i przyjmowania standardów bezpieczeństwa, norm technicznych i zasad uwzględniania bezpieczeństwa w fazie projektowania na wszystkich etapach istnienia produktu lub usługi. W przypadku gdy system certyfikacji przewiduje stosowanie znaków lub etykiet, należy przedstawić warunki, na jakich takie znaki lub etykiety mogą być stosowane. Etykieta mogłaby mieć postać cyfrowego logo lub kodu QR i wskazywałaby zagrożenia związane z funkcjonowaniem lub użytkowaniem danego urządzenia lub usługi z zakresu ICT oraz powinna być prosta i łatwa do zrozumienia przez użytkownika końcowego.

Poprawka    20

Wniosek dotyczący rozporządzenia

Motyw 55 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(55a)  W świetle trendów w zakresie innowacji i coraz większej dostępności i liczby urządzeń internetu rzeczy we wszystkich sektorach społeczeństwa należy zwrócić szczególną uwagę na bezpieczeństwo wszystkich, nawet najprostszych produktów internetu rzeczy. W tym kontekście, jako że certyfikacja stanowi kluczową metodę zwiększania zaufania do rynku oraz poprawy bezpieczeństwa i zwiększania odporności, w nowych ramach unijnej certyfikacji cyberbezpieczeństwa należy położyć nacisk na produkty i usługi internetu rzeczy, aby były one mniej podatne na zagrożenia i bezpieczniejsze dla konsumentów i przedsiębiorstw.

Poprawka    21

Wniosek dotyczący rozporządzenia

Motyw 56

Tekst proponowany przez Komisję

Poprawka

(56)  Komisja powinna zostać uprawniona do zwracania się do agencji ENISA z wnioskiem o przygotowanie kandydujących systemów w odniesieniu do określonych produktów lub usług ICT. Następnie Komisja, w oparciu o kandydujący system zaproponowany przez agencję ENISA, powinna zostać uprawniona do przyjęcia w drodze aktów wykonawczych danego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego. Ze względu na cel ogólny oraz cele w zakresie bezpieczeństwa określone w niniejszym rozporządzeniu europejskie systemy certyfikacji bezpieczeństwa cybernetycznego przyjęte przez Komisję powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych systemów. Elementy te to między innymi zakres i przedmiot certyfikacji bezpieczeństwa cybernetycznego, w tym kategorie objętych nią produktów i usług ICT, dokładne wyszczególnienie wymogów w zakresie bezpieczeństwa cybernetycznego, na przykład poprzez odniesienie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny, jak również docelowy poziom pewności: podstawowy, znaczny lub wysoki.

(56)  ENISA powinna prowadzić specjalną witrynę internetową zaopatrzoną w łatwe w użyciu narzędzie internetowe zapewniające wykaz informacji dotyczących przyjętych systemów, systemów kandydujących oraz systemów wymaganych przez Komisję. Ze względu na cel ogólny oraz cele w zakresie bezpieczeństwa określone w niniejszym rozporządzeniu europejskie systemy certyfikacji cyberbezpieczeństwa przyjęte przez Komisję powinny zawierać minimalny zbiór elementów dotyczących przedmiotu, zakresu i funkcjonowania poszczególnych systemów. Elementy te to między innymi zakres i przedmiot certyfikacji cyberbezpieczeństwa, w tym kategorie objętych nią produktów i usług ICT, dokładne wyszczególnienie wymogów w zakresie cyberbezpieczeństwa, na przykład poprzez odniesienie do norm lub specyfikacji technicznych, szczegółowe kryteria oceny i metody oceny związane z funkcjonowaniem i użytkowaniem produktu, procesu lub usługi ICT, ich nieodłączne ryzyko, jak również docelowy poziom pewności: „funkcjonalnie bezpieczny”, tj. poziom pewności o funkcjonalnym poziomie bezpieczeństwa, „znacząco bezpieczny”, „wysoce bezpieczny” lub jakiekolwiek ich połączenie. Poziomy pewności nie powinny sugerować zapewnienia całkowitego bezpieczeństwa, aby nie wprowadzać użytkownika końcowego w błąd. Należy również uwzględnić pełny cykl życia produktu. Aby wyjaśnić, przed jakimi zagrożeniami dany produkt lub dana usługa jest się w stanie obronić, ENISA powinna skoordynować opracowanie listy kontrolnej wyszczególniającej zagrożenia spodziewane dla określonych kategorii użytkowników w określonym środowisku w odniesieniu do danego produktu lub usługi ICT.

Poprawka    22

Wniosek dotyczący rozporządzenia

Motyw 56 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56a)  Komisja powinna zostać uprawniona do zwracania się do ENISA z wnioskiem o przygotowanie kandydujących systemów w odniesieniu do określonych produktów lub usług ICT. Komisji należy zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej przekazać uprawnienia do przyjmowania aktów w odniesieniu do ustanawiania europejskich systemów certyfikacji cyberbezpieczeństwa produktów i usług ICT. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te powinny otrzymywać wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji powinni móc systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. Przy przyjmowaniu takich aktów delegowanych Komisja powinna opierać systemy certyfikacji cyberbezpieczeństwa produktów i usług ICT na wszelkich stosownych systemach certyfikacji zaproponowanych przez ENISA, aby zagwarantować, że zaufanie i przewidywalność staną się fundamentem ram certyfikacji cyberbezpieczeństwa oraz podnieść wiedzę obywateli w tym zakresie.

Poprawka    23

Wniosek dotyczący rozporządzenia

Motyw 56 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(56b)  Wśród metod i procedur oceny związanych z poszczególnymi europejskimi systemami certyfikacji cyberbezpieczeństwa należy propagować na szczeblu unijnym etyczne hakowanie, którego celem jest zidentyfikowanie słabych stron i luk w zabezpieczeniach urządzeń i systemów informacyjnych poprzez przewidywanie zamierzonych działań i umiejętności złośliwych hakerów.

Poprawka    24

Wniosek dotyczący rozporządzenia

Motyw 58

Tekst proponowany przez Komisję

Poprawka

(58)  Po przyjęciu europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego wytwórcy produktów ICT lub dostawcy usług ICT powinni móc złożyć wniosek o certyfikację swoich produktów lub usług do wybranej jednostki oceniającej zgodność. Jednostki oceniające zgodność powinny uzyskiwać akredytację ze strony jednostki akredytującej, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat i można by ją odnowić na tych samych warunkach, o ile jednostka oceniająca zgodność spełnia wymogi. Jednostki akredytujące powinny cofać akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełnione, bądź w przypadku gdy działania podejmowane przez jednostkę oceniającą zgodność naruszają niniejsze rozporządzenie.

(58)  Po przyjęciu europejskiego systemu certyfikacji cyberbezpieczeństwa wytwórcy produktów ICT lub dostawcy usług ICT powinni móc złożyć wniosek o certyfikację swoich procesów, produktów lub usług do wybranej jednostki oceniającej zgodność lub złożyć deklarację zgodności swoich produktów lub usług z odpowiednim europejskim systemem certyfikacji cyberbezpieczeństwa. Jednostki oceniające zgodność powinny uzyskiwać akredytację ze strony jednostki akredytującej, jeśli spełniają określone szczegółowe wymogi ustanowione w niniejszym rozporządzeniu. Akredytacji powinno się udzielać na maksymalny okres pięciu lat i można by ją odnowić na tych samych warunkach, o ile jednostka oceniająca zgodność spełnia wymogi. Jednostki akredytujące powinny cofać akredytację danej jednostki oceniającej zgodność, jeżeli warunki akredytacji nie są lub przestały być spełnione, bądź w przypadku gdy działania podejmowane przez jednostkę oceniającą zgodność naruszają niniejsze rozporządzenie. W celu zapewnienia, aby akredytacja odbywała się jednolicie w całej Unii Europejskiej, krajowe organy nadzoru ds. certyfikacji powinny być objęte wzajemną oceną w odniesieniu do procedur kontroli zgodności produktów objętych certyfikacją cyberbezpieczeństwa.

Poprawka    25

Wniosek dotyczący rozporządzenia

Motyw 59

Tekst proponowany przez Komisję

Poprawka

(59)  Należy zobowiązać wszystkie państwa członkowskie do wyznaczenia jednego organu nadzoru ds. certyfikacji bezpieczeństwa cybernetycznego odpowiedzialnego za nadzór nad stosowaniem się jednostek oceniających zgodność do wymogów niniejszego rozporządzenia oraz nad zgodnością z tymi wymogami certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na podlegającym organowi nadzoru terytorium, jak również odpowiednich systemów certyfikacji bezpieczeństwa cybernetycznego. Krajowe organy nadzoru ds. certyfikacji powinny rozpatrywać skargi składane przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach, badać w odpowiednim zakresie przedmiot skarg oraz informować skarżących w stosownym terminie o postępach i wynikach badania. Powinny one ponadto współpracować z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych systemów certyfikacji bezpieczeństwa cybernetycznego.

(59)  Należy zobowiązać wszystkie państwa członkowskie do wyznaczenia jednego organu nadzoru ds. certyfikacji cyberbezpieczeństwa odpowiedzialnego za nadzór nad stosowaniem się jednostek oceniających zgodność do wymogów niniejszego rozporządzenia oraz nad zgodnością z tymi wymogami certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na podlegającym organowi nadzoru terytorium, jak również odpowiednich systemów certyfikacji cyberbezpieczeństwa. Krajowe organy nadzoru ds. certyfikacji powinny rozpatrywać skargi składane przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach, badać w odpowiednim zakresie przedmiot skarg oraz informować skarżących w stosownym terminie o postępach i wynikach badania. Powinny one ponadto współpracować z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych systemów certyfikacji cyberbezpieczeństwa. Ponadto powinny nadzorować i weryfikować zgodność własnych deklaracji zgodności oraz europejskich certyfikatów cyberbezpieczeństwa wydanych przez jednostki oceniające zgodność z wymogami niniejszego rozporządzenia, w tym z zasadami przyjętymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i wymogami określonymi w odpowiednim europejskim systemie certyfikacji cyberbezpieczeństwa. Skuteczna współpraca krajowych organów nadzoru ds. certyfikacji ma kluczowe znaczenie dla właściwego wdrażania europejskich systemów certyfikacji cyberbezpieczeństwa oraz kwestii technicznych związanych z cyberbezpieczeństwem produktów i usług ICT. Komisja powinna ułatwiać wymianę informacji przez udostępnienie ogólnego elektronicznego systemu wspierającego wymianę informacji, na przykład systemu informacyjnego i komunikacyjnego do celów nadzoru rynku (ICSMS) i wspólnotowego systemu szybkiej informacji (RAPEX) dla produktów innych niż spożywcze, które to systemy są już wykorzystywane przez organy nadzoru rynku zgodnie z rozporządzeniem (WE) nr 765/2008.

Poprawka    26

Wniosek dotyczący rozporządzenia

Motyw 63

Tekst proponowany przez Komisję

Poprawka

(63)  W celu doprecyzowania kryteriów akredytacji jednostek oceniających zgodność należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej: W czasie prac przygotowawczych Komisja powinna prowadzić stosowne konsultacje, w tym na poziomie ekspertów. Konsultacje te powinny być prowadzone zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym w sprawie lepszego stanowienia prawa z dnia 13 kwietnia 2016 r. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te powinny otrzymywać wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji powinni móc systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

skreśla się

Poprawka    27

Wniosek dotyczący rozporządzenia

Motyw 65

Tekst proponowany przez Komisję

Poprawka

(65)  Należy stosować procedurę sprawdzającą w celu przyjęcia aktów wykonawczych dotyczących europejskich systemów certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT, metod prowadzenia przez Agencję postępowań wyjaśniających oraz okoliczności, formatów i procedur notyfikowania Komisji akredytowanych jednostek oceniających zgodność przez krajowe organy nadzoru ds. certyfikacji.

(65)  Należy stosować procedurę sprawdzającą w celu przyjęcia aktów wykonawczych dotyczących europejskich systemów certyfikacji cyberbezpieczeństwa procesów, produktów i usług ICT, metod prowadzenia przez Agencję postępowań wyjaśniających oraz okoliczności, formatów i procedur notyfikowania Komisji akredytowanych jednostek oceniających zgodność przez krajowe organy nadzoru ds. certyfikacji, przy czym należy uwzględnić potwierdzoną skuteczność elektronicznego narzędzia notyfikacji, jakim jest system informacyjny NANDO.

Poprawka    28

Wniosek dotyczący rozporządzenia

Motyw 66

Tekst proponowany przez Komisję

Poprawka

(66)  Działalność Agencji powinna być oceniana w sposób niezależny. Ocena ta powinna dotyczyć realizacji przez Agencję jej celów, jej metod pracy i zasadności jej zadań. Ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji bezpieczeństwa cybernetycznego.

(66)  Działalność Agencji powinna być oceniana w sposób niezależny. Ocena ta powinna obejmować zgodność z przepisami i wydajność wydatkowania Agencji, efektywność realizacji jej celów oraz opis metod jej pracy i zasadności jej zadań. Ocena powinna również dotyczyć wpływu, skuteczności i efektywności europejskich ram certyfikacji cyberbezpieczeństwa.

Poprawka    29

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 11

Tekst proponowany przez Komisję

Poprawka

11)  „produkty i usługi ICT” oznaczają każdy element lub każdą grupę elementów sieci i systemów informatycznych;

11)  „procesy, produkty i usługi ICT” oznaczają produkt, usługę, proces, system lub ich połączenie, stanowiące element sieci i systemów informatycznych;

 

(Zmiana dotyczy całości tekstu; jej przyjęcie wiąże się z koniecznością wprowadzenia zmian w całym dokumencie).

Poprawka    30

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 11 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

11a)  „krajowy organ nadzoru ds. certyfikacji” oznacza organ państwa członkowskiego odpowiedzialny za monitorowanie, egzekwowanie oraz nadzór w odniesieniu do certyfikacji cyberbezpieczeństwa na terytorium tego państwa;

Poprawka    31

Wniosek dotyczący rozporządzenia

Artykuł 2 – akapit 1 – punkt 16 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

16a)  „własna deklaracja zgodności” oznacza deklarację wytwórcy poświadczającą, że dany proces, produkt lub usługa ICT są zgodne z określonymi europejskimi systemami certyfikacji cyberbezpieczeństwa.

Poprawka    32

Wniosek dotyczący rozporządzenia

Artykuł 3 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Agencja podejmuje zadania przypisane jej na mocy niniejszego rozporządzenia w celu przyczyniania się do wysokiego poziomu bezpieczeństwa cybernetycznego w Unii.

1.  Agencja podejmuje zadania przypisane jej na mocy niniejszego rozporządzenia w celu przyczyniania się do osiągnięcia wysokiego wspólnego poziomu cyberbezpieczeństwa, tak aby zapobiec cyberatakom w Unii, zmniejszyć rozdrobnienie i poprawić funkcjonowanie rynku wewnętrznego.

Poprawka    33

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Agencja zwiększa zdolności w zakresie bezpieczeństwa cybernetycznego na poziomie unijnym w celu uzupełnienia działań państw członkowskich na rzecz zapobiegania zagrożeniom cybernetycznymi i reagowania na nie, zwłaszcza w przypadku incydentów transgranicznych.

5.  Agencja przyczynia się do zwiększania zdolności w zakresie cyberbezpieczeństwa na poziomie unijnym w celu uzupełnienia i wzmocnienia działań państw członkowskich na rzecz zapobiegania zagrożeniom dla cyberbezpieczeństwa i reagowania na nie, zwłaszcza w przypadku incydentów transgranicznych.

Poprawka    34

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6.  Agencja propaguje stosowanie certyfikacji, tym poprzez przyczynianie się do utworzenia i utrzymywania ram certyfikacji bezpieczeństwa cybernetycznego na szczeblu unijnym zgodnie z tytułem III niniejszego rozporządzenia, z myślą o zwiększeniu przejrzystości w zakresie zapewniania bezpieczeństwa cybernetycznego produktów i usług ICT, zwiększając w ten sposób zaufanie do wewnętrznego rynku cyfrowego.

6.  Agencja propaguje stosowanie certyfikacji, unikając przy tym rozdrobnienia wynikającego z braku koordynacji między istniejącymi systemami certyfikacji w Unii. Agencja przyczynia się do utworzenia i utrzymywania ram certyfikacji cyberbezpieczeństwa na szczeblu unijnym zgodnie z art. 43–54 [tytuł III], z myślą o zwiększeniu przejrzystości w zakresie zapewniania cyberbezpieczeństwa produktów i usług ICT, zwiększając w ten sposób zaufanie do jednolitego rynku cyfrowego.

Poprawka    35

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 7

Tekst proponowany przez Komisję

Poprawka

7.  Agencja działa na rzecz wysokiego poziomu wiedzy obywateli i przedsiębiorstw o zagadnieniach związanych z bezpieczeństwem cybernetycznym.

7.  Agencja działa na rzecz wysokiego poziomu wiedzy obywateli, organów i przedsiębiorstw o zagadnieniach związanych z cyberbezpieczeństwem.

Poprawka    36

Wniosek dotyczący rozporządzenia

Artykuł 5 – akapit 1 – punkt 1

Tekst proponowany przez Komisję

Poprawka

1.  pomoc i doradztwo, w szczególności przez wydawanie niezależnych opinii i wykonywanie prac przygotowawczych, w sprawach opracowywania i przeglądu polityki i prawa Unii w dziedzinie bezpieczeństwa cybernetycznego, jak również w odniesieniu do inicjatyw dotyczących polityki i prawa Unii w poszczególnych sektorach, w których występują kwestie związane z bezpieczeństwem cybernetycznym;

1.  pomoc i doradztwo w sprawach opracowywania i przeglądu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa, jak również w odniesieniu do inicjatyw dotyczących polityki i prawa Unii w poszczególnych sektorach, w których występują kwestie związane z cyberbezpieczeństwem;

Uzasadnienie

Agencja powinna mieć swobodę wyboru instrumentów do realizacji swych zadań.

Poprawka    37

Wniosek dotyczący rozporządzenia

Artykuł 5 – akapit 1 – punkt 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  pomoc dla Europejskiej Rady Ochrony Danych ustanowionej na mocy rozporządzenia (UE) 2016/679 na rzecz opracowania wytycznych w celu określenia na poziomie technicznym warunków pozwalających na legalne wykorzystywanie danych osobowych przez administratorów danych do celów bezpieczeństwa informatycznego w trosce o ochronę ich infrastruktury dzięki wykrywaniu i blokowaniu ataków przeciwko ich systemom informatycznym w kontekście: (i) rozporządzenia (UE) 2016/6791a; (ii) dyrektywy (UE) 2016/11481b; oraz (iii) dyrektywy 2002/58/WE1c;

 

_________________

 

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

 

1b (UE) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

 

1c Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).

Uzasadnienie

Ustanowienie stosownych mechanizmów współpracy.

Poprawka    38

Wniosek dotyczący rozporządzenia

Artykuł 5 – akapit 1 – punkt 4 – podpunkt 2

Tekst proponowany przez Komisję

Poprawka

2)  działań na rzecz podwyższonego poziomu bezpieczeństwa łączności elektronicznej, w tym przez zapewnianie wiedzy fachowej i doradztwa, jak również ułatwianie wymiany najlepszych praktyk między właściwymi organami;

2)  działań na rzecz podwyższonego poziomu bezpieczeństwa łączności elektronicznej, przechowywania i przetwarzania danych, w tym przez zapewnianie wiedzy fachowej i doradztwa, jak również ułatwianie wymiany najlepszych praktyk między właściwymi organami;

Poprawka    39

Wniosek dotyczący rozporządzenia

Artykuł 6 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  Agencja ułatwia opracowanie i uruchomienie długoterminowego europejskiego projektu w zakresie cyberbezpieczeństwa w celu wsparcia rozwoju niezależnej unijnej branży cyberbezpieczeństwa oraz w celu uwzględniania aspektu cyberbezpieczeństwa we wszystkich unijnych rozwiązaniach informatycznych.

Uzasadnienie

ENISA powinna doradzać prawodawcom przy przygotowywaniu strategii politycznych, aby umożliwić UE dogonienie branży zajmujących się bezpieczeństwem informatycznym w państwach trzecich. Projekt ten powinien być porównywalny w skali do tego, co udało się wcześniej osiągnąć w przemyśle lotniczym (przykład Airbusa). Jest to konieczne, aby stworzyć silniejszy, suwerenny i godny zaufania sektor ICT w UE (zob. badanie Działu Prognoz Naukowych (STOA) PE 614.531).

Poprawka    40

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 5 – akapit 1

Tekst proponowany przez Komisję

Poprawka

Na wniosek co najmniej dwóch zainteresowanych państw członkowskich, oraz w wyłącznym celu udzielania porad dotyczących zapobiegania przyszłym incydentom, Agencja wspiera przeprowadzenie technicznego postępowania wyjaśniającego ex post lub przeprowadza takie postępowanie w wyniku zawiadomień o incydentach o znacznych lub istotnych skutkach, złożonych przez poszkodowane przedsiębiorstwa na podstawie dyrektywy (UE) 2016/1148. Agencja przeprowadza również takie postępowanie wyjaśniające na należycie uzasadniony wniosek Komisji, złożony w porozumieniu z zainteresowanymi państwami członkowskimi, w przypadku takich incydentów mających wpływ na więcej niż dwa państwa członkowskie.

Na wniosek co najmniej jednego zainteresowanego państwa członkowskiego, oraz w wyłącznym celu udzielania porad dotyczących zapobiegania przyszłym incydentom, Agencja wspiera przeprowadzenie technicznego postępowania wyjaśniającego ex post lub przeprowadza takie postępowanie w wyniku zawiadomień o incydentach o znacznych lub istotnych skutkach, złożonych przez poszkodowane przedsiębiorstwa na podstawie dyrektywy (UE) 2016/1148. Agencja przeprowadza również takie postępowanie wyjaśniające na należycie uzasadniony wniosek Komisji, złożony w porozumieniu z zainteresowanymi państwami członkowskimi, w przypadku takich incydentów mających wpływ na więcej niż dwa państwa członkowskie.

Poprawka    41

Wniosek dotyczący rozporządzenia

Artykuł 7 – ustęp 8 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  gromadzenie raportów ze źródeł krajowych w celu przyczynienia się do ustalenia wspólnej orientacji sytuacyjnej;

a)  gromadzenie raportów ze źródeł krajowych i międzynarodowych w celu przyczynienia się do ustalenia wspólnej orientacji sytuacyjnej;

Poprawka    42

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – podpunkt 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a)  przeprowadzanie – we współpracy z Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa – ocen procedur wydawania europejskich certyfikatów cyberbezpieczeństwa, ustanowionych przez jednostki oceniające zgodność, o których mowa w art. 51, w trosce o zapewnienie jednolitego stosowania niniejszego rozporządzenia przez jednostki oceniające zgodność przy wydawaniu certyfikatów;

Poprawka    43

Wniosek dotyczący rozporządzenia

Artykuł 8 – ustęp 1 – litera a – podpunkt 1 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1b)  przeprowadzanie niezależnych okresowych kontroli ex post w zakresie zgodności certyfikowanych produktów i usług ICT z zasadami europejskich systemów certyfikacji cyberbezpieczeństwa;

Poprawka    44

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera a – podpunkt 3

Tekst proponowany przez Komisję

Poprawka

3)  sporządzanie i publikowanie wytycznych oraz opracowywanie dobrych praktyk dotyczących wymogów w zakresie bezpieczeństwa cybernetycznego produktów i usług ICT, we współpracy z krajowymi organami nadzoru ds. certyfikacji oraz z przemysłem;

3)  sporządzanie i publikowanie wytycznych oraz opracowywanie dobrych praktyk, w tym w zakresie zasad cyberhigieny oraz zniechęcania do wstawiania ukrytych luk typu backdoor, dotyczących wymogów w zakresie cyberbezpieczeństwa produktów i usług ICT, we współpracy z krajowymi organami nadzoru ds. certyfikacji oraz z przemysłem w ramach formalnego, znormalizowanego i przejrzystego procesu;

Poprawka    45

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  ułatwia ustanowienie i upowszechnienie europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem i bezpieczeństwa produktów i usług ICT, jak również opracowuje, we współpracy z państwami członkowskimi, porady i wytyczne dotyczące kwestii technicznych związanych z wymogami bezpieczeństwa odnoszącymi się do operatorów usług kluczowych i dostawców usług cyfrowych, a także dotyczące już istniejących norm, w tym norm krajowych państw członkowskich, na podstawie art. 19 ust. 2 dyrektywy (UE) 2016/1148;

b)  konsultuje z międzynarodowymi organami normalizacyjnymi i z europejskimi organizacjami normalizacyjnymi kwestie dotyczące opracowywania norm, aby zapewnić stosowność norm wykorzystywanych w europejskich systemach certyfikacji cyberbezpieczeństwa, oraz ułatwia ustanowienie i upowszechnienie odpowiednich europejskich i międzynarodowych norm dotyczących zarządzania ryzykiem i bezpieczeństwa produktów i usług ICT, jak również opracowuje, we współpracy z państwami członkowskimi, porady i wytyczne dotyczące kwestii technicznych związanych z wymogami bezpieczeństwa odnoszącymi się do operatorów usług kluczowych i dostawców usług cyfrowych, a także dotyczące już istniejących norm, w tym norm krajowych państw członkowskich, na podstawie art. 19 ust. 2 dyrektywy (UE) 2016/1148;

Poprawka    46

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  opracowuje wytyczne dotyczące tego, jak i kiedy państwa członkowskie mają informować się wzajemnie w razie uzyskania informacji o nieznanej publicznie luce w zabezpieczeniu procesu, produktu lub usługi ICT, które zostały certyfikowane zgodnie z przepisami tytułu III niniejszego rozporządzenia, włącznie z wytycznymi dotyczącymi koordynacji polityk ujawniania luk w zabezpieczeniach;

Poprawka    47

Wniosek dotyczący rozporządzenia

Artykuł 8 – akapit 1 – litera b b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

bb)  opracowuje wytyczne dotyczące minimalnych wymogów w zakresie bezpieczeństwa odnoszące się do urządzeń informatycznych znajdujących się w obrocie w Unii lub wywożonych z Unii;

Poprawka    48

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  gromadzi, systematyzuje i podaje do wiadomości publicznej za pośrednictwem specjalnego portalu informacje na temat bezpieczeństwa cybernetycznego przekazane przez instytucje, agencji i organy Unii;

d)  gromadzi, systematyzuje i podaje do wiadomości publicznej za pośrednictwem specjalnego portalu informacje na temat cyberbezpieczeństwa, w tym informacje o znaczących incydentach z zakresu cyberbezpieczeństwa i poważnych naruszeń ochrony danych, przekazane przez instytucje, agencji i organy Unii;

Poprawka    49

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  działa na rzecz podniesienia świadomości ogółu społeczeństwa na temat różnych postaci ryzyka cybernetycznego i przedstawia wytyczne na temat dobrych praktyk dla użytkowników końcowych, skierowane do obywateli i organizacji;

e)  działa na rzecz podniesienia świadomości ogółu społeczeństwa na temat różnych postaci ryzyka dla cyberbezpieczeństwa, przedstawia wytyczne na temat dobrych praktyk dla użytkowników końcowych, skierowane do obywateli i organizacji, a także propaguje stosowanie solidnych zapobiegawczych środków w zakresie bezpieczeństwa informatycznego oraz niezawodną ochronę danych i prywatności;

Poprawka    50

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera g a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ga)  wspiera ściślejszą współpracę i wymianę najlepszych praktyk między państwami członkowskimi w zakresie edukacji w dziedzinie cyberbezpieczeństwa, cyberhigieny i wiedzy w tym zakresie;

Poprawka    51

Wniosek dotyczący rozporządzenia

Artykuł 10 – akapit 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  doradza Unii i państwom członkowskim w zakresie potrzeb badawczych i priorytetów w dziedzinie bezpieczeństwa cybernetycznego z myślą o umożliwieniu skutecznego reagowania na bieżące i pojawiające się ryzyko i zagrożenia, w tym również w odniesieniu do nowych i powstających technologii informacyjno-komunikacyjnych, a także z myślą o skutecznym stosowaniu technologii zapobiegania ryzyku;

a)  zapewnia uprzednie konsultacje z odpowiednimi grupami użytkowników oraz doradza Unii i państwom członkowskim w zakresie potrzeb badawczych i priorytetów w dziedzinie cyberbezpieczeństwa z myślą o umożliwieniu skutecznego reagowania na bieżące i pojawiające się ryzyko i zagrożenia, w tym również w odniesieniu do nowych i powstających technologii informacyjno-komunikacyjnych, a także z myślą o skutecznym stosowaniu technologii zapobiegania ryzyku;

Poprawka    52

Wniosek dotyczący rozporządzenia

Artykuł 13 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich oraz dwóch przedstawicieli wyznaczonych przez Komisję. Prawo głosu przysługuje wszystkim przedstawicielom.

1.  W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich oraz dwóch przedstawicieli wyznaczonych przez Komisję i Parlament Europejski. Prawo głosu przysługuje wszystkim przedstawicielom.

Poprawka    53

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  ocenia i przyjmuje skonsolidowane sprawozdanie roczne z działalności Agencji oraz do dnia 1 lipca następnego roku przesyła zarówno sprawozdanie, jak i jego ocenę Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu. Sprawozdanie roczne zawiera sprawozdanie finansowe i opis sposobu osiągnięcia przez Agencję wskaźników skuteczności jej działania. Sprawozdanie roczne podaje się do wiadomości publicznej;

e)  ocenia i przyjmuje skonsolidowane sprawozdanie roczne z działalności Agencji oraz do dnia 1 lipca następnego roku przesyła zarówno sprawozdanie, jak i jego ocenę Parlamentowi Europejskiemu, Radzie, Komisji i Trybunałowi Obrachunkowemu. Sprawozdanie roczne zawiera sprawozdanie finansowe, opis skuteczności wydatkowania oraz ocenę skuteczności Agencji i stopień, w jakim zrealizowano wskaźniki skuteczności jej działania. Sprawozdanie roczne podaje się do wiadomości publicznej;

Poprawka    54

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera m

Tekst proponowany przez Komisję

Poprawka

m)  mianuje dyrektora wykonawczego oraz w stosownych przypadkach podejmuje decyzje o przedłużeniu jego kadencji lub odwołaniu go ze stanowiska zgodnie z art. 33 niniejszego rozporządzenia;

m)  mianuje dyrektora wykonawczego w drodze wyboru w oparciu o kwalifikacje zawodowe oraz w stosownych przypadkach podejmuje decyzje o przedłużeniu jego kadencji lub odwołaniu go ze stanowiska zgodnie z art. 33 niniejszego rozporządzenia;

Poprawka    55

Wniosek dotyczący rozporządzenia

Artykuł 14 – ustęp 1 – litera o

Tekst proponowany przez Komisję

Poprawka

o)  podejmuje wszystkie decyzje dotyczące ustanowienia wewnętrznej struktury Agencji, a w razie potrzeby jej modyfikacji, uwzględniając potrzeby w zakresie działań Agencji i mając na uwadze należyte zarządzanie budżetem;

o)  podejmuje wszystkie decyzje dotyczące ustanowienia wewnętrznej struktury Agencji, a w razie potrzeby jej modyfikacji, uwzględniając potrzeby w zakresie działań Agencji, o których mowa w niniejszym rozporządzeniu, i mając na uwadze należyte zarządzanie budżetem;

Poprawka    56

Wniosek dotyczący rozporządzenia

Artykuł 19 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Dyrektor wykonawczy na wezwanie Parlamentu Europejskiego informuje go o wykonywaniu swoich obowiązków. Rada może wezwać dyrektora wykonawczego do poinformowania jej o wykonywaniu powierzonych mu obowiązków.

2.  Dyrektor wykonawczy na wezwanie Parlamentu Europejskiego co roku informuje go o wykonywaniu swoich obowiązków. Rada może wezwać dyrektora wykonawczego do poinformowania jej o wykonywaniu powierzonych mu obowiązków.

Poprawka    57

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Działając na wniosek dyrektora wykonawczego, zarząd ustanawia Stałą Grupę Przedstawicieli Zainteresowanych Stron złożoną z uznanych ekspertów reprezentujących odpowiednie zainteresowane strony, takie jak sektor ICT, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, grupy konsumenckie, eksperci akademiccy w dziedzinie bezpieczeństwa cybernetycznego oraz przedstawiciele właściwych organów zgłoszonych na podstawie [dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej], a także organy nadzorcze ds. egzekwowania prawa i ochrony danych.

1.  Działając na wniosek dyrektora wykonawczego, zarząd ustanawia Stałą Grupę Przedstawicieli Zainteresowanych Stron złożoną z uznanych ekspertów reprezentujących odpowiednie zainteresowane strony, takie jak sektor ICT, oraz dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, w szczególności europejski sektor ICT i dostawcy ICT, stowarzyszenia małych i średnich przedsiębiorstw, grupy i stowarzyszenia konsumenckie, eksperci akademiccy w dziedzinie cyberbezpieczeństwa, europejskie organizacje normalizacyjne zgodnie z definicją zawartą w art. 2 pkt 8 rozporządzenia (UE) nr 1025/2012, stosowne agencje i jednostki sektorowe na szczeblu unijnym oraz przedstawiciele właściwych organów zgłoszonych na podstawie [dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej], a także organy nadzorcze ds. egzekwowania prawa i ochrony danych.

Poprawka    58

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Kadencja członków Stałej Grupy Przedstawicieli Zainteresowanych Stron wynosi dwa i pół roku. Członkowie zarządu nie mogą być członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron. Eksperci z Komisji i z państw członkowskich mają prawo do udziału w posiedzeniach i pracach Stałej Grupy Przedstawicieli Zainteresowanych Stron. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe, którzy nie są członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron, mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.

4.  Kadencja członków Stałej Grupy Przedstawicieli Zainteresowanych Stron wynosi dwa i pół roku. Członkowie zarządu i rady wykonawczej, z wyjątkiem dyrektora wykonawczego, nie mogą być członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron. Eksperci z Komisji i z państw członkowskich mają prawo do udziału w posiedzeniach i pracach Stałej Grupy Przedstawicieli Zainteresowanych Stron. Przedstawiciele innych organów uznanych przez dyrektora wykonawczego za właściwe, którzy nie są członkami Stałej Grupy Przedstawicieli Zainteresowanych Stron, mogą być zapraszani na jej posiedzenia i uczestniczyć w jej pracach.

Poprawka    59

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Stała Grupa Przedstawicieli Zainteresowanych Stron doradza Agencji w związku z realizacją jej działań. Grupa doradza w szczególności dyrektorowi wykonawczemu w sprawie sporządzenia wniosku dotyczącego programu prac Agencji oraz w sprawie zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami we wszystkich kwestiach związanych z programem prac.

5.  Stała Grupa Przedstawicieli Zainteresowanych Stron doradza Agencji w związku z realizacją jej działań. Grupa doradza w szczególności dyrektorowi wykonawczemu w sprawie sporządzenia wniosku dotyczącego programu prac Agencji oraz w sprawie zapewnienia komunikacji z odpowiednimi zainteresowanymi stronami we wszystkich kwestiach związanych z programem prac. Może również proponować Komisji, aby ta zwróciła się do Agencji o przygotowanie kandydującego europejskiego systemu certyfikacji cyberbezpieczeństwa zgodnie z art. 44, zarówno z inicjatywy własnej lub w następstwie otrzymania wniosków od odpowiednich zainteresowanych stron.

Poprawka    60

Wniosek dotyczący rozporządzenia

Artykuł 20 – ustęp 5 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

5a.  Stała Grupa Przedstawicieli Zainteresowanych Stron doradza Agencji w ramach przygotowania kandydującego europejskiego systemu certyfikacji cyberbezpieczeństwa.

Poprawka    61

Wniosek dotyczący rozporządzenia

Artykuł 23 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Agencja zapewnia, aby społeczeństwo i wszelkie inne zainteresowane strony otrzymywały odpowiednie, obiektywne, wiarygodne i łatwo dostępne informacje, w szczególności dotyczące wyników jej pracy. Agencja podaje również do wiadomości publicznej deklaracje interesów złożone zgodnie z art. 22.

2.  Agencja zapewnia, aby społeczeństwo i wszelkie inne zainteresowane strony otrzymywały odpowiednie, obiektywne, wiarygodne i łatwo dostępne informacje, w szczególności dotyczące prowadzonych debat i wyników jej pracy. Agencja podaje również do wiadomości publicznej deklaracje interesów złożone zgodnie z art. 22.

Uzasadnienie

Należy zapewnić możliwość egzekwowania przejrzystości, biorąc pod uwagę zastosowanie art. 24.

Poprawka    62

Wniosek dotyczący rozporządzenia

Artykuł 43 – akapit 1

Tekst proponowany przez Komisję

Poprawka

Europejski system certyfikacji bezpieczeństwa cybernetycznego poświadcza, że produkty i usługi ICT, które zostały poddane certyfikacji zgodnie z takim systemem, spełniają określone wymogi w odniesieniu do swojej odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności lub poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, procesów, usług i systemów.

Europejski system certyfikacji cyberbezpieczeństwa ustanawia się w celu zwiększenia poziomu bezpieczeństwa w obrębie jednolitego rynku cyfrowego i przyjęcia zharmonizowanego podejścia na szczeblu UE do certyfikacji europejskiej, aby zagwarantować odporność produktów, usług i systemów ICT na cyberataki.

System poświadcza, że procesy, produkty i usługi ICT, które zostały poddane certyfikacji zgodnie z takim systemem, spełniają określone wspólne wymogi i są zgodne z określonymi właściwościami w odniesieniu do swojej odporności, przy danym poziomie pewności, na działania, których celem jest naruszenie dostępności, autentyczności, integralności lub poufności przechowywanych lub przekazywanych lub przetwarzanych danych, lub też funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych procesów, produktów, usług i systemów.

Poprawka    63

Wniosek dotyczący rozporządzenia

Artykuł 43 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 43a

 

Program prac

 

ENISA, po zasięgnięciu opinii Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa oraz Stałej Grupy Przedstawicieli Zainteresowanych Stron i po zatwierdzeniu przez Komisję, opracowuje program obejmujący wspólne działania, które mają zostać podjęte na szczeblu Unii, aby zapewnić spójne stosowanie tego Tytułu i zawierające priorytetowy wykaz produktów i usług ICT, w odniesieniu do którego ENISA uzna istnienie europejskiego systemu certyfikacji cyberbezpieczeństwa za niezbędne.

 

Program prac opracowuje się najpóźniej [sześć miesięcy od daty wejścia w życie niniejszego rozporządzenia], a następnie co dwa lata przygotowuje nowy program. Program prac podaje się do wiadomości publicznej.

Poprawka    64

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Po otrzymaniu wniosku Komisji ENISA przygotowuje kandydujący europejski system certyfikacji bezpieczeństwa cybernetycznego, który spełnia wymogi określone w art. 45, 46 i 47 niniejszego rozporządzenia. Państwa członkowskie lub Europejska Grupa ds. Certyfikacji Bezpieczeństwa Cybernetycznego („Grupa”) ustanowiona na mocy art. 53 mogą zaproponować Komisji przygotowanie kandydującego europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego.

1.  Po otrzymaniu wniosku Komisji ENISA przygotowuje kandydujący europejski system certyfikacji cyberbezpieczeństwa, który spełnia wymogi określone w art. 45, 46 i 47 niniejszego rozporządzenia. Państwa członkowskie, Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa („Grupa”) ustanowiona na mocy art. 53 lub Stała Grupa Przedstawicieli Zainteresowanych Stron ustanowiona na mocy art. 20 mogą zaproponować Komisji przygotowanie kandydującego europejskiego systemu certyfikacji cyberbezpieczeństwa.

Poprawka    65

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Przygotowując kandydujące systemy, o których mowa w ust. 1 niniejszego artykułu, ENISA konsultuje się z wszystkimi odpowiednimi zainteresowanymi stronami i ściśle współpracuje z Grupą. ENISA uzyskuje od Grupy pomoc i fachowe doradztwo, których potrzebuje w związku z przygotowywaniem kandydującego systemu, w tym – w razie potrzeby – opinie.

2.  Przygotowując kandydujące systemy, o których mowa w ust. 1 niniejszego artykułu, ENISA konsultuje się ze Stałą Grupą Przedstawicieli Zainteresowanych Stron, zwłaszcza z europejskimi organizacjami normalizacyjnymi, a także z wszystkimi innymi odpowiednimi zainteresowanymi stronami, w tym organizacjami konsumenckimi w ramach formalnego, standardowego i przejrzystego procesu, oraz ściśle współpracuje z Grupą, uwzględniając już istniejące standardy krajowe i międzynarodowe. Przygotowując każdy kandydujący system, ENISA układa listę kontrolną zagrożeń i odpowiadających im cyberzabezpieczeń.

 

ENISA uzyskuje od Grupy pomoc i fachowe doradztwo, których potrzebuje w związku z przygotowywaniem kandydującego systemu, w tym – w razie potrzeby – opinie.

 

W stosownych przypadkach ENISA może również powołać grupę ekspertów prowadzących konsultacje z zainteresowanymi stronami, składającą się z członków Stałej Grupy Przedstawicieli Zainteresowanych Stron oraz wszelkich innych odpowiednich zainteresowanych stron posiadających szczególną wiedzę specjalistyczną w dziedzinie danego systemu kandydującego, tak aby zapewnić w ten sposób dalszą pomoc i doradztwo.

Poprawka    66

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  ENISA przekazuje Komisji kandydujący europejski system certyfikacji bezpieczeństwa cybernetycznego przygotowany zgodnie z ust. 2 niniejszego artykułu.

3.  ENISA przekazuje Komisji kandydujący europejski system certyfikacji cyberbezpieczeństwa przygotowany zgodnie z ust. 2 niniejszego artykułu, a Komisja ocenia jego stosowność do spełnienia celów wniosku zgodnie z ust. 1.

Poprawka    67

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 3 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3a.  ENISA zachowuje tajemnicę zawodową w odniesieniu do wszelkich informacji uzyskanych w trakcie wykonywania zadań objętych zakresem niniejszego rozporządzenia.

Poprawka    68

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Komisja, w oparciu o kandydujący system zaproponowany przez ENISA, może zgodnie z art. 55 ust. 1 przyjąć akty wykonawcze ustanawiające europejskie systemy certyfikacji bezpieczeństwa cybernetycznego produktów i usług ICT spełniające wymogi art. 45, 46 i 47 niniejszego rozporządzenia.

4.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 55a w odniesieniu do ustanawiania europejskich systemów certyfikacji cyberbezpieczeństwa produktów i usług ICT spełniających wymogi art. 45, 46 i 47 niniejszego rozporządzenia. Przy przyjmowaniu takich aktów delegowanych Komisja opiera systemy certyfikacji cyberbezpieczeństwa produktów i usług ICT na ewentualnym stosownym systemie certyfikacji zaproponowanym przez agencję ENISA. Komisja może konsultować się z Europejską Radą Ochrony Danych i brać pod uwagę jej opinię przed przyjęciem takich aktów delegowanych.

Poprawka    69

Wniosek dotyczący rozporządzenia

Artykuł 44 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  ENISA utrzymuje specjalną stronę internetową zawierającą informacje na temat europejskich systemów certyfikacji bezpieczeństwa cybernetycznego i propagującą te systemy.

5.  ENISA utrzymuje specjalną stronę internetową zawierającą informacje na temat europejskich systemów certyfikacji cyberbezpieczeństwa, w tym informacje na temat wszystkich systemów kandydujących, o przygotowanie których Komisja zwróciła się do ENISA, i propagującą te systemy.

Poprawka    70

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

Europejski system certyfikacji bezpieczeństwa cybernetycznego musi być tak zaprojektowany, aby odpowiednio uwzględniać następujące cele w zakresie bezpieczeństwa:

Każdy europejski system certyfikacji cyberbezpieczeństwa musi być tak zaprojektowany, aby uwzględniać co najmniej następujące cele w zakresie bezpieczeństwa, o ile są one w danym przypadku istotne:

Poprawka    71

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  zapewnienie oferowania produktów i usług ICT wraz z aktualnym oprogramowaniem niezawierającym znanych luk w zabezpieczeniach oraz istnienia mechanizmów bezpiecznej aktualizacji oprogramowania.

g)  zapewnienie oferowania produktów i usług ICT wraz z aktualnym oprogramowaniem i sprzętem niezawierającym znanych luk w zabezpieczeniach; zapewnienie, że zostały one zaprojektowane i wdrożone w taki sposób, aby skutecznie ograniczyć ich podatność na zagrożenia oraz zagwarantowanie, że są one wyposażone w mechanizmy bezpiecznej aktualizacji oprogramowania, w tym aktualizację komponentów sprzętu oraz automatyczną aktualizację zabezpieczeń;

Poprawka    72

Wniosek dotyczący rozporządzenia

Artykuł 45 – akapit 1 – litera g a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ga)  zapewnienie opracowywania i funkcjonowania produktów i usług ICT tak, aby zapewnić uprzednie skonfigurowanie wysokiego poziomu cyberbezpieczeństwa i ochrony danych zgodnie z zasadą uwzględniania bezpieczeństwa w fazie projektowania.

Poprawka    73

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  W odniesieniu do produktów i usług ICT związanych ze sprzętem i oprogramowaniem certyfikowanych w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego można określić jeden lub więcej następujących poziomów pewności: podstawowy, znaczny lub wysoki.

1.  W odniesieniu do produktów i usług ICT certyfikowanych w ramach każdego europejskiego systemu certyfikacji cyberbezpieczeństwa można określić następujące poziomy pewności oparte na ocenie ryzyka: „funkcjonalnie bezpieczny”, „znacząco bezpieczny” i/lub „wysoce bezpieczny”.

 

W ramach kandydującego europejskiego systemu certyfikacji cyberbezpieczeństwa poziomy pewności są określane na podstawie zagrożeń wskazanych w liście kontrolnej, o której mowa w art. 44 ust. 2, oraz dostępności środków cyberbezpieczeństwa umożliwiających przeciwdziałanie tym zagrożeniom w ramach produktów i usług ICT, do których ma zastosowanie dany system certyfikacji.

Poprawka    74

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a.  W ramach każdego systemu należy wskazać metodologię lub proces oceny stosowane do wydawania certyfikatów dla każdego poziomu pewności, w zależności od planowanego przeznaczenia produktów i usług objętych tym systemem oraz powiązanego z nimi ryzyka.

Poprawka    75

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

2.  Poziomy pewności podstawowy, znaczny lub wysoki spełniają odpowiednio następujące kryteria:

2.  Poziomy pewności „funkcjonalnie bezpieczny”, „znacząco bezpieczny” lub „wysoce bezpieczny” spełniają odpowiednio następujące kryteria:

Poprawka    76

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  podstawowy poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia ograniczony poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zmniejszenie ryzyka wystąpienia incydentów cybernetycznych;

a)  poziom pewności określony jako „funkcjonalnie bezpieczny” odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa, który to certyfikat zapewnia odpowiedni poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie cyberbezpieczeństwa procesu, produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zmniejszenie ryzyka wystąpienia cyberincydentów;

Poprawka    77

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  znaczny poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia znaczny poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest znaczne zmniejszenie ryzyka wystąpienia incydentów cybernetycznych;

b)  poziom pewności określony jako „znacząco bezpieczny” odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa, który to certyfikat zapewnia znaczny poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie cyberbezpieczeństwa procesu, produktu lub usługi ICT i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest znaczne zmniejszenie ryzyka wystąpienia cyberincydentów;

Poprawka    78

Wniosek dotyczący rozporządzenia

Artykuł 46 – ustęp 2 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  wysoki poziom pewności odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego, który to certyfikat zapewnia wyższy poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie bezpieczeństwa cybernetycznego produktu lub usługi ICT niż certyfikaty poświadczające znaczny poziom pewności i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zapobieganie incydentom cybernetycznym.

c)  poziom pewności określony jako „wysoce bezpieczny” odnosi się do certyfikatu wydanego w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa, który to certyfikat zapewnia wyższy poziom ufności odnośnie do deklarowanych lub postulowanych właściwości w zakresie cyberbezpieczeństwa procesu, produktu lub usługi ICT niż certyfikaty poświadczające poziom pewności określony jako „znacząco bezpieczny” i charakteryzuje się odniesieniem do związanych z nim specyfikacji technicznych, norm i procedur, w tym kontroli technicznych, których celem jest zapobieganie cyberincydentom. Przepis ten ma zastosowanie w szczególności do produktów i usług przeznaczonych do użytku operatorów usług kluczowych, zgodnie z definicją w art. 4 ust. 4 dyrektywy 2016/1148/UE.

Poprawka    79

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

1.  Europejski system certyfikacji bezpieczeństwa cybernetycznego obejmuje następujące elementy:

1.  Każdy europejski system certyfikacji cyberbezpieczeństwa obejmuje w stosownych przypadkach przynajmniej następujące elementy:

Poprawka    80

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  przedmiot i zakres certyfikacji, w tym rodzaj lub kategorie objętych danym systemem produktów i usług ICT;

a)  przedmiot i zakres systemu certyfikacji, w tym ewentualne sektory, które certyfikacja obejmuje, oraz rodzaj lub kategorie objętych danym systemem produktów i usług ICT;

Poprawka    81

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  szczegółową specyfikację wymogów w zakresie bezpieczeństwa cybernetycznego, w stosunku do których oceniane są produkty i usługi ICT, na przykład poprzez odniesienie do norm unijnych lub międzynarodowych bądź specyfikacji technicznych;

b)  szczegółową specyfikację wymogów w zakresie cyberbezpieczeństwa, pod kątem których oceniane są konkretne produkty i usługi ICT, w szczególności przez odniesienie do międzynarodowych, europejskich lub krajowych norm bądź specyfikacji technicznych;

Poprawka    82

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  szczegółową specyfikację określającą, czy przyznany certyfikat ma zastosowanie wyłącznie do jednostkowego produktu, czy też może być zastosowany do określonego zakresu produktów, np. różnych wersji lub modeli produktu o tej samej strukturze bazowej;

Poprawka    83

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  wskazanie czy system dopuszcza własną deklarację zgodności oraz mającą zastosowanie procedurę oceny zgodności lub własną deklarację zgodności lub oba elementy;

Poprawka    84

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera c b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

cb)  wymogi certyfikacyjne zdefiniowane tak, aby certyfikacja mogła zostać włączona do systematycznych procesów w zakresie cyberbezpieczeństwa prowadzonych przez wytwórcę na etapie projektowania, rozwoju oraz cyklu życia procesu, produktu lub usługi ICT, bądź mogła się na tych procesach opierać;

Poprawka    85

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera f

Tekst proponowany przez Komisję

Poprawka

f)  w przypadku gdy system przewiduje stosowanie znaków lub etykiet – warunki, na jakich takie znaki lub etykiety mogą być stosowane;

f)  w przypadku gdy system przewiduje stosowanie znaków lub etykiet, w tym unijną etykietę poświadczającą zgodność pod względem cyberbezpieczeństwa oznaczającą, że dany proces, produkt lub dana usługa ICT spełniają kryteria systemu – warunki, na jakich takie znaki lub etykiety mogą być stosowane;

Poprawka    86

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g)  jeżeli nadzór stanowi część systemu – zasady monitorowania zgodności z wymogami certyfikatów, w tym mechanizmy wykazywania ciągłej zgodności z określonymi wymogami w zakresie bezpieczeństwa cybernetycznego;

g)  zasady monitorowania zgodności z wymogami certyfikatów, w tym mechanizmy wykazywania ciągłej zgodności z określonymi wymogami w zakresie cyberbezpieczeństwa, takimi jak, stosownie do potrzeb i możliwości, obowiązkowe aktualizacje, ulepszenia i poprawki danego procesu, produktu lub usługi ICT;

Poprawka    87

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera h

Tekst proponowany przez Komisję

Poprawka

h)  warunki przyznawania, utrzymania, kontynuowania oraz rozszerzania i zmniejszania zakresu certyfikacji;

h)  warunki przyznawania, utrzymania, kontynuowania, odnawiania oraz rozszerzania i zmniejszania zakresu certyfikacji;

Poprawka    88

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera i

Tekst proponowany przez Komisję

Poprawka

i)  zasady dotyczące konsekwencji niezgodności certyfikowanych produktów i usług ICT z wymogami w zakresie certyfikacji;

i)  zasady dotyczące konsekwencji niezgodności certyfikowanych produktów i usług ICT z wymogami w zakresie certyfikacji oraz ogólne informacje na temat kar zgodnie z art. 54 niniejszego rozporządzenia;

Poprawka    89

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera j

Tekst proponowany przez Komisję

Poprawka

j)  zasady dotyczące sposobu zgłaszania uprzednio niewykrytych luk w zabezpieczeniach cybernetycznych produktów i usług ICT oraz sposobu postępowania z takimi lukami;

j)  zasady dotyczące sposobu zgłaszania uprzednio niewykrytych luk w zabezpieczeniach cyberbezpieczeństwa produktów i usług ICT oraz sposobu postępowania z takimi lukami, w tym za pośrednictwem skoordynowanych procesów ujawniania luk w zabezpieczeniach;

Poprawka    90

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera l

Tekst proponowany przez Komisję

Poprawka

l)  identyfikację krajowych systemów certyfikacji bezpieczeństwa cybernetycznego, obejmujących ten sam rodzaj lub kategorie produktów i usług ICT;

l)  identyfikację krajowych lub międzynarodowych systemów certyfikacji cyberbezpieczeństwa lub obowiązujących międzynarodowych umów o wzajemnym uznawaniu obejmujących ten sam rodzaj lub kategorie produktów i usług ICT;

Poprawka    91

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera m a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ma)  maksymalny okres ważności certyfikatów;

Poprawka    92

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1 – litera m b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

mb)  zasady dotyczące prób wytrzymałości i odporności dla poziomów pewności określonych jako „wysoce bezpieczny”.

Poprawka    93

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Jeżeli dany akt unijny tak stanowi, certyfikacja w ramach europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego może być stosowana do wykazania domniemania zgodności z wymogami tego aktu.

3.  Jeżeli w przyszłości dany akt unijny tak ustanowi, certyfikacja w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa może być stosowana do wykazania domniemania zgodności z wymogami tego aktu.

Poprawka    94

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Certyfikacja jest dobrowolna, o ile prawo Unii nie stanowi inaczej.

2.  Certyfikacja w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa jest obowiązkowa w przypadku produktów i usług ICT charakteryzujących się wysokim ryzykiem nieodłącznym, które są przeznaczone w szczególności do użytku operatorów usług kluczowych, zgodnie z art. 4 ust. 4 dyrektywy 2016/1148/UE. W przypadku wszystkich innych produktów i usług ICT certyfikacja jest dobrowolna, o ile prawo Unii nie stanowi inaczej.

Poprawka    95

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Europejski certyfikat bezpieczeństwa cybernetycznego na podstawie niniejszego artykułu jest wydawany przez jednostki oceniające zgodność, o których mowa w art. 51, w oparciu o kryteria uwzględnione w europejskim systemie certyfikacji bezpieczeństwa cybernetycznego przyjętym na podstawie art. 44.

3.  Europejskie certyfikaty cyberbezpieczeństwa na podstawie niniejszego artykułu są wydawane przez jednostki oceniające zgodność, o których mowa w art. 51, w oparciu o kryteria uwzględnione w europejskim systemie certyfikacji cyberbezpieczeństwa przyjętym na podstawie art. 44.

 

Jako alternatywa dla procesu certyfikacji przez jednostki oceniające zgodność wytwórcy produktów i dostawcy usług mogą w przypadku gdy dany system na to pozwala, złożyć własną deklarację zgodności, w której oświadczają, że proces, produkt lub usługa są zgodne z kryteriami systemu certyfikacji. W takich przypadkach wytwórca produktu lub dostawca usług dostarcza krajowemu organowi nadzoru ds. certyfikacji i ENISA, na ich wniosek, własną deklarację zgodności.

Poprawka    96

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 4 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

4.  Na zasadzie odstępstwa od ust. 3, w należycie uzasadnionych przypadkach, określony europejski system certyfikacji bezpieczeństwa cybernetycznego może przewidywać, że europejski certyfikat bezpieczeństwa cybernetycznego będący wynikiem tego systemu może być wydawany jedynie przez podmiot publiczny. Takim podmiotem publicznym musi być jeden z wymienionych poniżej podmiotów:

4.  Na zasadzie odstępstwa od ust. 3, w należycie uzasadnionych przypadkach, m.in. ze względów bezpieczeństwa narodowego, określony europejski system certyfikacji cyberbezpieczeństwa może przewidywać, że europejski certyfikat cyberbezpieczeństwa będący wynikiem tego systemu może być wydawany jedynie przez podmiot publiczny. Takim podmiotem publicznym musi być jeden z wymienionych poniżej podmiotów:

Poprawka    97

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Osoba fizyczna lub prawna, która poddaje swoje produkty lub usługi ICT mechanizmowi certyfikacji, przekazuje jednostce oceniającej zgodność, o której mowa w art. 51, wszystkie informacje niezbędne do przeprowadzenia procedury certyfikacji.

5.  Osoba fizyczna lub prawna, która poddaje swoje produkty lub usługi ICT mechanizmowi certyfikacji, przekazuje jednostce oceniającej zgodność, o której mowa w art. 51, wszystkie informacje niezbędne do przeprowadzenia procedury certyfikacji, w tym informacje na temat wszelkich wykrytych luk w zabezpieczeniach.

Poprawka    98

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6.  Certyfikaty wydaje się na maksymalny okres trzech lat i mogą one zostać odnowione, na tych samych warunkach, o ile nadal spełnione są odpowiednie wymogi.

6.  Certyfikaty wydawane są na maksymalny okres przewidziany w ramach odpowiedniego europejskiego systemu certyfikacji i pozostają przez ten okres ważne oraz mogą one zostać odnowione, na tych samych warunkach, o ile nadal spełnione są wymogi tego systemu, w tym wszelkie uaktualnione lub zmienione wymogi.

Poprawka    99

Wniosek dotyczący rozporządzenia

Artykuł 48 – ustęp 6 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

6a.  Certyfikaty pozostają ważne w przypadku wszystkich nowych wersji procesu, produktu lub usługi, jeżeli główną przyczyną wydania nowej wersji jest udostępnienie poprawki, naprawienie lub usunięcie w inny sposób rozpoznanych lub potencjalnych luk w zabezpieczeniach lub zagrożeń.

Poprawka    100

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Bez uszczerbku dla przepisów ust. 3 krajowe systemy certyfikacji bezpieczeństwa cybernetycznego i powiązane procedury dotyczące produktów i usług ICT objętych europejskim systemem certyfikacji bezpieczeństwa cybernetycznego przestają wywoływać skutki z dniem określonym w akcie wykonawczym przyjętym na podstawie art. 44 ust. 4. Istniejące krajowe systemy certyfikacji bezpieczeństwa cybernetycznego i powiązane procedury dotyczące produktów i usług ICT nieobjętych europejskim systemem certyfikacji bezpieczeństwa cybernetycznego nadal funkcjonują.

1.  Bez uszczerbku dla przepisów ust. 3 krajowe systemy certyfikacji cyberbezpieczeństwa i powiązane procedury dotyczące produktów i usług ICT objętych europejskim systemem certyfikacji cyberbezpieczeństwa przestają wywoływać skutki z dniem określonym w akcie delegowanym przyjętym na podstawie art. 44 ust. 4. Komisja monitoruje zgodność z niniejszym akapitem w celu uniknięcia występowania konkurencyjnych systemów. Istniejące krajowe systemy certyfikacji cyberbezpieczeństwa i powiązane procedury dotyczące produktów i usług ICT nieobjętych europejskim systemem certyfikacji cyberbezpieczeństwa nadal funkcjonują.

Poprawka    101

Wniosek dotyczący rozporządzenia

Artykuł 49 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Istniejące certyfikaty wydane w ramach krajowych systemów certyfikacji bezpieczeństwa cybernetycznego pozostają ważne do upływu ich terminu ważności.

3.  Istniejące certyfikaty wydane w ramach krajowych systemów certyfikacji cyberbezpieczeństwa, które są objęte europejskim systemem certyfikacji cyberbezpieczeństwa, pozostają ważne do upływu ich terminu ważności.

Poprawka    102

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3.  Każdy krajowy organ nadzoru ds. certyfikacji pozostaje – w zakresie swojej organizacji, decyzji w sprawie finansowania, struktury prawnej i procesu podejmowania decyzji – niezależny od jednostek, nad którymi sprawuje nadzór.

3.  Każdy krajowy organ nadzoru ds. certyfikacji pozostaje – w zakresie swojej organizacji, decyzji w sprawie finansowania, struktury prawnej i procesu podejmowania decyzji – niezależny od jednostek, nad którymi sprawuje nadzór, i nie pełni funkcji jednostki oceniającej zgodność lub krajowej jednostki akredytującej.

Poprawka    103

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera a

Tekst proponowany przez Komisję

Poprawka

a)  monitorują i egzekwują stosowanie przepisów niniejszego tytułu na poziomie krajowym oraz sprawują nadzór nad zgodnością certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na odpowiednio podlegających tym organom terytoriach z wymogami określonymi w niniejszym tytule i w odpowiednim europejskim systemie certyfikacji bezpieczeństwa cybernetycznego;

a)  monitorują i egzekwują stosowanie przepisów niniejszego tytułu na szczeblu krajowym oraz sprawują nadzór nad zgodnością zgodnie z zasadami przyjętymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa stosownie do art. 53 ust. 3 lit. da):

 

(i)  certyfikatów wydanych przez jednostki oceniające zgodność mające siedzibę na odpowiednio podlegających tym organom terytoriach z wymogami określonymi w niniejszym tytule i w odpowiednim europejskim systemie certyfikacji cyberbezpieczeństwa; oraz

 

(ii)  własnych deklaracji zgodności wydanych w ramach systemu w odniesieniu do procesu, produktu lub usługi ICT;

Poprawka    104

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera b

Tekst proponowany przez Komisję

Poprawka

b)  monitorują i nadzorują działalność jednostek oceniających zgodność do celów niniejszego rozporządzenia, w tym w związku z notyfikacją jednostek oceniających zgodność i związanymi z tym zadaniami określonymi w art. 52 niniejszego rozporządzenia;

b)  monitorują, nadzorują i przynajmniej raz na dwa lata oceniają działalność jednostek oceniających zgodność do celów niniejszego rozporządzenia, w tym w związku z notyfikacją jednostek oceniających zgodność i związanymi z tym zadaniami określonymi w art. 52 niniejszego rozporządzenia;

Poprawka    105

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera c

Tekst proponowany przez Komisję

Poprawka

c)  rozpatrują skargi złożone przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach, badają w odpowiednim zakresie przedmiot skarg oraz informują skarżących w stosownym terminie o postępach i wynikach badania;

c)  rozpatrują skargi złożone przez osoby fizyczne lub prawne w związku z certyfikatami wydanymi przez jednostki oceniające zgodność mające siedzibę na podlegających tym organom terytoriach lub w związku z dokonanymi własnymi deklaracjami zgodności, badają w odpowiednim zakresie przedmiot skarg oraz informują skarżących w stosownym terminie o postępach i wynikach badania;

Poprawka    106

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  przedstawiają sprawozdanie z wyników weryfikacji, o których mowa w lit. a), oraz ocen, o których mowa w lit. b), agencji ENISA oraz Europejskiej Grupie ds. Certyfikacji Cyberbezpieczeństwa;

Poprawka    107

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 6 – litera d

Tekst proponowany przez Komisję

Poprawka

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji bezpieczeństwa cybernetycznego;

d)  współpracują z innymi krajowymi organami nadzoru ds. certyfikacji, krajowymi organami akredytacji lub innymi organami publicznymi, w tym poprzez wymianę informacji na temat ewentualnej niezgodności, w tym wprowadzających w błąd, fałszywych lub nieuczciwych wniosków o certyfikację produktów i usług ICT z wymogami niniejszego rozporządzenia lub określonych europejskich systemów certyfikacji cyberbezpieczeństwa;

Poprawka    108

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 7 – litera c a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ca)  prawo wycofania akredytacji jednostek oceniających zgodność nieprzestrzegających niniejszego rozporządzenia;

Poprawka    109

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 7 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  prawo cofania certyfikatów, zgodnie z prawem krajowym, które nie są zgodne z niniejszym rozporządzeniem lub danym europejskim systemem certyfikacji bezpieczeństwa cybernetycznego;

e)  prawo cofania certyfikatów, zgodnie z prawem krajowym, które nie są zgodne z niniejszym rozporządzeniem lub danym europejskim systemem certyfikacji cyberbezpieczeństwa, oraz prawo przekazania krajowym jednostkom akredytującym stosownych informacji;

Poprawka    110

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 7 – litera f a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fa)  prawo wskazywania agencji ENISA ekspertów do uczestnictwa w grupie ekspertów prowadzących konsultacje z zainteresowanymi stronami, o której mowa w art. 44 ust. 2;

Poprawka    111

Wniosek dotyczący rozporządzenia

Artykuł 50 – ustęp 8 – akapit 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Na potrzeby tej wymiany Komisja udostępnia ogólny elektroniczny system wspierający wymianę informacji.

Poprawka    112

Wniosek dotyczący rozporządzenia

Artykuł 50 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 50a

 

Wzajemna ocena

 

1.  Krajowe organy nadzoru ds. certyfikacji podlegają wzajemnej ocenie w kwestii wszelkich działań wykonywanych na podstawie art. 50 niniejszego rozporządzenia.

 

2.  Wzajemna ocena obejmuje ocenianie procedur wprowadzonych przez krajowe organy nadzoru ds. certyfikacji, zwłaszcza procedur kontroli zgodności produktów podlegających certyfikacji cyberbezpieczeństwa, kompetencji personelu, poprawności kontroli i metodyki badań, a także poprawności wyników. Podczas wzajemnej oceny ocenia się także, czy rzeczone krajowe organy nadzoru ds. certyfikacji posiadają wystarczające zasoby do prawidłowego wykonywania obowiązków nałożonych na nie w art. 50 ust. 4.

 

3.  Wzajemna ocena krajowego organu nadzoru ds. certyfikacji przeprowadzana jest przez dwa krajowe organy nadzoru ds. certyfikacji z innych państw członkowskich i Komisję oraz odbywa się co najmniej raz na pięć lat. ENISA może uczestniczyć w ocenie wzajemnej i decyduje o swoim udziale na podstawie analizy oceny ryzyka.

 

4.  Zgodnie z art. 55a Komisja może przyjąć akty delegowane w celu ustalenia planu ocen wzajemnych obejmującego okres co najmniej pięciu lat i określającego kryteria dotyczące składu zespołu ds. oceny wzajemnej, metody oceniania, harmonogramu, częstotliwości oraz innych zadań związanych z oceną wzajemną. Przyjmując te akty delegowane, Komisja należycie uwzględnia uwagi Grupy.

 

5.  Wyniki oceny wzajemnej analizowane są przez Grupę. ENISA sporządza podsumowanie wyników i podaje je do wiadomości publicznej.

Poprawka    113

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  Jeżeli wytwórcy wybiorą „własną deklarację zgodności” zgodnie z art. 48 ust. 3, jednostki oceniające zgodność podejmują dodatkowe czynności w celu weryfikacji procedur realizowanych przez wytwórcę w celu zagwarantowania zgodności produktów lub usług z wymogami europejskiego systemu certyfikacji cyberbezpieczeństwa.

Poprawka    114

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera d a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

da)  przyjmowanie wiążących zasad określających częstotliwość przeprowadzania przez krajowe organy nadzoru ds. certyfikacji weryfikacji certyfikatów oraz własnych deklaracji zgodności, a także kryteriów, skali i zakresu tych weryfikacji, jak również przyjmowanie wspólnych zasad i norm w zakresie sprawozdawczości, zgodnie z art. 50 ust. 6;

Poprawka    115

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera e

Tekst proponowany przez Komisję

Poprawka

e)  śledzenie odpowiednich zmian w dziedzinie certyfikacji bezpieczeństwa cybernetycznego i wymiana dobrych praktyk odnoszących się do systemów certyfikacji bezpieczeństwa cybernetycznego;

e)  śledzenie odpowiednich zmian w dziedzinie certyfikacji cyberbezpieczeństwa i wymiana informacji i dobrych praktyk odnoszących się do systemów certyfikacji cyberbezpieczeństwa;

Poprawka    116

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fa)  wymiana najlepszych praktyk w odniesieniu do dochodzeń dotyczących jednostek oceniających zgodność, posiadaczy europejskich certyfikatów cyberbezpieczeństwa oraz wytwórców u dostawców usług, którzy złożyli własne deklaracje zgodności;

Poprawka    117

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f b (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fb)  ułatwianie dostosowania europejskich systemów certyfikacji cyberbezpieczeństwa do międzynarodowo uznanych standardów oraz w stosownych przypadkach wydawanie agencji ENISA zaleceń dotyczących obszarów, w ramach których agencja powinna podjąć współpracę z odpowiednimi międzynarodowymi i europejskimi organizacjami normalizacyjnymi w celu wyeliminowania braków lub luk w dostępnych międzynarodowo uznanych standardach;

Poprawka    118

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 3 – litera f c (nowa)

Tekst proponowany przez Komisję

Poprawka

 

fc)  doradzanie ENISA podczas przygotowywania programu prac, o którym mowa w art. 43a, w odniesieniu do priorytetowego wykazu produktów i usług ICT, dla których uważa za konieczne ustanowienie europejskiego systemu certyfikacji cyberbezpieczeństwa;

Poprawka    119

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 4 – akapit 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

ENISA dba o prowadzenie harmonogramu, protokołu i rejestru podjętych decyzji oraz udostępnienie opublikowanych wersji tych dokumentów w witrynie internetowej ENISA po każdym posiedzeniu Grupy.

Poprawka    120

Wniosek dotyczący rozporządzenia

Artykuł 55 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 55a

 

Wykonywanie przekazanych uprawnień

 

Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.

 

Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 44 ust. 4 i art. 50a ust. 4, powierza się Komisji na okres pięciu lat od dnia [data wejścia w życie podstawowego aktu ustawodawczego] r. Komisja sporządza sprawozdanie dotyczące przekazania uprawnień nie później niż dziewięć miesięcy przed końcem okresu pięciu lat. Przekazanie uprawnień zostaje automatycznie przedłużone na takie same okresy, chyba że Parlament Europejski lub Rada sprzeciwią się takiemu przedłużeniu nie później niż trzy miesiące przed końcem każdego okresu.

 

Przekazanie uprawnień, o którym mowa w art. 44 ust. 4 i art. 50a ust. 4, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

 

Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

 

Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

 

Akt delegowany przyjęty na podstawie art. 44 ust. 4 i art. 50a ust. 4 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski ani Rada nie wyraziły sprzeciwu w terminie [dwóch miesięcy] od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o [dwa miesiące] z inicjatywy Parlamentu Europejskiego lub Rady.

PROCEDURA W KOMISJI OPINIODAWCZEJ

Tytuł

Rozporządzenie w sprawie „Agencji UE ds. Bezpieczeństwa Cybernetycznego” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji bezpieczeństwa cybernetycznego w zakresie technologii informacyjno-komunikacyjnych („akt ws. bezpieczeństwa cybernetycznego”)

Odsyłacze

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Komisja przedmiotowo właściwa

       Data ogłoszenia na posiedzeniu

ITRE

23.10.2017

 

 

 

Opinia wydana przez

       Data ogłoszenia na posiedzeniu

IMCO

23.10.2017

Zaangażowane komisje - data ogłoszenia na posiedzeniu

18.1.2018

Sprawozdawca(czyni) komisji opiniodawczej

       Data powołania

Nicola Danti

25.9.2017

Rozpatrzenie w komisji

21.2.2018

21.3.2018

 

 

Data przyjęcia

17.5.2018

 

 

 

Wynik głosowania końcowego

+:

–:

0:

31

2

1

Posłowie obecni podczas głosowania końcowego

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Zastępcy obecni podczas głosowania końcowego

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Zastępcy (art. 200 ust. 2) obecni podczas głosowania końcowego

Inés Ayala Sender, Flavio Zanonato

GŁOSOWANIE KOŃCOWE W FORMIE GŁOSOWANIA IMIENNEGO W KOMISJI PRZEDMIOTOWO WŁAŚCIWEJ

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Objaśnienie używanych znaków:

+  :  za

-  :  przeciw

0  :  wstrzymało się


OPINIA Komisji Budżetowej (16.5.2018)

dla Komisji Przemysłu, Badań Naukowych i Energii

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie „Agencji UE ds. Cyberbezpieczeństwa” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych („akt ws. cyberbezpieczeństwa”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Sprawozdawca komisji opiniodawczej: Jens Geier

ZWIĘZŁE UZASADNIENIE

Ogólnie sprawozdawca komisji opiniodawczej z zadowoleniem przyjmuje wniosek Komisji dotyczący „Aktu w sprawie cyberbezpieczeństwa”, którego celem jest dalsze wzmocnienie roli Agencji UE ds. Bezpieczeństwa Sieci i Informacji (ENISA), ponieważ kwestia cyberbezpieczeństwa ma wyraźnie transgraniczny charakter i wymaga bardziej europejskiego podejścia. Sprawozdawca komisji opiniodawczej odnosi się ze szczególnym uznaniem do propozycji Komisji dotyczącej przyznania ENISA stałego mandatu, zważywszy na coraz większą rolę Agencji i z myślą o zagwarantowaniu jej pracownikom większej pewności. Komisja proponuje zwiększenie liczby pracowników na stanowiskach AD/AST o 41 do 2022 r.(1) oraz zwiększenie rocznego budżetu Agencji do 23 mln EUR w roku 2022(2).

Sprawozdawca komisji opiniodawczej jest zdania, że obecne ustalenia dotyczące siedziby, a mianowicie kilka lokalizacji Agencji w Heraklionie i Atenach, utrudniają skuteczne wypełnianie powierzonego jej mandatu. Międzyinstytucjonalna grupa robocza ds. zasobów agencji, utworzona w następstwie porozumienia w sprawie budżetu na 2014 r., zaleca „Komisji, by przeprowadziła ocenę kwestii kilku lokalizacji agencji (podwójne siedziby, obiekty techniczne oprócz siedziby głównej, biura lokalne i oddelegowanie personelu poza siedzibę główną) na podstawie spójnego podejścia i stosując jasne i przejrzyste kryteria, w szczególności z myślą o ocenie ich wartości dodanej, a także z uwzględnieniem ponoszonych kosztów”. Wszystkie instytucje UE zgodziły się z tym zaleceniem i sprawozdawca komisji opiniodawczej uważa, że należy szybko przeprowadzić taką ocenę. W jej wyniku instytucje powinny niezwłocznie wyciągnąć niezbędne wnioski.

Ponadto sprawozdawca komisji opiniodawczej jest zdania, że można by dodatkowo wzmocnić mandat Agencji w zakresie dostarczania wiedzy fachowej dzięki zapewnieniu jej budżetu na zlecanie własnych działań badawczo-rozwojowych. W tym celu należy zapewnić Agencji niezbędne zasoby.

Dalsze oszczędności można uzyskać, umożliwiając Agencji korzystanie z usług tłumaczeniowych innych usługodawców. Nadzór demokratyczny nad Agencją można zwiększyć dzięki wyznaczeniu przedstawiciela Parlamentu Europejskiego w zarządzie zgodnie ze wspólnym podejściem do agencji.

POPRAWKI

Komisja Budżetowa zwraca się do Komisji Przemysłu, Badań Naukowych i Energii, jako komisji przedmiotowo właściwej, o wzięcie pod uwagę następujących poprawek:

Poprawka    1

Wniosek dotyczący rozporządzenia

Motyw 3 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(3a)  ENISA powinna zapewniać unijnej branży cyberbezpieczeństwa większe, oparte na informacjach wsparcie praktyczne, w szczególności MŚP i przedsiębiorstwom typu start-up, które są głównym źródłem innowacyjnych rozwiązań w dziedzinie cyberobrony, a także powinna propagować ściślejszą współpracę z uniwersyteckimi organizacjami badawczymi i dużymi podmiotami z myślą o zmniejszeniu zależności od produktów cyberbezpieczeństwa ze źródeł zewnętrznych i utworzeniu strategicznego łańcucha dostaw na terytorium Unii.

Poprawka    2

Wniosek dotyczący rozporządzenia

Motyw 4

Tekst proponowany przez Komisję

Poprawka

(4)  Ataki cybernetyczne nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia i ataki cybernetyczne, wymagają silniejszej ochrony. Tymczasem jednak, mimo że ataki cybernetyczne mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za bezpieczeństwo cybernetyczne i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Incydenty cybernetyczne na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Ponadto regularna ocena stanu bezpieczeństwa cybernetycznegoodporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

(4)  Cyberataki nasilają się, a gospodarka oparta na łączności i społeczeństwo, które jest bardziej podatne na zagrożenia i cyberataki, wymagają silniejszej ochrony. Tymczasem jednak, mimo że cyberataki mają często charakter transgraniczny, reakcje polityczne ze strony organów odpowiedzialnych za cyberbezpieczeństwo i kompetencje w zakresie egzekwowania prawa są w głównej mierze krajowe. Cyberincydenty na dużą skalę mogłyby zakłócić świadczenie usług kluczowych w całej UE. Taka sytuacja wymaga skutecznego reagowania oraz zarządzania kryzysowego na szczeblu UE w oparciu o specjalne rozwiązania polityczne oraz szerzej zakrojone instrumenty europejskiej solidarności i wzajemnej pomocy. Potrzeby szkoleniowe w dziedzinie cyberobrony są znaczne i stale rosną, i najskuteczniej można je zaspokoić dzięki wspólnym działaniom na szczeblu unijnym. Ponadto regularna ocena stanu cyberbezpieczeństwacyberodporności w Unii, oparta na wiarygodnych danych unijnych oraz na systematycznej prognozie przyszłych zmian, wyzwań i zagrożeń, zarówno na szczeblu unijnym, jak i ogólnoświatowym, ma duże znaczenie dla decydentów politycznych, przemysłu oraz użytkowników.

Poprawka    3

Wniosek dotyczący rozporządzenia

Motyw 10

Tekst proponowany przez Komisję

Poprawka

(10)  W decyzji 2004/97/WE, Euratom przyjętej na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r. przedstawiciele państw członkowskich postanowili, że ENISA będzie miała siedzibę w Grecji, w mieście, które określić ma rząd grecki. Państwo członkowskie przyjmujące Agencję powinno zapewnić jej możliwie najlepsze warunki sprawnego i skutecznego działania. Właściwa lokalizacja Agencji ma zasadnicze znaczenie dla prawidłowego i skutecznego wykonywania przez nią zadań, naboru i zatrzymania pracowników oraz zwiększenia efektywności sieci współpracy, zapewniając między innymi odpowiednie połączenia transportowe i infrastrukturę dla małżonków i dzieci towarzyszących pracownikom Agencji. Umowa między Agencją a przyjmującym państwem członkowskim, zawarta po uzyskaniu zgody zarządu Agencji, powinna zawierać niezbędne uzgodnienia w tym zakresie.

(10)  W decyzji 2004/97/WE, Euratom przyjętej na posiedzeniu Rady Europejskiej w dniu 13 grudnia 2003 r. przedstawiciele państw członkowskich postanowili, że ENISA będzie miała siedzibę w Grecji, w mieście, które określić ma rząd grecki. Państwo członkowskie przyjmujące Agencję powinno zapewnić jej możliwie najlepsze warunki sprawnego i skutecznego działania. Właściwa lokalizacja Agencji ma zasadnicze znaczenie dla prawidłowego i skutecznego wykonywania przez nią zadań, naboru i zatrzymania pracowników oraz zwiększenia efektywności sieci współpracy, zapewniając między innymi odpowiednie połączenia transportowe i infrastrukturę dla małżonków i dzieci towarzyszących pracownikom Agencji. Umowa między Agencją a przyjmującym państwem członkowskim, zawarta po uzyskaniu zgody zarządu Agencji, powinna zawierać niezbędne uzgodnienia w tym zakresie. Umowę tę należy poddać przeglądowi w następstwie oceny przeprowadzonej przez Komisję zgodnie z zaleceniem międzyinstytucjonalnej grupy roboczej ds. zasobów agencji w celu zwiększenia skuteczności Agencji. Ponadto należy dokonać oceny lokalizacji Agencji.

Poprawka    4

Wniosek dotyczący rozporządzenia

Motyw 12

Tekst proponowany przez Komisję

Poprawka

(12)  Agencja powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz działać jako punkt odniesienia służący budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa i rozpowszechnianych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań. Agencja powinna aktywnie włączać się w działania krajowe i unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz państwami członkowskimi. Ponadto Agencja powinna bazować na wkładzie i współpracy ze strony sektora prywatnego, jak również innych odpowiednich zainteresowanych stron. Zakres zadań powinien określać sposób, w jaki Agencja ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie.

(12)  Agencja powinna rozwijać i utrzymywać wysoki poziom wiedzy fachowej oraz działać jako punkt odniesienia służący budowie zaufania i wiarygodności na jednolitym rynku z racji swojej niezależności, jakości oferowanego doradztwa i rozpowszechnianych informacji, przejrzystości procedur i metod działania, a także staranności w realizacji swoich zadań. Agencja powinna aktywnie włączać się w działania krajowe i unijne, a jednocześnie wykonywać swoje zadania w pełnej współpracy z instytucjami, organami i jednostkami organizacyjnymi Unii oraz państwami członkowskimi, unikając przy tym powielania prac, promując synergię oraz komplementarność i tym samym zapewniając koordynację i oszczędności budżetowe. Ponadto Agencja powinna bazować na wkładzie i współpracy ze strony sektora prywatnego, jak również innych odpowiednich zainteresowanych stron. Zakres zadań powinien określać sposób, w jaki Agencja ma osiągnąć swoje cele, pozwalając jej jednocześnie na elastyczne działanie.

Poprawka    5

Wniosek dotyczący rozporządzenia

Motyw 15 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(15a)  Prawo międzynarodowe ma zastosowanie do cyberprzestrzeni, a sprawozdania oenzetowskiej grupy ekspertów rządowych ds. bezpieczeństwa informacji (UNGGE) z 2013 i 2015 r. zawierają odpowiednie wytyczne, w szczególności dotyczące zakazu prowadzenia lub świadomego wspierania przez państwa działań w cyberprzestrzeni sprzecznych z ciążącymi na nich zobowiązaniami, które wynikają z przepisów międzynarodowych. Podręcznik talliński 2.0 stanowi w tym kontekście doskonałą podstawę do debaty na temat sposobu, w jaki prawo międzynarodowe ma zastosowanie do cyberprzestrzeni, i nadszedł czas, aby państwa członkowskie zaczęły analizować i stosować ten podręcznik.

Poprawka    6

Wniosek dotyczący rozporządzenia

Motyw 36

Tekst proponowany przez Komisję

Poprawka

(36)  Agencja powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologicznej, w szczególności prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii potrzeb badawczych w dziedzinie bezpieczeństwa sieci i informacji, a w szczególności bezpieczeństwa cybernetycznego.

(36)  Agencja powinna w pełni uwzględniać bieżącą działalność w zakresie badań naukowych, rozwoju i oceny technologicznej, w szczególności prowadzoną w ramach różnych unijnych inicjatyw badawczych, w celu doradzania instytucjom, organom i jednostkom organizacyjnym Unii, a także – w stosownych przypadkach i na ich wniosek – państwom członkowskim w kwestii potrzeb badawczych w dziedzinie bezpieczeństwa sieci i informacji, a w szczególności cyberbezpieczeństwa. Agencji należy przyznać dodatkowy budżet na działania badawczo-rozwojowe będące uzupełnieniem istniejących unijnych programów badawczych.

Poprawka    7

Wniosek dotyczący rozporządzenia

Motyw 46 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(46a)  Budżet Agencji powinien być przygotowywany zgodnie z zasadą budżetowania zadaniowego, z uwzględnieniem celów Agencji i oczekiwanych wyników jej zadań.

Poprawka    8

Wniosek dotyczący rozporządzenia

Artykuł 4 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4.  Agencja propaguje współpracę i koordynację na szczeblu unijnym pomiędzy państwami członkowskimi, instytucjami, agencjami i organami Unii oraz właściwymi zainteresowanymi stronami, w tym z sektora prywatnego, w kwestiach związanych z bezpieczeństwem cybernetycznym.

4.  Agencja propaguje współpracę i koordynację na szczeblu unijnym pomiędzy państwami członkowskimi, instytucjami, agencjami i organami Unii oraz właściwymi zainteresowanymi stronami, w tym z sektora prywatnego, w kwestiach związanych z cyberbezpieczeństwem, aby zapewnić koordynację i oszczędności finansowe, unikać powielania działań oraz promować synergię i komplementarność ich działań.

Poprawka    9

Wniosek dotyczący rozporządzenia

Artykuł 9 – akapit 1 – litera g a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ga)  upublicznia i promuje swoje działania oraz wyniki swoich prac w celu zwiększenia widoczności i poziomu wiedzy obywateli.

Poprawka    10

Wniosek dotyczący rozporządzenia

Artykuł 10 – litera b a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ba)  zleca własne działania badawcze w obszarach zainteresowania, które nie są jeszcze objęte istniejącymi unijnymi programami badawczymi, jeżeli mają wyraźnie stwierdzoną europejską wartość dodaną.

Poprawka    11

Wniosek dotyczący rozporządzenia

Artykuł 13 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich oraz dwóch przedstawicieli wyznaczonych przez Komisję. Prawo głosu przysługuje wszystkim przedstawicielom.

1.  W skład zarządu wchodzi po jednym przedstawicielu każdego z państw członkowskich, jeden przedstawiciel wyznaczony przez Parlament Europejski oraz dwóch przedstawicieli wyznaczonych przez Komisję. Prawo głosu przysługuje wszystkim przedstawicielom.

Poprawka    12

Wniosek dotyczący rozporządzenia

Artykuł 26 – ustęp 1 – akapit 1 (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Wstępny projekt preliminarza opiera się na celach i oczekiwanych wynikach jednolitego dokumentu programowego, o którym mowa w art. 21 ust. 1, oraz uwzględnia zasoby finansowe potrzebne do osiągnięcia tych celów i oczekiwanych wyników, zgodnie z zasadą budżetowania zadaniowego.

Poprawka    13

Wniosek dotyczący rozporządzenia

Artykuł 36 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5.  Odpowiedzialność osobista pracowników Agencji wobec Agencji jest regulowana odpowiednimi warunkami mającymi zastosowanie do jej personelu.

5.  Odpowiedzialność osobista pracowników Agencji wobec Agencji jest regulowana odpowiednimi warunkami mającymi zastosowanie do jej personelu. Należy zapewnić skuteczny proces naboru pracowników.

Poprawka    14

Wniosek dotyczący rozporządzenia

Artykuł 37 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej.

2.  Usługi tłumaczeniowe niezbędne dla funkcjonowania Agencji zapewnia Centrum Tłumaczeń dla Organów Unii Europejskiej lub inni dostawcy usług tłumaczeniowych zgodnie z przepisami dotyczącymi zamówień publicznych i w ramach limitów określonych w stosownych przepisach finansowych.

Poprawka    15

Wniosek dotyczący rozporządzenia

Artykuł 41 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2.  Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla zapewnienia właściwego funkcjonowania Agencji, w tym dostępność lokalizacji, odpowiednią infrastrukturę szkolną dla dzieci członków personelu, odpowiedni dostęp do rynku pracy, zabezpieczenie społeczne i opiekę zdrowotną zarówno dla dzieci, jak i dla małżonków.

2.  Państwo członkowskie przyjmujące Agencję zapewnia możliwie najlepsze warunki dla zapewnienia właściwego funkcjonowania Agencji, w tym jedną lokalizację dla całej Agencji, dostępność lokalizacji, odpowiednią infrastrukturę szkolną dla dzieci członków personelu, odpowiedni dostęp do rynku pracy, zabezpieczenie społeczne i opiekę zdrowotną zarówno dla dzieci, jak i dla małżonków.

Uzasadnienie

Obecna struktura Agencji, której siedziba administracyjna znajduje się w Heraklionie, a podstawowe operacje prowadzone są w Atenach, okazała się nieskuteczna i kosztowna. Cały personel ENISA powinien zatem pracować w tym samym mieście. Biorąc pod uwagę kryteria określone w niniejszym ustępie, Agencja powinna mieć siedzibę w Atenach.

Poprawka    16

Wniosek dotyczący rozporządzenia

Artykuł 41 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a.  Po przeprowadzeniu przez Komisję oceny zgodnie z zaleceniem międzyinstytucjonalnej grupy roboczej ds. zasobów agencji umowa w sprawie siedziby Agencji oraz odpowiednio jej lokalizacja zostaną poddane przeglądowi.

PROCEDURA W KOMISJI OPINIODAWCZEJ

Tytuł

Rozporządzenie w sprawie „Agencji UE ds. Bezpieczeństwa Cybernetycznego” ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji bezpieczeństwa cybernetycznego w zakresie technologii informacyjno-komunikacyjnych („akt ws. bezpieczeństwa cybernetycznego”)

Odsyłacze

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Komisja przedmiotowo właściwa

       Data ogłoszenia na posiedzeniu

ITRE

23.10.2017

 

 

 

Opinia wydana przez

       Data ogłoszenia na posiedzeniu

BUDG

23.10.2017