Procedură : 2017/0225(COD)
Stadiile documentului în şedinţă
Stadii ale documentului : A8-0264/2018

Texte depuse :

A8-0264/2018

Dezbateri :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Voturi :

PV 12/03/2019 - 9.17
Explicaţii privind voturile

Texte adoptate :

P8_TA(2019)0151

RAPORT     ***I
PDF 2224kWORD 360k
30.7.2018
PE 619.373v03-00 A8-0264/2018

referitor la propunerea de regulament al Parlamentului European și al Consiliului privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Comisia pentru industrie, cercetare și energie

Raportoare: Angelika Niebler

Raportor pentru aviz (*):

Nicola Danti, Comisia pentru piața internă și protecția consumatorilor

(*) Procedura comisiilor asociate – articolul 54 din Regulamentul de procedură

AMENDAMENTE
PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
 EXPUNERE DE MOTIVE
 AVIZ al Comisiei pentru piața internă și protecția consumatorilor
 AVIZ al Comisiei pentru bugete
 AVIZ al Comisiei pentru libertăți civile, justiție și afaceri interne
 PROCEDURA COMISIEI COMPETENTE
 VOT FINAL PRIN APEL NOMINAL ÎN COMISIA COMPETENTĂ

PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN

referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–  având în vedere propunerea Comisiei prezentată Parlamentului European și Consiliului (COM(2017)0477),

–  având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C8-0310/2017),

–  având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere avizul Comitetului Economic și Social European din 14 februarie 2018(1),

–  având în vedere articolul 59 din Regulamentul său de procedură,

–   având în vedere avizul motivat prezentat de către Senatul Franței în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–  având în vedere raportul Comisiei pentru industrie, cercetare și energie și avizul Comisiei pentru piața internă și protecția consumatorilor, al Comisiei pentru bugete și al Comisiei pentru libertăți civile, justiție și afaceri interne (A8-0264/2018),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care își înlocuiește, își modifică în mod substanțial sau intenționează să-și modifice în mod substanțial propunerea;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

Amendamentul    1

Propunere de regulament

Considerentul 1

Textul propus de Comisie

Amendamentul

(1)  Rețelele și sistemele informatice și rețelele și serviciile de telecomunicații îndeplinesc un rol vital pentru societate și au devenit coloana vertebrală a creșterii economice. Tehnologia informației și comunicațiilor stă la baza sistemelor complexe care sprijină activitățile societății, asigură funcționarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanțele și transporturile și, mai ales, susține funcționarea pieței interne.

(1)  Rețelele și sistemele informatice și rețelele și serviciile de telecomunicații îndeplinesc un rol vital pentru societate și au devenit coloana vertebrală a creșterii economice. Tehnologia informației și comunicațiilor (TIC) stă la baza sistemelor complexe care sprijină activitățile de zi cu zi ale societății, asigură funcționarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanțele și transporturile și, mai ales, susține funcționarea pieței interne.

Amendamentul    2

Propunere de regulament

Considerentul 2

Textul propus de Comisie

Amendamentul

(2)  În prezent, rețelele și sistemele informatice sunt utilizate la scară generală de către cetățenii, întreprinderile și administrațiile din întreaga Uniune. Digitizarea și conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse și servicii, preconizându-se că, odată cu apariția internetului obiectelor (IoT), în UE, în următorul deceniu, vor intra în folosință milioane, dacă nu chiar miliarde de dispozitive digitale conectate. Deși numărul dispozitivelor conectate la internet este în creștere, securitatea și reziliența nu sunt incluse suficient de la nivelul de proiect, ceea ce conduce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii, indiferent dacă sunt persoane fizice sau organizații, nu dispun de suficiente informații cu privire la caracteristicile de securitate cibernetică ale produselor și serviciilor TIC, ceea ce erodează încrederea în soluțiile digitale.

(2)  În prezent, rețelele și sistemele informatice sunt utilizate la scară generală de către cetățenii, întreprinderile și administrațiile din întreaga Uniune. Digitizarea și conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse și servicii, preconizându-se că, odată cu apariția internetului obiectelor (IoT), în UE, în următorul deceniu, vor intra în folosință milioane, dacă nu chiar miliarde de dispozitive digitale conectate. Deși numărul dispozitivelor conectate la internet este în creștere, securitatea și reziliența nu sunt incluse suficient de la nivelul de proiect, ceea ce conduce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii, indiferent dacă sunt persoane fizice sau organizații, nu dispun de suficiente informații cu privire la caracteristicile de securitate cibernetică ale produselor, proceselor și serviciilor TIC, ceea ce erodează încrederea în soluțiile digitale. Această ambiție se află în centrul programului de reformă al Comisiei Europene, de realizare a unei piețe unice digitale, deoarece rețelele TIC reprezintă coloana vertebrală a produselor și serviciilor digitale, care au potențialul de a sprijini toate aspectele vieții noastre și de a stimula creșterea economică a Europei. Pentru a se asigura că obiectivele pieței unice digitale sunt pe deplin realizate, trebuie să fie funcționale elementele esențiale ale tehnologiei pe care se bazează domenii importante precum eHealth, IoT, inteligența artificială, tehnologia cuantică, precum și un sistem inteligent de transport și de producție avansată.

Amendamentul    3

Propunere de regulament

Considerentul 3

Textul propus de Comisie

Amendamentul

(3)  Creșterea gradului de digitizare și conectivitate conduce la agravarea riscurilor la adresa securității cibernetice, societatea, în general, devenind astfel mai vulnerabilă la amenințările cibernetice, iar pericolele cu care se confruntă persoanele fizice, inclusiv persoanele vulnerabile precum copiii, fiind extrem de mari. Pentru a atenua acest risc cu care se confruntă societatea, trebuie să se ia toate măsurile necesare pentru îmbunătățirea securității cibernetice în UE, astfel încât să se ofere o mai bună protecție a rețelelor și sistemelor informatice, a rețelelor de telecomunicații, a produselor, serviciilor și dispozitivelor digitale utilizate de către cetățeni, administrații și întreprinderi – de la IMM-uri la operatorii de infrastructuri critice – împotriva amenințărilor cibernetice.

(3)  Creșterea gradului de digitizare și conectivitate conduce la agravarea riscurilor la adresa securității cibernetice, societatea, în general, devenind astfel mai vulnerabilă la amenințările cibernetice, iar pericolele cu care se confruntă persoanele fizice, inclusiv persoanele vulnerabile precum copiii, fiind extrem de mari. Pentru a atenua acest risc cu care se confruntă societatea, trebuie să se ia toate măsurile necesare pentru îmbunătățirea securității cibernetice în UE, astfel încât să se ofere o mai bună protecție a rețelelor și sistemelor informatice, a rețelelor de telecomunicații, a produselor, serviciilor și dispozitivelor digitale utilizate de către cetățeni, administrații și întreprinderi – de la IMM-uri la operatorii de infrastructuri critice – împotriva amenințărilor cibernetice. În această privință, Planul de acțiune pentru educația digitală, publicat de Comisia Europeană la 17 ianuarie 2018, reprezintă un pas în direcția cea bună, în special campania de informare la nivelul UE care se adresează cadrelor didactice, părinților, precum și elevilor/studenților și care stimulează siguranța online, igiena cibernetică și alfabetizarea mediatică, precum și inițiativa de predare a securității cibernetice pe baza Cadrului competențelor digitale pentru cetățeni, menită să-i ajute pe aceștia să recurgă la tehnologie cu încredere și în mod responsabil.

Amendamentul    4

Propunere de regulament

Considerentul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a)  Consideră că obiectivele și sarcinile ENISA ar trebui aliniate și mai mult la comunicarea comună în ceea ce privește trimiterea la promovarea conștientizării și a igienei cibernetice; constată că reziliența cibernetică poate fi realizată prin punerea în aplicare a principiilor de bază privind igiena cibernetică;

Amendamentul    5

Propunere de regulament

Considerentul 3 b (nou)

Textul propus de Comisie

Amendamentul

 

(3b)  ENISA ar trebui să ofere mai mult sprijin practic și bazat pe informații industriei Uniunii din domeniul securității cibernetice, în special IMM-urilor și întreprinderilor nou-înființate, care sunt surse-cheie de soluții inovatoare în domeniul apărării cibernetice, și ar trebui să promoveze o cooperare mai strânsă cu organizațiile de cercetare din cadrul universităților și cu actorii importanți în vederea reducerii dependenței de produsele de securitate cibernetică provenite de la surse externe și a creării unui lanț de aprovizionare strategică în interiorul Uniunii;

Amendamentul    6

Propunere de regulament

Considerentul 4

Textul propus de Comisie

Amendamentul

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice și mai sigure. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. Nevoile de formare în domeniul apărării cibernetice sunt substanțiale și în creștere și sunt acoperite cel mai eficient prin cooperare la nivelul Uniunii. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

Amendamentul    7

Propunere de regulament

Considerentul 5

Textul propus de Comisie

Amendamentul

(5)  Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este necesar un set cuprinzător de măsuri care să se bazeze pe acțiunile anterioare ale Uniunii și să promoveze obiective care se consolidează reciproc. Printre acestea se numără necesitatea de a spori și mai mult capabilitățile și gradul de pregătire ale statelor membre și ale întreprinderilor, precum și de a îmbunătăți cooperarea și coordonarea între statele membre și instituțiile, agențiile și organele UE. Mai mult decât atât, amenințările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capabilităților de la nivelul Uniunii care ar putea completa acțiunea statelor membre, în special în cazul incidentelor și crizelor de securitate cibernetică transfrontaliere de mare amploare. De asemenea, sunt necesare eforturi suplimentare pentru a spori gradul de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, oferirea de informații transparente cu privire la nivelul de securitate al produselor și serviciilor TIC ar urma să permită pieței unice digitale să se bucure de o încredere și mai mare. Acest lucru poate fi facilitat printr-o certificare la nivelul UE care să prevadă cerințe comune în materie de securitate cibernetică și criterii de evaluare aplicabile pe toate piețele naționale și în toate sectoarele.

(5)  Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este necesar un set cuprinzător de măsuri care să se bazeze pe acțiunile anterioare ale Uniunii și să promoveze obiective care se consolidează reciproc. Printre acestea se numără necesitatea de a spori și mai mult capabilitățile și gradul de pregătire ale statelor membre și ale întreprinderilor, precum și de a îmbunătăți cooperarea, coordonarea și schimbul de informații între statele membre și instituțiile, agențiile și organele UE. Mai mult decât atât, amenințările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capabilităților de la nivelul Uniunii care ar putea completa acțiunea statelor membre, în special în cazul incidentelor și crizelor de securitate cibernetică transfrontaliere de mare amploare, subliniind totodată importanța menținerii și a consolidării în continuare a capabilităților naționale în materie de reacție la amenințările cibernetice de orice dimensiune. De asemenea, sunt necesare eforturi suplimentare pentru a permite o reacție coordonată la nivelul UE și a spori gradul de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, având în vedere faptul că incidentele de securitate cibernetică subminează încrederea în furnizorii de servicii digitale și în piața unică digitală în sine, încrederea ar trebui sporită prin oferirea de informații transparente cu privire la nivelul de securitate al produselor, proceselor și serviciilor TIC, subliniind faptul că până și un nivel mai înalt de certificare de securitate cibernetică nu poate garanta că un produs sau serviciu TIC este pe deplin sigur. Acest lucru poate fi facilitat printr-o certificare la nivelul UE care să prevadă cerințe comune în materie de securitate cibernetică și criterii de evaluare aplicabile pe toate piețele naționale și în toate sectoarele, precum și de promovarea alfabetizării cibernetice. Pe lângă certificarea la nivelul Uniunii și având în vedere disponibilitatea tot mai mare a dispozitivelor IoT, există o serie de măsuri voluntare pe care sectorul privat ar trebui să le ia pentru a consolida încrederea în securitatea produselor, a proceselor și a serviciilor TIC, cum ar fi criptarea și tehnologiile blockchain. Provocările întâlnite ar trebui să fie reflectate în mod proporțional în bugetul alocat agenției, astfel încât să se asigure funcționalitatea optimă în circumstanțele actuale.

Amendamentul    8

Propunere de regulament

Considerentul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a)  În scopul consolidării securității europene și a structurilor de apărare cibernetică, este important să fie menținute și dezvoltate capabilitățile statelor membre de a reacționa în mod global la amenințările cibernetice, inclusiv la incidentele transfrontaliere, iar coordonarea realizată de agenție la nivelul UE nu ar trebui să ducă la diminuarea capabilităților sau a eforturilor în statele membre.

Amendamentul    9

Propunere de regulament

Considerentul 5 b (nou)

Textul propus de Comisie

Amendamentul

 

(5b)  Întreprinderile și consumatorii individuali ar trebui să aibă informații exacte cu privire la nivelul de securitate al produselor lor TIC. În același timp, trebuie să se înțeleagă că niciun produs nu este sigur din punct de vedere cibernetic și că normele de bază ale igienei cibernetice trebuie să fie promovate și să devină prioritare.

Amendamentul    10

Propunere de regulament

Considerentul 7

Textul propus de Comisie

Amendamentul

(7)  Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică și a crește încrederea în tehnologiile digitale. În 2013, a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la amenințările și riscurile în materie de securitate cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine europenii în mediul online, în 2016 Uniunea a adoptat primul act legislativ în domeniul securității cibernetice, și anume Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva privind securitatea rețelelor și a informațiilor”). Directiva privind securitatea rețelelor și a informațiilor a instituit cerințe privind capabilitățile naționale în domeniul securității cibernetice, a creat primele mecanisme de intensificare a cooperării strategice și operaționale între statele membre și a introdus obligații privind măsurile de securitate și notificările incidentelor în sectoare vitale pentru economie și societate, cum ar fi energia, transporturile, apa, băncile, infrastructurile pieței financiare, asistența medicală, infrastructurile digitale, precum și furnizorii de servicii digitale esențiale (motoarele de căutare, serviciile de cloud computing și piețele online). ENISA a primit un rol esențial de sprijinire a punerii în aplicare a directivei menționate mai sus. În plus, combaterea eficace a criminalității cibernetice se numără printre prioritățile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obținere a unui nivel ridicat de securitate cibernetică.

(7)  Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică și a crește încrederea în tehnologiile digitale. În 2013, a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la amenințările și riscurile în materie de securitate cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine europenii în mediul online, în 2016 Uniunea a adoptat primul act legislativ în domeniul securității cibernetice, și anume Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva privind securitatea rețelelor și a informațiilor”). Directiva privind securitatea rețelelor și a informațiilor, al cărei succes depinde în mare măsură de aplicarea sa eficientă de statele membre, îndeplinește obiectivele strategiei privind piața unică digitală și, împreună cu alte instrumente, cum ar fi Directiva de instituire a Codului european al comunicațiilor electronice, Regulamentul (UE) 2016/679 și Directiva 2002/58/CE, instituie cerințe privind capabilitățile naționale în domeniul securității cibernetice, a creat primele mecanisme de intensificare a cooperării strategice și operaționale între statele membre și a introdus obligații privind măsurile de securitate și notificările incidentelor în sectoare vitale pentru economie și societate, cum ar fi energia, transporturile, apa, băncile, infrastructurile pieței financiare, asistența medicală, infrastructurile digitale, precum și furnizorii de servicii digitale esențiale (motoarele de căutare, serviciile de cloud computing și piețele online). ENISA a primit un rol esențial de sprijinire a punerii în aplicare a directivei menționate mai sus. În plus, combaterea eficace a criminalității cibernetice se numără printre prioritățile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obținere a unui nivel ridicat de securitate cibernetică.

Amendamentul    11

Propunere de regulament

Considerentul 8

Textul propus de Comisie

Amendamentul

(8)  Este recunoscut faptul că, de la adoptarea Strategiei de securitate cibernetică a UE, în 2013, și de la ultima revizuire a mandatului agenției, contextul general de politici a cunoscut schimbări semnificative, legate, de asemenea, de apariția unui mediu mondial mai incert și mai puțin sigur. În acest context, în cadrul noii politici de securitate cibernetică a Uniunii, este necesar să se revizuiască mandatul ENISA pentru a defini rolul care îi revine în ecosistemul de securitate cibernetică rezultat în urma acestor evoluții și pentru a oferi asigurarea că agenția contribuie în mod eficace la răspunsul Uniunii la provocările în materie de securitate cibernetică ce își au originea în această transformare radicală a naturii amenințărilor, pentru care, astfel cum se recunoaște în evaluarea agenției, mandatul actual nu este suficient.

(8)  Este recunoscut faptul că, de la adoptarea Strategiei de securitate cibernetică a UE, în 2013, și de la ultima revizuire a mandatului agenției, contextul general de politici a cunoscut schimbări semnificative, legate, de asemenea, de apariția unui mediu mondial mai incert și mai puțin sigur. În acest context și în contextul rolului pozitiv pe care l-a avut agenția de-a lungul anilor în ceea ce privește punerea în comun a expertizei, coordonarea și consolidarea capacităților, și în cadrul noii politici de securitate cibernetică a Uniunii, este necesar să se revizuiască mandatul ENISA pentru a defini rolul care îi revine în ecosistemul de securitate cibernetică rezultat în urma acestor evoluții și pentru a oferi asigurarea că agenția contribuie în mod eficace la răspunsul Uniunii la provocările în materie de securitate cibernetică ce își au originea în această transformare radicală a naturii amenințărilor, pentru care, astfel cum se recunoaște în evaluarea agenției, mandatul actual nu este suficient.

Amendamentul    12

Propunere de regulament

Considerentul 11

Textul propus de Comisie

Amendamentul

(11)  Având în vedere agravarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, ar fi necesară o sporire a resurselor financiare și umane alocate agenției, care să corespundă consolidării rolului și sarcinilor sale, precum și poziției sale critice în ecosistemul de organizații care apără ecosistemul digital european.

(11)  Având în vedere agravarea amenințărilor și a provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, ar fi necesară o sporire a resurselor financiare și umane alocate agenției, care să corespundă consolidării rolului și sarcinilor sale, precum și poziției sale critice în ecosistemul de organizații care apără ecosistemul digital european și care să permită ENISA să își îndeplinească în mod eficient sarcinile care îi sunt conferite prin prezentul regulament.

Amendamentul    13

Propunere de regulament

Considerentul 12

Textul propus de Comisie

Amendamentul

(12)  Agenția ar trebui să dezvolte și să mențină un nivel ridicat de expertiză și să funcționeze ca punct de referință, instaurând încrederea în piața unică grație independenței sale, calității consilierii acordate și informațiilor diseminate, transparenței procedurilor și metodelor sale de operare, precum și eforturilor depuse în îndeplinirea sarcinilor sale. Agenția ar trebui să contribuie în mod proactiv la eforturile depuse la nivel național și la nivelul UE, îndeplinindu-și totodată sarcinile în deplină cooperare cu instituțiile, organele, oficiile și agențiile Uniunii și cu statele membre. În plus, agenția ar trebui să se bazeze pe informațiile primite de la sectorul privat și alte părți interesate relevante și pe cooperarea cu acestea. Este necesar să se stabilească printr-o serie de sarcini modul în care agenția trebuie să își realizeze obiectivele, permițându-i în același timp să funcționeze flexibil.

(12)  Agenția ar trebui să dezvolte și să mențină un nivel ridicat de expertiză și să funcționeze ca punct de referință, instaurând încrederea în piața unică grație independenței sale, calității consilierii acordate și informațiilor diseminate, transparenței procedurilor și metodelor sale de operare, precum și eforturilor depuse în îndeplinirea sarcinilor sale. Agenția ar trebui să contribuie în mod proactiv la eforturile depuse la nivel național și la nivelul UE, îndeplinindu-și totodată sarcinile în deplină cooperare cu instituțiile, organele, oficiile și agențiile Uniunii și cu statele membre, evitând orice suprapunere a eforturilor, promovând sinergia și complementaritatea și, astfel, consolidând coordonarea și realizând economii fiscale. În plus, agenția ar trebui să se bazeze pe informațiile primite de la sectorul privat și public și alte părți interesate relevante și pe cooperarea cu acestea. O agendă clară și o serie de sarcini și obiective clar definite ar trebui să stabilească modul în care agenția trebuie să își realizeze obiectivele, acordând totodată atenția cuvenită flexibilității necesare a operațiunilor sale. În măsura posibilului, ar trebui păstrat cel mai înalt grad de transparență și de diseminare a informațiilor.

Amendamentul    14

Propunere de regulament

Considerentul 12 a (nou)

Textul propus de Comisie

Amendamentul

 

(12a)  Rolul agenției ar trebui să fie supus unei evaluări continue și unei revizuiri în timp util, în special rolul său de coordonare cu privire la statele membre și autoritățile naționale ale acestora și posibilitatea de a acționa ca „ghișeu unic” pentru statele membre și organele și instituțiile UE. De asemenea, ar trebui să se evalueze rolul agenției în evitarea fragmentării pieței interne și posibila introducere a unor sisteme obligatorii de certificare de securitate cibernetică, în cazul în care, în viitor, situația impune o astfel de modificare, precum și rolul agenției cu privire la evaluarea produselor din țările terțe care intră pe piața UE și posibila înscriere pe lista neagră a societăților care nu îndeplinesc criteriile UE.

Amendamentul    15

Propunere de regulament

Considerentul 12 b (nou)

Textul propus de Comisie

Amendamentul

 

(12b)  Pentru a fi în măsură să ofere un sprijin adecvat cooperării operaționale a statelor membre, ENISA ar trebui să își consolideze în continuare propriile capacități tehnice și propria expertiză. În acest scop, Agenția ar trebui să își consolideze treptat personalul dedicat acestei sarcini, astfel încât acesta să fie în măsură să colecteze și să analizeze în mod autonom diverse tipuri dintr-o gamă largă de amenințări cibernetice și programe malware, să efectueze analiza criminalistică și să acorde sprijin statelor membre în reacția la incidente de mare amploare. Pentru a evita orice duplicare a capabilităților existente în statele membre, ENISA ar trebui să-și sporească competențele și capacitățile, pe baza resurselor existente prezente în statele membre, în special prin detașarea experților naționali în agenție, înființarea unor grupuri de experți, programe de schimb de personal etc. La selectarea membrilor personalului responsabil în acest domeniu, agenția ar trebui să se asigure treptat că îndeplinesc criteriile adecvate pentru a furniza sprijin corespunzător.

Amendamentul    16

Propunere de regulament

Considerentul 13

Textul propus de Comisie

Amendamentul

(13)  Agenția ar trebui să furnizeze asistență Comisiei sub formă de consiliere, avize și analize cu privire la toate chestiunile de competența Uniunii legate de elaborarea, actualizarea și revizuirea politicilor și legislației din domeniul securității cibernetice, inclusiv al protecției infrastructurilor critice și al rezilienței cibernetice. Agenția ar trebui să acționeze ca punct de referință în ceea ce privește consilierea și expertiza pentru inițiativele de politică și legislative sectoriale ale Uniunii în cazul în care intervin chestiuni legate de securitatea cibernetică.

(13)  Agenția ar trebui să furnizeze asistență Comisiei sub formă de consiliere, avize și analize cu privire la toate chestiunile de competența Uniunii legate de elaborarea, actualizarea și revizuirea politicilor și legislației din domeniul securității cibernetice, inclusiv al protecției infrastructurilor critice și al rezilienței cibernetice. Agenția ar trebui să acționeze ca punct de referință în ceea ce privește consilierea și expertiza pentru inițiativele de politică și legislative sectoriale ale Uniunii în cazul în care intervin chestiuni legate de securitatea cibernetică. Expertiza sa va fi în special necesară atunci când se pregătește programul de lucru multianual al Uniunii pentru sistemele europene de certificare de securitate cibernetică. Agenția ar trebui să pună periodic la dispoziția Parlamentului actualizări, analize și revizuiri în domeniul securității cibernetice și cu privire la evoluția sarcinilor sale.

Amendamentul    17

Propunere de regulament

Considerentul 14

Textul propus de Comisie

Amendamentul

(14)  Sarcina fundamentală a agenției este de a promova punerea în aplicare coerentă a cadrului juridic relevant, în special punerea în aplicare eficace a Directivei privind securitatea rețelelor și a informațiilor, care este esențială pentru sporirea rezilienței cibernetice. Având în vedere evoluția rapidă a naturii amenințărilor la adresa securității cibernetice, este clar că statele membre trebuie să fie sprijinite printr-o abordare mai cuprinzătoare, bazată pe mai multe politici, a consolidării rezilienței cibernetice.

(14)  Sarcina fundamentală a agenției este de a promova punerea în aplicare coerentă a cadrului juridic relevant, în special punerea în aplicare eficace a Directivei privind securitatea rețelelor și a informațiilor, a Directivei de instituire a Codului european al comunicațiilor electronice, a Regulamentului (UE) 2016/679 și a Directivei 2002/58/CE, care este esențială pentru sporirea rezilienței cibernetice. Având în vedere evoluția rapidă a naturii amenințărilor la adresa securității cibernetice, este clar că statele membre trebuie să fie sprijinite printr-o abordare mai cuprinzătoare, bazată pe mai multe politici, a consolidării rezilienței cibernetice.

Amendamentul    18

Propunere de regulament

Considerentul 15

Textul propus de Comisie

Amendamentul

(15)  Agenția ar trebui să furnizeze asistență statelor membre și instituțiilor, organelor, oficiilor și agențiilor Uniunii, venind în sprijinul eforturilor depuse de acestea pentru a crea și a consolida capabilitățile și pregătirea necesare pentru a preveni, a detecta și a reacționa la problemele și incidentele de securitate cibernetică și în ceea ce privește securitatea rețelelor și a sistemelor informatice. În special, agenția ar trebui să sprijine dezvoltarea și consolidarea CSIRT naționale, astfel încât acestea să ajungă la un nivel comun ridicat de maturitate în Uniune. Agenția ar trebui, de asemenea, să acorde asistență la elaborarea și actualizarea strategiilor Uniunii și ale statelor membre în materie de securitate a rețelelor și a sistemelor informatice, în special în ceea ce privește securitatea cibernetică, și să promoveze diseminarea lor și monitorizarea progreselor înregistrate în punerea în aplicare a acestora. Totodată, agenția ar trebui să ofere organismelor publice cursuri și materiale de formare, și, dacă este cazul, să asigure „formarea formatorilor” pentru a ajuta statele membre să își creeze propriile capabilități de formare.

(15)  Agenția ar trebui să furnizeze asistență statelor membre și instituțiilor, organelor, oficiilor și agențiilor Uniunii, venind în sprijinul eforturilor depuse de acestea pentru a crea și a consolida capabilitățile și pregătirea necesare pentru a preveni, a detecta și a reacționa la problemele și incidentele de securitate cibernetică și în ceea ce privește securitatea rețelelor și a sistemelor informatice. În special, agenția ar trebui să sprijine dezvoltarea și consolidarea CSIRT naționale, astfel încât acestea să ajungă la un nivel comun ridicat de maturitate în Uniune. Agenția ar trebui, de asemenea, să acorde asistență la elaborarea și actualizarea strategiilor Uniunii și ale statelor membre în materie de securitate a rețelelor și a sistemelor informatice, în special în ceea ce privește securitatea cibernetică, și să promoveze diseminarea lor și monitorizarea progreselor înregistrate în punerea în aplicare a acestora. Având în vedere că erorile umane reprezintă unul dintre cele mai pertinente riscuri la adresa securității cibernetice, agenția ar trebui, totodată, să ofere organismelor publice cursuri și materiale de formare, și, în cea mai mare măsură posibilă, să asigure „formarea formatorilor” pentru a ajuta statele membre și instituțiile și agențiile Uniunii să își creeze propriile capabilități de formare. De asemenea, agenția ar trebui să servească drept punct de contact pentru statele membre și instituțiile Uniunii, care ar trebui să poată solicita asistența agenției în limita competențelor și a rolurilor care îi sunt atribuite.

Amendamentul    19

Propunere de regulament

Considerentul 18

Textul propus de Comisie

Amendamentul

(18)  Agenția ar trebui să agrege și să analizeze rapoartele naționale primite de la CSIRT și CERT-UE, stabilind norme, limbaje și terminologii comune pentru schimbul de informații. Agenția ar trebui, de asemenea, să atragă participarea sectorului privat, în cadrul Directivei privind securitatea rețelelor și a informațiilor care a prevăzut bazele schimbului voluntar de informații tehnice la nivel operațional, creând rețeaua CSIRT.

(18)  Agenția ar trebui să agrege și să analizeze rapoartele naționale primite de la CSIRT și CERT-UE, stabilind norme, limbaje și terminologii comune pentru schimbul de informații. Agenția ar trebui, de asemenea, să atragă participarea sectorului privat și a sectorului public, în cadrul Directivei privind securitatea rețelelor și a informațiilor care a prevăzut bazele schimbului voluntar de informații tehnice la nivel operațional, creând rețeaua CSIRT.

Amendamentul    20

Propunere de regulament

Considerentul 19

Textul propus de Comisie

Amendamentul

(19)  Agenția ar trebui să contribuie la răspunsul la nivelul UE în caz de crize și incidente transfrontaliere de securitate cibernetică de mare amploare. Această funcție ar trebui să includă colectarea de informații relevante și exercitarea rolului de facilitare între rețeaua CSIRT și comunitatea tehnică, precum și cu factorii de decizie responsabili cu gestionarea situațiilor de criză. În plus, agenția ar putea sprijini din punct de vedere tehnic administrarea incidentelor, facilitând schimbul de soluții tehnice relevante între statele membre și contribuind la comunicarea publică. Agenția ar trebui să sprijine acest proces testând modalitățile de desfășurare a acestei cooperări prin intermediul exercițiilor anuale de securitate cibernetică.

(19)  Agenția ar trebui să contribuie la răspunsul la nivelul UE în caz de crize și incidente transfrontaliere de securitate cibernetică de mare amploare. Această funcție ar trebui să includă convocarea autorităților statelor membre și asistarea la coordonarea răspunsului acestora, colectarea de informații relevante și exercitarea rolului de facilitare între rețeaua CSIRT și comunitatea tehnică, precum și cu factorii de decizie responsabili cu gestionarea situațiilor de criză. În plus, agenția ar putea sprijini din punct de vedere tehnic administrarea incidentelor, de exemplu, facilitând schimbul de soluții tehnice relevante între statele membre și contribuind la comunicarea publică. Agenția ar trebui să sprijine acest proces testând modalitățile de desfășurare a acestei cooperări prin intermediul exercițiilor anuale de securitate cibernetică. Agenția ar trebui să respecte competențele statelor membre în domeniul securității cibernetice, în special cele privind siguranța publică, apărarea, securitatea națională și activitățile statului din domeniul dreptului penal.

Amendamentul    21

Propunere de regulament

Considerentul 25

Textul propus de Comisie

Amendamentul

(25)  Statele membre pot invita întreprinderile afectate de incident să coopereze furnizând agenției informațiile și asistența necesare, fără a aduce atingere dreptului lor de a proteja informații sensibile din punct de vedere comercial.

(25)  Statele membre pot invita întreprinderile afectate de incident să coopereze furnizând agenției informațiile și asistența necesare, fără a aduce atingere dreptului lor de a proteja informații sensibile din punct de vedere comercial și informații relevante pentru siguranța publică.

Amendamentul    22

Propunere de regulament

Considerentul 26

Textul propus de Comisie

Amendamentul

(26)  Pentru a înțelege mai bine provocările din domeniul securității cibernetice și a oferi consiliere strategică pe termen lung statelor membre și instituțiilor Uniunii, este necesar ca agenția să analizeze riscurile actuale și pe cele emergente. În acest scop, agenția ar trebui să colecteze informațiile relevante în cooperare cu statele membre și, după caz, cu organismele de statistică și cu alte entități, să efectueze analize privind tehnologiile emergente și să furnizeze evaluări tematice privind impactul societal, juridic, economic și în materie de reglementare al inovațiilor tehnologice asupra securității rețelelor și informațiilor, în special asupra securității cibernetice. În plus, agenția ar trebui să sprijine statele membre și instituțiile, agențiile și organele Uniunii în ceea ce privește identificarea tendințelor emergente și prevenirea problemelor legate de securitatea cibernetică, prin efectuarea de analize ale amenințărilor și incidentelor.

(26)  Pentru a înțelege mai bine provocările din domeniul securității cibernetice și a oferi consiliere strategică pe termen lung statelor membre și instituțiilor Uniunii, este necesar ca agenția să analizeze riscurile actuale și pe cele emergente, incidentele, amenințările și vulnerabilitățile. În acest scop, agenția ar trebui să colecteze informațiile relevante în cooperare cu statele membre și, după caz, cu organismele de statistică și cu alte entități, să efectueze analize privind tehnologiile emergente și să furnizeze evaluări tematice privind impactul societal, juridic, economic și în materie de reglementare al inovațiilor tehnologice asupra securității rețelelor și informațiilor, în special asupra securității cibernetice. În plus, agenția ar trebui să sprijine statele membre și instituțiile, agențiile și organele Uniunii în ceea ce privește identificarea tendințelor emergente și prevenirea problemelor legate de securitatea cibernetică, prin efectuarea de analize ale amenințărilor, incidentelor și vulnerabilităților.

Amendamentul    23

Propunere de regulament

Considerentul 27

Textul propus de Comisie

Amendamentul

(27)  Pentru a spori reziliența Uniunii, agenția ar trebui să vizeze excelența în materie de securitate a infrastructurii de internet și a infrastructurilor critice, furnizând consiliere, orientări și bune practici. În vederea asigurării unui acces mai ușor la informații mai bine structurate privind riscurile de securitate cibernetică și potențialele măsuri corective, agenția ar trebui să creeze și să întrețină „platforma de informare” a Uniunii, un portal de tip ghișeu unic care să permită publicului să obțină informațiile despre securitatea cibernetică ce provin de la instituțiile, agențiile și organismele UE și naționale.

(27)  Pentru a spori reziliența Uniunii, agenția ar trebui să vizeze excelența în materie de securitate a infrastructurii de internet și a infrastructurilor critice, furnizând consiliere, orientări și bune practici. În vederea asigurării unui acces mai ușor la informații mai bine structurate privind riscurile de securitate cibernetică și potențialele măsuri corective, agenția ar trebui să creeze și să întrețină „platforma de informare” a Uniunii, un portal de tip ghișeu unic care să permită publicului să obțină informațiile despre securitatea cibernetică ce provin de la instituțiile, agențiile și organismele UE și naționale. Facilitarea accesului la informații mai bine structurate privind riscurile de securitate cibernetică și potențialele măsuri corective ar trebui să ajute statele membre să își consolideze capacitățile, să își alinieze practicile și să își îmbunătățească, astfel, reziliența generală la atacurile cibernetice.

Amendamentul    24

Propunere de regulament

Considerentul 28

Textul propus de Comisie

Amendamentul

(28)  Agenția ar trebui să contribuie la sensibilizarea publicului cu privire la riscurile legate de securitatea cibernetică și să furnizeze, în atenția cetățenilor și organizațiilor, orientări privind bunele practici care trebuie adoptate de utilizatorii individuali. De asemenea, agenția ar trebui să contribuie la promovarea celor mai bune practici și soluții în rândul persoanelor fizice și organizațiilor, prin colectarea și analiza informațiilor aflate la dispoziția publicului referitoare la incidentele semnificative și prin întocmirea de rapoarte cu scopul de a furniza orientări întreprinderilor și cetățenilor și de a îmbunătăți nivelul global de pregătire și reziliență. În plus, agenția ar trebui să organizeze, în cooperare cu instituțiile, organele, oficiile și agențiile statelor membre și ale Uniunii, activități de informare periodice și campanii publice de educație pentru utilizatorii finali, având ca scop promovarea unor comportamente individuale online mai sigure și sensibilizarea cu privire la eventualele pericole din spațiul cibernetic, inclusiv actele de criminalitate cibernetică, cum ar fi atacurile de tip phishing, rețelele botnet, fraudele financiare și bancare, precum și promovarea consilierii de bază privind autentificarea și protecția datelor. Agenția ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor.

(28)  Agenția ar trebui să contribuie la sensibilizarea publicului, inclusiv prin promovarea educației, cu privire la riscurile de securitate cibernetică și să furnizeze, în atenția cetățenilor, organizațiilor și întreprinderilor, orientări privind bunele practici care trebuie adoptate de utilizatorii individuali. De asemenea, agenția ar trebui să contribuie la promovarea celor mai bune practici în materie de igienă cibernetică, care acoperă câteva practici care ar trebui aplicate și efectuate în mod periodic pentru a proteja utilizatorii și întreprinderile online, și soluții la nivelul organizațiilor și întreprinderilor individuale, prin colectarea și analiza informațiilor aflate la dispoziția publicului referitoare la incidentele semnificative și prin întocmirea și publicarea de rapoarte și ghiduri cu scopul de a furniza orientări întreprinderilor și cetățenilor și de a îmbunătăți nivelul global de pregătire și reziliență. De asemenea, ENISA ar trebui să depună toate eforturile pentru a furniza consumatorilor informații relevante privind sistemele de certificare aplicabile, de exemplu oferind orientări și recomandări pentru piețele online și offline. În plus, agenția ar trebui să organizeze, în conformitate cu Planul de acțiune pentru educația digitală și în cooperare cu instituțiile, organele, oficiile și agențiile statelor membre și ale Uniunii, activități de informare periodice și campanii publice de educație pentru utilizatorii finali, având ca scop promovarea unor comportamente individuale online mai sigure, a alfabetizării digitale și a sensibilizării cu privire la eventualele pericole din spațiul cibernetic, inclusiv actele de criminalitate cibernetică, cum ar fi atacurile de tip phishing, rețelele botnet, fraudele financiare și bancare, precum și promovarea consilierii de bază privind autentificarea multifactorială, corectarea erorilor, criptarea, anonimizarea și protecția datelor. Agenția ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor și utilizarea sigură a serviciilor, popularizând la nivelul UE protejarea securității și a vieții private din faza de proiectare, precum și incidentele și soluțiile aferente. Pentru atingerea acestui obiectiv, agenția trebuie să valorifice la maximum bunele practici existente și experiența, în special instituțiile academice și cercetătorii din domeniul securității informatice. Având în vedere că greșelile individuale și necunoașterea riscurilor cibernetice constituie un factor principal de incertitudine în securitatea cibernetică, ar trebui să se pună la dispoziția agenției resurse adecvate pentru exercitarea acestei funcții în cea mai mare măsură posibilă.

Amendamentul    25

Propunere de regulament

Considerentul 28 a (nou)

Textul propus de Comisie

Amendamentul

 

(28a)  Agenția ar trebui să sensibilizeze publicul cu privire la riscurile legate de incidentele de fraudă și furturile de date care pot afecta grav drepturile fundamentale ale persoanelor, pot submina statul de drept și pot pune în pericol stabilitatea societăților democratice, inclusiv a proceselor democratice din statele membre.

Amendamentul    26

Propunere de regulament

Considerentul 30

Textul propus de Comisie

Amendamentul

(30)  Pentru a asigura îndeplinirea în totalitate a obiectivelor sale, agenția ar trebui să colaboreze cu instituțiile, agențiile și organismele relevante, inclusiv cu CERT-UE, Centrul european de combatere a criminalității informatice (EC3) din cadrul Europol, Agenția Europeană de Apărare (AEA), Agenția Europeană pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă (eu-LISA), Agenția Europeană de Siguranță a Aviației (AESA) și orice altă agenție a UE implicată în securitatea cibernetică. Agenția ar trebui, de asemenea, să colaboreze cu autoritățile care îndeplinesc sarcini de protecție a datelor pentru a face schimb de cunoștințe de specialitate și de bune practici și pentru a oferi consiliere privind aspectele legate de securitatea cibernetică ce ar putea avea un impact asupra activității acestora. Reprezentanții autorităților naționale și ale Uniunii responsabile de aplicarea legii și de protecția datelor ar trebui să fie eligibili pentru a fi reprezentați în grupul permanent al părților interesate din cadrul agenției. În activitatea sa de colaborare cu organele responsabile de aplicarea legii, cu privire la aspectele de securitate a rețelelor și a informațiilor care ar putea avea un impact asupra activității acestora, agenția ar trebui să respecte canalele de informații și rețelele existente.

(30)  Pentru a asigura îndeplinirea în totalitate a obiectivelor sale, agenția ar trebui să colaboreze cu instituțiile, autoritățile UE de supraveghere și alte autorități competente, agențiile și organismele relevante, inclusiv cu CERT-UE, Centrul european de combatere a criminalității informatice (EC3) din cadrul Europol, Agenția Europeană de Apărare (AEA), Agenția GNSS European (GSA), Organismul autorităților europene de reglementare în domeniul comunicațiilor electronice (OAREC), Agenția Europeană pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă (eu-LISA), Banca Centrală Europeană (BCE), Autoritatea Bancară Europeană (ABE), Comitetul european pentru protecția datelor (CEPD), Agenția Europeană de Siguranță a Aviației (AESA) și orice altă agenție a UE implicată în securitatea cibernetică. Agenția ar trebui, de asemenea, să colaboreze cu organizațiile de standardizare europene, cu părțile interesate relevante și cu autoritățile care îndeplinesc sarcini de protecție a datelor pentru a face schimb de cunoștințe de specialitate și de bune practici și pentru a oferi consiliere privind aspectele legate de securitatea cibernetică ce ar putea avea un impact asupra activității acestora. Reprezentanții autorităților naționale și ale Uniunii responsabile de aplicarea legii și de protecția datelor ar trebui să fie eligibili pentru a fi reprezentați în grupul de consultanță ENISA. În activitatea sa de colaborare cu organele responsabile de aplicarea legii, cu privire la aspectele de securitate a rețelelor și a informațiilor care ar putea avea un impact asupra activității acestora, agenția ar trebui să respecte canalele de informații și rețelele existente. Ar trebui instituite parteneriate cu instituții academice care au inițiative de cercetare în domeniile relevante, în timp ce contribuția organizațiilor de consumatori și a altor organizații ar trebui să dispună de canale adecvate și să fie analizată permanent.

Amendamentul    27

Propunere de regulament

Considerentul 31

Textul propus de Comisie

Amendamentul

(31)  Agenția, în calitate de membru care, în plus, asigură secretariatul rețelei CSIRT, ar trebui să sprijine echipele de intervenție în caz de incidente de securitate informatică (CSIRT) ale statelor membre și CERT-UE în ceea ce privește cooperarea operațională care are drept obiect toate sarcinile relevante ale rețelei CSIRT, astfel cum sunt definite prin Directiva privind securitatea rețelelor și a informațiilor. De asemenea, agenția ar trebui să promoveze și să sprijine cooperarea dintre CSIRT relevante în caz de incidente, atacuri sau întreruperi la nivelul rețelelor sau al infrastructurilor gestionate sau protejate de CSIRT și care implică sau pot implica cel puțin două CERT, ținând seama în mod corespunzător de procedurile standard de operare ale rețelei CSIRT.

(31)  Agenția, în calitate de membru care, în plus, asigură secretariatul rețelei CSIRT, ar trebui să sprijine echipele de intervenție în caz de incidente de securitate informatică (CSIRT) ale statelor membre și CERT-UE în ceea ce privește cooperarea operațională care are drept obiect toate sarcinile relevante ale rețelei CSIRT, astfel cum sunt definite prin Directiva privind securitatea rețelelor și a informațiilor. De asemenea, agenția ar trebui să promoveze și să sprijine cooperarea dintre CSIRT relevante în caz de incidente, atacuri sau întreruperi la nivelul rețelelor sau al infrastructurilor gestionate sau protejate de CSIRT și care implică sau pot implica cel puțin două CERT, ținând seama în mod corespunzător de procedurile standard de operare ale rețelei CSIRT. Agenția poate efectua, la cererea Comisiei sau a unui stat membru, audituri periodice ale securității informatice a infrastructurilor transfrontaliere de importanță critică, cu scopul de a identifica posibile riscuri la adresa securității cibernetice și a formula recomandări în vederea consolidării rezilienței acestora.

Amendamentul    28

Propunere de regulament

Considerentul 33

Textul propus de Comisie

Amendamentul

(33)  Agenția ar trebui să își dezvolte și să își mențină în continuare expertiza în materie de certificare de securitate cibernetică, pentru a sprijini politicile Uniunii din acest domeniu. Aceasta ar trebui să promoveze adoptarea certificării de securitate cibernetică în Uniune. În acest scop, ea ar trebui, printre altele, să contribuie la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii, astfel încât asigurarea securității cibernetice a produselor și serviciilor TIC să devină mai transparentă, iar piața internă digitală să se bucure, astfel, de o mai mare încredere.

(33)  Agenția ar trebui să își dezvolte și să își mențină în continuare expertiza în materie de certificare de securitate cibernetică, pentru a sprijini politicile Uniunii din acest domeniu. Aceasta ar trebui să se bazeze pe bunele practici existente și să promoveze adoptarea certificării de securitate cibernetică în Uniune. În acest scop, ea ar trebui, printre altele, să contribuie la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii, astfel încât asigurarea securității cibernetice a produselor și serviciilor TIC să devină mai transparentă, iar piața internă digitală să se bucure, astfel, de o mai mare încredere.

Amendamentul    29

Propunere de regulament

Considerentul 35

Textul propus de Comisie

Amendamentul

(35)  Agenția ar trebui să încurajeze statele membre și furnizorii de servicii să-și ridice standardele generale de securitate, astfel încât toți utilizatorii de internet să poată lua măsurile necesare pentru a-și asigura securitatea cibernetică personală. În particular, furnizorii de servicii și fabricanții de produse ar trebui să retragă sau să recicleze produsele și serviciile care nu îndeplinesc standardele de securitate cibernetică. În cooperare cu autoritățile competente, ENISA poate difuza informații privind nivelul de securitate cibernetică al produselor și serviciilor oferite pe piața internă și emite avertismente prin care să oblige furnizorii și fabricanții să îmbunătățească securitatea, inclusiv cibernetică, a produselor și serviciilor lor.

(35)  Agenția ar trebui să încurajeze statele membre, fabricanții și furnizorii de servicii să-și ridice standardele generale de securitate pentru produsele, procesele, serviciile și sistemelor lor TIC care ar trebui să respecte obligațiile de securitate de bază în conformitate cu principiul securității de la stadiul conceperii și în mod implicit, în special prin punerea la dispoziție a actualizărilor necesare, astfel încât toți utilizatorii de internet să poată fi asigurați și stimulați să ia măsurile necesare pentru a-și asigura securitatea cibernetică personală. În particular, furnizorii de servicii și fabricanții de produse ar trebui să recheme, să retragă sau să recicleze produsele și serviciile care nu îndeplinesc obligațiile de securitate cibernetică de bază, iar importatorii și distribuitorii ar trebui să se asigure că produsele, procesele, serviciile și sistemele TIC pe care aceștia le introduc pe piața europeană îndeplinesc cerințele aplicabile și nu prezintă riscuri pentru consumatorii europeni. În cooperare cu autoritățile competente, ENISA poate difuza informații privind nivelul de securitate cibernetică al produselor și serviciilor oferite pe piața internă și emite avertismente prin care să oblige furnizorii și fabricanții să îmbunătățească securitatea, inclusiv cibernetică, a produselor, proceselor, serviciilor și sistemelor lor. Agenția ar trebui să colaboreze cu părțile interesate pentru a dezvolta o abordare la nivelul UE vizând divulgarea responsabilă a vulnerabilităților și ar trebui să promoveze cele mai bune practici în acest domeniu.

Amendamentul    30

Propunere de regulament

Considerentul 36

Textul propus de Comisie

Amendamentul

(36)  Agenția ar trebui să ia în considerare pe deplin activitățile în curs de cercetare, dezvoltare și evaluare tehnologică, în special cele desfășurate în cadrul diferitelor inițiative de cercetare ale Uniunii, în scopul de a consilia instituțiile, organele, oficiile și agențiile Uniunii și, după caz, statele membre, la solicitarea acestora, cu privire la necesitățile în materie de cercetare în domeniul securității rețelelor și a informațiilor, în special în ceea ce privește securitatea cibernetică.

(36)  Agenția ar trebui să ia în considerare pe deplin activitățile în curs de cercetare, dezvoltare și evaluare tehnologică, în special cele desfășurate în cadrul diferitelor inițiative de cercetare ale Uniunii, în scopul de a consilia instituțiile, organele, oficiile și agențiile Uniunii și, după caz, statele membre, la solicitarea acestora, cu privire la necesitățile în materie de cercetare în domeniul securității rețelelor și a informațiilor, în special în ceea ce privește securitatea cibernetică. Mai precis, ar trebui instituită o cooperare cu Consiliul European pentru Cercetare (CEC) și Institutul European pentru Inovare și Tehnologie (EIT), iar cercetarea în domeniul securității ar trebui inclusă în cel de-Al nouălea program-cadru de cercetare (PC9) și în Orizont 2020.

Amendamentul    31

Propunere de regulament

Considerentul 36 a (nou)

Textul propus de Comisie

Amendamentul

 

(36a)  Standardele reprezintă un instrument voluntar, determinat de piață, care oferă orientări și cerințe tehnice și rezultă în urma unui proces deschis, transparent și favorabil incluziunii. Agenția ar trebui să se consulte periodic cu organizațiile de standardizare și să lucreze în strânsă cooperare cu acestea, în special atunci când pregătește sistemele europene de certificare de securitate cibernetică.

Amendamentul    32

Propunere de regulament

Considerentul 37

Textul propus de Comisie

Amendamentul

(37)  Problemele legate de securitatea cibernetică au o dimensiune mondială. Este necesară consolidarea cooperării internaționale pentru îmbunătățirea standardelor de securitate, inclusiv prin definirea de norme de comportament comune, schimburi de informații și promovarea unei colaborări internaționale mai rapide ca reacție la problemele de securitate a rețelelor și a informațiilor, precum și a unei abordări comune la nivel mondial a acestor probleme. În acest scop, agenția ar trebui să sprijine continuarea implicării și cooperării Uniunii cu țări terțe și cu organizații internaționale, furnizând, după caz, expertiza și analiza necesară instituțiilor, organelor, oficiilor și agențiilor Uniunii.

(37)  Problemele legate de securitatea cibernetică au o dimensiune mondială. Este necesară consolidarea cooperării internaționale pentru îmbunătățirea standardelor de securitate, inclusiv prin definirea de norme de comportament și coduri de conduită comune, utilizarea standardelor internaționale, schimburi de informații și promovarea unei colaborări internaționale mai rapide ca reacție la problemele de securitate a rețelelor și a informațiilor, precum și a unei abordări comune la nivel mondial a acestor probleme. În acest scop, agenția ar trebui să sprijine continuarea implicării și cooperării Uniunii cu țări terțe și cu organizații internaționale, furnizând, după caz, expertiza și analiza necesară instituțiilor, organelor, oficiilor și agențiilor Uniunii.

Amendamentul    33

Propunere de regulament

Considerentul 40

Textul propus de Comisie

Amendamentul

(40)  Consiliul de administrație, alcătuit din reprezentanți ai statelor membre și ai Comisiei, ar trebui să traseze direcția generală a activităților agenției și să se asigure că aceasta își îndeplinește sarcinile în conformitate cu prezentul regulament. Consiliului de administrație ar trebui să i se încredințeze competențele necesare pentru întocmirea bugetului, verificarea execuției acestuia, adoptarea normelor financiare adecvate, stabilirea unor proceduri de lucru transparente pentru luarea deciziilor de către agenție, adoptarea documentului unic de programare al agenției, adoptarea propriului regulament de procedură, numirea directorului executiv, luarea deciziei cu privire la prelungirea sau încetarea mandatului directorului executiv.

(40)  Consiliul de administrație, care reprezintă statele membre și Comisia, precum și părțile interesate relevante pentru obiectivele agenției, ar trebui să traseze direcția generală a activităților agenției și să se asigure că aceasta își îndeplinește sarcinile în conformitate cu prezentul regulament. Consiliului de administrație ar trebui să i se încredințeze competențele necesare pentru întocmirea bugetului, verificarea execuției acestuia, adoptarea normelor financiare adecvate, stabilirea unor proceduri de lucru transparente pentru luarea deciziilor de către agenție, adoptarea documentului unic de programare al agenției, adoptarea propriului regulament de procedură, numirea directorului executiv, luarea deciziei cu privire la prelungirea sau încetarea mandatului directorului executiv. În lumina sarcinilor cu caracter tehnic și științific pronunțat ale agenției, membrii consiliului de administrație ar trebui să aibă o experiență adecvată și un înalt nivel de competență în problemele care intră sub incidența misiunilor agenției.

Amendamentul    34

Propunere de regulament

Considerentul 41

Textul propus de Comisie

Amendamentul

(41)  Pentru buna funcționare în condiții de eficacitate a agenției, Comisia și statele membre ar trebui să se asigure că persoanele care urmează să fie numite în consiliul de administrație au nivelul adecvat de competență și experiență profesională în domeniile funcționale. Comisia și statele membre ar trebui, de asemenea, să depună eforturi pentru a limita rotația reprezentanților lor în consiliul de administrație, cu scopul de a asigura continuitatea activității acestuia.

(41)  Pentru buna funcționare în condiții de eficacitate a agenției, Comisia și statele membre ar trebui să se asigure că persoanele care urmează să fie numite în consiliul de administrație au nivelul adecvat de competență și experiență profesională în domeniile funcționale. Comisia și statele membre ar trebui, de asemenea, să depună eforturi pentru a limita rotația reprezentanților lor în consiliul de administrație, cu scopul de a asigura continuitatea activității acestuia. Dată fiind valoarea ridicată de piață a abilităților necesare în activitatea agenției, este necesar să se asigure faptul că salariile și condițiile sociale oferite întregului său personal sunt competitive și că în această agenție pot alege să lucreze cei mai buni profesioniști.

Justificare

Pentru a avea un nivel adecvat de expertiză, ENISA trebuie să fie un angajator competitiv pe o piață extrem de competitivă.

Amendamentul    35

Propunere de regulament

Considerentul 42

Textul propus de Comisie

Amendamentul

(42)  Pentru buna funcționare a agenției este necesar ca numirea directorului executiv să fie făcută pe baza meritelor și aptitudinilor sale administrative și manageriale atestate, precum și a competenței și experienței relevante în domeniul securității cibernetice și, de asemenea, este necesar ca directorul executiv să își ducă la îndeplinire atribuțiile în deplină independență. Directorul executiv ar trebui să elaboreze o propunere privind programul de activitate al agenției, după consultări prealabile cu Comisia, și să ia toate măsurile necesare pentru a asigura îndeplinirea corespunzătoare a programului de activitate al agenției. Directorul executiv ar trebui să întocmească un raport anual care să fie prezentat consiliului de administrație, să elaboreze un proiect de declarație de venituri și cheltuieli estimate ale agenției și să execute bugetul. În plus, directorul executiv ar trebui să aibă opțiunea de a înființa grupuri de lucru ad-hoc pentru a aborda aspecte specifice, în special de natură științifică, tehnică, juridică sau socioeconomică. Directorul executiv ar trebui să se asigure că selecționarea membrilor grupurilor de lucru ad-hoc se realizează în conformitate cu cele mai înalte standarde de competență, ținând cont în mod corespunzător de o reprezentare echilibrată – după caz, în funcție de problemele specifice – între administrațiile publice ale statelor membre, instituțiile Uniunii și sectorul privat, inclusiv industria, utilizatorii și experții universitari în domeniul securității rețelelor și a informațiilor.

(42)  Pentru buna funcționare a agenției este necesar ca numirea directorului executiv să fie făcută pe baza meritelor și aptitudinilor sale administrative și manageriale atestate, precum și a competenței și experienței relevante în domeniul securității cibernetice și, de asemenea, este necesar ca directorul executiv să își ducă la îndeplinire atribuțiile în deplină independență. Directorul executiv ar trebui să elaboreze o propunere privind programul de activitate al agenției, după consultări prealabile cu Comisia, și să ia toate măsurile necesare pentru a asigura îndeplinirea corespunzătoare a programului de activitate al agenției. Directorul executiv ar trebui să întocmească un raport anual care să fie prezentat consiliului de administrație, să elaboreze un proiect de declarație de venituri și cheltuieli estimate ale agenției și să execute bugetul. În plus, directorul executiv ar trebui să aibă opțiunea de a înființa grupuri de lucru ad-hoc pentru a aborda aspecte specifice, în special de natură științifică, tehnică, juridică sau socioeconomică. Directorul executiv ar trebui să se asigure că selecționarea membrilor grupurilor de lucru ad-hoc se realizează în conformitate cu cele mai înalte standarde de competență, ținând cont în mod corespunzător de o reprezentare echilibrată și de echilibrul de gen – după caz, în funcție de problemele specifice – între administrațiile publice ale statelor membre, instituțiile Uniunii și sectorul privat, inclusiv industria, utilizatorii și experții universitari în domeniul securității rețelelor și a informațiilor.

Amendamentul    36

Propunere de regulament

Considerentul 44

Textul propus de Comisie

Amendamentul

(44)  Agenția ar trebui să aibă drept organism consultativ un grup permanent al părților interesate, pentru a asigura un dialog regulat cu sectorul privat, cu organizațiile de consumatori și cu alte părți interesate relevante. Grupul permanent al părților interesate, instituit de consiliul de administrație la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părțile interesate și să le aducă în atenția agenției. Componența grupului permanent al părților interesate și sarcinile încredințate acestuia, care urmează să fie consultat în special în legătură cu proiectul de program de activitate, ar trebui să asigure faptul că părțile interesate sunt reprezentate într-o măsură suficientă în ceea ce privește activitatea agenției .

(44)  Agenția ar trebui să aibă drept organism consultativ un grup de consultanță ENISA pentru a asigura un dialog periodic cu sectorul privat, cu organizațiile de consumatori, cu mediul academic și cu alte părți interesate relevante. Grupul de consultanță ENISA instituit de consiliul de administrație la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părțile interesate și să le aducă în atenția agenției. Componența grupului permanent al părților interesate și sarcinile încredințate acestuia, care urmează să fie consultat în special în legătură cu proiectul de program de activitate, ar trebui să asigure faptul că părțile interesate sunt reprezentate într-o măsură suficientă în ceea ce privește activitatea agenției . Având în vedere importanța cerințelor de certificare pentru a asigura încrederea în IoT, Comisia va lua în considerare în mod special adoptarea unor măsuri de punere în aplicare pentru a asigura armonizarea standardelor de securitate pentru dispozitivele IoT la nivelul UE.

Amendamentul    37

Propunere de regulament

Considerentul 44 a (nou)

Textul propus de Comisie

Amendamentul

 

(44a)  Agenția ar trebui să aibă drept organism consultativ un grup de certificare al părților interesate pentru a asigura un dialog periodic cu sectorul privat, organizațiile de consumatori, mediul academic și cu alte părți interesate pertinente. Grupul de certificare al părților interesate, instituit de directorul executiv, ar trebui să fie alcătuit dintr-un comitet consultativ general care oferă informații cu privire la produsele și serviciile TIC ce trebuie vizate în cadrul viitoarelor sisteme europene de certificare a securității informatice și din comitete ad-hoc care contribuie la propunerea, dezvoltarea și adoptarea sistemelor europene de securitate cibernetică.

Amendamentul    38

Propunere de regulament

Considerentul 46

Textul propus de Comisie

Amendamentul

(46)  Pentru a garanta autonomia și independența deplină a agenției și a-i permite să îndeplinească sarcini suplimentare și noi, inclusiv sarcini urgente neprevăzute, ar trebui alocat agenției un buget suficient și autonom, ale cărui venituri să provină în principal din contribuția Uniunii și din contribuții ale țărilor terțe care iau parte la activitățile agenției. Majoritatea angajaților agenției ar trebui să fie implicați direct în punerea în aplicare operațională a mandatului agenției. Statul membru gazdă sau oricare alt stat membru ar trebui să poată contribui în mod voluntar la veniturile agenției. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce privește toate subvențiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile agenției pentru a asigura transparența și responsabilitatea.

(46)  Pentru a garanta autonomia și independența deplină a agenției și a-i permite să îndeplinească sarcini suplimentare și noi, inclusiv sarcini urgente neprevăzute, ar trebui alocat agenției un buget suficient și autonom, ale cărui venituri să provină în principal din contribuția Uniunii și din contribuții ale țărilor terțe care iau parte la activitățile agenției. Este extrem de important ca agenția să fie dotată cu un buget adecvat cu scopul de a garanta că aceasta dispune de capacități suficiente pentru a își îndeplini toate sarcinile și obiectivele tot mai cuprinzătoare. Majoritatea angajaților agenției ar trebui să fie implicați direct în punerea în aplicare operațională a mandatului agenției. Statul membru gazdă sau oricare alt stat membru ar trebui să poată contribui în mod voluntar la veniturile agenției. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce privește toate subvențiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile agenției pentru a asigura transparența, responsabilitatea și eficiența cheltuielilor.

Amendamentul    39

Propunere de regulament

Considerentul 47

Textul propus de Comisie

Amendamentul

(47)  Evaluarea conformității înseamnă procesul prin care se arată dacă s-au îndeplinit cerințele specificate pentru un produs, un proces, un serviciu, un sistem, o persoană sau un organism. În sensul prezentului regulament, certificarea ar trebui să fie considerată ca fiind un tip de evaluare a conformității care să aibă drept obiect caracteristicile de securitate cibernetică ale unui produs, unui proces, unui serviciu, unui sistem sau ale unei combinații a acestora („produsele și serviciile TIC”), efectuată de o parte terță independentă, alta decât fabricantul sau furnizorul de servicii. În sine, certificarea nu poate garanta că produsele și serviciile TIC certificate îndeplinesc condițiile de securitate cibernetică. Este vorba, mai degrabă, de o procedură și o metodologie tehnică menite să ateste faptul că produsele și serviciile TIC au fost testate și că îndeplinesc anumite cerințe de securitate cibernetică prevăzute în alte dispoziții, de exemplu specificate în cadrul standardelor tehnice.

(47)  Evaluarea conformității înseamnă procesul prin care se arată dacă s-au îndeplinit cerințele specificate pentru un produs, un proces, un serviciu, un sistem, o persoană sau un organism. În sensul prezentului regulament, certificarea ar trebui să fie considerată ca fiind un tip de evaluare a conformității care să aibă drept obiect caracteristicile de securitate cibernetică ale unui produs, unui proces, unui serviciu, unui sistem sau ale unei combinații a acestora („produsele, procesele și serviciile TIC”), efectuată de o parte terță independentă, sau, atunci când este permis, prin autoevaluarea realizată de fabricant sau de furnizorul de servicii. Autoevaluarea poate fi efectuată de fabricantul de produse, de IMM-uri sau de furnizorul de servicii precizat în prezentul regulament și, dacă este cazul, în conformitate cu noul cadru legislativ. În plus, autoevaluarea poate fi efectuată de fabricantul de produse sau de operator în cazul în care, ținând cont de utilizarea preconizată de fabricant sau de furnizorul de servicii a produsului sau a serviciului în cauză, se estimează că probabilitatea de producere a unui incident de securitate cibernetică și/sau probabilitatea ca un astfel de incident să aducă prejudicii considerabile societății sau unei părți semnificative a acesteia nu este mare sau substanțială. În sine, certificarea nu poate garanta că produsele, procesele și serviciile TIC vizate îndeplinesc condițiile de securitate cibernetică și acest lucru trebuie să fie comunicat în mod corespunzător consumatorilor și întreprinderilor. Este vorba, mai degrabă, de o procedură și o metodologie tehnică menite să ateste faptul că produsele, procesele și serviciile TIC au fost testate și că îndeplinesc anumite cerințe de securitate cibernetică prevăzute în alte dispoziții, de exemplu specificate în cadrul standardelor tehnice. Aceste standarde tehnice includ indicarea faptului că un produs, proces sau serviciu TIC își poate îndeplini funcțiile obișnuite în timp ce este deconectat de la internet.

Amendamentul    40

Propunere de regulament

Considerentul 48

Textul propus de Comisie

Amendamentul

(48)  Certificarea de securitate cibernetică este importantă pentru sporirea securității produselor și a serviciilor TIC și a încrederii de care se bucură acestea. Piața unică digitală și mai ales economia bazată pe date și internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că aceste produse și servicii oferă un anumit nivel de asigurare a securității cibernetice. Autovehiculele conectate și automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control sau rețelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea de securitate cibernetică este esențială și în sectoarele reglementate prin Directiva privind securitatea rețelelor și a informațiilor.

(48)  Certificarea europeană de securitate cibernetică este fundamentală pentru sporirea securității produselor, proceselor și serviciilor TIC și a încrederii de care se bucură acestea. Piața unică digitală și mai ales economia bazată pe date și internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că aceste produse și servicii oferă un nivel înalt de asigurare a securității cibernetice. Autovehiculele conectate și automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control sau rețelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea de securitate cibernetică este esențială și în sectoarele reglementate prin Directiva privind securitatea rețelelor și a informațiilor.

Amendamentul    41

Propunere de regulament

Considerentul 49

Textul propus de Comisie

Amendamentul

(49)  În comunicarea sa din 2016 intitulată „Consolidarea sistemului de reziliență cibernetică al Europei și încurajarea unui sector al securității cibernetice competitiv și inovator”, Comisia a subliniat faptul că sunt necesare produse și soluții de securitate cibernetică caracterizate prin calitate superioară, accesibilitatea prețului și interoperabilitate. Oferta de produse și servicii TIC din cadrul pieței unice rămâne foarte fragmentată din punct de vedere geografic. Această fragmentare se explică prin faptul că industria securității cibernetice din Europa s-a dezvoltat de-a lungul timpului în principal pe baza cererii guvernamentale naționale. În plus, lipsa de soluții interoperabile (standarde tehnice), de practici și de mecanisme de certificare la nivelul UE este una dintre lacunele care afectează piața unică în domeniul securității cibernetice. Pe de o parte, acest lucru îngreunează competitivitatea întreprinderilor europene la nivel național, european și mondial, iar pe de altă parte, reduce posibilitățile de alegere a tehnologiilor de securitate cibernetică viabile și utilizabile la care au acces persoanele fizice și întreprinderile. În mod similar, în cadrul evaluării la jumătatea perioadei a punerii în aplicare a strategiei privind piața unică digitală, Comisia a evidențiat necesitatea ca produsele și sistemele conectate să fie sigure și a apreciat că prin crearea unui cadru european de securitate pentru TIC, care să stabilească norme privind modul de organizare a certificării de securitate a TIC în Uniune, internetul s-ar putea bucura în continuare de încredere și, totodată, actuala fragmentare a pieței securității cibernetice ar putea fi contracarată.

(49)  În comunicarea sa din 2016 intitulată „Consolidarea sistemului de reziliență cibernetică al Europei și încurajarea unui sector al securității cibernetice competitiv și inovator”, Comisia a subliniat faptul că sunt necesare produse și soluții de securitate cibernetică caracterizate prin calitate superioară, accesibilitatea prețului și interoperabilitate. Oferta de produse, procese și servicii TIC din cadrul pieței unice rămâne foarte fragmentată din punct de vedere geografic. Această fragmentare se explică prin faptul că industria securității cibernetice din Europa s-a dezvoltat de-a lungul timpului în principal pe baza cererii guvernamentale naționale. În plus, lipsa de soluții interoperabile (standarde tehnice), de practici și de mecanisme de certificare la nivelul UE este una dintre lacunele care afectează piața unică în domeniul securității cibernetice. Pe de o parte, acest lucru îngreunează competitivitatea întreprinderilor europene la nivel național, european și mondial, iar pe de altă parte, reduce posibilitățile de alegere a tehnologiilor de securitate cibernetică viabile și utilizabile la care au acces persoanele fizice și întreprinderile. În mod similar, în cadrul evaluării la jumătatea perioadei a punerii în aplicare a strategiei privind piața unică digitală, Comisia a evidențiat necesitatea ca produsele și sistemele conectate să fie sigure și a apreciat că prin crearea unui cadru european de securitate pentru TIC, care să stabilească norme privind modul de organizare a certificării de securitate a TIC în Uniune, internetul s-ar putea bucura în continuare de încredere și, totodată, actuala fragmentare a pieței securității cibernetice ar putea fi contracarată.

Amendamentul    42

Propunere de regulament

Considerentul 50

Textul propus de Comisie

Amendamentul

(50)  În prezent, certificarea de securitate cibernetică a produselor și serviciilor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat emis de o autoritate națională de securitate cibernetică nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să își certifice produsele și serviciile în fiecare dintre statele membre în care își desfășoară activitatea, pentru a putea participa, de exemplu, la procedurile de achiziții publice naționale. În plus, deși apar noi sisteme, nu pare să existe o abordare coerentă și holistică a aspectelor orizontale ale securității cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficiențe și diferențe în ceea ce privește produsele vizate, nivelurile de asigurare, criteriile de fond și utilizarea efectivă.

(50)  În prezent, certificarea de securitate cibernetică a produselor, proceselor și serviciilor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat emis de o autoritate națională de securitate cibernetică nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să își certifice produsele, procesele și serviciile în fiecare dintre statele membre în care își desfășoară activitatea, pentru a putea participa, de exemplu, la procedurile de achiziții publice naționale, aceste proceduri adăugând costuri suplimentare pentru întreprinderilor. În plus, deși apar noi sisteme, nu pare să existe o abordare coerentă și holistică a aspectelor orizontale ale securității cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficiențe și diferențe în ceea ce privește produsele vizate, nivelurile de asigurare bazată pe riscuri, criteriile de fond și utilizarea efectivă. Recunoașterea și încrederea reciprocă între statele membre reprezintă un element-cheie în această privință. ENISA joacă un rol important în sprijinirea statelor membre pentru a dezvolta o structură instituțională și o expertiză solide în ceea ce privește protecția împotriva unor potențiale atacuri cibernetice. Este necesară o abordare de la caz la caz pentru a se asigura că serviciile, procesele și produsele fac obiectul unor sisteme de certificare corespunzătoare. În plus, este necesară o abordare bazată pe riscuri pentru identificarea și atenuarea eficientă a riscurilor, recunoscând totodată că nu este posibilă o abordare de tip universal.

Amendamentul    43

Propunere de regulament

Considerentul 52

Textul propus de Comisie

Amendamentul

(52)  Având în vedere cele de mai sus, este necesar să se instituie un cadru european de certificare de securitate cibernetică prin care să se stabilească principalele cerințe orizontale pentru sistemele europene de certificare de securitate cibernetică ce urmează să fie create și să se permită recunoașterea și utilizarea în toate statele membre a certificatelor pentru produse și servicii TIC. Cadrul european ar trebui să aibă o dublă finalitate: pe de o parte, acesta ar trebui să contribuie la creșterea încrederii în produsele și serviciile TIC care au fost certificate în conformitate cu aceste sisteme, pe de altă parte, cadrul ar trebui să evite multiplicarea de certificări naționale de securitate cibernetică ce se contrazic sau se suprapun și să permită astfel reducerea costurilor pentru întreprinderile care își desfășoară activitatea pe piața unică digitală. Aceste sisteme ar trebui să fie nediscriminatorii și să se bazeze pe standarde internaționale și/sau ale Uniunii, cu excepția cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale UE în această privință.

(52)  Având în vedere cele de mai sus, este necesar să se adopte o abordare comună și să se instituie un cadru european de certificare de securitate cibernetică prin care să se stabilească principalele cerințe orizontale pentru sistemele europene de certificare de securitate cibernetică ce urmează să fie create și să se permită recunoașterea și utilizarea în toate statele membre a certificatelor pentru produse, procese și servicii TIC. În acest sens, este esențial să se folosească experiența din cadrul sistemelor naționale și internaționale existente, precum și din cadrul sistemelor de recunoaștere reciprocă, în special SOC-IS, și să se creeze condițiile pentru o tranziție ușoară de la sistemele existente în temeiul acestor scheme la sistemele în temeiul noului cadru european. Cadrul european ar trebui să aibă o dublă finalitate: pe de o parte, acesta ar trebui să contribuie la creșterea încrederii în produsele, procesele și serviciile TIC care au fost certificate în conformitate cu aceste sisteme, pe de altă parte, cadrul ar trebui să evite multiplicarea de certificări naționale de securitate cibernetică ce se contrazic sau se suprapun și să permită astfel reducerea costurilor pentru întreprinderile care își desfășoară activitatea pe piața unică digitală. În cazul în care o certificare europeană de securitate cibernetică a înlocuit un sistem național, certificatele emise în cadrul sistemului european ar trebui acceptate ca fiind valabile în cazurile în care a fost necesară certificarea în cadrul unui sistem național. Aceste sisteme ar trebui să fie ghidate de conceptul de securitate de la stadiul conceperii și de principiile prevăzute în Regulamentul (UE) nr. 2016/679. Ele ar trebui, de asemenea, să fie nediscriminatorii și să se bazeze pe standarde internaționale și/sau ale Uniunii, cu excepția cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale UE în această privință.

Amendamentul    44

Propunere de regulament

Considerentul 52 a (nou)

Textul propus de Comisie

Amendamentul

 

(52a)  Cadrul european de certificare de securitate cibernetică ar trebui să fie stabilit în mod uniform în toate statele membre, pentru a evita practica de căutare a certificării celei mai avantajoase din cauza diferențelor de cost sau de nivel de exigență între statele membre.

Amendamentul    45

Propunere de regulament

Considerentul 52 b (nou)

Textul propus de Comisie

Amendamentul

 

(52b)  Ia act de faptul că sistemele de certificare ar trebui să se bazeze pe cele care există deja la nivel național și internațional, trăgând învățăminte din punctele forte actuale și evaluând și corectând punctele slabe.

Amendamentul    46

Propunere de regulament

Considerentul 52 c (nou)

Textul propus de Comisie

Amendamentul

 

(52c)  Sunt necesare soluții flexibile în materie de securitate cibernetică pentru ca industria să anticipeze atacurile și amenințările rău-intenționate și, prin urmare, orice sistem de certificare ar trebui să evite riscul de perimare rapidă.

Amendamentul    47

Propunere de regulament

Considerentul 53

Textul propus de Comisie

Amendamentul

(53)  Comisia ar trebui să fie împuternicită să adopte sisteme europene de certificare de securitate cibernetică în ceea ce privește grupuri specifice de produse și servicii TIC. Aceste sisteme ar trebui să fie puse în aplicare și supervizate de către autoritățile naționale de supraveghere în materie de certificare, iar certificatele emise în cadrul acestor sisteme ar trebui să fie valabile și recunoscute în întreaga Uniune. Sistemele de certificare gestionate de către industrie sau alte organizații private nu ar trebui să fie incluse în domeniul de aplicare al prezentului regulament. Cu toate acestea, organismele care gestionează sisteme de acest tip pot propune Comisiei să le ia în considerare ca bază pentru aprobarea lor ca sistem european.

(53)  Comisia ar trebui să fie împuternicită să adopte sisteme europene de certificare de securitate cibernetică în ceea ce privește grupuri specifice de produse, procese și servicii TIC. Aceste sisteme ar trebui să fie puse în aplicare și supervizate de către autoritățile naționale de supraveghere în materie de certificare, iar certificatele emise în cadrul acestor sisteme ar trebui să fie valabile și recunoscute în întreaga Uniune. Sistemele de certificare gestionate de către industrie sau alte organizații private nu ar trebui să fie incluse în domeniul de aplicare al prezentului regulament. Cu toate acestea, organismele care gestionează sisteme de acest tip pot propune Comisiei să le ia în considerare ca bază pentru aprobarea lor ca sistem european. Agenția ar trebui să identifice și să evalueze sistemele puse deja în aplicare de sector sau de organizații private pentru a alege cele mai bune practici care ar putea deveni parte a unui sistem european. Actorii din industrie pot efectua o autoevaluare a produselor și a serviciilor lor înainte de certificare, prin care să indice faptul că produsul sau serviciul lor este pregătit să înceapă procesul de certificare dacă acest lucru este impus sau necesar.

Amendamentul    48

Propunere de regulament

Considerentul 53 a (nou)

Textul propus de Comisie

Amendamentul

 

(53a)  Agenția și Comisia ar trebui să valorifice la maximum sistemele de certificare existente deja la nivelul UE și/sau la nivel internațional. ENISA ar trebui să poată evalua ce sisteme care sunt utilizate deja sunt adecvate scopului și pot fi introduse în legislația europeană în cooperare cu organizațiile de standardizare ale UE și, pe cât posibil, recunoscute la nivel internațional. Bunele practici existente ar trebui să fie colectate și partajate între statele membre.

Amendamentul    49

Propunere de regulament

Considerentul 54

Textul propus de Comisie

Amendamentul

(54)  Dispozițiile prezentului regulament ar trebui să se aplice fără a aduce atingere legislației Uniunii care prevede norme specifice privind certificarea produselor și serviciilor TIC. În special, Regulamentul general privind protecția datelor (RGPD) cuprinde dispoziții privind instituirea de mecanisme de certificare și introducerea de sigilii și mărci de protecție a datelor pentru a demonstra conformitatea cu regulamentul respectiv a operațiunilor de prelucrare efectuate de operatori și de persoanele împuternicite de aceștia. Aceste mecanisme de certificare și sigilii și mărci de protecție a datelor ar trebui să le permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor al produselor și serviciilor în cauză. Prezentul regulament nu aduce atingere certificării operațiunilor de prelucrare a datelor în temeiul RGPD, inclusiv în cazul în care aceste operațiuni sunt integrate în produse și servicii.

(54)  Dispozițiile prezentului regulament ar trebui să se aplice fără a aduce atingere legislației Uniunii care prevede norme specifice privind certificarea produselor, proceselor și serviciilor TIC. În special, Regulamentul general privind protecția datelor (RGPD) cuprinde dispoziții privind instituirea de mecanisme de certificare și introducerea de sigilii și mărci de protecție a datelor pentru a demonstra conformitatea cu regulamentul respectiv a operațiunilor de prelucrare efectuate de operatori și de persoanele împuternicite de aceștia. Aceste mecanisme de certificare și sigilii și mărci de protecție a datelor ar trebui să le permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor al produselor și serviciilor în cauză. Prezentul regulament nu aduce atingere certificării operațiunilor de prelucrare a datelor în temeiul RGPD, inclusiv în cazul în care aceste operațiuni sunt integrate în produse și servicii.

Amendamentul    50

Propunere de regulament

Considerentul 55

Textul propus de Comisie

Amendamentul

(55)  Sistemele europene de certificare de securitate cibernetică ar trebui să aibă drept scop asigurarea conformității cu cerințele specificate a produselor și serviciilor TIC certificate în temeiul unui astfel de sistem. Aceste cerințe se referă la capacitatea de a rezista, la un anumit nivel de asigurare, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate ori transmise sau prelucrate ori funcțiile sau serviciile oferite de aceste produse, procese, servicii și sisteme sau accesibile prin intermediul lor, în sensul prezentului regulament. În prezentul regulament nu pot fi detaliate cerințele de securitate cibernetică referitoare la toate produsele și serviciile TIC. Produsele și serviciile TIC și necesitățile conexe în materie de securitate cibernetică sunt atât de variate încât este foarte dificil să se elaboreze cerințe generale de securitate cibernetică cu valabilitate universală. Prin urmare, este necesar să se adopte o noțiune largă și generală a securității cibernetice în scopul certificării, completată printr-o serie de obiective de securitate cibernetică specifice, care trebuie să fie luate în considerare atunci când se concep sisteme europene de certificare de securitate cibernetică. Modalitățile prin care aceste obiective vor fi atinse de produse și servicii TIC specifice ar trebui să fie detaliate și mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificații tehnice.

(55)  Sistemele europene de certificare de securitate cibernetică ar trebui să aibă drept scop asigurarea conformității cu cerințele specificate a produselor, serviciilor și proceselor TIC certificate în temeiul unui astfel de sistem. Aceste cerințe se referă la capacitatea de a rezista, la un anumit nivel de risc, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate ori transmise sau prelucrate ori funcțiile sau serviciile oferite de aceste produse, procese, servicii și sisteme sau accesibile prin intermediul lor, în sensul prezentului regulament. În prezentul regulament nu pot fi detaliate cerințele de securitate cibernetică referitoare la toate produsele, serviciile și procesele TIC. Produsele, serviciile și procesele TIC și necesitățile conexe în materie de securitate cibernetică sunt atât de variate încât este foarte dificil să se elaboreze cerințe generale de securitate cibernetică cu valabilitate universală. Prin urmare, este necesar să se adopte o noțiune largă și generală a securității cibernetice în scopul certificării, completată printr-o serie de obiective de securitate cibernetică specifice, care trebuie să fie luate în considerare atunci când se concep sisteme europene de certificare de securitate cibernetică. Modalitățile prin care aceste obiective vor fi atinse de produse, servicii și procese TIC specifice ar trebui să fie detaliate și mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificații tehnice. Toți actorii implicați într-un lanț de aprovizionare ar trebui să fie încurajați să dezvolte și să adopte standarde de securitate, norme tehnice și principiile securității de la stadiul conceperii, în toate etapele ciclului de viață al produsului, serviciului sau procesului; fiecare sistem european de certificare de securitate cibernetică ar trebui să fie conceput pentru a atinge acest scop.

Amendamentul    51

Propunere de regulament

Considerentul 56

Textul propus de Comisie

Amendamentul

(56)  Comisia ar trebui să fie împuternicită să adreseze ENISA solicitarea de a pregăti propuneri de sisteme pentru produse sau servicii TIC specifice. Pe baza propunerii de sistem prezentate de ENISA, Comisia ar trebui să fie împuternicită după aceea să adopte sistemul european de certificare de securitate cibernetică prin intermediul unor acte de punere în aplicare. Ținând seama de scopul general și de obiectivele de securitate identificate în prezentul regulament, sistemele europene de certificare de securitate cibernetică adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, domeniul de aplicare și funcționarea fiecărui sistem. Acestea ar trebui să includă, printre altele, domeniul de aplicare și obiectul certificării de securitate cibernetică, inclusiv categoriile de produse și servicii TIC care fac obiectul acesteia, specificații detaliate cu privire la cerințele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificații tehnice, criteriile specifice și metodele de evaluare, precum și nivelul asigurării vizate: de bază, substanțială și/sau ridicată.

(56)  Comisia ar trebui să fie împuternicită să adreseze ENISA solicitarea de a pregăti propuneri de sisteme pentru produse, procese sau servicii TIC specifice, pe baza unor motive justificate, cum ar fi existența unor sisteme naționale de certificare de securitate cibernetică care fragmentează piața internă;. o nevoie actuală sau preconizată de a sprijini dreptul Uniunii, sau avizul grupului de certificare al statelor membre sau al grupului de certificare al părților interesate. După evaluarea propunerilor de sisteme de certificare prezentate de ENISA pe baza solicitării Comisiei, Comisia ar trebui să fie împuternicită să adopte sistemele europene de certificare de securitate cibernetică prin intermediul unor acte delegate . Ținând seama de scopul general și de obiectivele de securitate identificate în prezentul regulament, respectivele sistemele europene de certificare de securitate cibernetică adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, domeniul de aplicare și funcționarea fiecărui sistem. Acestea ar trebui să includă, printre altele, domeniul de aplicare și obiectul certificării de securitate cibernetică, inclusiv categoriile de produse și servicii TIC care fac obiectul acesteia, specificații detaliate cu privire la cerințele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificații tehnice, criteriile specifice și metodele de evaluare, precum și nivelul asigurării vizate: de bază, substanțială și/sau ridicată.

Amendamentul    52

Propunere de regulament

Considerentul 56 a (nou)

Textul propus de Comisie

Amendamentul

 

(56a)  Agenția ar trebui să fie punctul de referință pentru informațiile cu privire la sistemele europene de securitate cibernetică. Aceasta ar trebui să întrețină un site internet cu toate informațiile pertinente, inclusiv în ceea ce privește certificatele retrase și expirate și certificatele naționale aplicabile. Agenția ar trebui să se asigure că o parte adecvată din conținutul site-ului său de internet este ușor de înțeles pentru consumatorii obișnuiți.

Amendamentul    53

Propunere de regulament

Considerentul 56 b (nou)

Textul propus de Comisie

Amendamentul

 

(56b)  Este necesar să fie definite nivelurile de asigurare pentru certificate în scopul de a indica utilizatorului final tipul preconizat de amenințări cibernetice pe care sunt menite să le prevină măsurile de securitate cibernetică ale produselor, proceselor sau serviciului. Amenințările cibernetice trebuie definite ținând seama de riscul preconizat și de capacitățile autorului sau autorilor atacului în contextul utilizării prevăzute a produsului, a procesului sau a serviciului TIC vizat. Nivelul de asigurare „de bază” se referă la capacitatea de a rezista la atacuri care pot fi evitate cu măsuri de bază de securitate cibernetică ce pot fi verificate cu ușurință prin examinarea documentației tehnice. Nivelul de asigurare „semnificativ” se referă la capacitatea de a rezista la tipurile cunoscute de atacuri săvârșite de către un atacator care are un anumit grad de sofisticare, dar cu resurse limitate. Nivelul de asigurare „ridicat” se referă la capacitatea de a rezista la vulnerabilitățile necunoscute și la atacurile sofisticate cu tehnici de vârf și cu resurse considerabile, cum ar fi echipele multidisciplinare finanțate.

Amendamentul    54

Propunere de regulament

Considerentul 56 c (nou)

Textul propus de Comisie

Amendamentul

 

(56c)  Pentru a evita fragmentarea pieței interne din cauza sistemelor naționale de securitate cibernetică, a sprijini viitoarele acte legislative și a crește încrederea și securitatea, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei în ceea ce privește stabilirea priorităților pentru certificarea europeană a securității cibernetice, adoptarea programului continuu și adoptarea sistemelor de certificare europene. Este deosebit de important ca în timpul lucrărilor pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți și ca aceste consultări să fie realizate în conformitate cu principiile prevăzute în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

Amendamentul    55

Propunere de regulament

Considerentul 56 d (nou)

Textul propus de Comisie

Amendamentul

 

(56d)  Dintre metodele și procedurile de evaluare aferente fiecărui sistem european de certificare de securitate cibernetică ar trebui promovată pirateria informatică etică la nivelul Uniunii, al cărei scop este de a localiza punctele slabe și vulnerabilitățile dispozitivelor și sistemelor informatice prin anticiparea acțiunilor deliberate și a abilităților hackerilor rău-intenționați.

Amendamentul    56

Propunere de regulament

Considerentul 57

Textul propus de Comisie

Amendamentul

(57)  Recurgerea la certificarea europeană de securitate cibernetică ar trebui să rămână voluntară, cu excepția cazului în care există dispoziții contrare în legislația Uniunii sau în cea națională. Cu toate acestea, în scopul îndeplinirii obiectivelor prezentului regulament și pentru a se evita fragmentarea pieței interne, sistemele sau procedurile naționale de certificare de securitate cibernetică pentru produsele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică ar trebui să înceteze să mai producă efecte de la data stabilită de Comisie în actul de punere în aplicare. În plus, statele membre ar trebui să nu introducă noi sisteme naționale de certificare pentru produse și servicii TIC care fac deja obiectul unui sistem european de certificare de securitate cibernetică existent.

(57)  Recurgerea la certificarea europeană de securitate cibernetică ar trebui să rămână voluntară, cu excepția cazului în care există dispoziții contrare în legislația Uniunii sau în cea națională. Cu toate acestea, în scopul îndeplinirii obiectivelor prezentului regulament și pentru a se evita fragmentarea pieței interne, sistemele sau procedurile naționale de certificare de securitate cibernetică pentru produsele, procesele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică ar trebui să înceteze să mai producă efecte de la data stabilită de Comisie în actul delegat. În plus, statele membre ar trebui să nu introducă noi sisteme naționale de certificare pentru produse și servicii TIC care fac deja obiectul unui sistem european de certificare de securitate cibernetică existent. Cu toate acestea, prezentul regulament nu ar trebui să aducă atingere sistemelor naționale a căror gestionare ține de suveranitatea statelor membre pentru produsele, procesele și serviciile TIC utilizate pentru nevoile domeniilor lor suverane.

Amendamentul    57

Propunere de regulament

Considerentul 57 a (nou)

Textul propus de Comisie

Amendamentul

 

(57a)  Se introduce obligația de a emite o declarație conținând informații structurate cu privire la certificarea produsului, a procesului sau a serviciului pentru a pune la dispoziția consumatorului informații suplimentare și a-i permite acestuia să facă o alegere în bună cunoștință de cauză.

Amendamentul    58

Propunere de regulament

Considerentul 57 b (nou)

Textul propus de Comisie

Amendamentul

 

(57b)  Atunci când propune noi sisteme europene de securitate cibernetică, ENISA și alte organisme competente ar trebui să acorde atenția cuvenită dinamicii concurențiale a propunerii, asigurându-se mai ales că, în cazul în care sectorul în cauză are multe întreprinderi mici și mijlocii, cum ar fi în dezvoltarea de programe informatice, sistemele de certificare nu formează o barieră la intrarea pe piață a unor noi întreprinderi și inovații.

Amendamentul    59

Propunere de regulament

Considerentul 57 c (nou)

Textul propus de Comisie

Amendamentul

 

(57c)  Sistemele europene de securitate cibernetică vor contribui la armonizarea și unificarea practicilor în materie de securitate cibernetică în cadrul UE. Totuși, acestea nu trebuie să devină nivelul minim de securitate cibernetică. De asemenea, la conceperea sistemelor europene de securitate cibernetică ar trebui să se ia în considerare și să se permită dezvoltarea unor noi inovații în domeniul securității cibernetice.

Amendamentul    60

Propunere de regulament

Considerentul 58

Textul propus de Comisie

Amendamentul

(58)  Odată ce este adoptat un sistem european de certificare de securitate cibernetică, fabricanții de produse TIC sau furnizorii de servicii TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a produselor sau serviciilor lor la un organism de evaluare a conformității ales de ei. Organismele de evaluare a conformității ar trebui să fie acreditate de către un organism de acreditare dacă respectă anumite cerințe specificate, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani și poate fi reînnoită în aceleași condiții, dacă organismul de evaluare a conformității îndeplinește cerințele. Organismele de acreditare ar trebui să revoce acreditarea unui organism de evaluare a conformității în cazul în care condițiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformității încalcă dispozițiile prezentului regulament.

(58)  Odată ce este adoptat un sistem european de certificare de securitate cibernetică, fabricanții de produse TIC sau furnizorii de procese sau servicii TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a produselor sau serviciilor lor la un organism de evaluare a conformității ales de ei, oriunde în Uniune. Organismele de evaluare a conformității ar trebui să fie acreditate de către un organism de acreditare dacă respectă anumite cerințe specificate, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani și poate fi reînnoită în aceleași condiții, dacă organismul de evaluare a conformității îndeplinește cerințele. Organismele de acreditare ar trebui să revoce acreditarea unui organism de evaluare a conformității în cazul în care condițiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformității încalcă dispozițiile prezentului regulament. Agenția ar trebui să efectueze audituri pentru a asigura un nivel echivalent de calitate și diligență a organismelor de evaluare a conformității în scopul de a evita arbitrajul de reglementare. Rezultatele ar trebui să fie raportate agenției, Comisiei și Parlamentului și ar trebui să fie puse la dispoziția publicului.

Amendamentul    61

Propunere de regulament

Considerentul 58 a (nou)

Textul propus de Comisie

Amendamentul

 

(58a)  Utilizarea obligatorie a certificării europene de securitate cibernetică ar trebui să fie limitată la cazurile în care analiza riscurilor justifică costurile pentru industrie, cetățeni și consumatori. Incidentele care întrerup serviciile esențiale pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii. Utilizarea obligatorie a certificării europene de securitate cibernetică de către operatorii de servicii esențiale ar trebui să fie limitată la acele elemente care sunt esențiale pentru funcționarea lor și nu ar trebui să fie extinsă la produse, procese și servicii de uz general, ceea ce ar crea costuri nejustificate pentru industrie și consumatori. Comisia ar trebui să colaboreze cu Grupul de cooperare instituit în temeiul articolului 11 din Directiva (UE) 2016/1148 pentru a defini o listă de categorii de produse, procese și servicii destinate în mod special utilizării de către operatorii de servicii esențiale și a căror funcționare defectuoasă, în cazul unui incident, ar putea avea un efect perturbator considerabil asupra serviciului esențial. Lista respectivă ar trebui să fie elaborată progresiv și actualizată atunci când este necesar. Numai produsele, procesele și serviciile din această listă ar trebui să fie obligatorii pentru operatorii de servicii esențiale.

Amendamentul    62

Propunere de regulament

Considerentul 58 b (nou)

Textul propus de Comisie

Amendamentul

 

(58b)  Prezența trimiterilor încrucișate în legislația națională care se referă la un standard național care a încetat să producă efecte juridice ca urmare a intrării în vigoare a unui sistem european de certificare poate constitui o sursă potențială de confuzie pentru producători și pentru utilizatorii finali. Pentru a se evita ca producătorii să pună în aplicare în continuare specificațiile corespunzătoare certificatelor naționale care nu mai sunt în vigoare, statele membre ar trebui, în conformitate cu obligațiile care le revin în temeiul tratatelor, să își adapteze legislația națională pentru a reflecta adoptarea unui sistem european de certificare.

Amendamentul    63

Propunere de regulament

Considerentul 59

Textul propus de Comisie

Amendamentul

(59)  Este necesar să se prevadă obligația ca toate statele membre să desemneze o autoritate de supraveghere în materie de certificare de securitate cibernetică care să verifice dacă organismele de evaluare a conformității și certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor respectă cerințele prezentului regulament și ale sistemelor relevante de certificare de securitate cibernetică. Autoritățile naționale de supraveghere în materie de certificare ar trebui să se ocupe de plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor, să investigheze, în măsura în care este oportun, subiectul plângerii și să informeze reclamantul cu privire la progresele și rezultatul investigației, într-un termen rezonabil. În plus, acestea ar trebui să coopereze cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemelor de securitate cibernetică specifice.

(59)  Este necesar să se prevadă obligația ca toate statele membre să desemneze o autoritate de supraveghere în materie de certificare de securitate cibernetică care să verifice dacă organismele de evaluare a conformității și certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor respectă cerințele prezentului regulament și ale sistemelor relevante de certificare de securitate cibernetică și să asigure faptul că certificatele europene de securitate cibernetică sunt recunoscute pe teritoriul lor. Autoritățile naționale de supraveghere în materie de certificare ar trebui să se ocupe de plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor sau în legătură cu pretinsele nerecunoașteri ale certificatelor pe teritoriul lor, să investigheze, în măsura în care este oportun, subiectul plângerii și să informeze reclamantul cu privire la progresele și rezultatul investigației, într-un termen rezonabil. În plus, acestea ar trebui să coopereze cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor, proceselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemelor de securitate cibernetică specifice sau cu privire la nerecunoașterea certificatelor europene de securitate cibernetică. Mai mult, ele ar trebui să supravegheze și să verifice corectitudinea declarațiilor de conformitate pe proprie răspundere, precum și faptul că certificatele europene de securitate cibernetică au fost emise de organisme de evaluare a conformității pe baza cerințelor prevăzute în prezentul regulament, inclusiv a normelor adoptate de Grupul european pentru certificarea de securitate cibernetică și a cerințelor stabilite în sistemul european de certificare de securitate cibernetică corespunzător. Cooperarea eficace între autoritățile naționale de supraveghere în materie de certificare este esențială pentru implementarea adecvată a sistemelor europene de certificare de securitate cibernetică și a aspectelor tehnice privind securitatea cibernetică a produselor și serviciilor TIC. Comisia ar trebui să faciliteze schimbul de informații prin punerea la dispoziție a unui sistem de sprijin general pentru informațiile electronice, de exemplu Sistemul de informare și de comunicare pentru supravegherea pieței (ICSMS) și Sistemul de alertă rapidă pentru produsele nealimentare periculoase (RAPEX), deja utilizate de autoritățile de supraveghere a pieței în temeiul Regulamentului (CE) nr. 765/2008.

Amendamentul    64

Propunere de regulament

Considerentul 60

Textul propus de Comisie

Amendamentul

(60)  Pentru a asigura aplicarea coerentă a cadrului european de certificare de securitate cibernetică, ar trebui să se instituie un grup european pentru certificarea de securitate cibernetică (denumit în continuare „Grupul”), alcătuit din autorități naționale de supraveghere în materie de certificare. Principalele sarcini ale Grupului ar trebui să constea în a furniza consiliere și asistență Comisiei în activitatea sa pentru a asigura coerența în punerea în aplicare și asigurarea respectării cadrului european de certificare de securitate cibernetică, în a acorda asistență agenției și în a coopera îndeaproape cu aceasta la pregătirea propunerilor de sisteme europene de certificare de securitate cibernetică, în a recomanda Comisiei să solicite agenției să pregătească o propunere de sistem european de certificare de securitate cibernetică și în a adopta avize adresate Comisiei cu privire la întreținerea și revizuirea sistemelor europene de certificare de securitate cibernetică existente.

(60)  Pentru a asigura aplicarea coerentă a cadrului european de certificare de securitate cibernetică, ar trebui să se instituie un grup de certificare al statelor membre, alcătuit din autorități naționale de supraveghere în materie de certificare. Principalele sarcini ale grupului de certificare al statelor membre ar trebui să constea în a furniza consiliere și asistență Comisiei în activitatea sa pentru a asigura coerența în punerea în aplicare și asigurarea respectării cadrului european de certificare de securitate cibernetică, în a acorda asistență agenției și în a coopera îndeaproape cu aceasta la pregătirea propunerilor de sisteme europene de certificare de securitate cibernetică, în a recomanda Comisiei să solicite agenției să pregătească o propunere de sistem european de certificare de securitate cibernetică și în a adopta avize adresate Comisiei cu privire la întreținerea și revizuirea sistemelor europene de certificare de securitate cibernetică existente.

Amendamentul    65

Propunere de regulament

Considerentul 60 a (nou)

Textul propus de Comisie

Amendamentul

 

(60a)  Pentru a asigura echivalența nivelurilor de competență a organismelor de evaluare a conformității, a facilita recunoașterea reciprocă și a promova acceptarea globală a certificatelor și a rezultatelor evaluărilor de conformitate emise de organismele de evaluare a conformității, se impune ca autoritățile naționale de supraveghere în materie de certificare să pună în aplicare un sistem riguros și transparent de evaluare inter pares și să fie astfel evaluate periodic.

Amendamentul    66

Propunere de regulament

Considerentul 60 b (nou)

Textul propus de Comisie

Amendamentul

 

(60b)  Cooperarea eficientă dintre autoritățile naționale de supraveghere în materie de certificare este esențială pentru implementarea adecvată a evaluării inter pares și în ceea ce privește acreditarea transfrontalieră. Din motive de transparență, este, prin urmare, necesar să se prevadă, în cazul autoritățile naționale de supraveghere în materie de certificare, obligația de a practica schimbul de informații între ele precum și de a furniza informațiile relevante autorităților naționale și Comisiei. De asemenea, ar trebui făcute publice și, așadar, puse, în special, la dispoziția organismelor de evaluare a conformității, informații actualizate și precise referitoare la disponibilitatea activităților de acreditare desfășurate de organismele naționale de acreditare.

Amendamentul    67

Propunere de regulament

Considerentul 61

Textul propus de Comisie

Amendamentul

(61)  În vederea sporirii gradului de sensibilizare și pentru a facilita acceptarea viitoarelor sisteme UE de securitate cibernetică, Comisia Europeană poate emite orientări generale sau sectoriale în materie de securitate cibernetică, de exemplu cu privire la bunele practici de securitate cibernetică sau la comportamentul responsabil în materie de securitate cibernetică, subliniind efectul pozitiv al utilizării de produse și servicii TIC certificate.

(61)  În vederea sporirii gradului de sensibilizare și pentru a facilita acceptarea viitoarelor sisteme UE de securitate cibernetică, Comisia Europeană poate emite orientări generale sau sectoriale în materie de securitate cibernetică, de exemplu cu privire la bunele practici de securitate cibernetică sau la comportamentul responsabil în materie de securitate cibernetică, subliniind efectul pozitiv al utilizării de produse, procese și servicii TIC certificate.

Amendamentul    68

Propunere de regulament

Considerentul 63

Textul propus de Comisie

Amendamentul

(63)  Pentru a detalia suplimentar criteriile de acreditare a organismelor de evaluare a conformității, ar trebui să i se delege Comisiei competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene (TFUE). Comisia ar trebui să desfășoare consultări adecvate în cursul lucrărilor sale pregătitoare, inclusiv la nivel de experți. Aceste consultări ar trebui să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul ar trebui să primească toate documentele în același timp cu experții din statele membre, iar experții acestor instituții să aibă acces în mod sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(63)  Pentru a detalia suplimentar criteriile de acreditare a organismelor de evaluare a conformității, ar trebui să i se delege Comisiei competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene (TFUE). Comisia ar trebui să desfășoare consultări adecvate în cursul lucrărilor sale pregătitoare, inclusiv la nivel de experți și cu părțile interesate relevante, după caz. Aceste consultări ar trebui să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul ar trebui să primească toate documentele în același timp cu experții din statele membre, iar experții acestor instituții să aibă acces în mod sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

Amendamentul    69

Propunere de regulament

Considerentul 65

Textul propus de Comisie

Amendamentul

(65)  Procedura de examinare ar trebui utilizată pentru adoptarea actelor de punere în aplicare privind sistemele europene de certificare de securitate cibernetică pentru produse și servicii TIC, privind modalitățile de desfășurare a anchetelor întreprinse de agenție, precum și privind circumstanțele, formatele și procedurile pe care trebuie să le respecte autoritățile naționale de supraveghere în materie de certificare pentru a transmite Comisiei notificări privind organismele acreditate de evaluare a conformității.

(65)  De asemenea, ar putea fi adoptate acte delegate privind sistemele europene de certificare de securitate cibernetică pentru produse, procese și servicii TIC, privind modalitățile de desfășurare a anchetelor întreprinse de agenție, precum și privind circumstanțele, formatele și procedurile pe care trebuie să le respecte autoritățile naționale de supraveghere în materie de certificare pentru a transmite Comisiei notificări privind organismele acreditate de evaluare a conformității.

Amendamentul    70

Propunere de regulament

Considerentul 66

Textul propus de Comisie

Amendamentul

(66)  Funcționarea agenției ar trebui să facă obiectul unei evaluări independente. Evaluarea ar trebui să țină seama de îndeplinirea, de către agenție, a obiectivelor sale, de practicile sale de lucru și de relevanța sarcinilor sale. De asemenea, evaluarea ar trebui să stabilească impactul, eficacitatea și eficiența cadrului european de certificare de securitate cibernetică.

(66)  Funcționarea agenției ar trebui să facă obiectul unei evaluări continue și independente. Evaluarea ar trebui să țină seama de îndeplinirea, de către agenție, a obiectivelor sale, de practicile sale de lucru și de relevanța sarcinilor sale, îndeosebi de rolul său de coordonare față de statele membre și autoritățile lor naționale. În cazul unei revizuiri, Comisia ar trebui să evalueze posibilitatea ca agenția să acționeze în calitate de ghișeu unic pentru statele membre și instituțiile și organismele Uniunii.

Amendamentul    71

Propunere de regulament

Considerentul 66 a (nou)

Textul propus de Comisie

Amendamentul

 

(66a)  De asemenea, evaluarea ar trebui să examineze impactul, eficacitatea și eficiența cadrului european de certificare de securitate cibernetică. În cazul unei revizuiri, Comisia ar putea examina oportunitatea de a atribui agenției o funcție pentru a evalua produse și servicii din țări terțe care intră pe piața Uniunii și posibilitatea de a include pe lista neagră societățile care nu respectă normele Uniunii.

Amendamentul    72

Propunere de regulament

Considerentul 66 b (nou)

Textul propus de Comisie

Amendamentul

 

(66b)  Evaluarea ar trebui să analizeze nivelul de securitate cibernetică al produselor și serviciilor comercializate în Uniune. În cazul unei revizuiri, Comisia ar trebui să examineze oportunitatea de a include cerințele esențiale în materie de securitate cibernetică drept condiție pentru a avea acces la piața internă.

Amendamentul    73

Propunere de regulament

Articolul 1 – paragraful 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  stabilește obiectivele, sarcinile și aspectele organizaționale ale ENISA, „Agenția UE pentru securitate cibernetică”, denumită în continuare „agenția” și

(a)  stabilește obiectivele, sarcinile și aspectele organizaționale ale ENISA, „Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor” (denumită în continuare „agenția”) și

Amendamentul    74

Propunere de regulament

Articolul 1 – paragraful 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  stabilește un cadru pentru instituirea de sisteme europene de certificare de securitate cibernetică, cu scopul de a asigura un nivel adecvat de securitate cibernetică a produselor și serviciilor TIC în Uniune. Acest cadru se aplică fără a aduce atingere dispozițiilor specifice privind certificarea voluntară sau obligatorie din alte acte ale Uniunii.

(b)  stabilește un cadru pentru instituirea de sisteme europene de certificare de securitate cibernetică, cu scopul de a evita fragmentarea sistemelor de certificare în Uniune și de a asigura un nivel adecvat de securitate cibernetică a produselor, proceselor și serviciilor TIC în Uniune, care se aplică fără a aduce atingere dispozițiilor specifice privind certificarea voluntară și, după caz, obligatorie în cazul în care prezentul regulament sau alte acte ale Uniunii prevăd acest lucru.

Amendamentul    75

Propunere de regulament

Articolul 1 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

Agenția își îndeplinește sarcinile fără a aduce atingere competențelor statelor membre în ceea ce privește securitatea cibernetică și, în special, competențele statelor membre în ceea ce privește securitatea publică, apărarea, securitatea națională și dreptul penal.

Amendamentul    76

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 1

Textul propus de Comisie

Amendamentul

(1)  „securitatea cibernetică” cuprinde toate activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor acestora și a persoanelor afectate împotriva amenințărilor cibernetice;

(1)  „securitatea cibernetică” înseamnă toate activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor acestora și a persoanelor afectate împotriva amenințărilor cibernetice;

Amendamentul    77

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 2

Textul propus de Comisie

Amendamentul

(2)  „rețea și sistem informatic” înseamnă un sistem în sensul articolului 4 punctul 1 din Directiva (UE) 2016/1148;

(2)  „rețea și sistem informatic” înseamnă o rețea și un sistem informatic, astfel cum sunt definite la articolul 4 punctul 1 din Directiva (UE) 2016/1148;

Amendamentul    78

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 3

Textul propus de Comisie

Amendamentul

(3)  „strategie națională privind securitatea rețelelor și a sistemelor informatice” înseamnă un cadru în sensul articolului 4 punctul 3 din Directiva (UE) 2016/1148;

(3)  „strategie națională privind securitatea rețelelor și a sistemelor informatice” înseamnă o strategie națională privind securitatea rețelelor și a sistemelor informatice, astfel cum este definită la articolul 4 punctul 3 din Directiva (UE) 2016/1148;

Amendamentul    79

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 4

Textul propus de Comisie

Amendamentul

(4)  „operator de servicii esențiale” înseamnă o entitate publică sau privată, astfel cum este definită la articolul 4 punctul 4 din Directiva (UE) 2016/1148;

(4)  „operator de servicii esențiale” înseamnă un operator de servicii esențiale, astfel cum este definit la articolul 4 punctul 4 din Directiva (UE) 2016/1148;

Amendamentul    80

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 5

Textul propus de Comisie

Amendamentul

(5)  „furnizor de servicii digitale” înseamnă orice persoană juridică furnizoare a unui serviciu digital, astfel cum este definită la articolul 4 punctul 6 din Directiva (UE) 2016/1148;

(5)  „furnizor de servicii digitale” înseamnă un furnizor de servicii digitale, astfel cum este definit la articolul 4 punctul 6 din Directiva (UE) 2016/1148;

Amendamentul    81

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 6

Textul propus de Comisie

Amendamentul

(6)  „incident” înseamnă orice eveniment definit la articolul 4 punctul 7 din Directiva (UE) 2016/1148;

(6)  „incident” înseamnă un incident, astfel cum este definit la articolul 4 punctul 7 din Directiva (UE) 2016/1148;

Amendamentul    82

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 7

Textul propus de Comisie

Amendamentul

(7)  „administrarea incidentului” înseamnă orice procedură definită la articolul 4 punctul 8 din Directiva (UE) 2016/1148;

(7)  „administrarea incidentului” înseamnă administrarea incidentului, astfel cum este definită la articolul 4 punctul 8 din Directiva (UE) 2016/1148;

Amendamentul    83

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 8

Textul propus de Comisie

Amendamentul

(8)  „amenințare cibernetică” înseamnă orice circumstanță potențială sau orice eveniment potențial care poate avea un impact negativ asupra rețelelor și a sistemelor informatice, precum și asupra utilizatorilor acestora și a persoanelor afectate;

(8)  „amenințare cibernetică” înseamnă orice circumstanță potențială, eveniment sau orice acțiune intenționată, inclusiv o comandă automată, care poate să deterioreze, să întrerupă sau ar putea avea un impact negativ asupra rețelelor și a sistemelor informatice, precum și asupra utilizatorilor acestora și a persoanelor afectate.

Amendamentul    84

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

(8a)  „igiena cibernetică” înseamnă simple măsuri de rutină care, atunci când sunt puse în aplicare și efectuate în mod regulat de către utilizatori și întreprinderile online reduc la minim expunerea lor la riscurile generate de amenințările cibernetice.

Amendamentul    85

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 9

Textul propus de Comisie

Amendamentul

(9)  „sistem european de certificare de securitate cibernetică” înseamnă setul cuprinzător de norme, de cerințe tehnice, de standarde și de proceduri definite la nivelul Uniunii, care se aplică certificării produselor și serviciilor tehnologiei informației și comunicațiilor (TIC) ce se încadrează în domeniul de aplicare al sistemului în cauză;

(9)  „sistem european de certificare de securitate cibernetică” înseamnă setul cuprinzător de norme, de cerințe tehnice, de standarde și de proceduri definite la nivelul Uniunii și în conformitate cu standardele europene și internaționale și specificațiile în domeniul TIC identificate de agenție, care se aplică certificării produselor, proceselor și serviciilor tehnologiei informației și comunicațiilor (TIC) ce se încadrează în domeniul de aplicare al sistemului în cauză;

Amendamentul    86

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 10

Textul propus de Comisie

Amendamentul

(10)  „certificat european de securitate cibernetică” înseamnă un document eliberat de un organism de evaluare a conformității prin care se atestă că un anumit produs sau serviciu TIC îndeplinește cerințele specifice prevăzute în cadrul unui sistem european de certificare de securitate cibernetică;

(10)  „certificat european de securitate cibernetică” înseamnă un document eliberat de un organism de evaluare a conformității prin care se atestă că un anumit produs, serviciu sau proces TIC îndeplinește cerințele specifice prevăzute în cadrul unui sistem european de certificare de securitate cibernetică;

Amendamentul    87

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 11 a (nou)

Textul propus de Comisie

Amendamentul

 

(11a)  „proces TIC” înseamnă orice set de activități desfășurate pentru a concepe, a dezvolta, a menține și a furniza un produs sau un serviciu TIC;

Amendamentul    88

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 11 b (nou)

Textul propus de Comisie

Amendamentul

 

(11b)  „dispozitiv electronic de consum” înseamnă un dispozitiv format din componente hardware și software care prelucrează date cu caracter personal sau se conectează la internet pentru dirijarea aparatelor casnice inteligente și a aparatelor de control al locuințelor, a aparatelor de birou, a echipamentelor și a dispozitivelor de rutare care se conectează la o rețea, cum ar fi televizoarele conectate, jucăriile și consolele de jocuri, asistenții virtuali sau personali, dispozitivele de streaming conectate, dispozitivele portabile inteligente, sistemele cu comandă vocală și de realitate virtuală;

Amendamentul    89

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16

Textul propus de Comisie

Amendamentul

(16)  „standard” înseamnă un standard, astfel cum este definit la articolul 2 punctul 1 din Regulamentul (UE) nr. 1025/2012;

(16)  „standard, specificație tehnică și specificație tehnică TIC” înseamnă un standard, o specificație tehnică sau o specificație tehnică TIC astfel cum sunt definite la articolul 2 punctele 1, 4 și 5 din Regulamentul (UE) nr. 1025/2012;

Amendamentul    90

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16 a (nou)

Textul propus de Comisie

Amendamentul

 

(16a)  „autoritate națională de supraveghere în materie de certificare” înseamnă un organism desemnat de fiecare stat membru în conformitate cu articolul 50 din prezentul regulament;

Amendamentul    91

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16 b (nou)

Textul propus de Comisie

Amendamentul

 

(16b)  „autoevaluare” înseamnă declarația de conformitate prin care fabricantul declară că au fost îndeplinite cerințele specifice prevăzute într-un sistem de certificare și referitoare la produse, procese și servicii;

Amendamentul    92

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16 c (nou)

Textul propus de Comisie

Amendamentul

 

(16c)  „securitate implicită” înseamnă situația în care un produs, program informatic sau proces, care poate fi configurat astfel încât să asigure un nivel mai ridicat de securitate, trebuie să fie transmis primului utilizator cu configurația implicită în care sunt activate elementele de securitate care asigură un grad de securitate maxim. În cazul în care, în urma unei analize a riscului și a utilizării, se constată, pentru fiecare caz în parte, că o astfel de configurație nu este fezabilă, utilizatorilor ar trebui să li se recomande să aleagă configurația cu cel mai ridicat grad de securitate.

Amendamentul    93

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16 d (nou)

Textul propus de Comisie

Amendamentul

 

(16d)  „operatori de servicii esențiale” înseamnă operatorii de servicii esențiale, conform definiției de la articolul 4 punctul 4 din Directiva (UE) 2016/1148.

Amendamentul    94

Propunere de regulament

Articolul 3 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Agenția îndeplinește sarcinile care îi sunt încredințate prin prezentul regulament în scopul de a contribui la asigurarea unui nivel ridicat de securitate cibernetică în Uniune.

1.  Agenția îndeplinește sarcinile care îi sunt încredințate prin prezentul regulament și este întărită în scopul de a contribui la realizarea unui nivel comun ridicat de securitate informatică, pentru a preîntâmpina atacurile informatice în Uniune, a reduce fragmentarea din cadrul pieței interne și a îmbunătăți funcționarea acesteia și a asigura consecvența ținând seama de realizările statelor membre în materie de cooperare în temeiul Directivei privind securitatea rețelelor și a informațiilor.

Amendamentul    95

Propunere de regulament

Articolul 4 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Agenția este un centru de expertiză în materie de securitate cibernetică, datorită independenței sale, calității științifice și tehnice a consilierii și asistenței acordate și a informațiilor furnizate, transparenței procedurilor și metodelor sale de funcționare, precum și diligenței cu care își îndeplinește sarcinile.

1.  Agenția este un centru de competențe teoretice și practice în materie de securitate cibernetică, datorită independenței sale, calității științifice și tehnice a consilierii și asistenței acordate și a informațiilor furnizate, transparenței procedurilor și metodelor sale de funcționare, precum și diligenței cu care își îndeplinește sarcinile.

Amendamentul    96

Propunere de regulament

Articolul 4 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Agenția oferă asistență instituțiilor, agențiilor și organelor Uniunii, precum și statelor membre, la elaborarea și punerea în aplicare a politicilor legate de securitatea cibernetică.

2.  Agenția oferă asistență instituțiilor, agențiilor și organelor Uniunii, precum și statelor membre, la elaborarea și punerea în aplicare a politicilor legate de securitatea cibernetică și la sensibilizarea cetățenilor și a întreprinderilor.

Amendamentul    97

Propunere de regulament

Articolul 4 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Agenția sprijină consolidarea capacităților și procesul de pregătire în întreaga Uniune, furnizând asistență Uniunii, statelor membre și părților interesate din sectorul public și privat în vederea sporirii protecției rețelelor și sistemelor informatice, dezvoltării de aptitudini și competențe în domeniul securității cibernetice și obținerii rezilienței cibernetice.

3.  Agenția sprijină consolidarea capacităților și procesul de pregătire în toate instituțiile, agențiile și organele Uniunii, furnizând asistență Uniunii, statelor membre și părților interesate din sectorul public și privat în vederea sporirii protecției rețelelor și sistemelor informatice ale acestora, a dezvoltării și îmbunătățirii rezilienței cibernetice și a capacităților de răspuns, în vederea creșterii nivelului de sensibilizare și a dezvoltării de aptitudini și competențe în domeniul securității cibernetice și în vederea realizării unei reziliențe cibernetice.

Amendamentul    98

Propunere de regulament

Articolul 4 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Agenția promovează cooperarea și coordonarea la nivelul Uniunii între statele membre, instituțiile, agențiile și organele Uniunii și părțile interesate relevante, inclusiv sectorul privat, cu privire la chestiuni legate de securitatea cibernetică.

4.  Agenția promovează cooperarea, coordonarea și schimbul de informații la nivelul Uniunii între statele membre, instituțiile, agențiile și organele Uniunii și părțile interesate relevante cu privire la chestiuni legate de securitatea cibernetică.

Amendamentul    99

Propunere de regulament

Articolul 4 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Agenția sporește capabilitățile de securitate cibernetică la nivelul Uniunii pentru a completa acțiunea statelor membre în materie de prevenire a amenințărilor cibernetice și de reacție la acestea, în special în cazul incidentelor transfrontaliere.

5.  Agenția contribuie la îmbunătățirea capabilităților de securitate cibernetică la nivelul Uniunii pentru a completa acțiunea statelor membre în materie de prevenire a amenințărilor cibernetice și de reacție la acestea, în special în cazul incidentelor transfrontaliere și pentru a-și îndeplini sarcina de acordare de asistență instituțiilor Uniunii în procesul de elaborare a politicilor legate de securitatea cibernetică.

Amendamentul    100

Propunere de regulament

Articolul 4 – alineatul 6

Textul propus de Comisie

Amendamentul

6.  Agenția promovează recurgerea la certificare, inclusiv prin contribuția pe care și-o aduce la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii în conformitate cu titlul III din prezentul regulament, astfel încât asigurarea securității cibernetice a produselor și serviciilor TIC să devină mai transparentă, iar piața internă digitală să se bucure, astfel, de o mai mare încredere.

6.  Agenția promovează recurgerea la certificare pentru a evita fragmentarea în cadrul pieței interne și pentru a îmbunătăți funcționarea acesteia, inclusiv prin contribuția pe care o aduce la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii în conformitate cu titlul III din prezentul regulament, astfel încât asigurarea securității cibernetice a produselor, serviciilor și proceselor TIC să devină mai transparentă, îmbunătățind astfel încrederea în piața internă digitală, iar compatibilitatea dintre sistemele de certificare naționale și internaționale existente să fie îmbunătățită.

Amendamentul    101

Propunere de regulament

Articolul 4 – alineatul 7

Textul propus de Comisie

Amendamentul

7.  Agenția promovează un nivel ridicat de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică.

7.  Agenția promovează și sprijină proiectele care contribuie la un nivel ridicat de sensibilizare, igienă cibernetică și alfabetizare cibernetică a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică.

Amendamentul    102

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 1

Textul propus de Comisie

Amendamentul

1.  acordând asistență și consiliere, în special sub formă de avize independente și de lucrări pregătitoare, cu privire la elaborarea și revizuirea politicii și legislației Uniunii în domeniul securității cibernetice, precum și prin inițiative politice și legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică;

1.  acordând asistență și consiliere, în special sub formă de avize și de analize independente ale activităților pertinente din spațiul cibernetic și sub formă de lucrări pregătitoare, cu privire la elaborarea și revizuirea politicii și legislației Uniunii în domeniul securității cibernetice, precum și prin inițiative politice și legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică;

Amendamentul    103

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 2

Textul propus de Comisie

Amendamentul

2.  acordând asistență statelor membre pentru punerea în aplicare în mod coerent a politicii și dreptului Uniunii privind securitatea cibernetică, în special în ceea ce privește Directiva (UE) 2016/1148, inclusiv prin intermediul avizelor, orientărilor, consilierii și bunelor practici referitoare la teme precum gestionarea riscurilor, raportarea incidentelor și schimbul de informații, precum și facilitând schimbul de bune practici între autoritățile competente în această privință;

2.  acordând asistență statelor membre pentru punerea în aplicare în mod coerent a politicii și dreptului Uniunii privind securitatea cibernetică, în special în ceea ce privește Directiva (UE) 2016/1148, Directiva ... de instituire a Codului european al comunicațiilor electronice, Regulamentul (UE) 2016/679 și Directiva 2002/58/CE, inclusiv prin intermediul avizelor, orientărilor, consilierii și bunelor practici referitoare la teme precum dezvoltarea de programe informatice și de sisteme securizate, gestionarea riscurilor, raportarea incidentelor și schimbul de informații, măsuri tehnice și organizatorice, în special instituirea unor programe coordonate pentru divulgarea vulnerabilităților, precum și facilitând schimbul de bune practici între autoritățile competente în această privință;

Amendamentul    104

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  elaborând și promovând politici care să susțină disponibilitatea sau integritatea generală a nucleului public al internetului deschis, care să asigure funcționalitatea esențială a internetului în ansamblul său și care să stea la baza funcționării normale a acestuia, inclusiv securitatea și stabilitatea protocoalelor-cheie (în special a DNS, BGP și IPv6), exploatarea sistemului de nume de domenii (inclusiv a celor ale tuturor domeniilor rădăcină) și exploatarea zonei-rădăcină;

Amendamentul    105

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 4 – subpunctul 2

Textul propus de Comisie

Amendamentul

(2)  promovarea unui nivel sporit de securitate a comunicațiilor electronice, inclusiv prin furnizarea de expertiză și de consiliere, precum și prin facilitarea schimbului de bune practici între autoritățile competente;

(2)  promovarea unui nivel sporit de securitate a comunicațiilor electronice, a stocării și a prelucrării datelor, inclusiv prin furnizarea de expertiză și de consiliere, precum și prin facilitarea schimbului de bune practici între autoritățile competente;

Amendamentul    106

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a.  acordând asistență statelor membre pentru punerea în aplicare în mod consecvent a politicii și dreptului Uniunii privind protecția datelor, în special a Regulamentul (UE) 2016/679, precum și acordând asistență Comitetului european pentru protecția datelor pentru elaborarea de orientări privind punerea în aplicare a Regulamentului (UE) 2016/679 în scopuri legate de securitatea cibernetică. Comitetul european pentru protecția datelor se consultă cu agenția ori de câte ori emite un aviz sau adoptă o decizie cu privire la punerea în aplicare a Regulamentului general privind protecția datelor și a securității cibernetice, în special cu privire la aspecte legate de evaluarea impactului asupra vieții private, notificarea cu privire la încălcarea securității datelor, prelucrarea în scopul securității, cerințele în materie de securitate și protejarea vieții private din faza de proiectare, această enumerare nefiind exhaustivă.

Amendamentul    107

Propunere de regulament

Articolul 6 – alineatul 1 – litera aa (nouă)

Textul propus de Comisie

Amendamentul

 

(aa)  instituțiilor de la nivelul statelor membre și al Uniunii în ceea ce privește instituirea și punerea în aplicare a unor politici coordonate de divulgare a vulnerabilităților și a unor procese de analiză a vulnerabilităților divulgate la nivel guvernamental, ale căror practici și constatări ar trebui să fie transparente și să facă obiectul unei supravegheri independente.

Amendamentul    108

Propunere de regulament

Articolul 6 – alineatul 1 – litera ab (nouă)

Textul propus de Comisie

Amendamentul

 

(ab)  Agenția facilitează crearea și lansarea unui proiect european de securitate informatică pe termen lung pentru a promova și mai mult cercetarea în domeniul securității cibernetice în Uniune și în statele membre, în cooperare cu Consiliul European pentru Cercetare (CEC) și cu Institutul European pentru Inovare și Tehnologie (EIT) și ținând seama de programele de cercetare ale Uniunii;

Amendamentul    109

Propunere de regulament

Articolul 6 – alineatul 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  statelor membre, prin organizarea exercițiilor anuale la scară largă în materie de securitate cibernetică la nivelul Uniunii menționate la articolul 7 alineatul (6) și prin formularea de recomandări de politici bazate pe procesul de evaluare a exercițiilor și pe învățămintele desprinse în urma acestora;

(g)  statelor membre, prin organizarea la nivelul Uniunii, cel puțin o dată pe an, a unor exerciții periodice la scară largă în domeniul securității cibernetice, menționate la articolul 7 alineatul (6), și prin formularea de recomandări de politici și realizarea de schimburi de bune practici pe baza procesului de evaluare a exercițiilor și a învățămintelor desprinse în urma acestora;

Amendamentul    110

Propunere de regulament

Articolul 6 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Agenția facilitează înființarea centrelor sectoriale de schimb și analiză de informații și le acordă un sprijin continuu, în special în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, prin furnizarea de bune practici și de orientări privind instrumentele disponibile și procedura, precum și privind modul de abordare a aspectelor de reglementare legate de schimbul de informații.

2.  Agenția facilitează înființarea centrelor sectoriale de schimb și analiză de informații și le acordă un sprijin continuu, în special în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, prin furnizarea de bune practici și de orientări privind instrumentele disponibile, procedura și principiile de igienă cibernetică, precum și privind modul de abordare a aspectelor de reglementare legate de schimbul de informații.

Amendamentul    111

Propunere de regulament

Articolul 7 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Agenția sprijină cooperarea operațională dintre organismele publice competente și dintre părțile interesate.

1.  Agenția sprijină cooperarea operațională dintre statele membre, instituțiile, agențiile și organele Uniunii și dintre părțile interesate pentru a realiza o colaborare, prin analizarea și evaluarea sistemelor existente la nivel național, prin elaborarea și punerea în aplicare a unui plan și prin utilizarea instrumentelor corespunzătoare cu scopul de a atinge cel mai înalt nivel de certificare de securitate cibernetică în Uniune și în statele membre.

Amendamentul    112

Propunere de regulament

Articolul 7 – alineatul 4 – paragraful 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  furnizarea, la cererea lor, de asistență tehnică în cazul incidentelor care au un impact semnificativ sau substanțial;

(b)  furnizarea, la cererea lor, de asistență tehnică sub formă de competențe și schimb de informații în cazul incidentelor care au un impact semnificativ sau substanțial;

Amendamentul    113

Propunere de regulament

Articolul 7 – alineatul 4 – paragraful 1 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  atunci când un incident produce un efect perturbator considerabil și, deci, se impune luarea unor măsuri urgente, un stat membru poate solicita asistența unor experți ai agenției în vederea evaluării situației. Solicitarea include descrierea situației, eventualele obiective și necesitățile estimate.

Amendamentul    114

Propunere de regulament

Articolul 7 – alineatul 5 – paragraful 1

Textul propus de Comisie

Amendamentul

În urma unei cereri formulate de două sau mai multe state membre afectate și cu singurul scop de a furniza consiliere pentru prevenirea viitoarelor incidente, agenția acordă sprijin sau efectuează o anchetă tehnică ex post în urma notificărilor primite de întreprinderile afectate de incidente care au un impact semnificativ sau substanțial, în temeiul Directivei (UE) 2016/1148. De asemenea, agenția efectuează o astfel de anchetă numai în urma unei cereri justificate în mod corespunzător din partea Comisiei, cu acordul statelor membre în cauză, în situația în care astfel de incidente afectează mai mult de două state membre.

Pe baza unei cereri formulate de unul sau mai multe state membre afectate și cu singurul scop de a furniza asistență fie sub formă de consiliere pentru prevenirea unor incidente în viitor, fie sub formă de asistență pentru a reacționa la incidente actuale de mare amploare, agenția acordă sprijin sau efectuează o anchetă tehnică ex post în urma notificărilor transmise de întreprinderile afectate de incidente care au un impact semnificativ sau substanțial, în temeiul Directivei (UE) 2016/1148. Agenția desfășoară activitățile menționate mai sus primind informații pertinente de la statele membre afectate și utilizându-și propriile resurse pentru analiza amenințărilor, precum și resurse pentru reacțiile la incidente. De asemenea, agenția efectuează o astfel de anchetă numai în urma unei cereri justificate în mod corespunzător din partea Comisiei, cu acordul statelor membre în cauză, în situația în care astfel de incidente afectează mai mult de un stat membru. În cadrul acestei anchete, agenția se asigură că nu divulgă măsurile luate de statele membre pentru protecția funcțiilor esențiale ale statului, în special a celor ce țin de securitatea națională.

Amendamentul    115

Propunere de regulament

Articolul 7 – alineatul 6

Textul propus de Comisie

Amendamentul

6.  Agenția organizează exerciții anuale de securitate cibernetică la nivelul UE și sprijină statele membre și instituțiile, agențiile și organele UE în ceea ce privește organizarea de exerciții, la cererea acestora. Exercițiile anuale la nivelul Uniunii includ elemente tehnice, operaționale și strategice și contribuie la pregătirea răspunsului la nivelul UE, bazat pe cooperare, la incidentele de securitate cibernetică transfrontaliere de mare amploare. De asemenea, agenția contribuie la exercițiile sectoriale de securitate cibernetică și sprijină, după caz, organizarea acestora, împreună cu centrele sectoriale de schimb și analiză de informații relevante și permite centrelor respective să participe și ele la exercițiile de securitate cibernetică desfășurate la nivelul Uniunii.

6.  Agenția organizează exerciții periodice, cel puțin anuale, de securitate cibernetică la nivelul UE și sprijină statele membre și instituțiile, agențiile și organele UE în ceea ce privește organizarea de exerciții, la cererea acestora. Exercițiile anuale la nivelul Uniunii includ elemente tehnice, operaționale și strategice și contribuie la pregătirea răspunsului la nivelul UE, bazat pe cooperare, la incidentele de securitate cibernetică transfrontaliere de mare amploare. De asemenea, agenția contribuie la exercițiile sectoriale de securitate cibernetică și sprijină, după caz, organizarea acestora, împreună cu centrele sectoriale de schimb și analiză de informații relevante și permite centrelor respective să participe și ele la exercițiile de securitate cibernetică desfășurate la nivelul Uniunii.

Amendamentul    116

Propunere de regulament

Articolul 7 – alineatul 7

Textul propus de Comisie

Amendamentul

7.  Agenția întocmește periodic un raport asupra situației tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente și amenințări, pe baza informațiilor din surse deschise, a propriei sale analize și pe baza unor rapoarte care îi sunt transmise de entități cum ar fi, printre altele: CSIRT ale statelor membre (pe bază de voluntariat) sau punctele unice de contact înființate în temeiul Directivei privind securitatea rețelelor și a informațiilor [în conformitate cu articolul 14 alineatul (5) din Directiva privind securitatea rețelelor și a informațiilor], Centrul european de combatere a criminalității informatice (EC3) din cadrul Europol și CERT-UE.

7.  Agenția întocmește periodic un raport aprofundat asupra situației tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente și amenințări, pe baza informațiilor din surse deschise, a propriei sale analize și pe baza unor rapoarte care îi sunt transmise de entități cum ar fi, printre altele: CSIRT ale statelor membre (pe bază de voluntariat) sau punctele unice de contact înființate în temeiul Directivei privind securitatea rețelelor și a informațiilor [în conformitate cu articolul 14 alineatul (5) din Directiva privind securitatea rețelelor și a informațiilor], Centrul european de combatere a criminalității informatice (EC3) din cadrul Europol și CERT-UE. Directorul executiv prezintă Parlamentului European constatările publice, dacă este cazul.

Amendamentul    117

Propunere de regulament

Articolul 7 – alineatul 7 a (nou)

Textul propus de Comisie

Amendamentul

 

7a.  Agenția contribuie, după caz și sub rezerva aprobării prealabile de către Comisie, la cooperarea cibernetică cu Centrul de Excelență Cooperativ de Apărare Cibernetică al NATO și cu Academia NATO pentru comunicații și informații (NCI).

Amendamentul    118

Propunere de regulament

Articolul 7 – alineatul 8 – litera g

Textul propus de Comisie

Amendamentul

(a)  agregarea rapoartelor autorităților naționale, cu scopul de a contribui la o conștientizare comună a situației;

(a)  analizarea și agregarea rapoartelor autorităților naționale, cu scopul de a contribui la o conștientizare comună a situației;

Amendamentul    119

Propunere de regulament

Articolul 7 – alineatul 8 – litera c

Textul propus de Comisie

Amendamentul

(c)  sprijinirea gestionării din punct de vedere tehnic a unui incident sau a unei crize, inclusiv prin facilitarea schimbului de soluții tehnice dintre statele membre;

(c)  sprijinirea gestionării din punct de vedere tehnic a unui incident sau a unei crize, pe baza propriilor sale competențe independente și a propriilor sale resurse, inclusiv prin facilitarea schimbului voluntar de soluții tehnice între statele membre;

Amendamentul    120

Propunere de regulament

Articolul 7 – alineatul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

8a.  Agenția organizează un schimb de opinii, dacă este necesar, și ajută autoritățile statelor membre la coordonarea răspunsului acestora, în conformitate cu principiile subsidiarității și proporționalității.

Amendamentul    121

Propunere de regulament

Articolul 7 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 7 a

 

Capabilitățile tehnice ale agenției

 

1. Pentru îndeplinirea obiectivelor descrise la articolul 7 și în conformitate cu programul său de lucru, agenția dezvoltă, printre altele, următoarele capabilități și aptitudini tehnice:

 

(a) abilitatea de a colecta informații privind amenințările de securitate cibernetică din surse deschise și

 

(b) abilitatea de a pune la dispoziție echipamente, instrumente și competențe tehnice la distanță.

 

2. Pentru a realiza capabilitățile tehnice menționate la alineatul (1) de la prezentul articol și pentru a dezvolta competențele corespunzătoare, agenția:

 

(a) se asigură că procesele sale de recrutare reflectă diversitatea de competențe tehnice necesare și

 

(b) cooperează cu CERT-UE și cu Europol în conformitate cu articolul 7 alineatul (2) din prezentul regulament.

Amendamentul    122

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – partea introductivă

Textul propus de Comisie

Amendamentul

(a)  sprijină și promovează elaborarea și punerea în aplicare a politicii Uniunii privind certificarea de securitate cibernetică a produselor și serviciilor TIC, astfel cum se prevede în titlul III din prezentul regulament, prin:

(a)  sprijină și promovează elaborarea și punerea în aplicare a politicii Uniunii privind certificarea de securitate cibernetică a produselor, serviciilor și proceselor TIC, astfel cum se prevede în titlul III din prezentul regulament, prin:

Amendamentul    123

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul -1 (nouă)

Textul propus de Comisie

Amendamentul

 

(-1)  identificarea permanentă a standardelor, a specificațiilor tehnice și a specificațiilor tehnice în materie de TIC;

Amendamentul    124

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 1

Textul propus de Comisie

Amendamentul

(1)  pregătirea propunerilor de sisteme europene de certificare de securitate cibernetică pentru produsele și serviciile TIC, în conformitate cu articolul 44 din prezentul regulament;

(1)  în cooperare cu părțile interesate ale sectorului și cu organizațiile de standardizare, în cadrul unui proces oficial, standardizat și transparent, pregătirea propunerilor de sisteme europene de certificare de securitate cibernetică pentru produsele, serviciile și procesele TIC, în conformitate cu articolul 44 din prezentul regulament;

Amendamentul    125

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 1a (nou)

Textul propus de Comisie

Amendamentul

 

(1a)  realizarea, în cooperare cu Grupul de certificare al statelor membre în temeiul articolului 53 din prezentul regulament, a evaluării procedurilor de eliberare a certificatelor europene de securitate cibernetică instituite de organismele de evaluare a conformității menționate la articolul 51 din prezentul regulament, în vederea asigurării aplicării uniforme a prezentului regulament la eliberarea certificatelor de către organismele de evaluare a conformității;

Amendamentul    126

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 1 b (nou)

Textul propus de Comisie

Amendamentul

 

(1b)  efectuarea de verificări ex post periodice independente cu privire la conformitatea produselor, proceselor și serviciilor TIC certificate cu sistemele europene de certificare de securitate cibernetică;

Amendamentul    127

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 2

Textul propus de Comisie

Amendamentul

(2)  oferirea de asistență Comisiei în ceea ce privește asigurarea secretariatului Grupului european pentru certificarea de securitate cibernetică, în temeiul articolului 53 din prezentul regulament;

(2)  oferirea de asistență Comisiei în ceea ce privește asigurarea secretariatului Grupului de certificare al statelor membre, în temeiul articolului 53 din prezentul regulament;

Amendamentul    128

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 3

Textul propus de Comisie

Amendamentul

(3)  compilarea și publicarea de orientări și dezvoltarea de bune practici în ceea ce privește cerințele în materie de securitate cibernetică pentru produsele și serviciile TIC, în cooperare cu autoritățile naționale de supraveghere în domeniul certificării și cu reprezentanți ai sectorului;

(3)  compilarea și publicarea de orientări și dezvoltarea de bune practici, inclusiv în legătură cu principiile igienei cibernetice, în ceea ce privește cerințele în materie de securitate cibernetică pentru produsele, procesele și serviciile TIC, în cooperare cu autoritățile naționale de supraveghere în domeniul certificării și cu reprezentanți ai sectorului, în cadrul unui proces oficial, standardizat și transparent;

Amendamentul    129

Propunere de regulament

Articolul 8 – paragraful 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  facilitează stabilirea și adoptarea de standarde europene și internaționale pentru gestionarea riscurilor și pentru securitatea produselor și serviciilor TIC, precum și elaborarea, în colaborare cu statele membre, de avize și orientări în ceea ce privește domeniile tehnice legate de cerințele de securitate pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale, precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148;

(b)  facilitează stabilirea și adoptarea de standarde europene și internaționale pentru gestionarea riscurilor și pentru securitatea produselor, proceselor și serviciilor TIC, precum și elaborează, în colaborare cu statele membre și reprezentanți ai sectorului, avize și orientări în ceea ce privește domeniile tehnice legate de cerințele de securitate pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale, precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148, și comunică aceste informații statelor membre;

Amendamentul    130

Propunere de regulament

Articolul 9 – paragraful 1 – litera c

Textul propus de Comisie

Amendamentul

(c)  furnizează, în cooperare cu experți ai autorităților statelor membre, consiliere, orientări și bune practici pentru securitatea rețelelor și a sistemelor informatice, în special pentru securitatea infrastructurii de internet și a infrastructurilor care sprijină sectoarele enumerate în anexa II la Directiva (UE) 2016/1148;

(c)  furnizează, în cooperare cu experți ai autorităților statelor membre și cu părțile interesate relevante, consiliere, orientări și bune practici pentru securitatea rețelelor și a sistemelor informatice, în special pentru securitatea infrastructurii de internet și a infrastructurilor care sprijină sectoarele enumerate în anexa II la Directiva (UE) 2016/1148;

Amendamentul    131

Propunere de regulament

Articolul 9 – paragraful 1 – litera e

Textul propus de Comisie

Amendamentul

(e)  sensibilizează publicul cu privire la riscurile de securitate cibernetică și furnizează orientări cu privire la bune practici pentru utilizatorii individuali, destinate cetățenilor și organizațiilor;

(e)  sensibilizează permanent publicul cu privire la riscurile de securitate cibernetică și asigură formare și orientări cu privire la bune practici pentru utilizatorii individuali, destinate cetățenilor și organizațiilor, și promovează adoptarea unor măsuri preventive eficace de securitate informatică și a unor măsuri fiabile de protecție a datelor și a vieții private;

Amendamentul    132

Propunere de regulament

Articolul 9 – paragraful 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  organizează, în cooperare cu statele membre și cu instituțiile, organele, oficiile și agențiile Uniunii, campanii periodice de informare pentru sporirea securității ciberneticii și a vizibilității acesteia în Uniune.

(g)  organizează, în cooperare cu statele membre și cu instituțiile, organele, oficiile și agențiile Uniunii, campanii periodice de comunicare pentru a stimula o dezbatere publică largă;

Amendamentul    133

Propunere de regulament

Articolul 9 – paragraful 1 – litera ga (nouă)

Textul propus de Comisie

Amendamentul

 

(ga)  susține coordonarea mai strânsă și schimbul de bune practici între statele membre privind instruirea și alfabetizarea în domeniul securității cibernetice, igiena cibernetică și sensibilizarea.

Amendamentul    134

Propunere de regulament

Articolul 10 – paragraful 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  consiliază Uniunea și statele membre cu privire la necesitățile și prioritățile în materie de cercetare în domeniul securității cibernetice pentru a face posibile răspunsuri eficace la riscurile și amenințările actuale și emergente, inclusiv în privința tehnologiilor informației și comunicațiilor noi și emergente, și pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;

(a)  asigură consultări prealabile cu grupurile relevante de utilizatori și consiliază Uniunea și statele membre cu privire la necesitățile și prioritățile în domeniile securității cibernetice, protecției datelor și vieții private, pentru a face posibile răspunsuri eficace la riscurile și amenințările actuale și emergente, inclusiv în privința tehnologiilor informației și comunicațiilor noi și emergente, și pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;

Amendamentul    135

Propunere de regulament

Articolul 10 – paragraful 1 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  inițiază activități de cercetare proprii în domenii de interes care nu sunt încă acoperite de programele de cercetare existente ale Uniunii, în cazul în care există o valoare adăugată europeană clar identificată.

Amendamentul    136

Propunere de regulament

Articolul 11 – paragraful 1 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  acordarea de consiliere și sprijin Comisiei, în colaborare cu Grupul statelor membre pentru certificare instituit în temeiul articolului 53, în ceea ce privește aspectele legate de acordurile cu țările terțe în domeniul recunoașterii reciproce a certificatelor de securitate cibernetică.

Amendamentul    137

Propunere de regulament

Articolul 12 – paragraful 1 – litera d

Textul propus de Comisie

Amendamentul

(d)  un grup permanent al părților interesate care exercită funcțiile prevăzute la articolul 20;

(d)  un grup consultativ al ENISA, care exercită funcțiile prevăzute la articolul 20;

Amendamentul    138

Propunere de regulament

Articolul 14 – alineatul 1 – litera e

Textul propus de Comisie

Amendamentul

(e)  evaluează și adoptă raportul anual consolidat privind activitățile agenției și transmite Parlamentului European, Consiliului, Comisiei și Curții de Conturi, până la data de 1 iulie a anului următor, atât raportul, cât și evaluarea lui. Raportul anual include conturile agenției și descrie modul în care aceasta și-a atins indicatorii de performanță. Raportul anual este făcut public;

(e)  evaluează și adoptă raportul anual consolidat privind activitățile agenției și transmite Parlamentului European, Consiliului, Comisiei și Curții de Conturi, până la data de 1 iulie a anului următor, atât raportul, cât și evaluarea lui. Raportul anual include conturile agenției, descrie eficiența cheltuielilor și evaluează eficiența agenției și măsura în care aceasta și-a îndeplinit indicatorii de performanță. Raportul anual este făcut public;

Amendamentul    139

Propunere de regulament

Articolul 14 – alineatul 1 – litera m

Textul propus de Comisie

Amendamentul

(m)  numește directorul executiv și, după caz, îi prelungește mandatul sau îl demite din funcție, în conformitate cu articolul 33 din prezentul regulament;

(m)  numește directorul executiv printr-o selecție pe baza criteriilor profesionale și, după caz, îi prelungește mandatul sau îl demite din funcție, în conformitate cu articolul 33 din prezentul regulament;

Amendamentul    140

Propunere de regulament

Articolul 14 – alineatul 1 – litera o

Textul propus de Comisie

Amendamentul

o)  ia toate deciziile privind instituirea structurilor interne ale agenției și, dacă este necesar, privind modificarea acestora, luând în considerare nevoile activității agenției și având în vedere buna gestiune bugetară;

o)  ia toate deciziile privind instituirea structurilor interne ale agenției și, dacă este necesar, privind modificarea acestora, luând în considerare nevoile activității agenției, care sunt menționate în prezentul regulament, și având în vedere buna gestiune bugetară;

Amendamentul    141

Propunere de regulament

Articolul 16 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Membrii Grupului permanent al părților interesate pot lua parte la reuniunile consiliului de administrație, la invitația președintelui, fără a avea drept de vot.

4.  Membrii Grupului consultativ al ENISA pot lua parte la reuniunile consiliului de administrație, la invitația președintelui, fără a avea drept de vot.

Amendamentul    142

Propunere de regulament

Articolul 18 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Comitetul executiv este format din cinci membri numiți dintre membrii consiliului de administrație, printre care președintele consiliului de administrație, care poate prezida și comitetul executiv, și unul dintre reprezentanții Comisiei. Directorul executiv ia parte la reuniunile comitetului executiv, dar nu are drept de vot.

3.  Comitetul executiv este format din cinci membri numiți dintre membrii consiliului de administrație, printre care președintele consiliului de administrație, care poate prezida și comitetul executiv, și unul dintre reprezentanții Comisiei. Directorul executiv ia parte la reuniunile comitetului executiv, dar nu are drept de vot. Numirile urmăresc obținerea unei reprezentări echilibrate din perspectiva genului în comitetul executiv.

Justificare

Numirile în comitetul executiv trebuie, de asemenea, să urmărească echilibrul de gen, reflectând dispozițiile pentru consiliul de administrație prevăzute la articolul 13 alineatul (3).

Amendamentul    143

Propunere de regulament

Articolul 19 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Directorul executiv prezintă Parlamentului European un raport privind modul în care și-a îndeplinit atribuțiile, atunci când este invitat să facă acest lucru. Consiliul poate solicita directorului executiv să prezinte un raport cu privire la îndeplinirea atribuțiilor sale.

2.  Directorul executiv prezintă Parlamentului European în fiecare an sau atunci când este invitat să facă acest lucru un raport privind modul în care și-a îndeplinit atribuțiile. Consiliul îl poate invita pe directorul executiv să prezinte un raport referitor la modul în care și-a îndeplinit atribuțiile.

Amendamentul    144

Propunere de regulament

Articolul 19 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a.  De asemenea, directorul executiv are dreptul de a acționa în calitate de consilier instituțional special privind politica de securitate cibernetică pe lângă președintele Comisiei Europene, cu un mandat definit în Decizia C(2014) 541 a Comisiei din 6 februarie 2014.

Amendamentul    145

Propunere de regulament

Articolul 20 – titlu

Textul propus de Comisie

Amendamentul

Grupul permanent al părților interesate

Grupul consultativ al ENISA

 

(Această modificare se aplică întregului text. Adoptarea sa impune adaptări tehnice în întregul text.)

Amendamentul    146

Propunere de regulament

Articolul 20 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  La propunerea directorului executiv, consiliul de administrație instituie un grup permanent al părților interesate, alcătuit din experți recunoscuți care reprezintă părțile interesate relevante, cum ar fi sectorul TIC, furnizorii de rețele sau de servicii de comunicații electronice accesibile publicului, grupurile de consumatori, experții universitari în domeniul securității cibernetice și reprezentanți ai autorităților competente notificate în temeiul [Directivei de instituire a Codului European al Comunicațiilor Electronice], precum și autoritățile de aplicare a legii și cele de supraveghere a protecției datelor.

1.  La propunerea directorului executiv, consiliul de administrație instituie în mod transparent un grup consultativ al ENISA, alcătuit din experți recunoscuți în domeniul securității care reprezintă părțile interesate relevante, cum ar fi sectorul TIC (incluzând IMM-urile, operatorii de servicii esențiale în sensul Directivei privind securitatea rețelelor și a informațiilor, furnizorii de rețele sau de servicii de comunicații electronice accesibile publicului, grupurile de consumatori, experții universitari în domeniul securității cibernetice, organizațiile de standardizare europene, agențiile UE și reprezentanți ai autorităților competente notificate în temeiul [Directivei de instituire a Codului European al Comunicațiilor Electronice], precum și ai autorităților de aplicare a legii și ai celor de supraveghere a protecției datelor. Consiliul de administrație asigură un echilibru adecvat al diverselor grupuri de părți interesate.

Amendamentul    147

Propunere de regulament

Articolul 20 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Procedurile privind grupul permanent al părților interesate, în special cele referitoare la numărul de membri, componență și numirea membrilor săi de către consiliul de administrație, la propunerea directorului executiv și la funcționarea grupului, se precizează în normele interne de funcționare ale agenției și se fac publice.

2.  Procedurile privind grupul consultativ al ENISA, în special cele referitoare la numărul de membri, componență și numirea membrilor săi de către consiliul de administrație, la propunerea directorului executiv și la funcționarea grupului, se precizează în normele interne de funcționare ale agenției și se fac publice.

Amendamentul    148

Propunere de regulament

Articolul 20 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Grupul permanent al părților interesate este prezidat de directorul executiv sau de orice persoană numită de acesta de la caz la caz.

3.  Grupul consultativ al ENISA este prezidat de directorul executiv sau de orice persoană numită de acesta de la caz la caz.

Amendamentul    149

Propunere de regulament

Articolul 20 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Mandatul membrilor grupului permanent al părților interesate este de doi ani și jumătate. Membrii consiliului de administrație nu pot fi membri ai grupului permanent al părților interesate. Experții Comisiei și ai statelor membre au dreptul de a participa la reuniunile grupului permanent al părților interesate și la activitățile acestuia. Reprezentanții altor organisme considerate relevante de către directorul executiv, care nu au calitatea de membri ai grupului permanent al părților interesate, pot fi invitați să participe la reuniunile grupului permanent al părților interesate și la activitățile acestuia.

4.  Mandatul membrilor grupului consultativ al ENISA este de doi ani și jumătate. Membrii consiliului de administrație nu pot fi membri ai grupului consultativ al ENISA. Experții Comisiei și ai statelor membre au dreptul de a participa la reuniunile grupului consultativ al ENISA și la activitățile acestuia. Reprezentanții altor organisme considerate relevante de către directorul executiv, care nu au calitatea de membri ai grupului consultativ al ENISA, pot fi invitați să participe la reuniunile grupului consultativ al ENISA și la activitățile acestuia.

Amendamentul    150

Propunere de regulament

Articolul 20 – alineatul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

4a.  Grupul consultativ al ENISA pune la dispoziție actualizări periodice cu privire la planificarea activităților sale pe tot parcursul anului și stabilește obiective în programul său de lucru care sunt publicate o dată la șase luni pentru a asigura transparența.

Amendamentul    151

Propunere de regulament

Articolul 20 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Grupul permanent al părților interesate acordă consiliere agenției în exercitarea activităților sale. Acesta acordă consiliere în special directorului executiv în ceea ce privește elaborarea unei propuneri de program de activitate al agenției și asigurarea comunicării cu părțile interesate relevante referitor la toate aspectele legate de programul de activitate.

5.  Grupul consultativ al ENISA acordă consiliere agenției în exercitarea activităților sale, cu excepția chestiunilor legate de aplicarea titlului III din prezentul regulament. Acesta acordă consiliere în special directorului executiv în ceea ce privește elaborarea unei propuneri de program de activitate al agenției și asigurarea comunicării cu părțile interesate relevante referitor la toate aspectele legate de programul de activitate.

Amendamentul    152

Propunere de regulament

Articolul 20 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 20a

 

Grupul pentru certificare al părților interesate

 

1.   Directorul executiv înființează un grup pentru certificare al părților interesate, în componența căruia intră un comitet consultativ general care oferă consultații de ordin general cu privire la aplicarea titlului III din prezentul regulament, precum și comitete ad-hoc care propun, elaborează și adoptă fiecare sistem preconizat. Membrii acestui grup sunt selectați din rândul experților recunoscuți în domeniul securității care reprezintă părțile interesate relevante, cum ar fi sectorul TIC – incluzând IMM-urile, operatorii de servicii esențiale în sensul Directivei privind securitatea rețelelor și a informațiilor, furnizorii de rețele sau de servicii de comunicații electronice accesibile publicului, grupurile de consumatori, experții universitari în domeniul securității cibernetice, organizațiile de standardizare europene și reprezentanți ai autorităților competente notificate în temeiul [Directivei de instituire a Codului European al Comunicațiilor Electronice], precum și ai autorităților de aplicare a legii și ai celor de supraveghere a protecției datelor.

 

2.   Procedurile privind Grupul pentru certificare al părților interesate, în special cele referitoare la numărul de membri, componență și numirea membrilor săi de către directorul executiv, se precizează în normele interne de funcționare ale agenției, respectă bunele practici în ceea ce privește asigurarea unei reprezentări echitabile și a egalității de drepturi pentru toate părțile interesate și se fac publice.

 

3.   Membrii consiliului de administrație nu pot fi membri ai Grupului pentru certificare al părților interesate. Membrii Grupului consultativ al ENISA nu pot fi membri ai Grupului pentru certificare al părților interesate. Experții Comisiei și ai statelor membre au dreptul, pe bază de invitație, de a participa la reuniunile Grupului pentru certificare al părților interesate. Reprezentanții altor organisme considerate relevante de către directorul executiv pot fi invitați să participe la reuniunile Grupului pentru certificare al părților interesate și la activitățile acestuia.

 

4.   Grupul pentru certificare al părților interesate acordă consiliere agenției în exercitarea activităților sale cu privire la titlul III din prezentul regulament. Acesta are dreptul, în special, de a propune Comisiei să pregătească o propunere de sistem european de certificare de securitate cibernetică, conform articolului 44 din prezentul regulament, precum și de a participa la procedurile menționate la articolele 43-48 și la articolul 53 din prezentul regulament pentru aprobarea sistemelor respective.

Amendamentul    153

Propunere de regulament

Articolul 21 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 21a

 

Solicitările adresate agenției

 

1. Agenția ar trebui să creeze și să administreze un punct unic de contact prin care să fie adresate solicitările de consiliere și de asistență care se încadrează în obiectivele și sarcinile agenției. Aceste solicitări ar trebui să fie însoțite de informații de context care explică chestiunea ce trebuie examinată. Agenția ar trebui să evalueze eventualele nevoi în materie de resurse și să dea curs solicitărilor în timp util. În cazul în care refuză o solicitare, agenția prezintă justificări.

 

2. Solicitările menționate la alineatul (1) pot fi adresate de:

 

a) Parlamentul European;

 

b) Consiliu;

 

c) Comisie; și

 

d) orice organism competent desemnat de un stat membru, cum ar fi o autoritate națională de reglementare, conform definiției de la articolul 2 din Directiva 2002/21/CE.

 

3. Modalitățile practice de aplicare a alineatelor (1) și (2) privind îndeosebi transmiterea, stabilirea priorităților, tratarea solicitărilor și informarea sunt stabilite de consiliul de administrație în regulamentul intern de funcționare al agenției.

Amendamentul    154

Propunere de regulament

Articolul 24 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Membrii consiliului de administrație, directorul executiv, membrii grupului permanent al părților interesate, experții externi care participă la grupurile de lucru ad-hoc și membrii personalului agenției, inclusiv funcționarii detașați temporar de statele membre, respectă cerințele de confidențialitate prevăzute la articolul 339 din Tratatul privind funcționarea Uniunii Europene („TFUE”), chiar și după încetarea atribuțiilor lor.

2.  Membrii consiliului de administrație, directorul executiv, membrii Grupului consultativ al ENISA, experții externi care participă la grupurile de lucru ad-hoc și membrii personalului agenției, inclusiv funcționarii detașați temporar de statele membre, respectă cerințele de confidențialitate prevăzute la articolul 339 din Tratatul privind funcționarea Uniunii Europene („TFUE”), chiar și după încetarea atribuțiilor lor.

Amendamentul    155

Propunere de regulament

Articolul 26 – alineatul 1 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

Proiectul provizoriu de situație a estimărilor se bazează pe obiectivele și rezultatele preconizate indicate în documentul unic de programare menționat la articolul 21 alineatul (1) din prezentul regulament și ține cont de resursele financiare necesare pentru atingerea acestor obiective și rezultate preconizate, în conformitate cu principiul de întocmire a bugetului în funcție de performanțe.

Amendamentul    156

Propunere de regulament

Articolul 30 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Curtea de Conturi are competența de a-i audita, pe bază de documente și la fața locului, pe toți beneficiarii de granturi, contractanții și subcontractanții care au primit fonduri ale Uniunii din partea agenției.

2.  Curtea de Conturi are competența de a-i audita, pe bază de documente și de inspecții la fața locului, pe toți beneficiarii de granturi, contractanții și subcontractanții care au primit fonduri ale Uniunii din partea agenției.

Amendamentul    157

Propunere de regulament

Articolul 36 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Răspunderea personală a angajaților față de agenție este reglementată de condițiile relevante care se aplică personalului agenției.

5.  Răspunderea personală a angajaților față de agenție este reglementată de condițiile relevante care se aplică personalului agenției. Se asigură recrutarea efectivă de personal.

Amendamentul    158

Propunere de regulament

Articolul 37 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Serviciile de traducere necesare funcționării agenției sunt asigurate de către Centrul de Traduceri pentru Organismele Uniunii Europene.

2.  Serviciile de traducere necesare funcționării agenției sunt asigurate de către Centrul de Traduceri pentru Organismele Uniunii Europene sau de alți furnizori de servicii de traducere, în conformitate cu normele privind achizițiile publice și în limitele stabilite de normele financiare aplicabile.

Amendamentul    159

Propunere de regulament

Articolul 39 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  În măsura în care este necesar pentru atingerea obiectivelor stabilite în prezentul regulament, agenția poate coopera cu autoritățile competente din țările terțe sau cu organizațiile internaționale sau cu ambele. În acest scop, agenția poate, sub rezerva aprobării prealabile de către Comisie, să stabilească acorduri de lucru cu autoritățile din țări terțe și cu organizații internaționale. Aceste acorduri nu creează obligații legale pentru Uniune și nici pentru statele sale membre.

1.  În măsura în care este necesar pentru atingerea obiectivelor stabilite în prezentul regulament, agenția poate coopera cu autoritățile competente din țările terțe sau cu organizațiile internaționale sau cu ambele. În acest scop, agenția poate, sub rezerva aprobării prealabile de către Comisie, să stabilească acorduri de lucru cu autoritățile din țări terțe și cu organizații internaționale. Cooperarea cu NATO, în cazul în care are loc, poate include exerciții comune de securitate cibernetică și o coordonare comună a răspunsului la incidente cibernetice. Aceste acorduri nu creează obligații legale pentru Uniune și nici pentru statele sale membre.

Justificare

Având în vedere natura transfrontalieră a incidentelor cibernetice, ENISA ar trebui să acționeze împreună cu actorii din domeniul securității cibernetice din Europa, cum ar fi NATO, în cazul în care acest lucru este oportun. Acest lucru este deosebit de important deoarece NATO poate avea capabilități cibernetice pe care ENISA nu le are și invers. În contextul sporirii atacurilor cibernetice îndreptate împotriva statelor în ansamblu, este imperativ pentru securitatea Europei ca ENISA să coopereze cu organizațiile internaționale, cum ar fi NATO, la nivel internațional.

Amendamentul    160

Propunere de regulament

Articolul 41 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Statul membru care găzduiește agenția pune la dispoziție cele mai bune condiții posibile pentru a asigura buna funcționare a agenției, printre care accesibilitatea amplasamentului, existența unor facilități adecvate de educație pentru copiii personalului, un acces corespunzător la piața muncii, la securitate socială și la asistență medicală atât pentru copiii, cât și pentru soții/soțiile personalului.

2.  Statul membru care găzduiește agenția pune la dispoziție cele mai bune condiții posibile pentru a asigura buna funcționare a agenției, inclusiv un singur sediu pentru toată agenția, accesibilitatea amplasamentului, existența unor facilități adecvate de educație pentru copiii personalului, un acces corespunzător la piața muncii, la securitate socială și la asistență medicală atât pentru copiii, cât și pentru soții/soțiile personalului.

Justificare

Structura actuală a agenției, care își are sediul administrativ la Heraklion, iar operațiunile de bază la Atena, s-a dovedit ineficientă și costisitoare. Tot personalul ENISA ar trebui să lucreze în același oraș. Având în vedere criteriile menționate în prezentul alineat, sediul ar trebui să fie la Atena.

Amendamentul    161

Propunere de regulament

Articolul 43 – paragraful 1

Textul propus de Comisie

Amendamentul

Un sistem european de certificare de securitate cibernetică atestă că produsele și serviciile TIC care au fost certificate în conformitate cu sistemul respectiv sunt conforme cu cerințele specificate în ceea ce privește capacitatea acestora de a rezista, la un anumit nivel de asigurare, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori prelucrate sau funcțiile ori serviciile oferite de aceste produse, servicii și sisteme sau accesibile prin intermediul lor.

Un sistem european de certificare de securitate cibernetică atestă că produsele, procesele și serviciile TIC vizate nu suferă de niciuna dintre vulnerabilitățile cunoscute în momentul emiterii certificatului și respectă cerințele specificate stabilite de standardele europene sau internaționale, de specificațiile tehnice și de specificațiile tehnice în domeniul TIC în ceea ce privește capacitatea acestora de a rezista, pe durata ciclului lor de viață și la un anumit nivel de asigurare, acțiunilor care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori prelucrate sau funcțiile ori serviciile oferite de aceste produse, procese și servicii sau accesibile prin intermediul lor și îndeplinesc obiectivele specificate în materie de securitate.

Amendamentul    162

Propunere de regulament

Articolul 44 – alineatul -1 (nou)

Textul propus de Comisie

Amendamentul

 

-1.  Comisia adoptă acte delegate în temeiul articolului 55a în vederea completării prezentului regulament prin stabilirea unui program de activitate permanent la nivelul Uniunii pentru sistemele europene de certificare de securitate cibernetică. Respectivele acte delegate stabilesc acțiunile comune ce urmează să fie întreprinse la nivelul Uniunii și prioritățile strategice. Programul de activitate permanent la nivelul Uniunii conține în special o listă a priorităților în ceea ce privește produsele, procesele și serviciile TIC care sunt potrivite pentru a fi supuse unui sistem european de certificare de securitate cibernetică, precum și o analiză pentru a stabili dacă există un nivel echivalent de calitate, know-how și competențe de specialitate în rândul organismelor de evaluare a conformității și al autorităților naționale de supraveghere în materie de certificare și, dacă este cazul, o propunere de măsuri privind modul în care se poate realiza nivelul de echivalență respectiv.

 

Programul de activitate permanent la nivelul Uniunii este stabilit inițial nu mai târziu de ... [șase luni de la intrarea în vigoare a prezentului regulament], iar ulterior se actualizează atunci când este necesar, dar nu mai rar decât o dată la doi ani. Programul de activitate permanent la nivelul Uniunii este pus la dispoziția publicului.

 

Înainte de adoptarea sau actualizarea programului de activitate permanent la nivelul Uniunii, Comisia se consultă cu Grupul de certificare al statelor membre, cu agenția și cu Grupul de certificare al părților interesate în cadrul unor consultări deschise, transparente și cuprinzătoare.

Amendamentul    163

Propunere de regulament

Articolul 44 – alineatul -1 a (nou)

Textul propus de Comisie

Amendamentul

 

-1a.  Atunci când este cazul, Comisia îi poate solicita agenției să elaboreze o propunere de sistem european de certificare de securitate cibernetică. Această solicitare se bazează pe Programul de activitate permanent la nivelul Uniunii.

Amendamentul    164

Propunere de regulament

Articolul 44 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  În urma unei solicitări din partea Comisiei, ENISA pregătește o propunere de sistem european de certificare de securitate cibernetică ce îndeplinește cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament. Statele membre sau Grupul pentru certificare europeană de securitate cibernetică (denumit în continuare „Grupul”) instituit în temeiul articolului 53 pot propune Comisiei pregătirea unei propuneri de sistem european de certificare de securitate cibernetică.

1.  Solicitarea de elaborare a unei propuneri de sistem european de certificare de securitate cibernetică conține domeniul de aplicare, obiectivele de securitate aplicabile menționate la articolul 45, elementele aplicabile menționate la articolul 47 și un termen-limită până la care propunerea de sistem în cauză urmează să intre în vigoare. În cursul elaborării propunerii, Comisia poate să se consulte cu agenția, Grupul de certificare al statelor membre și cu Grupul de certificare al părților interesate.

Amendamentul    165

Propunere de regulament

Articolul 44 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Atunci când pregătește propunerile de sisteme menționate la alineatul (1) din prezentul articol, ENISA consultă toate părțile interesate relevante și cooperează îndeaproape cu Grupul. Grupul furnizează pentru ENISA asistența și consilierea de specialitate solicitate de aceasta în ceea ce privește pregătirea propunerii de sistem, inclusiv prin furnizarea de avize atunci când este necesar.

2.  Atunci când pregătește propunerile de sisteme menționate la alineatul (-1) (nou), agenția consultă toate părțile interesate relevante prin procese de consultare oficiale, deschise, transparente și cuprinzătoare și cooperează îndeaproape cu Grupul de certificare al statelor membre, cu Grupul de certificare al părților interesate, cu comitetele ad-hoc prevăzute la articolul 20a din prezentul regulament și cu organismele europene de standardizare. Acestea îi oferă agenției asistența și recomandările de specialitate solicitate de aceasta în ceea ce privește elaborarea propunerii de sistem, inclusiv, atunci când este necesar, prin formularea de avize.

Amendamentul    166

Propunere de regulament

Articolul 44 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  ENISA transmite Comisiei propunerea de sistem european de certificare de securitate cibernetică, pregătită în conformitate cu alineatul (2) din prezentul articol.

3.  Agenția transmite Comisiei propunerea de sistem pregătită în conformitate cu alineatele (1) și (2) de la prezentul articol.

Amendamentul    167

Propunere de regulament

Articolul 44 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Comisia, pe baza propunerii de sistem prezentate de ENISA, poate adopta acte de punere în aplicare, în conformitate cu articolul 55 alineatul (1), care să prevadă sisteme europene de certificare de securitate cibernetică pentru produsele și serviciile TIC, care îndeplinesc cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament.

4.  Comisia, pe baza propunerii de sistem prezentate de agenție, poate adopta acte delegate, în conformitate cu articolul 55a, care să completeze prezentul regulament prin sisteme europene de certificare de securitate cibernetică pentru produsele, procesele și serviciile TIC care îndeplinesc cerințele prevăzute la articolele 45, 46 și 47.

Amendamentul    168

Propunere de regulament

Articolul 44 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  ENISA întreține un site web dedicat care oferă informații și publicitate privind sistemele europene de certificare de securitate cibernetică.

5.  Agenția întreține un site web dedicat care oferă informații și publicitate privind sistemele europene de certificare de securitate cibernetică, inclusiv certificatele retrase și expirate și certificatele naționale vizate.

 

În cazul în care un sistem european de certificare de securitate cibernetică satisface cerințele pe care le vizează în conformitate cu legislația de armonizare aplicabilă a Uniunii, Comisia publică fără întârziere o referință la acesta în Jurnalul Oficial al Uniunii Europene și prin orice alte mijloace în conformitate cu condițiile prevăzute în actul legislativ respectiv de armonizare al Uniunii.

Amendamentul    169

Propunere de regulament

Articolul 44 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a.  În conformitate cu structura prevăzută în prezentul regulament, agenția examinează sistemele adoptate la sfârșitul perioadei de validitate a acestora, în conformitate cu articolul 47 alineatul (1) litera (ac), sau la cererea Comisiei, ținând seama de reacțiile primite de la părțile interesate relevante.

Amendamentul    170

Propunere de regulament

Articolul 45 – paragraful 1 – partea introductivă

Textul propus de Comisie

Amendamentul

Un sistem european de certificare de securitate cibernetică este conceput astfel încât să ia în considerare, după caz, următoarele obiective de securitate:

Un sistem european de certificare de securitate cibernetică este conceput astfel încât să ia în considerare, după caz, obiectivele de securitate care asigură:

Amendamentul    171

Propunere de regulament

Articolul 45 – paragraful 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva stocării, prelucrării, accesului sau divulgării accidentale sau neautorizate;

(a)  confidențialitatea, integritatea, disponibilitatea și caracterul privat al serviciilor, funcțiilor și datelor;

Amendamentul    172

Propunere de regulament

Articolul 45 – paragraful 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  să protejeze datele stocate, transmise sau prelucrate într-un alt mod împotriva distrugerii accidentale sau neautorizate, a pierderii sau modificării accidentale;

(b)  faptul că serviciile, funcțiile și datele pot fi accesate și utilizate numai de persoane autorizate și/sau sisteme și programe autorizate;

Amendamentul    173

Propunere de regulament

Articolul 45 – paragraful 1 – litera c

Textul propus de Comisie

Amendamentul

(c)  să asigurepersoanele, programele sau dispozitivele autorizate pot avea acces numai la datele, serviciile sau funcțiile la care se referă drepturile lor de acces;

(c)  faptulexistă un proces pentru identificarea și documentarea tuturor dependențelor și vulnerabilităților cunoscute ale produselor, proceselor și serviciilor TIC;

Amendamentul    174

Propunere de regulament

Articolul 45 – paragraful 1 – litera d

Textul propus de Comisie

Amendamentul

(d)  să înregistreze datele, funcțiile sau serviciile care au fost comunicate, momentul în care au fost comunicate acestea și autorul comunicării;

(d)  faptul că produsele, procesele și serviciile TIC nu conțin vulnerabilități cunoscute;

Amendamentul    175

Propunere de regulament

Articolul 45 – paragraful 1 – litera e

Textul propus de Comisie

Amendamentul

(e)  să asigureeste posibil să se verifice care sunt datele, serviciile sau funcțiile care au fost accesate sau utilizate, în ce moment și de către cine;

(e)  faptulexistă un proces pentru tratarea vulnerabilităților nou depistate ale produselor, proceselor și serviciilor TIC;

Amendamentul    176

Propunere de regulament

Articolul 45 – paragraful 1 – litera f

Textul propus de Comisie

Amendamentul

(f)  să restabilească disponibilitatea datelor, serviciilor și funcțiilor și accesul la acestea în timp util în caz de incident fizic sau tehnic;

(f)  faptul că produsele, procesele și serviciile TIC sunt sigure implicit și prin proiectare;

Amendamentul    177

Propunere de regulament

Articolul 45 – paragraful 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  să asigure că produsele și serviciile TIC sunt furnizate cu un software actualizat care nu conține vulnerabilități cunoscute și că sunt prevăzute mecanisme pentru actualizări securizate ale software-ului.

(g)  faptul că produsele și serviciile TIC sunt furnizate cu un software actualizat care nu conține vulnerabilități cunoscute și că sunt prevăzute mecanisme pentru actualizări securizate ale software-ului.

Amendamentul    178

Propunere de regulament

Articolul 45 – paragraful 1 – litera ga (nouă)

Textul propus de Comisie

Amendamentul

 

(ga)  faptul că sunt reduse la minimum alte riscuri legate de incidente cibernetice, cum ar fi riscurile pentru viață, sănătate, mediu și alte interese juridice importante.

Amendamentul    179

Propunere de regulament

Articolul 46 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Un sistem european de certificare de securitate cibernetică poate stabili unul sau mai multe dintre următoarele niveluri de asigurare: de bază, substanțial și/sau ridicat, pentru produsele și serviciile TIC din cadrul sistemului respectiv.

1.  Un sistem european de certificare de securitate cibernetică poate stabili unul sau mai multe dintre următoarele niveluri de asigurare bazate pe riscuri, în funcție de contextul și utilizarea preconizată a produselor, proceselor și serviciilor TIC: de bază, substanțial și/sau ridicat, pentru produsele, procesele și serviciile TIC din cadrul sistemului respectiv.

Amendamentul    180

Propunere de regulament

Articolul 46 – alineatul 2 – litera a

Textul propus de Comisie

Amendamentul

(a)  nivelul de asigurare de bază se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad limitat de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a reduce riscul de incidente de securitate cibernetică;

(a)  nivelul de asigurare de bază corespunde unui risc scăzut din punctul de vedere atât al probabilității, cât și al daunelor, legat de un produs, proces și serviciu TIC, având în vedere utilizarea lor preconizată și contextul. Nivelul de asigurare de bază oferă siguranța că se poate rezista unor riscuri de bază cunoscute de incidente informatice.

Amendamentul    181

Propunere de regulament

Articolul 46 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b)  nivelul de asigurare substanțial se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad substanțial de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a reduce substanțial riscul de incidente de securitate cibernetică;

(b)  nivelul de asigurare substanțial corespunde unui risc mai ridicat din punctul de vedere atât al probabilității, cât și al daunelor, legat de un produs, proces și serviciu TIC. Nivelul de asigurare substanțial oferă siguranța că pot fi prevenite riscurile cunoscute de incidente cibernetice și că există, de asemenea, capacitatea de a rezista la atacuri cibernetice cu resurse limitate.

Amendamentul    182

Propunere de regulament

Articolul 46 – alineatul 2 – litera c

Textul propus de Comisie

Amendamentul

(c)  nivelul de asigurare ridicat se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad mai ridicat de încredere, față de certificatele având un nivel de asigurare substanțial, în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a preveni riscul de incidente de securitate cibernetică;

(c)  nivelul de asigurare ridicat corespunde unui risc ridicat din punctul de vedere atât al probabilității, cât și al daunelor, legat de un produs, proces și serviciu TIC. Nivelul de asigurare ridicat oferă siguranța că pot fi prevenite riscurile de incidente cibernetice și că există, de asemenea, capacitatea de a rezista la atacuri cibernetice de ultimă generație cu resurse semnificative.

Amendamentul    183

Propunere de regulament

Articolul 46 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 46a

 

Evaluarea nivelurilor de asigurare ale sistemelor europene de certificare de securitate cibernetică

 

1.   Pentru nivelul de asigurare de bază, producătorul sau furnizorul de produse, procese și servicii TIC poate, pe propria răspundere, să efectueze o autoevaluare a conformității.

 

2.   Pentru nivelul de asigurare substanțial, evaluarea se orientează cel puțin după verificarea conformității funcționalităților de securitate ale produsului, procesului sau serviciului cu documentația tehnică.

 

3.   Pentru nivelul de asigurare ridicat, metodologia de evaluare se orientează cel puțin după o testare a eficienței care evaluează rezistența funcționalităților de securitate împotriva unor atacatori cu resurse semnificative.

Amendamentul    184

Propunere de regulament

Articolul 47 – alineatul 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  obiectul și domeniul de aplicare al certificării, inclusiv tipul sau categoriile de produse și servicii TIC acoperite;

(a)  obiectul și domeniul de aplicare al certificării, inclusiv tipul sau categoriile de produse, procese și servicii TIC acoperite;

Amendamentul    185

Propunere de regulament

Articolul 47 – alineatul 1 – litera aa (nouă)

Textul propus de Comisie

Amendamentul

 

(aa)  domeniul de aplicare și cerințele în materie de securitate cibernetică și, dacă este cazul, domeniul de aplicare și cerințele respective le reflectă pe cele ale certificărilor naționale de securitate cibernetică pe care le înlocuiesc sau care sunt prevăzute în acte juridice;

Amendamentul    186

Propunere de regulament

Articolul 47 – alineatul 1 – litera ab (nouă)

Textul propus de Comisie

Amendamentul

 

(ab)  perioada de valabilitate a sistemului de certificare;

Amendamentul    187

Propunere de regulament

Articolul 47 – alineatul 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  specificarea detaliată a cerințelor de securitate cibernetică în raport cu care sunt evaluate produsele și serviciile TIC în cauză, de exemplu prin trimitere la standarde sau specificații tehnice ale Uniunii sau internaționale;

(b)  specificarea detaliată a cerințelor de securitate cibernetică în raport cu care sunt evaluate produsele, procesele și serviciile TIC în cauză, de exemplu prin trimitere la standarde, specificații tehnice sau specificații tehnice TIC europene sau internaționale, definite astfel încât certificarea să poată fi integrată în procesele sistematice de securitate cibernetică ale producătorului urmate pe durata dezvoltării și a ciclului de viață al produsului sau serviciului în cauză sau să se poată baza pe acestea;

Amendamentul    188

Propunere de regulament

Articolul 47 – alineatul 1 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  informații privind amenințările cibernetice cunoscute care nu fac obiectul certificării și orientări pentru gestionarea acestora;

Amendamentul    189

Propunere de regulament

Articolul 47 – alineatul 1 – litera c

Textul propus de Comisie

Amendamentul

(c)  după caz, unul sau mai multe niveluri de asigurare;

(c)  după caz, unul sau mai multe niveluri de asigurare, ținând cont, printre altele, de o abordare bazată pe riscuri;

Amendamentul    190

Propunere de regulament

Articolul 47 – alineatul 1 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  precizarea faptului că sistemul permite sau nu autoevaluarea conformității și precizarea procedurii aplicabile pentru evaluarea conformității sau pentru declararea pe proprie răspundere a conformității sau pentru ambele;

Amendamentul    191

Propunere de regulament

Articolul 47 – alineatul 1 – litera d

Textul propus de Comisie

Amendamentul

(d)  criteriile și metodele specifice de evaluare, inclusiv tipurile de evaluări, utilizate pentru a demonstra că obiectivele specifice menționate la articolul 45 sunt îndeplinite;

(d)  criteriile de evaluare, tipurile de evaluare a conformității și metodele specifice, pentru a demonstra că obiectivele specifice menționate la articolul 45 sunt îndeplinite;

Amendamentul    192

Propunere de regulament

Articolul 47 – alineatul 1 – litera e

Textul propus de Comisie

Amendamentul

(e)  informațiile necesare pentru certificare ce trebuie furnizate organismelor de evaluare a conformității de către solicitant;

(e)  informațiile necesare pentru certificare ce trebuie furnizate organismelor de evaluare a conformității de către solicitant;

Amendamentul    193

Propunere de regulament

Articolul 47 – alineatul 1 – litera f

Textul propus de Comisie

Amendamentul

(f)  în cazul în care sistemul prevede mărci sau etichete, condițiile în care pot fi utilizate aceste mărci sau etichete;

(f)  informații în materie de securitate cibernetică, în temeiul articolul 47a din prezentul regulament;

Amendamentul    194

Propunere de regulament

Articolul 47 – alineatul 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  în cazul în care supravegherea face parte din sistem, normele pentru monitorizarea conformității cu cerințele certificatelor, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerințele de securitate cibernetică specificate;

(g)  normele pentru monitorizarea conformității cu cerințele certificatelor, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerințele de securitate cibernetică specificate;

Amendamentul    195

Propunere de regulament

Articolul 47 – alineatul 1 – litera h

Textul propus de Comisie

Amendamentul

(h)  condițiile de acordare, menținere, continuare, extindere și restrângere a domeniului de aplicare al certificării;

(h)  condițiile de acordare, menținere, continuare, revizuire, extindere și restrângere a domeniului de aplicare și a perioadei de valabilitate a certificatului;

Amendamentul    196

Propunere de regulament

Articolul 47 – alineatul 1 – litera ha (nouă)

Textul propus de Comisie

Amendamentul

 

(ha)  normele ce vizează gestionarea vulnerabilităților care pot apărea după emiterea certificării, prin instituirea unui proces organizatoric dinamic și continuu, în care să fie implicați furnizorii și utilizatorii;

Amendamentul    197

Propunere de regulament

Articolul 47 – alineatul 1 – litera i

Textul propus de Comisie

Amendamentul

(i)  normele privind consecințele neconformității cu cerințele de certificare a produselor și serviciilor TIC certificate;

(i)  normele privind consecințele neconformității cu cerințele de certificare a produselor și serviciilor TIC autoevaluate și certificate;

Amendamentul    198

Propunere de regulament

Articolul 47 – alineatul 1 – litera j

Textul propus de Comisie

Amendamentul

(j)  normele privind modalitățile de raportare și soluționare a vulnerabilităților în materie de securitate cibernetică nedetectate anterior ale unor produse și servicii TIC;

(j)  normele privind modalitățile de raportare și soluționare a vulnerabilităților în materie de securitate cibernetică care nu sunt cunoscute publicului ale unor produse și servicii TIC, după ce sunt detectate;

Amendamentul    199

Propunere de regulament

Articolul 47 – alineatul 1 – litera l

Textul propus de Comisie

Amendamentul

(l)  identificarea sistemelor naționale de certificare de securitate cibernetică care acoperă aceleași tipuri sau categorii de produse și servicii TIC;

(l)  identificarea sistemelor naționale sau internaționale de certificare de securitate cibernetică care acoperă aceleași tipuri sau categorii de produse, procese și servicii TIC, cerințe de securitate și criterii și metode de evaluare;

Amendamentul    200

Propunere de regulament

Articolul 47 – alineatul 1 – litera ma (nouă)

Textul propus de Comisie

Amendamentul

 

(ma)  condițiile pentru recunoașterea reciprocă a sistemelor de certificare cu țări terțe;

Amendamentul    201

Propunere de regulament

Articolul 47 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

1a.  Procesele de întreținere cu actualizări nu anulează certificarea, cu excepția cazului în care aceste actualizări au un efect negativ semnificativ asupra securității produsului, procesului sau serviciului TIC.

Amendamentul    202

Propunere de regulament

Articolul 47 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 47a

 

Informații în materie de securitate cibernetică pentru produse, procese și servicii certificate

 

1.   Producătorul sau furnizorul de produse, procese și servicii TIC care intră sub incidența unui sistem de certificare în temeiul prezentului regulament furnizează utilizatorului final un document în format electronic sau pe hârtie, care conține cel puțin următoarele informații: nivelul de asigurare aferent certificatului, în legătură cu utilizarea preconizată a produsului, procesului sau serviciului TIC, o descriere a riscurilor împotriva cărora certificarea este menită să ofere siguranța că produsul, procesul sau serviciul TIC poate rezista, recomandări cu privire la modul în care utilizatorii pot să îmbunătățească și mai mult securitatea cibernetică a produsului, procesului sau serviciului, regularitatea actualizărilor și perioada de asistență după actualizări, după caz, informații privind modul în care utilizatorii pot menține principalele caracteristici ale produsului, procesului sau serviciului în cazul unui atac.

 

2.   Documentul menționat la alineatul (1) din prezentul articol este disponibil pe durata întregului ciclu de viață al produsului, procesului sau serviciului, până la întreruperea furnizării lui pe piață și timp de minim cinci ani.

 

3.   Comisia adoptă acte de punere în aplicare pentru a stabili un model pentru acest document. Comisia îi poate cere agenției să propună un proiect de model. Actul de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 55 din prezentul regulament.

Amendamentul    203

Propunere de regulament

Articolul 48 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Produsele și serviciile TIC care au fost certificate în cadrul unui sistem european de certificare de securitate cibernetică adoptat în temeiul articolului 44 sunt prezumate a fi conforme cu cerințele acestui sistem.

1.  Produsele, procesele și serviciile TIC care au fost certificate în cadrul unui sistem european de certificare de securitate cibernetică adoptat în temeiul articolului 44 sunt prezumate a fi conforme cu cerințele acestui sistem.

Amendamentul    204

Propunere de regulament

Articolul 48 – alineatul 4 – partea introductivă

Textul propus de Comisie

Amendamentul

4.  Prin derogare de la dispozițiile alineatului (3), în cazurile justificate în mod corespunzător, un anumit sistem european de securitate cibernetică poate prevedea că un certificat european de securitate cibernetică ce rezultă din acel sistem poate fi emis numai de un organism public. Acest organism public este una din următoarele entități:

4.  Prin derogare de la dispozițiile alineatului (3), doar în cazurile justificate în mod corespunzător, cum ar fi din motive de securitate națională, un anumit sistem european de certificare de securitate cibernetică poate prevedea că un certificat european de securitate cibernetică ce rezultă din acel sistem poate fi emis numai de un organism public. Acest organism public este un organism acreditat ca organism de evaluare a conformității în temeiul articolului 51 alineatul (1) din prezentul regulament. Persoana fizică sau juridică ale cărei produse sau servicii TIC sunt supuse mecanismului de certificare pune la dispoziția organismului de evaluare a conformității menționat la articolul 51 toate informațiile necesare pentru desfășurarea procedurii de certificare.

Amendamentul    205

Propunere de regulament

Articolul 48 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Persoana fizică sau juridică ale cărei produse sau servicii TIC sunt supuse mecanismului de certificare furnizează organismului de evaluare a conformității menționat la articolul 51 toate informațiile necesare pentru desfășurarea procedurii de certificare.

5.  Persoana fizică sau juridică ale cărei produse, servicii sau procese TIC sunt supuse mecanismului de certificare furnizează organismului de evaluare a conformității menționat la articolul 51 toate informațiile necesare pentru desfășurarea procedurii de certificare, inclusiv informații privind orice vulnerabilități cunoscute în materie de securitate. Transmiterea se poate face către oricare organism de evaluare a conformității menționat la articolul 51.

Amendamentul    206

Propunere de regulament

Articolul 48 – alineatul 6

Textul propus de Comisie

Amendamentul

6.  Certificatele se emit pentru o perioadă maximă de trei ani și pot fi reînnoite în aceleași condiții, numai dacă sunt îndeplinite în continuare cerințele relevante.

6.  Certificatele se emit pentru o perioadă maximă stabilită de la caz la caz în cadrul fiecărui sistem, luându-se în considerare un ciclu de viață rezonabil care nu depășește în niciun caz cinci ani, și pot fi reînnoite în aceleași condiții, numai dacă sunt îndeplinite în continuare cerințele relevante.

Justificare

Acest lucru asigură flexibilitate pentru adaptarea perioadei de valabilitate la utilizarea preconizată.

Amendamentul    207

Propunere de regulament

Articolul 48 – alineatul 7

Textul propus de Comisie

Amendamentul

7.  Un certificat european de securitate cibernetică emis în temeiul prezentului articol este recunoscut în toate statele membre.

7.  Un certificat european de securitate cibernetică emis în temeiul prezentului articol este recunoscut în toate statele membre ca satisfăcând cerințele locale în materie de securitate cibernetică referitoare la produsele și procesele TIC și la dispozitivele electronice de consum care fac obiectul certificatului respectiv, ținând seama de nivelul de asigurare specificat menționat la articolul 46 și nu există nicio discriminare între astfel de certificate, în funcție de statul membru de origine sau de organismul emitent de evaluare a conformității menționat la articolul 51.

Justificare

Pentru a evita fragmentarea legată de recunoașterea și/sau conformitatea sistemelor UE de certificare de securitate cibernetică, articolul trebuie să sublinieze că niciunul dintre locurile de eliberare a unui certificat nu trebuie să facă obiectul unei discriminări.

Amendamentul    208

Propunere de regulament

Articolul 48 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 48a

 

Sisteme de certificare pentru operatorii de servicii esențiale

 

1.   Când se adoptă sisteme europene de certificate de securitate cibernetică în conformitate cu alineatul 2 de la prezentul articol, operatorii de servicii esențiale utilizează, pentru a respecta cerințele de securitate în temeiul articolului 14 din Directiva (UE) 2016/1148, produse, procese și servicii care fac obiectul acestor sisteme de certificare.

 

2.   Până la [un an de la intrarea în vigoare a prezentului regulament], Comisia, după consultarea Grupului de cooperare menționat la articolul 11 din Directiva (UE) 2016/1148, adoptă acte delegate în conformitate cu articolul 55a, pentru a completa prezentul regulament prin enumerarea categoriilor de produse, procese și servicii care îndeplinesc ambele criterii următoare:

 

(a)  sunt destinate utilizării de către operatorii de servicii esențiale; și

 

(b)  funcționarea lor defectuoasă ar avea un efect perturbator semnificativ asupra furnizării serviciului esențial.

 

3.   Comisia adoptă acte delegate în conformitate cu articolul 55a, modificând prezentul regulament prin actualizarea, atunci când este necesar, a listei categoriilor de produse, procese și servicii menționate la alineatul (3) de la prezentul articol.

 

4.   Comisia îi solicită agenției să elaboreze o propunere de sisteme europene de securitate cibernetică în temeiul articolul 44 alineatul (-1) din prezentul regulament, pentru lista categoriilor de produse, procese și servicii menționată la alineatele (2) și (3) de la prezentul articol, de îndată ce lista respectivă este adoptată sau actualizată. Certificatele eliberate în temeiul unor astfel de sisteme europene de certificare de securitate cibernetică au un nivel de asigurare ridicat.

Amendamentul    209

Propunere de regulament

Articolul 48 b (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 48b

 

Obiecții formale la sistemele europene de certificare de securitate cibernetică

 

1.  Atunci când un stat membru consideră că un sistem european de certificare de securitate cibernetică nu satisface în întregime cerințele pe care le vizează și care sunt stabilite în legislația relevantă de armonizare a Uniunii, acesta informează Comisia și furnizează o explicație detaliată. Comisia, după consultarea comitetului instituit în conformitate cu legislația relevantă de armonizare a Uniunii, dacă este cazul, sau după organizarea altor forme de consultare cu experții din sector, decide:

 

(a)  să publice, să nu publice sau să publice cu restricții referințele la respectivul sistem european de securitate cibernetică în Jurnalul Oficial al Uniunii Europene;

 

(b)  să mențină sau să mențină cu restricții referințele la respectivul sistem european de securitate cibernetică în Jurnalul Oficial al Uniunii Europene sau să le retragă din acesta.

 

2.  Comisia publică pe site-ul său de internet informații privind sistemele europene de securitate cibernetică care au făcut obiectul deciziei menționate la alineatul (1) de la prezentul articol.

 

3.  Comisia informează agenția cu privire la decizia menționată la alineatul (1) de la prezentul articol și, dacă este necesar, solicită revizuirea sistemului european de securitate cibernetică în cauză.

 

4.  Decizia menționată la prezentul articol alineatul (1) litera (a) se adoptă în conformitate cu procedura de consultare menționată la articolul 55 alineatul (2) din prezentul regulament.

 

5.  Decizia menționată la prezentul articol alineatul (1) litera (b) se adoptă în conformitate cu procedura de examinare menționată la articolul 55 alineatul (2a)(nou) din prezentul regulament.

Amendamentul    210

Propunere de regulament

Articolul 49 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Fără a se aduce atingere dispozițiilor de la alineatul (3), sistemele naționale de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 44 alineatul (4). Sistemele naționale existente de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care nu fac obiectul unui sistem european de certificare de securitate cibernetică continuă să existe.

1.  Fără a se aduce atingere dispozițiilor de la alineatul (3), sistemele naționale de certificare de securitate cibernetică și procedurile aferente pentru produsele, procesele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 44 alineatul (4). Sistemele naționale existente de certificare de securitate cibernetică și procedurile aferente pentru produsele, procesele și serviciile TIC care nu fac obiectul unui sistem european de certificare de securitate cibernetică continuă să existe.

Amendamentul    211

Propunere de regulament

Articolul 49 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Statele membre nu introduc noi sisteme naționale de certificare de securitate cibernetică pentru produsele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică în vigoare.

2.  Statele membre nu introduc noi sisteme naționale de certificare de securitate cibernetică pentru produsele, serviciile și procesele TIC care fac obiectul unui sistem european de certificare de securitate cibernetică în vigoare.

Amendamentul    212

Propunere de regulament

Articolul 49 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

3a.  Statele membre comunică Comisiei toate solicitările de creare a unor sisteme naționale de certificare de securitate cibernetică și prezintă motivele pentru punerea în practică a acestora.

Amendamentul    213

Propunere de regulament

Articolul 49 – alineatul 3b (nou)

Textul propus de Comisie

Amendamentul

 

3b.  La cerere, statele membre trimit proiecte de sisteme naționale de certificare de securitate cibernetică altor state membre, agenției sau Comisiei, cel puțin în format electronic.

Amendamentul    214

Propunere de regulament

Articolul 49 – alineatul 3c (nou)

Textul propus de Comisie

Amendamentul

 

3c.  Fără a aduce atingere Directivei (UE) 2015/1535, în termen de trei luni, statele membre răspund la orice observații primite de la orice alt stat membru, de la agenție sau de la Comisie cu privire la orice proiect menționat la alineatul (3b) de la prezentul articol și țin seama în mod corespunzător de aceste observații.

Amendamentul    215

Propunere de regulament

Articolul 49 – alineatul 3d (nou)

Textul propus de Comisie

Amendamentul

 

3d.  Atunci când observațiile primite în temeiul alineatului (3c) de la prezentul articol indică faptul că este probabil ca un proiect de sistem național de certificare de securitate cibernetică să aibă un impact negativ asupra funcționării corespunzătoare a pieței interne, statul membru care primește observațiile consultă și ține seama în cel mai înalt grad de observațiile agenției și ale Comisiei înainte de adoptarea proiectului de sistem.

Amendamentul    216

Propunere de regulament

Articolul 50 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Pentru punerea efectivă în aplicare a prezentului regulament, este oportun ca aceste autorități să participe, într-un mod activ, eficace, eficient și sigur, la activitățile Grupului european pentru certificarea de securitate cibernetică instituit în temeiul articolului 53.

5.  Pentru punerea efectivă în aplicare a prezentului regulament, este oportun ca aceste autorități să participe, într-un mod activ, eficace, eficient și sigur, la activitățile Grupului statelor membre pentru certificare instituit în temeiul articolului 53.

Amendamentul    217

Propunere de regulament

Articolul 50 – alineatul 6 – litera a

Textul propus de Comisie

Amendamentul

(a)  monitorizează și asigură aplicarea dispozițiilor de la prezentul titlu la nivel național și supraveghează conformitatea certificatelor emise de organismele de evaluare a conformității stabilite pe teritoriile lor cu cerințele stabilite în prezentul titlu și în sistemul european de certificare de securitate cibernetică corespunzător;

(a)  monitorizează și asigură aplicarea dispozițiilor de la prezentul titlu la nivel național și verifică, respectând normele adoptate de către Grupul european pentru certificarea de securitate cibernetică în temeiul articolului 53 alineatul (3) litera (da), conformitatea:

 

i)   certificatelor emise de organismele de evaluare a conformității stabilite pe teritoriile lor cu cerințele stabilite în prezentul titlu și în sistemul european de certificare de securitate cibernetică corespunzător; și

 

ii)   a declarațiilor de conformitate pe proprie răspundere emise în cadrul unui sistem, care vizează un proces, un produs sau un serviciu TIC;

Amendamentul    218

Propunere de regulament

Articolul 50 – alineatul 6 – litera b

Textul propus de Comisie

Amendamentul

(b)  monitorizează și supraveghează activitățile organismelor de evaluare a conformității în scopul prezentului regulament, inclusiv în ceea ce privește notificarea organismelor de evaluare a conformității și sarcinile conexe prevăzute la articolul 52 din prezentul regulament;

(b)  monitorizează și supraveghează și, cel puțin o dată la doi ani, evaluează activitățile organismelor de evaluare a conformității în scopul prezentului regulament, inclusiv în ceea ce privește notificarea organismelor de evaluare a conformității și sarcinile conexe prevăzute la articolul 52 din prezentul regulament;

Amendamentul    219

Propunere de regulament

Articolul 50 – alineatul 6 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  efectuează audituri pentru a asigura faptul că în Uniune se aplică standarde echivalente și prezintă agenției și Grupului rapoarte privind rezultatele auditului;

Justificare

Acest lucru ajută la asigurarea faptului că în întreaga UE se aplică un nivel uniform de servicii și de calitate și ajută la prevenirea posibilității de căutare a opțiunii celei mai favorabile de certificare.

Amendamentul    220

Propunere de regulament

Articolul 50 – alineatul 6 – litera c

Textul propus de Comisie

Amendamentul

(c)  tratează plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor, investighează, în măsura în care este oportun, subiectul plângerii și informează reclamantul cu privire la stadiul și rezultatul investigației, într-un termen rezonabil;

(c)  tratează plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor sau cu autoevaluarea conformității, investighează, în măsura în care este oportun, subiectul plângerii și informează reclamantul cu privire la stadiul și rezultatul investigației, într-un termen rezonabil;

Amendamentul    221

Propunere de regulament

Articolul 50 – alineatul 6 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  transmite rezultatele verificărilor prevăzute la litera (a) și ale evaluărilor prevăzute la litera (b) agenției și Grupului european pentru certificarea de securitate cibernetică;

Amendamentul    222

Propunere de regulament

Articolul 50 – alineatul 6 – litera d

Textul propus de Comisie

Amendamentul

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemului european de certificare de securitate cibernetică specific;

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, cum ar fi autoritățile naționale de supraveghere a protecției datelor, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor, proceselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemului european de certificare de securitate cibernetică specific;

Amendamentul    223

Propunere de regulament

Articolul 50 – alineatul 6 – litera d

Textul propus de Comisie

Amendamentul

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemului european de certificare de securitate cibernetică specific;

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, cum ar fi autoritățile naționale de supraveghere a protecției datelor, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemului european de certificare de securitate informatică specific;

Justificare

Din avizul AEPD.

Amendamentul    224

Propunere de regulament

Articolul 50 – alineatul 7 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  competența de a retrage acreditarea organismelor de evaluare a conformității care nu respectă prezentul regulament;

Amendamentul    225

Propunere de regulament

Articolul 50 – alineatul 7 – litera e

Textul propus de Comisie

Amendamentul

(e)  competența de a retrage, în conformitate cu legislația națională, certificatele care nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare de securitate cibernetică;

(e)  competența de a retrage, în conformitate cu legislația națională, certificatele care nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare de securitate cibernetică și de a informa organismele naționale de acreditare în consecință;

Amendamentul    226

Propunere de regulament

Articolul 50 – alineatul 8

Textul propus de Comisie

Amendamentul

8.  Autoritățile naționale de supraveghere în materie de certificare cooperează între ele și cu Comisia și fac în special schimb de informații, de experiență și de bune practici în ceea ce privește certificarea de securitate cibernetică și aspectele tehnice privind securitatea cibernetică a produselor și a serviciilor TIC.

8.  Autoritățile naționale de supraveghere în materie de certificare cooperează între ele și cu Comisia și fac în special schimb de informații, de experiență și de bune practici în ceea ce privește certificarea de securitate cibernetică și aspectele tehnice privind securitatea cibernetică a produselor, a proceselor și a serviciilor TIC.

Amendamentul    227

Propunere de regulament

Articolul 50 – alineatul 8a (nou)

Textul propus de Comisie

Amendamentul

 

8a.  Fiecare autoritate națională de supraveghere în materie de certificare și fiecare membru și angajat al fiecărei autorități naționale de supraveghere în materie de certificare face obiectul, în conformitate cu legislația Uniunii sau a statului membru, obligației de păstrare a secretului profesional, atât în timpul mandatului, cât și după încetarea acestuia, cu privire la orice informații confidențiale de care au luat cunoștință în cursul îndeplinirii sarcinilor sau al exercitării competențelor lor.

Amendamentul    228

Propunere de regulament

Articolul 50 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 50a

 

Evaluare inter pares

 

1.  Autoritățile naționale de supraveghere în materie de certificare fac obiectul unei evaluări inter pares cu privire la orice activitate pe care o desfășoară în temeiul articolului 50, organizată de agenție.

 

2.   Evaluarea inter pares se realizează pe baza unor criterii și proceduri de evaluare clare și transparente, în special în ceea ce privește cerințele structurale, de resurse umane și procedurale, caracterul confidențial și reclamațiile. Sunt prevăzute proceduri corespunzătoare pentru căile de atac împotriva deciziilor luate ca urmare a unei astfel de evaluări.

 

3.   Evaluarea inter pares acoperă evaluările procedurilor instituite de autoritățile naționale de supraveghere în materie de certificare, în special ale procedurilor de verificare a conformității certificatelor, ale procedurilor de monitorizare și supraveghere a activităților organismelor de evaluare a conformității, ale competenței personalului, ale corectitudinii controalelor și metodologiei inspecțiilor, precum și ale corectitudinii rezultatelor. Evaluarea inter pares analizează, de asemenea, dacă autoritățile naționale de supraveghere în materie de certificare în cauză au suficiente resurse pentru îndeplinirea corespunzătoare a sarcinilor care le revin în conformitate cu articolul 50 alineatul (4).

 

4.   Evaluarea inter pares a unei autorități naționale de supraveghere în materie de certificare se realizează de către două autorități naționale de supraveghere în materie de certificare din alte state membre și de către Comisie și are loc cel puțin o dată la cinci ani; agenția poate participa la evaluarea inter pares și decide cu privire la participarea sa pe baza unei analize a evaluării riscurilor.

 

5.   Comisia poate adopta acte delegate în conformitate cu articolul 55a, pentru a completa prezentul regulament stabilind un plan pentru evaluările inter pares care să acopere o perioadă de cel puțin cinci ani și stabilind criterii privind componența echipei de evaluare inter pares, metodologia utilizată pentru evaluarea inter pares, calendarul, frecvența și celelalte sarcini legate de evaluarea inter pares. La adoptarea acestor acte delegate, Comisia ține seama în mod corespunzător de observațiile Grupului statelor membre pentru certificare.

 

6.   Rezultatele evaluării inter pares sunt examinate de Grupul statelor membre pentru certificare. Agenția elaborează un rezumat al rezultatelor și, atunci când este necesar, oferă orientări și documente privind cele mai bune practici și le face publice.

Amendamentul    229

Propunere de regulament

Articolul 51 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

1a.  Pentru nivelul de asigurare ridicat, organismul de evaluare a conformității, pe lângă faptul că trebuie să fie acreditat, trebuie să fie notificat de către autoritatea națională de supraveghere în materie de certificare cu privire la competența și cunoștințele sale de specialitate în materie de evaluare a securității cibernetice. Autoritatea națională de supraveghere în materie de certificare efectuează audituri periodice privind cunoștințele de specialitate și competențele organismelor de evaluare a conformității notificate.

Justificare

Nivelurile de asigurare ridicate necesită teste de eficiență. Cunoștințele de specialitate și competențele organismelor de evaluare a conformității care efectuează teste de eficiență trebuie să facă obiectul unor audituri periodice, pentru se a asigura în special calitatea testelor.

Amendamentul    230

Propunere de regulament

Articolul 51 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  Se efectuează audituri pentru a se asigura faptul că în Uniune se aplică standarde echivalente, iar rezultatele sunt transmise agenției și Grupului.

Amendamentul    231

Propunere de regulament

Articolul 51 – alineatul 2b (nou)

Textul propus de Comisie

Amendamentul

 

2b.  Atunci când fabricanții optează pentru o „declarație de conformitate pe proprie răspundere” în conformitate cu articolul 48 alineatul (3), organismele de evaluare a conformității iau măsuri suplimentare pentru a verifica procedurile interne derulate de fabricant pentru a asigura conformitatea produselor și/sau a serviciilor sale cu cerințele sistemului european de certificare de securitate cibernetică.

Amendamentul    232

Propunere de regulament

Articolul 52 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Comisia poate, prin intermediul actelor de punere în aplicare, să stabilească circumstanțele, formatele și procedurile pentru notificările menționate la alineatul (1) din prezentul articol. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 55 alineatul (2).

5.  Comisia poate, prin intermediul actelor delegate, să stabilească circumstanțele, formatele și procedurile pentru notificările menționate la alineatul (1) din prezentul articol. Actele delegate respective se adoptă în conformitate cu procedura de examinare menționată la articolul 55 alineatul (2).

Amendamentul    233

Propunere de regulament

Articolul 53 – titlu

Textul propus de Comisie

Amendamentul

Grupul european pentru certificarea de securitate cibernetică

Grupul statelor membre pentru certificare

 

(Această modificare se aplică întregului text legislativ supus examinării; adoptarea sa impune adaptări tehnice în întregul text.)

Amendamentul    234

Propunere de regulament

Articolul 53 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Se instituie Grupul european pentru certificarea de securitate cibernetică („Grupul”).

1.  Se instituie Grupul statelor membre pentru certificare.

Amendamentul    235

Propunere de regulament

Articolul 53 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Grupul este compus din autoritățile naționale de supraveghere în materie de certificare. Autoritățile sunt reprezentate de conducătorii sau de alți reprezentanți la nivel înalt ai autorităților naționale de supraveghere în materie de certificare.

2.  Grupul statelor membre pentru certificare este compus din autorități naționale de supraveghere în materie de certificare din fiecare stat membru. Autoritățile sunt reprezentate de conducătorii sau de alți reprezentanți la nivel înalt ai autorităților naționale de supraveghere în materie de certificare. Membrii Grupului părților interesate în materie de certificare pot fi invitați la reuniunile Grupului și să participe la activitățile acestuia.

Amendamentul    236

Propunere de regulament

Articolul 53 – alineatul 3 – partea introductivă

Textul propus de Comisie

Amendamentul

3.  Grupul are următoarele sarcini:

3.  Grupul statelor membre pentru certificare are următoarele sarcini:

Amendamentul    237

Propunere de regulament

Articolul 53 – alineatul 3 – litera b

Textul propus de Comisie

Amendamentul

(b)  să acorde asistență și consiliere pentru ENISA și să coopereze cu aceasta în legătură cu pregătirea unei propuneri de sistem în conformitate cu articolul 44 din prezentul regulament;

(b)  să acorde asistență și consiliere agenției și să coopereze cu aceasta în legătură cu pregătirea unei propuneri de sistem în conformitate cu articolul 44 din prezentul regulament;

Amendamentul    238

Propunere de regulament

Articolul 53 – alineatul 3 – litera da (nouă)

Textul propus de Comisie

Amendamentul

 

(da)  să adopte recomandări pentru stabilirea intervalelor la care autoritățile naționale de supraveghere în materie de certificare trebuie să efectueze verificări ale certificatelor și autoevaluării conformității, precum și pentru stabilirea criteriilor, amplorii și domeniului de aplicare al acestor verificări și să adopte norme și standarde comune privind prezentarea rapoartelor, în conformitate cu articolul 50 alineatul (6);

Amendamentul    239

Propunere de regulament

Articolul 53 – alineatul 3 – litera e

Textul propus de Comisie

Amendamentul

(e)  să examineze evoluțiile relevante din domeniul securității cibernetice și să facă schimb de bune practici privind sistemele de certificare de securitate cibernetică;

(e)  să examineze evoluțiile relevante din domeniul securității cibernetice și să facă schimb de informații și de bune practici privind sistemele de certificare de securitate cibernetică;

Amendamentul    240

Propunere de regulament

Articolul 53 – alineatul 3 – litera fa (nouă)

Textul propus de Comisie

Amendamentul

 

(fa)  să faciliteze alinierea sistemelor europene de securitate cibernetică la standardele recunoscute la nivel internațional, inclusiv prin revizuirea sistemelor europene de securitate cibernetică existente și, dacă este cazul, prin formularea de recomandări către agenție de a colabora cu organizațiile de standardizare internaționale relevante pentru a remedia deficiențele și lacunele din standardele disponibile recunoscute la nivel internațional;

Amendamentul    241

Propunere de regulament

Articolul 53 – alineatul 3 – litera fb (nouă)

Textul propus de Comisie

Amendamentul

 

(fb)  să stabilească un proces de evaluare inter pares. Acest proces ține seama, în special, de cunoștințele tehnice de specialitate ale autorităților naționale de supraveghere în materie de certificare necesare în îndeplinirea sarcinilor lor, astfel cum sunt menționate la articolele 48 și 50 și include, atunci când este necesar, elaborarea de documente de orientare și de bune practici pentru îmbunătățirea conformității autorităților naționale de supraveghere în materie de certificare cu prezentul regulament.

Amendamentul    242

Propunere de regulament

Articolul 53 – alineatul 3 – litera fc (nouă)

Textul propus de Comisie

Amendamentul

 

(fc)  să supravegheze monitorizarea și gestionarea certificatelor.

Amendamentul    243

Propunere de regulament

Articolul 53 – alineatul 3 – litera fd (nouă)

Textul propus de Comisie

Amendamentul

 

(fd)  să țină seama de rezultatele consultării părților interesate, desfășurate în vederea pregătirii unei propuneri de sistem în conformitate cu articolul 44;

Amendamentul    244

Propunere de regulament

Articolul 53 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Comisia prezidează Grupul și asigură secretariatul acestuia, cu asistență din partea ENISA, astfel cum se prevede la articolul 8 litera (a).

4.  Comisia prezidează Grupul statelor membre pentru certificare și asigură secretariatul acestuia, cu asistență din partea agenției, astfel cum se prevede la articolul 8 litera (a).

Amendamentul    245

Propunere de regulament

Articolul 53 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 53a

 

Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere sau a unui organism de evaluare a conformității

 

1.  Fără a aduce atingere oricărei alte căi de atac administrative sau extrajudiciare, fiecare persoană fizică sau juridică are dreptul la o cale de atac eficientă:

 

(a)  împotriva unei decizii care o vizează a unui organism de evaluare a conformității sau a unei autorități naționale de supraveghere în materie de certificare, inclusiv, după caz, în legătură cu emiterea, neemiterea sau recunoașterea unui certificat european de securitate cibernetică deținut de o astfel de persoană; și

 

(b)  în cazul în care o autoritate națională de supraveghere în materie de certificare nu tratează o plângere pentru care este competentă.

 

2.  Procedurile împotriva unui organism de evaluare a conformității sau a unei autorități naționale de supraveghere în materie de certificare sunt introduse în fața instanțelor din statul membru în care este stabilit organismul de evaluare a conformității sau autoritatea națională de supraveghere în materie de certificare.

Amendamentul    246

Propunere de regulament

Articolul 55 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

Amendamentul    247

Propunere de regulament

Articolul 55 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 55a

 

Exercitarea delegării

 

1.   Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.

 

2.   Competența de a adopta acte delegate menționată la articolele 44 și 48a se conferă Comisiei pe o perioadă nedeterminată de la ... [data intrării în vigoare a actului legislativ de bază].

 

3.   Delegarea de competențe menționată la articolele 44 și 48a poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

 

4.   Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

 

5.   De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

 

6.   Un act delegat adoptat în temeiul articolelor 44 și 48 intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecțiuni în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu, sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.

Amendamentul    248

Propunere de regulament

Articolul 56 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  În termen de cel mult cinci ani de la data menționată la articolul 58 și la fiecare cinci ani după aceea, Comisia evaluează impactul, eficacitatea și eficiența activității agenției și a practicilor sale de lucru, posibila necesitate de a modifica mandatul agenției și implicațiile financiare ale unei astfel de modificări. Evaluarea ține seama de orice punct de vedere comunicat agenției ca răspuns la activitățile sale. În cazul în care Comisia consideră că nu se mai justifică continuarea activității agenției în raport cu obiectivele, mandatul și sarcinile atribuite, aceasta poate propune modificarea dispozițiilor referitoare la agenție din prezentul regulament.

1.  În termen de cel mult doi ani de la data menționată la articolul 58 și la fiecare doi ani după aceea, Comisia evaluează impactul, eficacitatea și eficiența activității agenției și a practicilor sale de lucru, posibila necesitate de a modifica mandatul agenției și implicațiile financiare ale unei astfel de modificări. Evaluarea ține seama de orice punct de vedere comunicat agenției ca răspuns la activitățile sale. În cazul în care Comisia consideră că nu se mai justifică continuarea activității agenției în raport cu obiectivele, mandatul și sarcinile atribuite, aceasta poate propune modificarea dispozițiilor referitoare la agenție din prezentul regulament.

Amendamentul    249

Propunere de regulament

Articolul 56 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Evaluarea analizează, de asemenea, impactul, eficacitatea și eficiența dispozițiilor din titlul III în ceea ce privește obiectivele de asigurare a unui nivel adecvat de securitate cibernetică a produselor și serviciilor TIC în Uniune și de îmbunătățire a funcționării pieței interne.

2.  Evaluarea analizează, de asemenea, impactul, eficacitatea și eficiența dispozițiilor din titlul III în ceea ce privește obiectivele de asigurare a unui nivel adecvat de securitate cibernetică a produselor, proceselor și serviciilor TIC în Uniune și de îmbunătățire a funcționării pieței interne.

Amendamentul    250

Propunere de regulament

Articolul 56 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  Evaluarea analizează dacă sunt necesare cerințe esențiale în materie de securitate cibernetică pentru accesul la piața internă pentru a preveni intrarea pe piața Uniunii a produselor, serviciilor și proceselor care nu îndeplinesc cerințe de bază în materie de securitate cibernetică.

Amendamentul    251

Propunere de regulament

Anexa -I (nouă)

Textul propus de Comisie

Amendamentul

 

ANEXA -I

 

După lansarea cadrului UE de certificare de securitate cibernetică, este probabil ca atenția să se concentreze asupra unor domenii de interes iminent pentru a răspunde provocării reprezentate de tehnologiile emergente. Domeniul internetului obiectelor prezintă un interes deosebit, deoarece privește atât cerințele consumatorilor, cât și cerințele din industrie. Se propune următoarea listă de priorități pentru adoptare în cadrul de certificare:

 

(1) Certificarea furnizării de servicii cloud.

 

(2) Certificarea dispozitivelor aferente internetului obiectelor, care includ:

 

a. dispozitivele la nivel individual, cum ar fi dispozitivele portabile inteligente;

 

b. dispozitivele la nivel comunitar, cum ar fi mașinile inteligente, locuințele inteligente, dispozitivele de sănătate;

 

c. dispozitive la nivel de societate, cum ar fi orașele inteligente și rețelele inteligente.

 

(3) Industria 4.0 care implică sisteme fizico-cibernetice inteligente, interconectate, care automatizează toate etapele operațiilor industriale, de la proiectare și producție până la exploatare, lanțul de aprovizionare și întreținerea serviciilor.

 

(4) Certificarea tehnologiilor și a produselor exploatate în viața de zi cu zi. Un astfel de exemplu ar putea fi dispozitivele de rețea, cum ar fi routerele de internet din locuințe.

Amendamentul    252

Propunere de regulament

Anexa I – paragraful 1 – punctul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a.  În cazul în care un organism de evaluare a conformității este deținut sau gestionat de o entitate sau instituție publică, se asigură și se documentează independența și absența oricărui conflict de interese între, pe de o parte, autoritatea națională de supraveghere în materie de certificare și, pe de altă parte, organismul de evaluare a conformității.

Amendamentul    253

Propunere de regulament

Anexa I – paragraful 1 – punctul 8

Textul propus de Comisie

Amendamentul

8.  Un organism de evaluare a conformității competent trebuie să fie capabil să efectueze toate sarcinile de evaluare a conformității care îi sunt atribuite în temeiul prezentului regulament, indiferent dacă sarcinile respective sunt realizate în mod direct de organismul de evaluare a conformității sau în numele său și pe răspunderea sa.

8.  Un organism de evaluare a conformității competent trebuie să fie capabil să efectueze toate sarcinile de evaluare a conformității care îi sunt atribuite în temeiul prezentului regulament, indiferent dacă sarcinile respective sunt realizate în mod direct de organismul de evaluare a conformității sau în numele său și pe răspunderea sa. Orice subcontractare sau consultare a unui personal extern este documentată în mod adecvat, nu implică intermediari și face obiectul unui acord scris care acoperă, între altele, confidențialitatea și conflictele de interese. Organismul de evaluare a conformității în cauză își asumă întreaga responsabilitate pentru sarcinile îndeplinite.

Amendamentul    254

Propunere de regulament

Anexa I – paragraful 1 – punctul 12

Textul propus de Comisie

Amendamentul

12.  Trebuie să fie garantată imparțialitatea organismelor de evaluare a conformității, a personalului de conducere de nivel superior și a personalului de evaluare al acestora.

12.  Trebuie să fie garantată imparțialitatea organismelor de evaluare a conformității, a personalului de conducere de nivel superior, a personalului de evaluare al acestora și a subcontractanților.

Amendamentul    255

Propunere de regulament

Anexa I – paragraful 1 – punctul 15

Textul propus de Comisie

Amendamentul

15.  Personalul organismelor de evaluare a conformității trebuie să păstreze secretul profesional referitor la toate informațiile obținute în îndeplinirea sarcinilor sale în temeiul prezentului regulament sau al oricărei dispoziții din legislația națională de punere în aplicare a acestuia, excepție făcând relația cu autoritățile competente ale statului membru în care își îndeplinește activitățile.

15.  Organismul de evaluare a conformității și personalul său, comitetele, filialele, subcontractanții și orice organism sau personal asociat al organismelor externe ale organismelor de evaluare a conformității trebuie să respecte confidențialitatea și să păstreze secretul profesional referitor la toate informațiile obținute în îndeplinirea sarcinilor sale în temeiul prezentului regulament sau al oricărei dispoziții din legislația națională de punere în aplicare a acestuia, cu excepția cazurilor în care divulgarea este impusă de legislația Uniunii sau a statului membru care se aplică acestor persoane, excepție făcând relația cu autoritățile competente ale statului membru în care își îndeplinește activitățile. Drepturile de autor sunt protejate. Organismul de evaluare a conformității trebuie să dispună de proceduri documentate în ceea ce privește cerințele de la prezenta secțiune 15.

Amendamentul    256

Propunere de regulament

Anexa I – paragraful 1 – punctul 15 a (nou)

Textul propus de Comisie

Amendamentul

 

15a.  Cu excepția secțiunii 15, cerințele din prezenta anexă nu împiedică în niciun fel schimbul de informații tehnice și de orientare în materie de reglementare între un organism de evaluare a conformității și o persoană care solicită sau dorește să solicite certificarea.

Amendamentul    257

Propunere de regulament

Anexa I – paragraful 1 – punctul 15 b (nou)

Textul propus de Comisie

Amendamentul

 

15b.  Organismele de evaluare a conformității funcționează în conformitate cu un ansamblu de termene și condiții coerente, echitabile și rezonabile, ținând seama de interesele întreprinderilor mici și mijlocii, astfel cum sunt definite în Recomandarea 2003/361/CE referitoare la taxe.

(1)

JO C 227, 28.6.2018, p. 86.


EXPUNERE DE MOTIVE

Este o realitate faptul că revoluția digitală globală se instalează și proliferează în economiile, societățile și guvernele noastre – toate datele noastre sunt vulnerabile. Consumatorii, industriile, instituțiile și democrațiile de la nivel local, național, european și global au fost victime ale atacurilor cibernetice, ale spionajului cibernetic și ale sabotajului cibernetic și cu toții suntem conștienți că acest lucru se va amplifica semnificativ în următorii ani.

Miliarde de dispozitive sunt conectate la internet și interacționează la un nou nivel și la o nouă scară. Aceste dispozitive și serviciile conexe pot îmbunătăți viețile cetățenilor și economiile noastre. Cu toate acestea, oamenii și organizațiile vor fi pe deplin integrați în lumea digitală doar dacă au încredere în tehnologiile digitale. Pentru a atrage încredere este nevoie ca dispozitivele, procesele și serviciile internetului obiectelor să fie sigure și să ofere securitate.

Pentru a realiza aceste obiective, Comisia a propus un „act privind securitatea cibernetică”. Prezentul regulament este o parte importantă și un instrument important al noii strategii a Uniunii Europene în materie de securitate cibernetică, care urmărește să-i ofere Europei o viziune pe termen lung pentru securitatea cibernetică și să asigure încrederea în tehnologiile digitale. Regulamentul trebuie privit în contextul legislației deja existente: UE a creat deja o Agenție Europeană pentru Securitatea Rețelelor și a Informațiilor (ENISA) și a adoptat o Directivă privind securitatea rețelelor și a informațiilor (Directiva NIS), care este în curs de a fi transpusă în statele membre.

Actul privind securitatea cibernetică este alcătuit din două părți: în prima parte se specifică rolul și mandatul ENISA, cu scopul de a-i conferi mai multă putere agenției; în a doua parte este introdus sistemul european de certificare de securitate cibernetică, sub forma unui cadru voluntar pentru îmbunătățirea securității dispozitivelor conectate și a produselor și serviciilor digitale.

În general, raportoarea salută propunerea Comisiei referitoare la Actul european privind securitatea cibernetică, deoarece acesta este esențial pentru a reduce la minimum riscurile și amenințările pentru securitatea informatică și sistemele de rețea și pentru a le permite consumatorilor să aibă încredere în soluțiile IT, în special în ceea ce privește internetul obiectelor. Raportoarea este ferm convins că Europa poate deveni un lider în domeniul securității cibernetice. Europa dispune de o bază industrială puternică și, prin urmare, eforturile pentru îmbunătățirea securității cibernetice în ceea ce privește bunurile de consum, aplicațiile industriale și infrastructura critică sunt în interesul atât al consumatorilor, cât și al industriei.

Propunerea Comisiei ar trebui modificată în privința ambelor, atât partea despre ENISA, cât și partea despre certificare.

În ceea ce privește ENISA, raportoarea este de opinie că este esențial să se creeze cadrul adecvat dacă dorim să avem o agenție puternică și care funcționează eficient. Raportoarea salută rolul consolidat al ENISA, constând dintr-un mandat permanent și o majorare a bugetului și a personalului acesteia, dar este nevoie și de o abordare realistă, având în vedere numărul în continuare mic de experți care lucrează pentru ENISA în comparație cu numărul de persoane care lucrează pentru unele autorități naționale de supraveghere în materie de certificare. Sarcina ENISA ar trebui să fie în continuare de a organiza cooperarea operațională, pornind de la expertiza dobândită în cadrul Directivei NIS, de a sprijini în continuare consolidarea capacităților în statele membre și de a fi o sursă de informații. În plus, ENISA trebuie să joace un rol important în stabilirea sistemelor europene de securitate cibernetică împreună cu statele membre și părțile interesate relevante.

În ceea ce privește certificarea, raportoarea pledează pentru un domeniu de aplicare mai clar al propunerii. În primul rând, nu doar produsele și serviciile ar trebuie să fie acoperite de prezentul regulament, ci întregul ciclu de viață. Astfel, trebuie incluse în domeniul de aplicare și procesele. Pe de altă parte, domeniile de competență ale statelor membre ar trebui excluse în mod clar, și anume când vine vorba despre securitatea publică, apărare, securitatea națională și domeniul dreptului penal.

În privința sistemului european de certificare de securitate cibernetică, raportoarea propune specificarea mai detaliată a unei abordări bazate pe riscuri și nu un sistem de certificare universal valabil. Mai mult, raportoarea este în favoarea unui sistem voluntar - dar numai pentru nivelurile de asigurare de bază și substanțial. În cazul produselor, proceselor și serviciilor care se încadrează la cel mai ridicat nivel de asigurare, ar fi de preferat un sistem obligatoriu, în opinia raportoarei. În ceea ce privește evaluarea tehnologiilor digitale care se încadrează la nivelul de asigurare de bază, raportoarea propune, de asemenea, o legătură cu abordarea privind noul cadru legislativ. Acesta va permite autoevaluarea, un sistem mai ieftin și mai puțin împovărător, care și-a dovedit eficacitatea în diferite domenii specifice.

Raportoarea consideră că producătorul sau furnizorul de produse, procese și servicii TIC ar trebui să fie obligat să emită o declarație obligatorie pentru produs care să conțină informații structurate privind certificarea, indicând, de exemplu, disponibilitatea actualizărilor sau interoperabilitatea produselor, procesului sau serviciului certificat. Acest lucru i-ar oferi consumatorului informații utile la alegerea unui dispozitiv. Raportoarea preferă o astfel de declarație pentru produs față de o etichetă sau o marcă ce poate induce în eroare consumatorul.

Raportoarea crede cu tărie că structura de guvernanță propusă de Comisie trebuie îmbunătățită, astfel încât să fie mai transparentă pentru toate părțile interesate implicate. Prin urmare, propune adoptarea unui program de lucru multianual al Uniunii care să identifice acțiuni comune care să fie întreprinse la nivelul Uniunii și care să indice domeniile pentru care ar trebui create prioritar sisteme europene de certificare, precum și nivelul de echivalență al know-how-ului și cunoștințelor de specialitate ale organismelor de evaluare și de supraveghere din statele membre. O guvernanță consolidată înseamnă totodată o participare mai intensă a statelor membre și a industriei la procesul de certificare: rolul statelor membre poate fi consolidat atunci când „Grupul”, înființat în temeiul articolului 53 din propunere și compus din autorități naționale de supraveghere în materie de certificare, urmează să fie plasat într-o poziție de egalitate cu Comisia în procesul de pregătire a unui sistem de certificare. Grupul va trebui, de asemenea, să aprobe o propunere de sistem european. În al treilea rând, ar trebui consolidată și participarea industriei la procesul de certificare. Acest lucru poate fi realizat prin clarificarea componenței grupului permanent al părților interesate și prin crearea unor grupuri consultative ad hoc de către ENISA cu scopul de a dobândi mai multe cunoștințe de specialitate și know-how din partea industriei și a altor părți interesate în cadrul proceselor de certificare. Raportoarea este de opinie că toate aceste măsuri vor ajuta IMM-urile să fie mult mai prezente în cadrul procesului.

În cele din urmă, un sistem european de certificare presupune o implicare mai intensă a organizațiilor europene de standardizare, precum CEN și CENELEC, atunci când se dezvoltă noi sisteme. Acest lucru ar permite prevalența standardelor internaționale existente, acceptate pe plan global.


AVIZ al Comisiei pentru piața internă și protecția consumatorilor (22.5.2018)

destinat Comisiei pentru industrie, cercetare și energie

referitor la propunerea de regulament al Parlamentului European și al Consiliului privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Raportor pentru aviz: (*) Nicola Danti

(*)  Procedura comisiilor asociate – articolul 54 din Regulamentul de procedură

JUSTIFICARE SUCCINTĂ

În era digitală, securitatea cibernetică este un element esențial pentru competitivitatea economică și securitatea Uniunii Europene, precum și pentru integritatea societăților noastre libere și democratice și a proceselor care stau la baza acestora. Garantarea unui nivel ridicat de reziliență cibernetică pe teritoriul UE este de o importanță capitală pentru a garanta încrederea consumatorilor în piața unică digitală și pentru a dezvolta în continuare o Europă mai inovatoare și mai competitivă.

Fără îndoială, amenințările cibernetice și atacurile cibernetice la nivel mondial - cum ar fi „Wannacry” și „Meltdown” - sunt aspecte de o importanță tot mai mare în societatea noastră din ce în ce mai digitalizată. Potrivit unui sondaj Eurobarometru publicat în iulie 2017, 87 % dintre respondenți au considerat criminalitatea cibernetică drept o provocare importantă la adresa securității interne a UE, iar majoritatea acestora s-au declarat preocupați de posibilitatea de a fi victime ale diferitelor forme de criminalitate cibernetică. În plus, de la începutul anului 2016, au avut loc în fiecare zi, în întreaga lume, peste 4 000 de atacuri cibernetice de șantaj digital, ceea ce reprezintă o creștere de 300 % în raport cu 2015, acestea afectând 80 % din întreprinderile din UE. Aceste fapte și constatări arată în mod clar necesitatea ca UE să fie mai bine apărată și mai eficace în combaterea atacurilor cibernetice și să își sporească capacitățile de a proteja mai bine cetățenii, întreprinderile și instituțiile publice europene.

La un an de la data intrării în vigoare a Directivei privind securitatea cibernetică, Comisia Europeană a prezentat, în cadrul mai larg al strategiei de securitate cibernetică a UE, un regulament care vizează sporirea rezilienței cibernetice a UE, descurajarea atacurilor cibernetice și intensificarea apărării împotriva acestora. La 13 septembrie 2017, Comisia a prezentat „Legea privind securitatea cibernetică”, care se bazează pe doi piloni:

1) un mandat mai puternic și permanent pentru Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor (ENISA) pentru a asista statele membre în prevenirea și reacția eficace la atacurile cibernetice și 2) crearea unui cadru de certificare de securitate cibernetică la nivelul UE pentru a garanta că produsele și serviciile TIC sunt sigure din punct de vedere cibernetic.

În general, raportorul salută abordarea propusă de Comisia Europeană și, în special, introducerea sistemelor de certificare de securitate cibernetică la nivelul UE, care au ca scop creșterea gradului de siguranță a produselor și serviciilor TIC și evitarea fragmentării costisitoare a pieței unice în acest domeniu esențial. Chiar dacă inițial ar trebui să rămână un instrument voluntar, raportorul speră că un cadru de certificare de securitate cibernetică și de proceduri conexe la nivelul UE va deveni un instrument necesar pentru a consolida încrederea cetățenilor noștri și a utilizatorilor și pentru a spori securitatea produselor și a serviciilor care circulă în cadrul pieței unice.

Acesta este convins, de asemenea, că o serie de elemente ale propunerii ar trebui clarificate și îmbunătățite:

•  În primul rând, creșterea implicării părților interesate în diferitele faze ale sistemului de guvernanță pentru pregătirea propunerilor de sisteme de certificare de securitate cibernetică de către ENISA: în opinia raportorului, este esențial să se implice în mod formal cele mai relevante părți interesate, cum ar fi industria TIC, organizațiile de consumatori, IMM-urile, organizațiile de standardizare ale UE, organismele și agențiile sectoriale ale UE, organismele sectoriale etc., și să li se dea posibilitatea să prezinte noi propuneri de sisteme, să pună la dispoziția ENISA expertiza lor, sau să coopereze cu ENISA în cadrul elaborării unei propuneri de sistem.

•  În al doilea rând, este necesar să se consolideze rolul coordonator al Grupului european pentru certificarea de securitate cibernetică (alcătuit din autoritățile naționale, sprijinite de Comisie și de ENISA) cu sarcinile suplimentare necesare pentru a pune la dispoziție orientări strategice, a stabili un program de lucru în ceea ce privește acțiunile comune care trebuie realizate la nivelul Uniunii în domeniul certificării și a elabora și actualiza periodic o listă prioritară de produse și servicii TIC pentru care consideră că este necesar un sistem european pentru certificarea de securitate cibernetică.

•  Raportorul este ferm convins că ar trebui să se evite practica de căutare a certificării celei mai avantajoase la nivelul UE, așa cum s-a întâmplat deja în alte sectoare. Dispozițiile de monitorizare și supraveghere ale ENISA și autoritățile naționale de supraveghere în materie de certificare ar trebui să fie puternic consolidate pentru a garanta că un certificat european emis într-un stat membru face obiectul acelorași standarde și cerințe ca și un certificat emis într-un alt stat membru. Raportorul propune, așadar:

1) consolidarea competențelor de supraveghere ale ENISA: împreună cu Grupul pentru certificare, ENISA ar trebui să efectueze evaluări ale procedurilor instituite de autoritățile responsabile de eliberarea certificatelor UE;

2) realizarea de către autoritățile naționale de supraveghere în materie de certificare a unor evaluări periodice (cel puțin o dată la doi ani) privind certificatele eliberate de organismele de evaluare a conformității;

3) introducerea unor criterii comune cu caracter obligatoriu, care urmează să fie definite de Grup, pentru a stabili amploarea, conținutul și frecvența evaluărilor menționate la punctul 2, realizate de autoritățile naționale de supraveghere în materie de certificare.

•  Raportorul consideră că ar trebui introdusă o marcă de siguranță a UE pentru produsele și serviciile TIC certificate care sunt destinate utilizatorilor finali. Această marcă ar putea contribui la sensibilizarea cu privire la securitatea cibernetică și ar acorda întreprinderilor cu o bună securitate cibernetică un avantaj competitiv.

•  Raportorul este de acord cu abordarea uniformă și armonizată adoptată de către Comisie, dar este convins că aceasta nu ar trebui să fie un principiu general valabil, ci ar trebui să fie mai flexibilă și adaptabilă la caracteristicile și vulnerabilitățile specifice ale fiecărui produs sau serviciu. Prin urmare, raportorul consideră că nivelurile de asigurare ar trebui să fie redenumite și ar trebui să fie utilizate, de asemenea, ținând seama de utilizarea preconizată a produselor și serviciilor TIC. În mod similar, durata de valabilitate a certificatului ar trebui să fie definită pentru fiecare sistem.

•  Fiecare sistem de certificare ar trebui să fie conceput în așa fel încât să stimuleze și să încurajeze toți actorii implicați în sectorul în cauză să elaboreze și să adopte standarde de securitate, norme tehnice și principii de securitate de la stadiul conceperii și de protejare a vieții private din faza de proiectare în toate etapele ciclului de viață al produsului sau al serviciului.

AMENDAMENTE

Comisia pentru piața internă și protecția consumatorilor recomandă Comisiei pentru industrie, cercetare și energie, care este comisie competentă, să ia în considerare următoarele amendamente:

Amendamentul    1

Propunere de regulament

Considerentul 1

Textul propus de Comisie

Amendamentul

(1)  Rețelele și sistemele informatice și rețelele și serviciile de telecomunicații îndeplinesc un rol vital pentru societate și au devenit coloana vertebrală a creșterii economice. Tehnologia informației și comunicațiilor stă la baza sistemelor complexe care sprijină activitățile societății, asigură funcționarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanțele și transporturile și, mai ales, susține funcționarea pieței interne.

(1)  Rețelele și sistemele informatice și rețelele și serviciile de telecomunicații îndeplinesc un rol vital pentru societate și au devenit coloana vertebrală a creșterii economice. Tehnologia informației și comunicațiilor (TIC) stă la baza sistemelor complexe care sprijină activitățile de zi cu zi ale societății, asigură funcționarea economiei în sectoare-cheie cum ar fi sănătatea, energia, finanțele și transporturile și, mai ales, susține funcționarea pieței interne.

Amendamentul    2

Propunere de regulament

Considerentul 2

Textul propus de Comisie

Amendamentul

(2)  În prezent, rețelele și sistemele informatice sunt utilizate la scară generală de către cetățenii, întreprinderile și administrațiile din întreaga Uniune. Digitizarea și conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse și servicii, preconizându-se că, odată cu apariția internetului obiectelor (IoT), în UE, în următorul deceniu, vor intra în folosință milioane, dacă nu chiar miliarde de dispozitive digitale conectate. Deși numărul dispozitivelor conectate la internet este în creștere, securitatea și reziliența nu sunt incluse suficient de la nivelul de proiect, ceea ce conduce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii, indiferent dacă sunt persoane fizice sau organizații, nu dispun de suficiente informații cu privire la caracteristicile de securitate cibernetică ale produselor și serviciilor TIC, ceea ce erodează încrederea în soluțiile digitale.

(2)  În prezent, rețelele și sistemele informatice sunt utilizate la scară generală de către cetățenii, întreprinderile și administrațiile din întreaga Uniune. Digitizarea și conectivitatea sunt pe cale să devină caracteristici principale ale unui număr tot mai mare de produse și servicii, preconizându-se că, odată cu apariția internetului obiectelor (IoT), în UE, în următorul deceniu, vor intra în folosință milioane, dacă nu chiar miliarde de dispozitive digitale conectate. Deși numărul dispozitivelor conectate la internet este în creștere, securitatea și reziliența nu sunt incluse suficient de la nivelul de proiect, ceea ce conduce la o securitate cibernetică insuficientă. În acest context, din cauză că certificarea nu este utilizată decât într-o măsură limitată, utilizatorii, indiferent dacă sunt persoane fizice sau organizații, nu dispun de suficiente informații cu privire la caracteristicile de securitate cibernetică ale produselor și serviciilor TIC, ceea ce erodează încrederea în soluțiile digitale, esențială pentru realizarea pieței unice digitale.

Amendamentul    3

Propunere de regulament

Considerentul 3

Textul propus de Comisie

Amendamentul

(3)  Creșterea gradului de digitizare și conectivitate conduce la agravarea riscurilor la adresa securității cibernetice, societatea, în general, devenind astfel mai vulnerabilă la amenințările cibernetice, iar pericolele cu care se confruntă persoanele fizice, inclusiv persoanele vulnerabile precum copiii, fiind extrem de mari. Pentru a atenua acest risc cu care se confruntă societatea, trebuie să se ia toate măsurile necesare pentru îmbunătățirea securității cibernetice în UE, astfel încât să se ofere o mai bună protecție a rețelelor și sistemelor informatice, a rețelelor de telecomunicații, a produselor, serviciilor și dispozitivelor digitale utilizate de către cetățeni, administrații și întreprinderi – de la IMM-uri la operatorii de infrastructuri critice – împotriva amenințărilor cibernetice.

(3)  Creșterea gradului de digitizare și conectivitate conduce la agravarea semnificativă a riscurilor la adresa securității cibernetice, societatea, în general, devenind astfel mai vulnerabilă la amenințările cibernetice, iar pericolele cu care se confruntă persoanele fizice, inclusiv persoanele vulnerabile precum copiii, fiind extrem de mari. Puterea de transformare a inteligenței artificiale și a învățării automate va fi valorificată de către societate în general, dar și de infractorii cibernetici. Pentru a atenua aceste riscuri cu care se confruntă societatea, trebuie să se ia toate măsurile necesare pentru îmbunătățirea securității împotriva atacurilor cibernetice în UE, astfel încât să se ofere o mai bună protecție a rețelelor și sistemelor informatice, a rețelelor de telecomunicații, a produselor, serviciilor și dispozitivelor digitale utilizate de către cetățeni, administrații și întreprinderi – de la IMM-uri la operatorii de infrastructuri critice – împotriva amenințărilor cibernetice.

Amendamentul    4

Propunere de regulament

Considerentul 4

Textul propus de Comisie

Amendamentul

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice și mai sigure. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

Amendamentul    5

Propunere de regulament

Considerentul 5

Textul propus de Comisie

Amendamentul

(5)  Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este necesar un set cuprinzător de măsuri care să se bazeze pe acțiunile anterioare ale Uniunii și să promoveze obiective care se consolidează reciproc. Printre acestea se numără necesitatea de a spori și mai mult capabilitățile și gradul de pregătire ale statelor membre și ale întreprinderilor, precum și de a îmbunătăți cooperarea și coordonarea între statele membre și instituțiile, agențiile și organele UE. Mai mult decât atât, amenințările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capabilităților de la nivelul Uniunii care ar putea completa acțiunea statelor membre, în special în cazul incidentelor și crizelor de securitate cibernetică transfrontaliere de mare amploare. De asemenea, sunt necesare eforturi suplimentare pentru a spori gradul de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, oferirea de informații transparente cu privire la nivelul de securitate al produselor și serviciilor TIC ar urma să permită pieței unice digitale să se bucure de o încredere și mai mare. Acest lucru poate fi facilitat printr-o certificare la nivelul UE care să prevadă cerințe comune în materie de securitate cibernetică și criterii de evaluare aplicabile pe toate piețele naționale și în toate sectoarele.

(5)  Având în vedere intensificarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, este necesar un set cuprinzător de măsuri care să se bazeze pe acțiunile anterioare ale Uniunii și să promoveze obiective care se consolidează reciproc. Printre acestea se numără necesitatea de a spori și mai mult capabilitățile și gradul de pregătire ale statelor membre și ale întreprinderilor, precum și de a îmbunătăți cooperarea și coordonarea între statele membre și instituțiile, agențiile și organele UE. Mai mult decât atât, amenințările cibernetice nu se opresc la frontiere, motiv pentru care este necesară dezvoltarea capabilităților de la nivelul Uniunii care ar putea completa acțiunea statelor membre, în special în cazul incidentelor și crizelor de securitate cibernetică transfrontaliere de mare amploare. De asemenea, sunt necesare eforturi suplimentare pentru a spori gradul de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică. În plus, având în vedere că incidentele cibernetice subminează încrederea în furnizorii de servicii digitale și în însăși piața unică digitală, în special în rândul consumatorilor, oferirea de informații transparente cu privire la nivelul de securitate al produselor și serviciilor TIC ar urma să permită pieței unice digitale să se bucure de o încredere și mai mare. Acest lucru poate fi facilitat printr-o certificare standardizată la nivelul UE, care să se bazeze pe standarde europene sau internaționale și care să prevadă cerințe comune în materie de securitate cibernetică și criterii de evaluare aplicabile pe toate piețele naționale și în toate sectoarele. Pe lângă certificarea la nivelul Uniunii, există o serie de măsuri voluntare pe care sectorul privat însuși ar trebui să le adopte pentru a consolida încrederea în securitatea produselor și a serviciilor TIC, în special având în vedere disponibilitatea tot mai mare a dispozitivelor IO. De exemplu, ar trebui să se utilizeze într-un mod mai eficient criptarea și alte tehnologii, precum și tehnologiile de prevenire a reușitei atacurilor cibernetice, cum ar fi tehnologia blockchain, pentru a îmbunătăți securitatea datelor și a comunicațiilor utilizatorilor finali, precum și securitatea generală a rețelelor și a sistemelor informatice din Uniune.

Amendamentul    6

Propunere de regulament

Considerentul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a)  Deși certificarea și alte forme de evaluare a conformității proceselor, produselor și serviciilor TIC joacă un rol important, îmbunătățirea securității cibernetice necesită o abordare multilaterală care să cuprindă oameni, procese și tehnologii. De asemenea, UE ar trebui să pună un accent deosebit și pe alte eforturi și pe promovarea acestora, de exemplu educația în materie de securitate cibernetică, formarea și dezvoltarea competențelor; campanii de sensibilizare la nivelul conducerii marilor societăți; promovarea schimbului voluntar de informații privind amenințările cibernetice; și modificarea abordării UE de la un model reactiv la unul proactiv pentru a răspunde amenințărilor, punând accentul pe prevenirea cu succes a atacurilor cibernetice.

Amendamentul    7

Propunere de regulament

Considerentul 7

Textul propus de Comisie

Amendamentul

(7)  Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică și a crește încrederea în tehnologiile digitale. În 2013, a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la amenințările și riscurile în materie de securitate cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine europenii în mediul online, în 2016 Uniunea a adoptat primul act legislativ în domeniul securității cibernetice, și anume Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva privind securitatea rețelelor și a informațiilor”). Directiva privind securitatea rețelelor și a informațiilor a instituit cerințe privind capabilitățile naționale în domeniul securității cibernetice, a creat primele mecanisme de intensificare a cooperării strategice și operaționale între statele membre și a introdus obligații privind măsurile de securitate și notificările incidentelor în sectoare vitale pentru economie și societate, cum ar fi energia, transporturile, apa, băncile, infrastructurile pieței financiare, asistența medicală, infrastructurile digitale, precum și furnizorii de servicii digitale esențiale (motoarele de căutare, serviciile de cloud computing și piețele online). ENISA a primit un rol esențial de sprijinire a punerii în aplicare a directivei menționate mai sus. În plus, combaterea eficace a criminalității cibernetice se numără printre prioritățile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obținere a unui nivel ridicat de securitate cibernetică.

(7)  Uniunea a luat deja măsuri importante pentru a asigura securitatea cibernetică și a crește încrederea în tehnologiile digitale. În 2013, a fost adoptată Strategia de securitate cibernetică a Uniunii Europene, menită să orienteze politicile prin care Uniunea răspunde la amenințările și riscurile în materie de securitate cibernetică. În cadrul eforturilor depuse pentru a proteja mai bine europenii în mediul online, în 2016 Uniunea a adoptat primul act legislativ în domeniul securității cibernetice, și anume Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune („Directiva privind securitatea rețelelor și a informațiilor”). Directiva privind securitatea rețelelor și a informațiilor, al cărei succes va depinde în mare măsură de eficacitatea cu care statele membre o pun în aplicare, a instituit cerințe privind capabilitățile naționale în domeniul securității cibernetice, a creat primele mecanisme de intensificare a cooperării strategice și operaționale între statele membre și a introdus obligații privind măsurile de securitate și notificările incidentelor în sectoare vitale pentru economie și societate, cum ar fi energia, transporturile, apa, băncile, infrastructurile pieței financiare, asistența medicală, infrastructurile digitale, precum și furnizorii de servicii digitale esențiale (motoarele de căutare, serviciile de cloud computing și piețele online). ENISA a primit un rol esențial de sprijinire a punerii în aplicare a directivei menționate mai sus. În plus, combaterea eficace a criminalității cibernetice se numără printre prioritățile importante ale Agendei europene privind securitatea, contribuind la obiectivul general de obținere a unui nivel ridicat de securitate cibernetică.

Amendamentul    8

Propunere de regulament

Considerentul 11

Textul propus de Comisie

Amendamentul

(11)  Având în vedere agravarea provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, ar fi necesară o sporire a resurselor financiare și umane alocate agenției, care să corespundă consolidării rolului și sarcinilor sale, precum și poziției sale critice în ecosistemul de organizații care apără ecosistemul digital european.

(11)  Având în vedere agravarea amenințărilor și a provocărilor în materie de securitate cibernetică cu care se confruntă Uniunea, ar fi necesară o sporire a resurselor financiare și umane alocate agenției, care să corespundă consolidării rolului și sarcinilor sale, precum și poziției sale critice în ecosistemul de organizații care apără ecosistemul digital european.

Amendamentul    9

Propunere de regulament

Considerentul 28

Textul propus de Comisie

Amendamentul

(28)  Agenția ar trebui să contribuie la sensibilizarea publicului cu privire la riscurile legate de securitatea cibernetică și să furnizeze, în atenția cetățenilor și organizațiilor, orientări privind bunele practici care trebuie adoptate de utilizatorii individuali. De asemenea, agenția ar trebui să contribuie la promovarea celor mai bune practici și soluții în rândul persoanelor fizice și organizațiilor, prin colectarea și analiza informațiilor aflate la dispoziția publicului referitoare la incidentele semnificative și prin întocmirea de rapoarte cu scopul de a furniza orientări întreprinderilor și cetățenilor și de a îmbunătăți nivelul global de pregătire și reziliență. În plus, agenția ar trebui să organizeze, în cooperare cu instituțiile, organele, oficiile și agențiile statelor membre și ale Uniunii, activități de informare periodice și campanii publice de educație pentru utilizatorii finali, având ca scop promovarea unor comportamente individuale online mai sigure și sensibilizarea cu privire la eventualele pericole din spațiul cibernetic, inclusiv actele de criminalitate cibernetică, cum ar fi atacurile de tip phishing, rețelele botnet, fraudele financiare și bancare, precum și promovarea consilierii de bază privind autentificarea și protecția datelor. Agenția ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor.

(28)  Agenția ar trebui să contribuie la sensibilizarea publicului cu privire la riscurile legate de securitatea cibernetică și să furnizeze, în atenția cetățenilor și organizațiilor, orientări privind bunele practici care trebuie adoptate de utilizatorii individuali. De asemenea, agenția ar trebui să contribuie la promovarea celor mai bune practici și soluții de „igienă cibernetică”, adică simple măsuri de rutină pe care le pot lua persoanele fizice și organizațiile pentru a minimiza riscurile de amenințări cibernetice, cum ar fi autentificarea multifactor, corectarea erorilor, criptarea și gestionarea accesului. De asemenea, agenția ar trebui să realizeze acest obiectiv prin colectarea și analiza informațiilor aflate la dispoziția publicului referitoare la incidentele semnificative și prin întocmirea și publicarea de rapoarte și orientări cu scopul de a furniza orientări întreprinderilor și cetățenilor și de a îmbunătăți nivelul global de pregătire și reziliență. În plus, agenția ar trebui să organizeze, în cooperare cu instituțiile, organele, oficiile și agențiile statelor membre și ale Uniunii, activități de informare periodice și campanii publice de educație pentru utilizatorii finali, având ca scop promovarea unor comportamente individuale online mai sigure și sensibilizarea cu privire la măsurile ce pot fi luate împotriva eventualelor pericole din spațiul cibernetic, inclusiv actele de criminalitate cibernetică, cum ar fi atacurile de tip phishing, cele de șantaj digital, deturnarea modului de utilizare a computerelor, rețelele botnet, fraudele financiare și bancare, precum și promovarea consilierii privind autentificarea multifactor de bază, criptarea, corectarea erorilor, principiile de gestionare a accesului, protecția datelor și alte tehnologii de sporire a securității și a protecției vieții private și instrumente de anonimizare. Agenția ar trebui să joace un rol central în accelerarea sensibilizării utilizatorilor finali cu privire la securitatea dispozitivelor și utilizarea sigură a serviciilor, promovând la nivelul Uniunii conceptele de securitate și protecție a vieții private încă din faza de proiectare, de o importanță crucială pentru îmbunătățirea securității dispozitivelor conectate, în special pentru utilizatorii finali vulnerabili, inclusiv copiii. Agenția ar trebui să încurajeze toți utilizatorii finali să ia măsurile necesare pentru a preveni și a reduce la minimum impactul incidentelor care afectează securitatea rețelelor și a sistemelor lor informatice. Ar trebui instituite parteneriate cu instituții academice care desfășoară inițiative de cercetare în domeniile relevante în materie de securitate cibernetică.

Amendamentul    10

Propunere de regulament

Considerentul 35

Textul propus de Comisie

Amendamentul

(35)  Agenția ar trebui să încurajeze statele membre și furnizorii de servicii să-și ridice standardele generale de securitate, astfel încât toți utilizatorii de internetpoată lua măsurile necesare pentru a-și asigura securitatea cibernetică personală. În particular, furnizorii de servicii și fabricanții de produse ar trebui să retragă sau să recicleze produsele și serviciile care nu îndeplinesc standardele de securitate cibernetică. În cooperare cu autoritățile competente, ENISA poate difuza informații privind nivelul de securitate cibernetică al produselor și serviciilor oferite pe piața internă și emite avertismente prin care să oblige furnizorii și fabricanții să îmbunătățească securitatea, inclusiv cibernetică, a produselor și serviciilor lor.

(35)  Agenția ar trebui să încurajeze statele membre și furnizorii de servicii să-și ridice standardele generale de securitate, astfel încât toți utilizatorii de internet să poată lua măsurile necesare pentru a-și asigura securitatea cibernetică personală. În particular, furnizorii de servicii și fabricanții de produse ar trebui să retragă sau să recicleze produsele și serviciile care nu îndeplinesc standardele de securitate cibernetică. În cooperare cu autoritățile competente, ENISA poate difuza informații privind nivelul de securitate cibernetică al produselor și serviciilor oferite pe piața internă și emite avertismente prin careoblige furnizorii și fabricanții să îmbunătățească securitatea, inclusiv cibernetică, a produselor și serviciilor lor. ENISA ar trebui să facă publice avertismentele respective pe site-ul web dedicat informațiilor privind sistemele de certificare. Agenția ar trebui să elaboreze orientări privind cerințele minime de securitate pentru dispozitivele informatice vândute în Uniune sau exportate din Uniune. Astfel de orientări ar putea impune producătorilor furnizeze o declarație scrisă prin care confirmă că dispozitivul nu conține componente hardware, software sau firmware cu vulnerabilități de securitate exploatabile cunoscute, și nici parole sau coduri de acces nemodificabile și necriptate, că permite actualizări de securitate demne de încredere și corect autentificate, că, în cazul defectării dispozitivului, furnizorul recurge la o ierarhie de măsuri reparatorii adecvate și că acesta informează utilizatorii finali atunci când încetează asistența de securitate oferită pentru un dispozitiv.

Amendamentul    11

Propunere de regulament

Considerentul 36 a (nou)

Textul propus de Comisie

Amendamentul

 

(36a)  Standardele reprezintă un instrument voluntar, determinat de piață, care oferă orientări și cerințe tehnice și rezultă în urma unui proces deschis, transparent și favorabil incluziunii. Utilizarea standardelor facilitează conformitatea produselor și a serviciilor cu dreptul Uniunii și sprijină politicile europene în conformitate cu Regulamentul (UE) nr. 1025/2012 privind standardizarea europeană. Agenția ar trebui să se consulte periodic cu organizațiile europene de standardizare și să lucreze în cooperare cu acestea, în special atunci când pregătește sistemele europene de certificare de securitate cibernetică.

Amendamentul    12

Propunere de regulament

Considerentul 44

Textul propus de Comisie

Amendamentul

(44)  Agenția ar trebui să aibă drept organism consultativ un grup permanent al părților interesate, pentru a asigura un dialog regulat cu sectorul privat, cu organizațiile de consumatori și cu alte părți interesate relevante. Grupul permanent al părților interesate, instituit de consiliul de administrație la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părțile interesate și să le aducă în atenția agenției. Componența grupului permanent al părților interesate și sarcinile încredințate acestuia, care urmează să fie consultat în special în legătură cu proiectul de program de activitate, ar trebui să asigure faptul că părțile interesate sunt reprezentate într-o măsură suficientă în ceea ce privește activitatea agenției .

(44)  Agenția ar trebui să aibă drept organism consultativ un grup permanent al părților interesate, pentru a asigura un dialog regulat cu sectorul privat, cu organizațiile de consumatori, cu mediul academic și cu alte părți interesate relevante. Grupul permanent al părților interesate, instituit de consiliul de administrație la propunerea directorului executiv, ar trebui să se concentreze pe probleme relevante pentru părțile interesate și să le aducă în atenția agenției. Pentru a asigura implicarea adecvată a părților interesate în cadrul de certificare de securitate cibernetică, grupul permanent al părților interesate ar trebui, de asemenea, să ofere consiliere cu privire la produsele și serviciile TIC care ar trebui incluse în viitoarele sisteme europene de certificare de securitate cibernetică și ar trebui să prezinte Comisiei propuneri pentru a solicita Agenției să pregătească propuneri de sisteme privind astfel de produse și servicii TIC, fie din proprie inițiativă, fie la propunerea părților interesate relevante. Componența grupului permanent al părților interesate și sarcinile încredințate acestuia, care urmează să fie consultat în special în legătură cu proiectul de program de activitate, ar trebui să asigure faptul că părțile interesate sunt reprezentate într-o măsură eficientă și echitabilă în ceea ce privește activitatea agenției.

Amendamentul    13

Propunere de regulament

Considerentul 46

Textul propus de Comisie

Amendamentul

(46)  Pentru a garanta autonomia și independența deplină a agenției și a-i permite să îndeplinească sarcini suplimentare și noi, inclusiv sarcini urgente neprevăzute, ar trebui alocat agenției un buget suficient și autonom, ale cărui venituri să provină în principal din contribuția Uniunii și din contribuții ale țărilor terțe care iau parte la activitățile agenției. Majoritatea angajaților agenției ar trebui să fie implicați direct în punerea în aplicare operațională a mandatului agenției. Statul membru gazdă sau oricare alt stat membru ar trebui să poată contribui în mod voluntar la veniturile agenției. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce privește toate subvențiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile agenției pentru a asigura transparența și responsabilitatea.

(46)  Pentru a garanta autonomia și independența deplină a agenției și a-i permite să îndeplinească sarcini suplimentare și noi, inclusiv sarcini urgente neprevăzute, ar trebui alocat agenției un buget suficient și autonom, ale cărui venituri să provină în principal din contribuția Uniunii și din contribuții ale țărilor terțe care iau parte la activitățile agenției. Majoritatea angajaților agenției ar trebui să fie implicați direct în punerea în aplicare operațională a mandatului agenției. Statul membru gazdă sau oricare alt stat membru ar trebui să poată contribui în mod voluntar la veniturile agenției. Procedura bugetară a Uniunii ar trebui să rămână aplicabilă în ceea ce privește toate subvențiile plătibile din bugetul general al Uniunii. De asemenea, Curtea de Conturi ar trebui să auditeze conturile agenției pentru a asigura transparența, responsabilitatea, eficacitatea și eficiența cheltuielilor.

Amendamentul    14

Propunere de regulament

Considerentul 47

Textul propus de Comisie

Amendamentul

(47)  Evaluarea conformității înseamnă procesul prin care se arată dacă s-au îndeplinit cerințele specificate pentru un produs, un proces, un serviciu, un sistem, o persoană sau un organism. În sensul prezentului regulament, certificarea ar trebui să fie considerată ca fiind un tip de evaluare a conformității care să aibă drept obiect caracteristicile de securitate cibernetică ale unui produs, unui proces, unui serviciu, unui sistem sau ale unei combinații a acestora („produsele și serviciile TIC”), efectuată de o parte terță independentă, alta decât fabricantul sau furnizorul de servicii. În sine, certificarea nu poate garanta că produsele și serviciile TIC certificate îndeplinesc condițiile de securitate cibernetică. Este vorba, mai degrabă, de o procedură și o metodologie tehnică menite să ateste faptul că produsele și serviciile TIC au fost testate și că îndeplinesc anumite cerințe de securitate cibernetică prevăzute în alte dispoziții, de exemplu specificate în cadrul standardelor tehnice.

(47)  Evaluarea conformității înseamnă procesul prin care se arată dacă s-au îndeplinit cerințele specificate pentru un produs, un proces, un serviciu, un sistem, o persoană sau un organism. În sensul prezentului regulament, certificarea ar trebui să fie considerată ca fiind un tip de evaluare a conformității care să aibă drept obiect caracteristicile de securitate cibernetică și practicile conținute într-un produs, un proces, un serviciu, un sistem sau o combinație a acestora („produsele și serviciile TIC”), efectuată de o parte terță independentă sau printr-o declarație de conformitate emisă pe propria răspundere. În sine, certificarea nu poate garanta că produsele și serviciile TIC certificate îndeplinesc condițiile de securitate cibernetică, iar utilizatorul final ar trebui să fie conștient de acest lucru. Este vorba, mai degrabă, de o procedură și o metodologie tehnică menite să ateste faptul că produsele și serviciile TIC, precum și procesele și sistemele fundamentale, au fost testate și că îndeplinesc anumite cerințe de securitate cibernetică prevăzute în alte dispoziții, de exemplu specificate în cadrul standardelor tehnice.

Amendamentul    15

Propunere de regulament

Considerentul 48

Textul propus de Comisie

Amendamentul

(48)  Certificarea de securitate cibernetică este importantă pentru sporirea securității produselor și a serviciilor TIC și a încrederii de care se bucură acestea. Piața unică digitală și mai ales economia bazată pe date și internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că aceste produse și servicii oferă un anumit nivel de asigurare a securității cibernetice. Autovehiculele conectate și automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control sau rețelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea de securitate cibernetică este esențială și în sectoarele reglementate prin Directiva privind securitatea rețelelor și a informațiilor.

(48)  Certificarea europeană de securitate cibernetică este fundamentală pentru sporirea securității produselor și a serviciilor TIC și a încrederii de care se bucură acestea. Piața unică digitală și mai ales economia bazată pe date și internetul obiectelor pot prospera numai dacă publicul larg are încredere în faptul că aceste produse și servicii oferă un nivel înalt de asigurare a securității cibernetice. Autovehiculele conectate și automatizate, dispozitivele medicale electronice, sistemele industriale automatizate de control sau rețelele inteligente sunt numai câteva exemple de sectoare în care certificarea este deja utilizată la scară largă sau poate fi utilizată în viitorul apropiat. Certificarea de securitate cibernetică este esențială și în sectoarele reglementate prin Directiva privind securitatea rețelelor și a informațiilor.

Amendamentul    16

Propunere de regulament

Considerentul 50

Textul propus de Comisie

Amendamentul

(50)  În prezent, certificarea de securitate cibernetică a produselor și serviciilor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat emis de o autoritate națională de securitate cibernetică nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să își certifice produsele și serviciile în fiecare dintre statele membre în care își desfășoară activitatea, pentru a putea participa, de exemplu, la procedurile de achiziții publice naționale. În plus, deși apar noi sisteme, nu pare să existe o abordare coerentă și holistică a aspectelor orizontale ale securității cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficiențe și diferențe în ceea ce privește produsele vizate, nivelurile de asigurare, criteriile de fond și utilizarea efectivă.

(50)  În prezent, certificarea de securitate cibernetică a produselor și serviciilor TIC nu este utilizată decât într-o măsură limitată. Atunci când există, certificarea se aplică în principal la nivelul statelor membre sau în cadrul sistemelor instituite de sector. În acest context, un certificat emis de o autoritate națională de securitate cibernetică nu este, în principiu, recunoscut de celelalte state membre. Prin urmare, este posibil ca întreprinderile să fie nevoite să își certifice produsele și serviciile în fiecare dintre statele membre în care își desfășoară activitatea, pentru a putea participa, de exemplu, la procedurile de achiziții publice naționale, aceste proceduri adăugând costuri suplimentare întreprinderilor. În plus, deși apar noi sisteme, nu pare să existe o abordare coerentă și holistică a aspectelor orizontale ale securității cibernetice, de exemplu în domeniul internetului obiectelor. Sistemele existente prezintă importante deficiențe și diferențe în ceea ce privește produsele vizate, nivelurile de asigurare bazată pe riscuri, criteriile de fond și utilizarea efectivă.

Amendamentul    17

Propunere de regulament

Considerentul 52

Textul propus de Comisie

Amendamentul

(52)  Având în vedere cele de mai sus, este necesar să se instituie un cadru european de certificare de securitate cibernetică prin care să se stabilească principalele cerințe orizontale pentru sistemele europene de certificare de securitate cibernetică ce urmează să fie create și să se permită recunoașterea și utilizarea în toate statele membre a certificatelor pentru produse și servicii TIC. Cadrul european ar trebui să aibă o dublă finalitate: pe de o parte, acesta ar trebui să contribuie la creșterea încrederii în produsele și serviciile TIC care au fost certificate în conformitate cu aceste sisteme, pe de altă parte, cadrul ar trebui să evite multiplicarea de certificări naționale de securitate cibernetică ce se contrazic sau se suprapun și să permită astfel reducerea costurilor pentru întreprinderile care își desfășoară activitatea pe piața unică digitală. Aceste sisteme ar trebui să fie nediscriminatorii și să se bazeze pe standarde internaționale și/sau ale Uniunii, cu excepția cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale UE în această privință.

(52)  Având în vedere cele de mai sus, este necesar să se adopte o abordare comună și să se instituie un cadru european de certificare de securitate cibernetică prin care să se stabilească principalele cerințe orizontale pentru sistemele europene de certificare de securitate cibernetică ce urmează să fie create și să se permită recunoașterea și utilizarea în toate statele membre a certificatelor pentru produse și servicii TIC. În acest sens, este esențial să se folosească experiența din cadrul sistemelor naționale și internaționale existente, precum și din cadrul sistemelor de recunoaștere reciprocă, în special SOC-IS, și să se creeze condițiile pentru o tranziție ușoară de la sistemele existente în temeiul acestor scheme la sistemele în temeiul noului cadru european. Cadrul european ar trebui să aibă o dublă finalitate: pe de o parte, acesta ar trebui să contribuie la creșterea încrederii în produsele și serviciile TIC care au fost certificate în conformitate cu aceste sisteme, pe de altă parte, cadrul ar trebui să evite multiplicarea de certificări naționale de securitate cibernetică ce se contrazic sau se suprapun și să permită astfel reducerea costurilor pentru întreprinderile care își desfășoară activitatea pe piața unică digitală. În cazul în care o certificare europeană de securitate cibernetică a înlocuit un sistem național, certificatele emise în cadrul sistemului european ar trebui acceptate ca fiind valabile în cazurile în care a fost necesară certificarea în cadrul unui sistem național. Aceste sisteme ar trebui să fie supuse conceptului de securitate încă din faza de proiectare și principiilor prevăzute în Regulamentul (UE) nr. 2016/679. Ele ar trebui, de asemenea, să fie nediscriminatorii și să se bazeze pe standarde internaționale și/sau ale Uniunii, cu excepția cazului în care aceste standarde sunt ineficace sau inadecvate pentru îndeplinirea obiectivelor legitime ale UE în această privință.

Amendamentul    18

Propunere de regulament

Considerentul 52 a (nou)

Textul propus de Comisie

Amendamentul

 

(52a)  Acest cadru european de certificare de securitate cibernetică trebuie să fie stabilit în mod uniform în toate statele membre, pentru a evita practica de căutare a certificării celei mai avantajoase din cauza diferențelor de cost sau de nivel de exigență între statele membre.

Amendamentul    19

Propunere de regulament

Considerentul 55

Textul propus de Comisie

Amendamentul

(55)  Sistemele europene de certificare de securitate cibernetică ar trebui să aibă drept scop asigurarea conformității cu cerințele specificate a produselor și serviciilor TIC certificate în temeiul unui astfel de sistem. Aceste cerințe se referă la capacitatea de a rezista, la un anumit nivel de asigurare, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate ori transmise sau prelucrate ori funcțiile sau serviciile oferite de aceste produse, procese, servicii și sisteme sau accesibile prin intermediul lor, în sensul prezentului regulament. În prezentul regulament nu pot fi detaliate cerințele de securitate cibernetică referitoare la toate produsele și serviciile TIC. Produsele și serviciile TIC și necesitățile conexe în materie de securitate cibernetică sunt atât de variate încât este foarte dificil să se elaboreze cerințe generale de securitate cibernetică cu valabilitate universală. Prin urmare, este necesar să se adopte o noțiune largă și generală a securității cibernetice în scopul certificării, completată printr-o serie de obiective de securitate cibernetică specifice, care trebuie să fie luate în considerare atunci când se concep sisteme europene de certificare de securitate cibernetică. Modalitățile prin care aceste obiective vor fi atinse de produse și servicii TIC specifice ar trebui să fie detaliate și mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificații tehnice.

(55)  Sistemele europene de certificare de securitate cibernetică ar trebui să aibă drept scop asigurarea unui nivel ridicat de protecție a utilizatorilor finali și a competitivității europene și creșterea nivelului de securitate în cadrul pieței unice digitale și, mai exact, asigurarea conformității cu cerințele specificate a produselor și serviciilor TIC certificate în temeiul unui astfel de sistem. Aceste cerințe se referă la capacitatea de a rezista, la un anumit nivel de asigurare, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate ori transmise sau prelucrate ori funcțiile sau serviciile oferite de aceste produse, procese, servicii și sisteme sau accesibile prin intermediul lor, în sensul prezentului regulament. În prezentul regulament nu pot fi detaliate cerințele de securitate cibernetică referitoare la toate produsele și serviciile TIC. Produsele și serviciile TIC și necesitățile conexe în materie de securitate cibernetică sunt atât de variate încât este foarte dificil să se elaboreze cerințe generale de securitate cibernetică cu valabilitate universală. Prin urmare, este necesar să se adopte o noțiune largă și generală a securității cibernetice în scopul certificării, completată printr-o serie de obiective de securitate cibernetică specifice, care trebuie să fie luate în considerare atunci când se concep sisteme europene de certificare de securitate cibernetică. Modalitățile prin care aceste obiective vor fi atinse de produse și servicii TIC specifice ar trebui să fie detaliate și mai precis, într-o etapă ulterioară, la nivelul fiecărui sistem de certificare adoptat de Comisie, de exemplu prin trimitere la standarde sau la specificații tehnice. Este extrem de important ca fiecare sistem european de certificare de securitate cibernetică să fie conceput în așa fel încât să stimuleze și să încurajeze toți actorii implicați în sectorul în cauză să elaboreze și să adopte standarde de securitate, norme tehnice și principii de securitate de la stadiul conceperii în toate etapele ciclului de viață al produsului sau al serviciului. În cazul în care sistemul de certificare prevede mărci sau etichete, condițiile în care pot fi utilizate aceste mărci sau etichete trebuie să fie subliniate. O astfel de etichetă ar putea lua forma unui logo digital sau a unui cod QR, ar indica riscurile asociate funcționării și utilizării unui dispozitiv sau serviciu TIC și ar trebui să fie clară și ușor inteligibilă pentru consumatorul final.

Amendamentul    20

Propunere de regulament

Considerentul 55 a (nou)

Textul propus de Comisie

Amendamentul

 

(55a)  Având în vedere tendințele de inovare, precum și dezvoltarea accesibilității și creșterea constantă a numărului de dispozitive IO în toate sectoarele societății, trebuie acordată o atenție deosebită securității tuturor produselor IO, chiar și celor mai simple dintre ele. Prin urmare, întrucât certificarea reprezintă o metodă esențială pentru creșterea încrederii în piață și pentru creșterea securității și a rezilienței, noul cadru european de certificare de securitate cibernetică ar trebui să acorde atenție produselor și serviciilor IO, în scopul de a le face mai puțin vulnerabile și mai sigure pentru consumatori și întreprinderi.

Amendamentul    21

Propunere de regulament

Considerentul 56

Textul propus de Comisie

Amendamentul

(56)  Comisia ar trebui să fie împuternicită să adreseze ENISA solicitarea de a pregăti propuneri de sisteme pentru produse sau servicii TIC specifice. Pe baza propunerii de sistem prezentate de ENISA, Comisia ar trebuifie împuternicită după aceea să adopte sistemul european de certificare de securitate cibernetică prin intermediul unor acte de punere în aplicare. Ținând seama de scopul general și de obiectivele de securitate identificate în prezentul regulament, sistemele europene de certificare de securitate cibernetică adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, domeniul de aplicare și funcționarea fiecărui sistem. Acestea ar trebui să includă, printre altele, domeniul de aplicare și obiectul certificării de securitate cibernetică, inclusiv categoriile de produse și servicii TIC care fac obiectul acesteia, specificații detaliate cu privire la cerințele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificații tehnice, criteriile specifice și metodele de evaluare, precum și nivelul asigurării vizate: de bază, substanțială și/sau ridicată.

(56)  ENISA ar trebui să întrețină un site web specific, cu un instrument online ușor de utilizat, careprezinte informațiile privind sistemele adoptate, sistemele propuse și sistemele solicitate de Comisie. Ținând seama de scopul general și de obiectivele de securitate identificate în prezentul regulament, sistemele europene de certificare de securitate cibernetică adoptate de Comisie ar trebui să specifice un set minim de elemente referitoare la obiectul, domeniul de aplicare și funcționarea fiecărui sistem. Acestea ar trebui să includă, printre altele, domeniul de aplicare și obiectul certificării de securitate cibernetică, inclusiv categoriile de produse și servicii TIC care fac obiectul acesteia, specificații detaliate cu privire la cerințele de securitate cibernetică, de exemplu prin trimitere la standarde sau la specificații tehnice, criteriile specifice și metodele de evaluare asociate funcționării și utilizării unui produs, proces sau serviciu TIC, riscul lor inerent, precum și nivelul asigurării vizate: sigur din punct de vedere funcțional, ceea ce înseamnă că nivelurile de asigurare au un grad de securitate funcțional, considerabil, foarte sigur sau orice combinație a acestora. Nivelul de asigurare nu trebuie să sugereze o securitate absolută, pentru a nu induce în eroare utilizatorul final. Ar trebui să se ia în considerare întregul ciclu de viață al produsului. Pentru a clarifica care sunt riscurile la care un anumit produs sau serviciu este conceput astfel încât să poată rezista, ENISA ar trebui să coordoneze elaborarea unei liste de control care să conțină riscurile cu care procesul, produsul sau serviciul TIC se va confrunta în mod normal pentru o anumită categorie de utilizatori și într-un mediu dat.

Amendamentul    22

Propunere de regulament

Considerentul 56 a (nou)

Textul propus de Comisie

Amendamentul

 

(56a)  Comisia ar trebui să fie împuternicită să adreseze ENISA solicitarea de a pregăti propuneri de sisteme pentru produse sau servicii TIC specifice. Ar trebui să i se delege Comisiei competența de a adopta acte, în conformitate cu dispozițiile articolului 290 din Tratatul privind funcționarea Uniunii Europene, în ceea ce privește instituirea unor sisteme europene de certificare de securitate cibernetică pentru produsele și serviciile TIC. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. La adoptarea actelor delegate respective, Comisia ar trebui să construiască sistemele de certificare de securitate cibernetică pentru produsele și serviciile TIC pe orice sistem candidat relevant propus de ENISA. Pentru îmbunătățirea încrederii și a previzibilității cadrului de certificare, precum și pentru sensibilizarea opiniei publice cu privire la acesta.

Amendamentul    23

Propunere de regulament

Considerentul 56 b (nou)

Textul propus de Comisie

Amendamentul

 

(56b)  Dintre metodele și procedurile de evaluare aferente fiecărui sistem de certificare de securitate cibernetică europeană, la nivelul Uniunii ar trebui promovată pirateria informatică etică, al cărei scop este de a localiza punctele slabe și vulnerabilitățile dispozitivelor și sistemelor informatice prin anticiparea acțiunilor deliberate și a abilităților hackerilor rău-intenționați.

Amendamentul    24

Propunere de regulament

Considerentul 58

Textul propus de Comisie

Amendamentul

(58)  Odată ce este adoptat un sistem european de certificare de securitate cibernetică, fabricanții de produse TIC sau furnizorii de servicii TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a produselor sau serviciilor lor la un organism de evaluare a conformității ales de ei. Organismele de evaluare a conformității ar trebui să fie acreditate de către un organism de acreditare dacă respectă anumite cerințe specificate, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani și poate fi reînnoită în aceleași condiții, dacă organismul de evaluare a conformității îndeplinește cerințele. Organismele de acreditare ar trebui să revoce acreditarea unui organism de evaluare a conformității în cazul în care condițiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformității încalcă dispozițiile prezentului regulament.

(58)  Odată ce este adoptat un sistem european de certificare de securitate cibernetică, fabricanții de produse TIC sau furnizorii de servicii TIC ar trebui să aibă posibilitatea de a depune o cerere de certificare a proceselor, a produselor sau serviciilor lor la un organism de evaluare a conformității ales de ei, sau să emită o declarație pe proprie răspundere că produsele și serviciile sunt conforme cu cerințele sistemului european de certificare de securitate cibernetică. Organismele de evaluare a conformității ar trebui să fie acreditate de către un organism de acreditare dacă respectă anumite cerințe specificate, stabilite în prezentul regulament. Acreditarea ar trebui să fie acordată pentru o perioadă maximă de cinci ani și poate fi reînnoită în aceleași condiții, dacă organismul de evaluare a conformității îndeplinește cerințele. Organismele de acreditare ar trebui să revoce acreditarea unui organism de evaluare a conformității în cazul în care condițiile de acreditare nu sunt sau nu mai sunt îndeplinite sau în cazul în care măsurile luate de un organism de evaluare a conformității încalcă dispozițiile prezentului regulament. În vederea asigurării faptului că acreditarea este efectuată în mod uniform în cadrul Uniunii Europene, autoritățile de supraveghere a certificării de la nivel național ar trebui să facă obiectul unei evaluări inter pares privind procedurile de verificare a conformității produselor care fac obiectul certificării de securitate cibernetică.

Amendamentul    25

Propunere de regulament

Considerentul 59

Textul propus de Comisie

Amendamentul

(59)  Este necesar să se prevadă obligația ca toate statele membre să desemneze o autoritate de supraveghere în materie de certificare de securitate cibernetică care să verifice dacă organismele de evaluare a conformității și certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor respectă cerințele prezentului regulament și ale sistemelor relevante de certificare de securitate cibernetică. Autoritățile naționale de supraveghere în materie de certificare ar trebui să se ocupe de plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor, să investigheze, în măsura în care este oportun, subiectul plângerii și să informeze reclamantul cu privire la progresele și rezultatul investigației, într-un termen rezonabil. În plus, acestea ar trebui să coopereze cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemelor de securitate cibernetică specifice.

(59)  Este necesar să se prevadă obligația ca toate statele membre să desemneze o autoritate de supraveghere în materie de certificare de securitate cibernetică care să verifice dacă organismele de evaluare a conformității și certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor respectă cerințele prezentului regulament și ale sistemelor relevante de certificare de securitate cibernetică. Autoritățile naționale de supraveghere în materie de certificare ar trebui să se ocupe de plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor, să investigheze, în măsura în care este oportun, subiectul plângerii și să informeze reclamantul cu privire la progresele și rezultatul investigației, într-un termen rezonabil. În plus, acestea ar trebui să coopereze cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemelor de securitate cibernetică specifice. Mai mult, ele ar trebui să supravegheze și să verifice corectitudinea declarațiilor de conformitate pe proprie răspundere, precum și faptul că certificatele europene de securitate cibernetică au fost emise de către organisme de evaluare a conformității pe baza cerințelor prevăzute în prezentul regulament, inclusiv a normelor adoptate de Grupul european pentru certificarea de securitate cibernetică și a cerințelor stabilite în sistemul european de certificare de securitate cibernetică corespunzător. Cooperarea eficace între autoritățile naționale de supraveghere în materie de certificare este esențială pentru implementarea adecvată a sistemelor europene de certificare de securitate cibernetică și a aspectelor tehnice privind securitatea cibernetică a produselor și serviciilor TIC. Comisia ar trebui să faciliteze schimbul de informații prin punerea la dispoziție a unui sistem de sprijin general pentru informațiile electronice, de exemplu Sistemul de informare și de comunicare pentru supravegherea pieței (ICSMS) și sistemul de alertă rapidă pentru produsele nealimentare periculoase (RAPEX), deja utilizate de autoritățile de supraveghere a pieței în temeiul Regulamentului (CE) nr. 765/2008.

Amendamentul    26

Propunere de regulament

Considerentul 63

Textul propus de Comisie

Amendamentul

(63)  Pentru a detalia suplimentar criteriile de acreditare a organismelor de evaluare a conformității, ar trebui să i se delege Comisiei competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene (TFUE). Comisia ar trebui să desfășoare consultări adecvate în cursul lucrărilor sale pregătitoare, inclusiv la nivel de experți. Aceste consultări ar trebui să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016. În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul ar trebui să primească toate documentele în același timp cu experții din statele membre, iar experții acestor instituții să aibă acces în mod sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

eliminat

Amendamentul    27

Propunere de regulament

Considerentul 65

Textul propus de Comisie

Amendamentul

(65)  Procedura de examinare ar trebui utilizată pentru adoptarea actelor de punere în aplicare privind sistemele europene de certificare de securitate cibernetică pentru produse și servicii TIC, privind modalitățile de desfășurare a anchetelor întreprinse de agenție, precum și privind circumstanțele, formatele și procedurile pe care trebuie să le respecte autoritățile naționale de supraveghere în materie de certificare pentru a transmite Comisiei notificări privind organismele acreditate de evaluare a conformității.

(65)  Procedura de examinare ar trebui utilizată pentru adoptarea actelor de punere în aplicare privind sistemele europene de certificare de securitate cibernetică pentru procese, produse și servicii TIC, privind modalitățile de desfășurare a anchetelor întreprinse de agenție, precum și privind circumstanțele, formatele și procedurile pe care trebuie să le respecte autoritățile naționale de supraveghere în materie de certificare pentru a transmite Comisiei notificări privind organismele acreditate de evaluare a conformității, ținând seama de eficacitatea dovedită a sistemului informațional NANDO.

Amendamentul    28

Propunere de regulament

Considerentul 66

Textul propus de Comisie

Amendamentul

(66)  Funcționarea agenției ar trebui să facă obiectul unei evaluări independente. Evaluarea ar trebui să țină seama de îndeplinirea, de către agenție, a obiectivelor sale, de practicile sale de lucru și de relevanța sarcinilor sale. De asemenea, evaluarea ar trebui să stabilească impactul, eficacitatea și eficiența cadrului european de certificare de securitate cibernetică.

(66)  Funcționarea agenției ar trebui să facă obiectul unei evaluări independente. Evaluarea ar trebui să includă legitimitatea și eficacitatea cheltuielilor agenției, eficiența agenției în ceea ce privește atingerea obiectivelor sale și o descriere a practicilor sale de lucru și relevanța sarcinilor sale. De asemenea, evaluarea ar trebui să stabilească impactul, eficacitatea și eficiența cadrului european de certificare de securitate cibernetică.

Amendamentul    29

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 11

Textul propus de Comisie

Amendamentul

(11)  „produs și serviciu TIC” înseamnă orice element sau grup de elemente al (ale) rețelelor și al (ale) sistemelor informatice;

(11)  „proces, produs și serviciu TIC” înseamnă un produs, serviciu, proces, sistem sau combinație a acestora care reprezintă un element al rețelelor și al sistemelor informatice;

 

(Această modificare se aplică întregului text legislativ supus examinării; adoptarea sa impune adaptări tehnice în întregul text.)

Amendamentul    30

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 11 a (nou)

Textul propus de Comisie

Amendamentul

 

(11a)  „autoritate națională de supraveghere în materie de certificare” înseamnă o autoritate a unui stat membru responsabilă de îndeplinirea sarcinilor de monitorizare, control și supraveghere asociate certificării de securitate cibernetică pe teritoriul său;

Amendamentul    31

Propunere de regulament

Articolul 2 – paragraful 1 – punctul 16 a (nou)

Textul propus de Comisie

Amendamentul

 

(16a)  „declarație de conformitate pe propria răspundere” înseamnă o declarație a producătorului, prin care se certifică faptul că procesul, produsul sau serviciul TIC al acestuia este conform cu sistemele europene de certificare de securitate cibernetică specificate.

Amendamentul    32

Propunere de regulament

Articolul 3 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Agenția îndeplinește sarcinile care îi sunt încredințate prin prezentul regulament în scopul de a contribui la asigurarea unui nivel ridicat de securitate cibernetică în Uniune.

1.  Agenția îndeplinește sarcinile care îi sunt încredințate prin prezentul regulament în scopul de a contribui la obținerea unui nivel ridicat și comun de securitate cibernetică, pentru a preveni atacurile cibernetice în Uniune, pentru a reduce fragmentarea pieței unice și a îmbunătăți funcționarea acesteia.

Amendamentul    33

Propunere de regulament

Articolul 4 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Agenția sporește capabilitățile de securitate cibernetică la nivelul Uniunii pentru a completa acțiunea statelor membre în materie de prevenire a amenințărilor cibernetice și de reacție la acestea, în special în cazul incidentelor transfrontaliere.

5.  Agenția contribuie la sporirea capabilităților de securitate cibernetică la nivelul Uniunii pentru a completa și consolida acțiunea statelor membre în materie de prevenire a amenințărilor cibernetice și de reacție la acestea, în special în cazul incidentelor transfrontaliere.

Amendamentul    34

Propunere de regulament

Articolul 4 – alineatul 6

Textul propus de Comisie

Amendamentul

6.  Agenția promovează recurgerea la certificare, inclusiv prin contribuția pe care și-o aduce la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii în conformitate cu titlul III din prezentul regulament, astfel încât asigurarea securității cibernetice a produselor și serviciilor TIC să devină mai transparentă, iar piața internă digitală să se bucure, astfel, de o mai mare încredere.

6.  Agenția promovează recurgerea la certificare, evitând fragmentarea provocată de lipsa de coordonare dintre sistemele de certificare existente în Uniune. Agenția contribuie la instituirea și întreținerea unui cadru de certificare de securitate cibernetică la nivelul Uniunii în conformitate cu articolele 43-54 (titlul III), astfel încât asigurarea securității cibernetice a produselor și serviciilor TIC să devină mai transparentă, iar piața unică digitală să se bucure, astfel, de o mai mare încredere.

Amendamentul    35

Propunere de regulament

Articolul 4 – alineatul 7

Textul propus de Comisie

Amendamentul

7.  Agenția promovează un nivel ridicat de sensibilizare a cetățenilor și întreprinderilor cu privire la aspectele legate de securitatea cibernetică.

7.  Agenția promovează un nivel ridicat de sensibilizare a cetățenilor, autorităților și întreprinderilor cu privire la aspectele legate de securitatea cibernetică.

Amendamentul    36

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 1

Textul propus de Comisie

Amendamentul

1.  acordând asistență și consiliere, în special sub formă de avize independente și de lucrări pregătitoare, cu privire la elaborarea și revizuirea politicii și legislației Uniunii în domeniul securității cibernetice, precum și prin inițiative politice și legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică;

1.  acordând asistență și consiliere cu privire la elaborarea și revizuirea politicii și legislației Uniunii în domeniul securității cibernetice, precum și prin inițiative politice și legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică;

Justificare

Agenția ar trebui să aibă la dispoziție o gamă variată de instrumente pentru a-și desfășura activitățile.

Amendamentul    37

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  acordând asistență Comitetului european pentru protecția datelor instituit prin Regulamentul (UE) 2016/679 în ceea ce privește elaborarea de orientări cu scopul de a preciza, la nivel tehnic, condițiile care permit utilizarea licită a datelor cu caracter personal de către operatorii de date pentru scopuri de securitate informatică, cu obiectivul de a proteja infrastructura lor prin detectarea și blocarea atacurilor împotriva sistemelor lor informatice în contextul: (i) Regulamentului (UE) 2016/6791a; (ii) Directivei (UE) 2016/11481b; și (iii) Directivei 2002/58/CE1c;

 

_________________

 

1a Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

 

1b Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).

 

1c Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice).

Justificare

Instituirea unor mecanisme de cooperare adecvate.

Amendamentul    38

Propunere de regulament

Articolul 5 – paragraful 1 – punctul 4 – subpunctul 2

Textul propus de Comisie

Amendamentul

(2)  promovarea unui nivel sporit de securitate a comunicațiilor electronice, inclusiv prin furnizarea de expertiză și de consiliere, precum și prin facilitarea schimbului de bune practici între autoritățile competente;

(2)  promovarea unui nivel sporit de securitate a comunicațiilor electronice, a stocării și a prelucrării datelor, inclusiv prin furnizarea de expertiză și de consiliere, precum și prin facilitarea schimbului de bune practici între autoritățile competente;

Amendamentul    39

Propunere de regulament

Articolul 6 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  Agenția facilitează crearea și lansarea unui proiect european pe termen lung privind securitatea informatică, pentru a sprijini dezvoltarea unui sector independent al UE în domeniul securității informatice și pentru a integra securitatea informatică în toate evoluțiile din sectorul TIC la nivelul UE.

Justificare

ENISA ar trebui să consilieze legiuitorii cu privire la pregătirea politicilor care să permită UE să ajungă la nivelul sectoarelor de securitate informatică din țările terțe. Proiectul ar trebui să fie comparabil, ca anvergură, cu ceea ce s-a realizat anterior în sectorul aviatic (exemplul Airbus). Acesta este necesar pentru a dezvolta o industrie TIC mai puternică, independentă și de încredere la nivelul UE [vezi studiul Unității de prospectivă științifică (STOA) PE 614.531]

Amendamentul    40

Propunere de regulament

Articolul 7 – alineatul 5 – paragraful 1

Textul propus de Comisie

Amendamentul

În urma unei cereri formulate de două sau mai multe state membre afectate și cu singurul scop de a furniza consiliere pentru prevenirea viitoarelor incidente, agenția acordă sprijin sau efectuează o anchetă tehnică ex post în urma notificărilor primite de întreprinderile afectate de incidente care au un impact semnificativ sau substanțial, în temeiul Directivei (UE) 2016/1148. De asemenea, agenția efectuează o astfel de anchetă numai în urma unei cereri justificate în mod corespunzător din partea Comisiei, cu acordul statelor membre în cauză, în situația în care astfel de incidente afectează mai mult de două state membre.

În urma unei cereri formulate de unul sau mai multe state membre afectate și cu singurul scop de a furniza consiliere pentru prevenirea viitoarelor incidente, agenția acordă sprijin sau efectuează o anchetă tehnică ex post în urma notificărilor primite de întreprinderile afectate de incidente care au un impact semnificativ sau substanțial, în temeiul Directivei (UE) 2016/1148. De asemenea, agenția efectuează o astfel de anchetă numai în urma unei cereri justificate în mod corespunzător din partea Comisiei, cu acordul statelor membre în cauză, în situația în care astfel de incidente afectează mai mult de două state membre.

Amendamentul    41

Propunere de regulament

Articolul 7 – alineatul 8 – litera a

Textul propus de Comisie

Amendamentul

(a)  agregarea rapoartelor autorităților naționale, cu scopul de a contribui la o conștientizare comună a situației;

(a)  agregarea rapoartelor ce provin din surse naționale și internaționale, cu scopul de a contribui la o apreciere comună a situației;

Amendamentul    42

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – subpunctul 1a (nou)

Textul propus de Comisie

Amendamentul

 

(1a)  realizarea, în cooperare cu Grupul european pentru certificarea de securitate cibernetică, a evaluărilor privind procedurile de eliberare a certificatelor europene de securitate cibernetică instituite de organismele de evaluare a conformității menționate la articolul 51, care vizează asigurarea aplicării uniforme a prezentului regulament la eliberarea certificatelor de către organismele de evaluare a conformității;

Amendamentul    43

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 1b (nou)

Textul propus de Comisie

Amendamentul

 

(1b)  efectuarea de verificări ex post periodice independente cu privire la conformitatea produselor și serviciilor TIC certificate cu sistemele europene de certificare de securitate cibernetică;

Amendamentul    44

Propunere de regulament

Articolul 8 – paragraful 1 – litera a – punctul 3

Textul propus de Comisie

Amendamentul

(3)  compilarea și publicarea de orientări și dezvoltarea de bune practici în ceea ce privește cerințele în materie de securitate cibernetică pentru produsele și serviciile TIC, în cooperare cu autoritățile naționale de supraveghere în domeniul certificării și cu reprezentanți ai sectorului;

(3)  compilarea și publicarea de orientări și dezvoltarea de bune practici, inclusiv în legătură cu principiile igienei cibernetice și cu descurajarea creării de uși secrete, în ceea ce privește cerințele în materie de securitate cibernetică pentru produsele și serviciile TIC, în cooperare cu autoritățile naționale de supraveghere în domeniul certificării și cu reprezentanți ai sectorului, în cadrul unui proces oficial, standardizat și transparent;

Amendamentul    45

Propunere de regulament

Articolul 8 – paragraful 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  facilitează stabilirea și adoptarea de standarde europene și internaționale pentru gestionarea riscurilor și pentru securitatea produselor și serviciilor TIC, precum și elaborarea, în colaborare cu statele membre, de avize și orientări în ceea ce privește domeniile tehnice legate de cerințele de securitate pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale, precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148;

(b)  consultă organizațiile de standardizare internaționale și cele europene cu privire la elaborarea unor standarde, pentru a garanta că standardele utilizate în sistemele europene de certificare de securitate cibernetică sunt adecvate și facilitează stabilirea și adoptarea de standarde europene și internaționale pertinente pentru gestionarea riscurilor și pentru securitatea produselor și serviciilor TIC, precum și elaborarea, în colaborare cu statele membre, de avize și orientări în ceea ce privește domeniile tehnice legate de cerințele de securitate pentru operatorii de servicii esențiale și pentru furnizorii de servicii digitale, precum și în ceea ce privește standardele deja existente, inclusiv standardele naționale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148;

Amendamentul    46

Propunere de regulament

Articolul 8 – paragraful 1 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  elaborează orientări privind modul și momentul în care statele membre trebuie să se informeze reciproc atunci când au cunoștință despre o vulnerabilitate care nu este cunoscută public a unui proces, produs sau serviciu TIC certificat în conformitate cu titlul III din prezentul regulament, inclusiv orientări privind coordonarea politicilor de comunicare a vulnerabilităților;

Amendamentul    47

Propunere de regulament

Articolul 8 – paragraful 1 – litera bb (nouă)

Textul propus de Comisie

Amendamentul

 

(bb)  elaborează orientări privind cerințele minime de securitate pentru dispozitivele informatice introduse pe piață în Uniune sau exportate din Uniune;

Amendamentul    48

Propunere de regulament

Articolul 9 – paragraful 1 – litera d

Textul propus de Comisie

Amendamentul

(d)  colectează, organizează și pune la dispoziția publicului, prin intermediul unui portal dedicat, informații privind securitatea cibernetică, furnizate de instituțiile, agențiile și organele Uniunii;

(d)  colectează, organizează și pune la dispoziția publicului, prin intermediul unui portal dedicat, informații privind securitatea cibernetică furnizate de instituțiile, agențiile și organele Uniunii, inclusiv informații cu privire la incidentele de securitate cibernetică semnificative și la cazurile majore de încălcare a securității datelor;

Amendamentul    49

Propunere de regulament

Articolul 9 – paragraful 1 – litera e

Textul propus de Comisie

Amendamentul

(e)  sensibilizează publicul cu privire la riscurile de securitate cibernetică și furnizează orientări cu privire la bune practici pentru utilizatorii individuali, destinate cetățenilor și organizațiilor;

(e)  sensibilizează publicul cu privire la riscurile de securitate cibernetică, formulează orientări cu privire la bune practici pentru utilizatorii individuali, destinate cetățenilor și organizațiilor, și promovează adoptarea unor măsuri preventive eficace de securitate informatică și a unor măsuri fiabile de protecție a datelor și a vieții private;

Amendamentul    50

Propunere de regulament

Articolul 9 – paragraful 1 – litera ga (nouă)

Textul propus de Comisie

Amendamentul

 

(ga)  susține o cooperare mai strânsă și schimburi de bune practici între statele membre privind educația și sensibilizarea cu privire la securitatea cibernetică și la igiena cibernetică;

Amendamentul    51

Propunere de regulament

Articolul 10 – paragraful 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  consiliază Uniunea și statele membre cu privire la necesitățile și prioritățile în materie de cercetare în domeniul securității cibernetice pentru a face posibile răspunsuri eficace la riscurile și amenințările actuale și emergente, inclusiv în privința tehnologiilor informației și comunicațiilor noi și emergente, și pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;

(a)  asigură consultări prealabile cu grupurile relevante de utilizatori și consiliază Uniunea și statele membre cu privire la necesitățile și prioritățile în materie de cercetare în domeniul securității cibernetice pentru a face posibile răspunsuri eficace la riscurile și amenințările actuale și emergente, inclusiv în privința tehnologiilor informației și comunicațiilor noi și emergente, și pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;

Amendamentul    52

Propunere de regulament

Articolul 13 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Consiliul de administrație este compus din câte un reprezentant al fiecărui stat membru și din doi reprezentanți numiți de Comisie. Toți reprezentanții au drept de vot.

1.  Consiliul de administrație este compus din câte un reprezentant al fiecărui stat membru și din doi reprezentanți numiți de Comisie și de Parlamentul European. Toți reprezentanții au drept de vot.

Amendamentul    53

Propunere de regulament

Articolul 14 – paragraful 1 – litera e

Textul propus de Comisie

Amendamentul

e)  evaluează și adoptă raportul anual consolidat privind activitățile agenției și transmite Parlamentului European, Consiliului, Comisiei și Curții de Conturi, până la data de 1 iulie a anului următor, atât raportul, cât și evaluarea lui. Raportul anual include conturile agenției și descrie modul în care aceasta și-a atins indicatorii de performanță. Raportul anual este făcut public;

e)  evaluează și adoptă raportul anual consolidat privind activitățile agenției și transmite Parlamentului European, Consiliului, Comisiei și Curții de Conturi, până la data de 1 iulie a anului următor, atât raportul, cât și evaluarea lui. Raportul anual include conturile agenției, descrie eficiența cheltuielilor și evaluează eficiența agenției și măsura în care aceasta și-a îndeplinit indicatorii de performanță. Raportul anual este făcut public;

Amendamentul    54

Propunere de regulament

Articolul 14 – alineatul 1 – litera m

Textul propus de Comisie

Amendamentul

(m)  numește directorul executiv și, după caz, îi prelungește mandatul sau îl demite din funcție, în conformitate cu articolul 33 din prezentul regulament;

(m)  numește directorul executiv printr-o selecție pe baza criteriilor profesionale și, după caz, îi prelungește mandatul sau îl demite din funcție, în conformitate cu articolul 33 din prezentul regulament;

Amendamentul    55

Propunere de regulament

Articolul 14 – alineatul 1 – litera o

Textul propus de Comisie

Amendamentul

o)  ia toate deciziile privind instituirea structurilor interne ale agenției și, dacă este necesar, privind modificarea acestora, luând în considerare nevoile activității agenției și având în vedere buna gestiune bugetară;

o)  ia toate deciziile privind instituirea structurilor interne ale agenției și, dacă este necesar, privind modificarea acestora, luând în considerare nevoile activității agenției, astfel cum sunt menționate în prezentul regulament, și având în vedere buna gestiune bugetară;

Amendamentul    56

Propunere de regulament

Articolul 19 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Directorul executiv prezintă Parlamentului European un raport privind modul în care și-a îndeplinit atribuțiile, atunci când este invitat să facă acest lucru. Consiliul poate solicita directorului executiv să prezinte un raport cu privire la îndeplinirea atribuțiilor sale.

2.  Directorul executiv prezintă Parlamentului European în fiecare an sau atunci când este invitat să facă acest lucru un raport privind modul în care și-a îndeplinit atribuțiile. Consiliul îl poate invita pe directorul executiv să prezinte un raport referitor la modul în care și-a îndeplinit atribuțiile.

Amendamentul    57

Propunere de regulament

Articolul 20 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  La propunerea directorului executiv, consiliul de administrație instituie un grup permanent al părților interesate, alcătuit din experți recunoscuți care reprezintă părțile interesate relevante, cum ar fi sectorul TIC, furnizorii de rețele sau de servicii de comunicații electronice accesibile publicului, grupurile de consumatori, experții universitari în domeniul securității cibernetice și reprezentanți ai autorităților competente notificate în temeiul [Directivei de instituire a Codului European al Comunicațiilor Electronice], precum și autoritățile de aplicare a legii și cele de supraveghere a protecției datelor.

1.  La propunerea directorului executiv, consiliul de administrație instituie un grup permanent al părților interesate, alcătuit din experți recunoscuți care reprezintă părțile interesate relevante, cum ar fi sectorul TIC, și furnizorii de rețele sau de servicii de comunicații electronice accesibile publicului, în special sectorul și furnizorii TIC europeni, asociațiile de întreprinderi mici și mijlocii, grupurile și asociațiile de consumatori, experții universitari în domeniul securității cibernetice, organizațiile de standardizare europene, astfel cum sunt definite la articolul 2 punctul 8 din Regulamentul (UE) nr. 1025/2012, organele și agențiile Uniunii relevante din sector și reprezentanți ai autorităților competente notificate în temeiul [Directivei de instituire a Codului European al Comunicațiilor Electronice], precum și autoritățile de aplicare a legii și cele de supraveghere a protecției datelor.

Amendamentul    58

Propunere de regulament

Articolul 20 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Mandatul membrilor grupului permanent al părților interesate este de doi ani și jumătate. Membrii consiliului de administrație nu pot fi membri ai grupului permanent al părților interesate. Experții Comisiei și ai statelor membre au dreptul de a participa la reuniunile grupului permanent al părților interesate și la activitățile acestuia. Reprezentanții altor organisme considerate relevante de către directorul executiv, care nu au calitatea de membri ai grupului permanent al părților interesate, pot fi invitați să participe la reuniunile grupului permanent al părților interesate și la activitățile acestuia.

4.  Mandatul membrilor grupului permanent al părților interesate este de doi ani și jumătate. Membrii consiliului de administrație și ai comitetului executiv, cu excepția directorului executiv, nu pot fi membri ai grupului permanent al părților interesate. Experții Comisiei și ai statelor membre au dreptul de a participa la reuniunile grupului permanent al părților interesate și la activitățile acestuia. Reprezentanții altor organisme considerate relevante de către directorul executiv, care nu au calitatea de membri ai grupului permanent al părților interesate, pot fi invitați să participe la reuniunile grupului permanent al părților interesate și la activitățile acestuia.

Amendamentul    59

Propunere de regulament

Articolul 20 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Grupul permanent al părților interesate acordă consiliere agenției în exercitarea activităților sale. Acesta acordă consiliere în special directorului executiv în ceea ce privește elaborarea unei propuneri de program de activitate al agenției și asigurarea comunicării cu părțile interesate relevante referitor la toate aspectele legate de programul de activitate.

5.  Grupul permanent al părților interesate acordă consiliere agenției în exercitarea activităților sale. Acesta acordă consiliere în special directorului executiv în ceea ce privește elaborarea unei propuneri de program de activitate al agenției și asigurarea comunicării cu părțile interesate relevante referitor la toate aspectele legate de programul de activitate. Grupul permanent al părților interesate poate propune, de asemenea, ca Comisia să solicite agenției să pregătească propuneri de sisteme europene de certificare de securitate cibernetică în conformitate cu articolul 44, fie din proprie inițiativă, fie ca urmare a trimiterii unor propuneri în acest sens de către părțile interesate relevante.

Amendamentul    60

Propunere de regulament

Articolul 20 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a.  Grupul permanent al părților interesate acordă consiliere agenției în exercitarea activităților sale.

Amendamentul    61

Propunere de regulament

Articolul 23 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Agenția se asigură că publicului și tuturor părților interesate li se furnizează informații adecvate, obiective, fiabile și ușor accesibile, în special în ceea ce privește rezultatele activității sale. De asemenea, agenția face publice declarațiile de interese întocmite în conformitate cu articolul 22.

2.  Agenția se asigură că publicului și tuturor părților interesate li se furnizează informații adecvate, obiective, fiabile și ușor accesibile, în special în ceea ce privește dezbaterile și rezultatele activității sale. De asemenea, agenția face publice declarațiile de interese întocmite în conformitate cu articolul 22.

Justificare

Trebuie să se asigure transparența, ținând cont de articolul 24.

Amendamentul    62

Propunere de regulament

Articolul 43 – paragraful 1

Textul propus de Comisie

Amendamentul

Un sistem european de certificare de securitate cibernetică atestă că produsele și serviciile TIC care au fost certificate în conformitate cu sistemul respectiv sunt conforme cu cerințele specificate în ceea ce privește capacitatea acestora de a rezista, la un anumit nivel de asigurare, la acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori prelucrate sau funcțiile ori serviciile oferite de aceste produse, servicii și sisteme sau accesibile prin intermediul lor.

Se instituie un sistem european de certificare de securitate cibernetică pentru a se îmbunătăți nivelul de securitate în cadrul pieței unice digitale și pentru a se adopta o abordare armonizată la nivelul UE față de certificarea europeană, în scopul asigurării rezistenței produselor, serviciilor și sistemelor TIC în fața atacurilor cibernetice.

Acest sistem atestă că procesele, produsele și serviciile TIC care au fost certificate în conformitate cu sistemul respectiv sunt conforme cu cerințele și proprietățile comune stabilite în ceea ce privește capacitatea lor de a rezista, la un anumit nivel de asigurare, în fața unor acțiuni care au scopul de a compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise ori prelucrate sau funcțiile ori serviciile oferite de aceste procese, produse, servicii și sisteme sau accesibile prin intermediul lor.

Amendamentul    63

Propunere de regulament

Articolul 43 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 43a

 

Programul de activitate

 

După ce se consultă cu Grupul european pentru certificarea de securitate cibernetică și cu Grupul permanent al părților interesate și după ce Comisia își dă aprobarea, ENISA stabilește un program de activitate care conține acțiunile comune ce trebuie întreprinse la nivelul Uniunii pentru a se asigura aplicarea consecventă a prezentului titlu, precum și o listă a produselor și serviciilor TIC prioritare pentru care consideră că este necesar un sistem european de certificare de securitate cibernetică.

 

Programul de activitate este stabilit cel târziu în termen de [șase luni de la intrarea în vigoare a prezentului regulament], iar o dată la doi ani după aceasta se stabilește un nou program de activitate. Programul de activitate este pus la dispoziția publicului.

Amendamentul    64

Propunere de regulament

Articolul 44 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  În urma unei solicitări din partea Comisiei, ENISA pregătește o propunere de sistem european de certificare de securitate cibernetică ce îndeplinește cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament. Statele membre sau Grupul pentru certificare europeană de securitate cibernetică (denumit în continuare „Grupul”) instituit în temeiul articolului 53 pot propune Comisiei pregătirea unei propuneri de sistem european de certificare de securitate cibernetică.

1.  În urma unei solicitări din partea Comisiei, ENISA pregătește o propunere de sistem european de certificare de securitate cibernetică ce îndeplinește cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament. Statele membre, Grupul european pentru certificarea de securitate cibernetică (denumit în continuare „Grupul”) instituit în temeiul articolului 53 sau Grupul permanent al părților interesate instituit în temeiul articolului 20 pot propune Comisiei pregătirea unei propuneri de sistem european de certificare de securitate cibernetică.

Amendamentul    65

Propunere de regulament

Articolul 44 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Atunci când pregătește propunerile de sisteme menționate la alineatul (1) din prezentul articol, ENISA consultă toate părțile interesate relevante și cooperează îndeaproape cu Grupul. Grupul furnizează pentru ENISA asistența și consilierea de specialitate solicitate de aceasta în ceea ce privește pregătirea propunerii de sistem, inclusiv prin furnizarea de avize atunci când este necesar.

2.  Atunci când pregătește propunerile de sisteme menționate la alineatul (1) din prezentul articol, ENISA consultă Grupul permanent al părților interesate, în special organizațiile de standardizare europene, precum și toate celelalte părți interesate relevante, inclusiv organizațiile de consumatori, în cadrul unui proces formal, standardizat și transparent și cooperează îndeaproape cu Grupul, ținând seama de standardele existente deja la nivel național și internațional. Atunci când pregătește fiecare propunere de sistem, ENISA elaborează o listă de verificare a riscurilor și a caracteristicilor de securitate cibernetică aferente.

 

Grupul îi acordă ENISA asistența și consilierea de specialitate solicitate de aceasta în ceea ce privește pregătirea propunerii de sistem, inclusiv prin formularea de avize atunci când este necesar.

 

Atunci când este necesar, ENISA poate institui, de asemenea, un grup consultativ de experți din rândul părților interesate, compus din membri ai Grupului permanent al părților interesate și ai oricăror alte părți interesate relevante cu competențe de specialitate specifice în domeniul vizat de o anumită propunere de sistem, care acordă asistență și consiliere suplimentare.

Amendamentul    66

Propunere de regulament

Articolul 44 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  ENISA transmite Comisiei propunerea de sistem european de certificare de securitate cibernetică, pregătită în conformitate cu alineatul (2) din prezentul articol.

3.  ENISA transmite Comisiei propunerea de sistem european de certificare de securitate cibernetică, pregătită în conformitate cu alineatul (2) din prezentul articol, iar Comisia apreciază dacă aceasta este adecvată pentru realizarea obiectivelor aferente solicitării menționate la alineatul (1).

Amendamentul    67

Propunere de regulament

Articolul 44 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

3a.  ENISA respectă secretul profesional în ceea ce privește toate informațiile obținute în cadrul îndeplinirii sarcinilor care îi revin în temeiul prezentului regulament.

Amendamentul    68

Propunere de regulament

Articolul 44 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Comisia, pe baza propunerii de sistem prezentate de ENISA, poate adopta acte de punere în aplicare, în conformitate cu articolul 55 alineatul (1), care să prevadă sisteme europene de certificare de securitate cibernetică pentru produsele și serviciile TIC, care îndeplinesc cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament.

4.  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 55a în ceea ce privește instituirea de sisteme europene de certificare de securitate cibernetică pentru produsele și serviciile TIC, care îndeplinesc cerințele prevăzute la articolele 45, 46 și 47 din prezentul regulament. La adoptarea actelor delegate respective, Comisia bazează sistemele de certificare de securitate cibernetică pentru produsele și serviciile TIC pe orice propunere de sistem relevantă prezentată de ENISA. Comisia poate consulta Comitetul european pentru protecția datelor și poate ține seama de opinia acestuia înainte de a adopta actele delegate în cauză.

Amendamentul    69

Propunere de regulament

Articolul 44 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  ENISA întreține un site web dedicat care oferă informații și publicitate privind sistemele europene de certificare de securitate cibernetică.

5.  ENISA întreține un site web dedicat care oferă informații și publicitate privind sistemele europene de certificare de securitate cibernetică, inclusiv informații privind toate propunerile de sistem care trebuie pregătite de ENISA la solicitarea Comisiei.

Amendamentul    70

Propunere de regulament

Articolul 45 – paragraful 1 – partea introductivă

Textul propus de Comisie

Amendamentul

Un sistem european de certificare de securitate cibernetică este conceput astfel încât să ia în considerare, după caz, următoarele obiective de securitate:

Fiecare sistem european de certificare de securitate cibernetică este conceput astfel încât să ia în considerare cel puțin următoarele obiective de securitate, în măsura în care acestea sunt pertinente:

Amendamentul    71

Propunere de regulament

Articolul 45 – paragraful 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  să asigure că produsele și serviciile TIC sunt furnizate cu un software actualizat care nu conține vulnerabilități cunoscute și că sunt prevăzute mecanisme pentru actualizări securizate ale software-ului.

(g)  să asigure că produsele și serviciile TIC sunt furnizate cu un software și cu echipamente actuale care nu conțin vulnerabilități cunoscute; să asigure că acestea sunt concepute și implementate astfel încât să se limiteze în mod eficace sensibilitatea lor în fața vulnerabilităților și că sunt prevăzute cu mecanisme pentru actualizarea securizată a softului, inclusiv pentru modernizarea echipamentelor și actualizarea automată a elementelor de securitate;

Amendamentul    72

Propunere de regulament

Articolul 45 – paragraful 1 – litera ga (nouă)

Textul propus de Comisie

Amendamentul

 

(ga)  să asigure că produsele și serviciile TIC sunt elaborate și utilizate astfel încât să fie configurat în prealabil un nivel înalt de securitate cibernetică și de protecție a datelor, în conformitate cu principiul „securitate din stadiul conceperii”.

Amendamentul    73

Propunere de regulament

Articolul 46 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Un sistem european de certificare de securitate cibernetică poate stabili unul sau mai multe dintre următoarele niveluri de asigurare: de bază, substanțial și/sau ridicat, pentru produsele și serviciile TIC din cadrul sistemului respectiv.

1.  Fiecare sistem european de certificare de securitate cibernetică poate stabili unul sau mai multe dintre următoarele niveluri de asigurare bazată pe riscuri: „sigur la nivel funcțional”, „siguranță considerabilă” și/sau „foarte sigur”, pentru produsele și serviciile TIC din cadrul sistemului respectiv.

 

Nivelul de asigurare pentru fiecare propunere de sistem european de certificare de securitate cibernetică se stabilește pe baza riscurilor incluse în lista de verificare prevăzută la articolul 44 alineatul (2) și a disponibilității măsurilor de securitate cibernetică menite să contracareze aceste riscuri în produsele și serviciile TIC cărora li se aplică sistemul de certificare.

Amendamentul    74

Propunere de regulament

Articolul 46 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

1a.  Fiecare sistem indică metodologia de evaluare sau procesul de evaluare care trebuie urmat pentru emiterea de certificate la fiecare nivel de asigurare, în funcție de utilizarea preconizată și de riscul inerent produselor și serviciilor TIC în cadrul acestui sistem.

Amendamentul    75

Propunere de regulament

Articolul 46 – alineatul 2 – partea introductivă

Textul propus de Comisie

Amendamentul

2.  Nivelurile de asigurare de bază, substanțial și ridicat îndeplinesc următoarele criterii:

2.  Nivelurile de asigurare „sigur la nivel funcțional”, „siguranță considerabilă” și/sau „foarte sigur” îndeplinesc următoarele criterii:

Amendamentul    76

Propunere de regulament

Articolul 46 – alineatul 2 – litera a

Textul propus de Comisie

Amendamentul

(a)  nivelul de asigurare de bază se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad limitat de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a reduce riscul de incidente de securitate cibernetică;

(a)  nivelul de asigurare „sigur la nivel funcțional” se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică, care asigură un nivel corespunzător de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică a unui proces, produs sau serviciu TIC și este caracterizat în raport cu specificațiile, standardele și procedurile tehnice conexe, inclusiv controalele tehnice, al căror scop este de a reduce riscul de incidente de securitate cibernetică;

Amendamentul    77

Propunere de regulament

Articolul 46 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b)  nivelul de asigurare substanțial se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad substanțial de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a reduce substanțial riscul de incidente de securitate cibernetică;

(b)  nivelul de asigurare „siguranță considerabilă” se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică, care asigură un nivel considerabil de încredere în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică a unui proces, produs sau serviciu TIC și este caracterizat în raport cu specificațiile, standardele și procedurile tehnice conexe, inclusiv controalele tehnice, al căror scop este de a reduce în mod considerabil riscul de incidente de securitate cibernetică;

Amendamentul    78

Propunere de regulament

Articolul 46 – alineatul 2 – litera c

Textul propus de Comisie

Amendamentul

(c)  nivelul de asigurare ridicat se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică ce asigură un grad mai ridicat de încredere, față de certificatele având un nivel de asigurare substanțial, în calitățile pretinse sau declarate în ceea ce privește securitatea cibernetică ale unui produs sau serviciu TIC și este caracterizat prin trimitere la specificații tehnice, la standarde și la proceduri conexe, inclusiv la controale tehnice, al căror scop este de a preveni riscul de incidente de securitate cibernetică;

(c)  nivelul de asigurare „foarte sigur” se referă la un certificat emis în contextul unui sistem european de certificare de securitate cibernetică, care asigură un nivel de încredere mai ridicat în calitățile pretinse sau declarate ale unui proces, produs sau serviciu TIC decât certificatele cu nivelul „siguranță considerabilă” și este caracterizat în raport cu specificațiile, standardele și procedurile tehnice conexe, inclusiv controalele tehnice, al căror scop este evitarea incidentelor de securitate cibernetică. Acest nivel se aplică în special produselor și serviciilor destinate operatorilor de servicii esențiale, conform definiției de la articolul 4 punctul 4 din Directiva 2016/1148/UE.

Amendamentul    79

Propunere de regulament

Articolul 47 – alineatul 1 – partea introductivă

Textul propus de Comisie

Amendamentul

1.  Un sistem european de certificare de securitate cibernetică include următoarele elemente:

1.  Fiecare sistem european de certificare de securitate cibernetică include cel puțin următoarele elemente, dacă este cazul:

Amendamentul    80

Propunere de regulament

Articolul 47 – alineatul 1 – litera a

Textul propus de Comisie

Amendamentul

(a)  obiectul și domeniul de aplicare al certificării, inclusiv tipul sau categoriile de produse și servicii TIC acoperite;

(a)  obiectul și domeniul de aplicare al sistemului de certificare, inclusiv eventualele sectoare specifice vizate, și tipul sau categoriile de produse și servicii TIC vizate;

Amendamentul    81

Propunere de regulament

Articolul 47 – alineatul 1 – litera b

Textul propus de Comisie

Amendamentul

(b)  specificarea detaliată a cerințelor de securitate cibernetică în raport cu care sunt evaluate produsele și serviciile TIC în cauză, de exemplu prin trimitere la standarde sau specificații tehnice ale Uniunii sau internaționale;

(b)  specificarea detaliată a cerințelor de securitate cibernetică în raport cu care sunt evaluate produsele și serviciile TIC în cauză, în special prin trimitere la standarde sau specificații tehnice internaționale, europene sau naționale;

Amendamentul    82

Propunere de regulament

Articolul 47 – alineatul 1 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  specificarea detaliată a aspectului dacă o certificare acordată se poate aplica unui singur produs sau dacă poate fi aplicată unei game de produse, de exemplu unor diferite versiuni sau modele ale aceleiași structuri de bază a unui produs;

Amendamentul    83

Propunere de regulament

Articolul 47 – alineatul 1 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  precizarea faptului dacă în cadrul sistemului se permite declararea conformității pe proprie răspundere și precizarea procedurii aplicabile pentru evaluarea conformității sau pentru declararea conformității pe proprie răspundere sau pentru ambele;

Amendamentul    84

Propunere de regulament

Articolul 47 – alineatul 1 – litera cb (nouă)

Textul propus de Comisie

Amendamentul

 

(cb)  cerințele de certificare definite astfel încât certificarea să poată fi încorporată în procesele sistematice de securitate cibernetică urmate de producător pe durata proiectării, dezvoltării și a ciclului de viață al produsului, produsului sau serviciului TIC sau să se bazeze pe acestea;

Amendamentul    85

Propunere de regulament

Articolul 47 – alineatul 1 – litera f

Textul propus de Comisie

Amendamentul

(f)  în cazul în care sistemul prevede mărci sau etichete, condițiile în care pot fi utilizate aceste mărci sau etichete;

(f)  în cazul în care sistemul prevede mărci sau etichete, cum ar fi o etichetă a UE de conformitate în materie de securitate cibernetică prin care se indică faptul că un proces, produs sau serviciu TIC respectă criteriile unui sistem, și condițiile în care pot fi utilizate aceste mărci sau etichete;

Amendamentul    86

Propunere de regulament

Articolul 47 – alineatul 1 – litera g

Textul propus de Comisie

Amendamentul

(g)  în cazul în care supravegherea face parte din sistem, normele pentru monitorizarea conformității cu cerințele certificatelor, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerințele de securitate cibernetică specificate;

(g)  normele pentru monitorizarea conformității cu cerințele certificatelor, inclusiv mecanisme care să demonstreze conformitatea neîntreruptă cu cerințele de securitate cibernetică specificate, cum ar fi, atunci când este relevant și fezabil, prin actualizări, modernizări sau corecții obligatorii ale procesului, produsului sau serviciului TIC în cauză;

Amendamentul    87

Propunere de regulament

Articolul 47 – alineatul 1 – litera h

Textul propus de Comisie

Amendamentul

(h)  condițiile de acordare, menținere, continuare, extindere și restrângere a domeniului de aplicare al certificării;

(h)  condițiile de acordare, menținere, continuare, reînnoire, extindere și restrângere a domeniului de aplicare al certificării;

Amendamentul    88

Propunere de regulament

Articolul 47 – alineatul 1 – litera i

Textul propus de Comisie

Amendamentul

(i)  normele privind consecințele neconformității cu cerințele de certificare a produselor și serviciilor TIC certificate;

(i)  normele privind consecințele neconformității cu cerințele de certificare a produselor și serviciilor TIC certificate și informații generale privind sancțiunile, astfel cum se prevede la articolul 54 din prezentul regulament;

Amendamentul    89

Propunere de regulament

Articolul 47 – alineatul 1 – litera j

Textul propus de Comisie

Amendamentul

(j)  normele privind modalitățile de raportare și soluționare a vulnerabilităților în materie de securitate cibernetică nedetectate anterior ale unor produse și servicii TIC;

(j)  normele privind modalitățile de raportare și soluționare a vulnerabilităților în materie de securitate cibernetică nedetectate anterior ale unor produse și servicii TIC, inclusiv prin procese coordonate de anunțare a vulnerabilităților;

Amendamentul    90

Propunere de regulament

Articolul 47 – alineatul 1 – litera l

Textul propus de Comisie

Amendamentul

(l)  identificarea sistemelor naționale de certificare de securitate cibernetică care acoperă aceleași tipuri sau categorii de produse și servicii TIC;

(l)  identificarea sistemelor naționale sau internaționale de certificare de securitate cibernetică sau a acordurilor internaționale de recunoaștere reciprocă aflate în vigoare, care acoperă aceleași tipuri sau categorii de produse și servicii TIC;

Amendamentul    91

Propunere de regulament

Articolul 47 – alineatul 1 – litera ma (nouă)

Textul propus de Comisie

Amendamentul

 

(ma)  perioada maximă de valabilitate a certificatelor;

Amendamentul    92

Propunere de regulament

Articolul 47 – alineatul 1 – litera mb (nouă)

Textul propus de Comisie

Amendamentul

 

(mb)  normele privind testele de rezistență și reziliență pentru nivelul de asigurare „foarte sigur”.

Amendamentul    93

Propunere de regulament

Articolul 47 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  În cazul în care un act specific al Uniunii prevede acest lucru, certificarea în cadrul unui sistem european de certificare de securitate cibernetică poate fi utilizată pentru a demonstra prezumția de conformitate cu cerințele din acel act.

3.  În cazul în care un viitor act specific al Uniunii prevede acest lucru, certificarea în cadrul unui sistem european de certificare de securitate cibernetică poate fi utilizată pentru a demonstra prezumția de conformitate cu cerințele din acel act.

Amendamentul    94

Propunere de regulament

Articolul 48 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Certificarea este voluntară, cu excepția cazului în care se prevede altfel în legislația Uniunii.

2.  Certificarea în cadrul unui sistem european de certificare de securitate cibernetică este obligatorie pentru produsele și serviciile TIC caracterizate de un risc inerent ridicat, care sunt destinate în mod specific operatorilor de servicii esențiale, conform definiției de la articolul 4 alineatul (4) din Directiva 2016/1148/UE. Pentru toate celelalte produse și servicii TIC, certificarea este voluntară, cu excepția cazului în care se prevede altfel în legislația Uniunii.

Amendamentul    95

Propunere de regulament

Articolul 48 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Organismele de evaluare a conformității menționate la articolul 51 emit un certificat european de securitate cibernetică în temeiul prezentului articol pe baza criteriilor incluse în sistemul european de certificare de securitate cibernetică adoptat în temeiul articolului 44.

3.  Organismele de evaluare a conformității menționate la articolul 51 emit certificate europene de securitate cibernetică în temeiul prezentului articol pe baza criteriilor incluse în sistemul european de certificare de securitate cibernetică adoptat în temeiul articolului 44.

 

Drept alternativă la certificarea de către organismele de evaluare a conformității și dacă sistemul în cauză prevede această posibilitate, fabricanții de produse și prestatorii de servicii pot să declare conformitatea pe proprie răspundere, declarând că un proces, un produs sau un serviciu respectă criteriile sistemului de certificare. În aceste cazuri, fabricantul produsului sau prestatorul serviciului în cauză transmite, la cerere, declarația de conformitate pe proprie răspundere autorității de supraveghere pentru certificarea la nivel național care o solicită sau ENISA.

Amendamentul    96

Propunere de regulament

Articolul 48 – alineatul 4 – partea introductivă

Textul propus de Comisie

Amendamentul

4.  Prin derogare de la dispozițiile alineatului (3), în cazurile justificate în mod corespunzător, un anumit sistem european de securitate cibernetică poate prevedea că un certificat european de securitate cibernetică ce rezultă din acel sistem poate fi emis numai de un organism public. Acest organism public este una din următoarele entități:

4.  Prin derogare de la dispozițiile alineatului (3), în cazurile justificate în mod corespunzător, cum ar fi din motive de securitate națională, un anumit sistem european de certificare de securitate cibernetică poate prevedea că un certificat european de securitate cibernetică ce rezultă din acel sistem poate fi emis numai de un organism public. Acest organism public este una din următoarele entități:

Amendamentul    97

Propunere de regulament

Articolul 48 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Persoana fizică sau juridică ale cărei produse sau servicii TIC sunt supuse mecanismului de certificare furnizează organismului de evaluare a conformității menționat la articolul 51 toate informațiile necesare pentru desfășurarea procedurii de certificare.

5.  Persoana fizică sau juridică ale cărei produse sau servicii TIC sunt supuse mecanismului de certificare furnizează organismului de evaluare a conformității menționat la articolul 51 toate informațiile necesare pentru desfășurarea procedurii de certificare, inclusiv informații cu privire la eventuale vulnerabilități de securitate cunoscute.

Amendamentul    98

Propunere de regulament

Articolul 48 – alineatul 6

Textul propus de Comisie

Amendamentul

6.  Certificatele se emit pentru o perioadă maximă de trei ani și pot fi reînnoite în aceleași condiții, numai dacă sunt îndeplinite în continuare cerințele relevante.

6.  Certificatele se emit și rămân valabile pentru o perioadă maximă stabilită de către fiecare sistem de certificare și pot fi reînnoite în aceleași condiții, numai dacă sunt îndeplinite în continuare cerințele pertinente ale respectivului sistem, inclusiv eventuale versiuni revizuite sau modificate ale cerințelor.

Amendamentul    99

Propunere de regulament

Articolul 48 – alineatul 6 a (nou)

Textul propus de Comisie

Amendamentul

 

6a.  Certificatele rămân valabile pentru toate versiunile noi ale unui proces, produs sau serviciu, în cazul în care motivul principal pentru noua versiune este acela de a corecta, remedia sau soluționa în alt mod vulnerabilitățile sau amenințările cunoscute sau potențiale în materie de securitate.

Amendamentul    100

Propunere de regulament

Articolul 49 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Fără a se aduce atingere dispozițiilor de la alineatul (3), sistemele naționale de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică încetează să mai producă efecte de la data stabilită în actul de punere în aplicare adoptat în temeiul articolului 44 alineatul (4). Sistemele naționale existente de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care nu fac obiectul unui sistem european de certificare de securitate cibernetică continuă să existe.

1.  Fără a se aduce atingere dispozițiilor de la alineatul (3), sistemele naționale de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care fac obiectul unui sistem european de certificare de securitate cibernetică încetează să mai producă efecte de la data stabilită în actul delegat adoptat în temeiul articolului 44 alineatul (4). Comisia monitorizează conformitatea cu prezentul paragraf, pentru a se evita existența simultană a mai multor sisteme. Sistemele naționale existente de certificare de securitate cibernetică și procedurile aferente pentru produsele și serviciile TIC care nu fac obiectul unui sistem european de certificare de securitate cibernetică continuă să existe.

Amendamentul    101

Propunere de regulament

Articolul 49 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Certificatele existente emise în temeiul sistemelor naționale de certificare de securitate cibernetică rămân valabile până la data expirării lor.

3.  Certificatele existente emise în temeiul sistemelor naționale de certificare de securitate cibernetică și vizate de un sistem european de certificare de securitate cibernetică rămân valabile până la data expirării lor.

Amendamentul    102

Propunere de regulament

Articolul 50 – alineatul 3

Textul propus de Comisie

Amendamentul

3.  Fiecare autoritate națională de supraveghere în materie de certificare este independentă în ceea ce privește organizarea, deciziile de finanțare, structura juridică și luarea de decizii, de entitățile pe care le supraveghează.

3.  Fiecare autoritate națională de supraveghere în materie de certificare este independentă în ceea ce privește organizarea, deciziile de finanțare, structura juridică și luarea de decizii, de entitățile pe care le supraveghează și nu este un organism de evaluare a conformității sau un organism național de acreditare.

Amendamentul    103

Propunere de regulament

Articolul 50 – alineatul 6 – litera a

Textul propus de Comisie

Amendamentul

(a)  monitorizează și asigură aplicarea dispozițiilor de la prezentul titlu la nivel național și supraveghează conformitatea certificatelor emise de organismele de evaluare a conformității stabilite pe teritoriile lor cu cerințele stabilite în prezentul titlu și în sistemul european de certificare de securitate cibernetică corespunzător;

(a)  monitorizează și asigură aplicarea dispozițiilor de la prezentul titlu la nivel național și supraveghează conformitatea, cu respectarea normelor adoptate de către Grupul european de certificare de securitate cibernetică în temeiul articolului 53 alineatul (3) litera (da):

 

i)  a certificatelor emise de organismele de evaluare a conformității stabilite pe teritoriile lor cu cerințele stabilite în prezentul titlu și în sistemul european de certificare de securitate cibernetică corespunzător și

 

ii)  a declarațiilor de conformitate pe proprie răspundere emise în cadrul unui sistem, care vizează un proces, un produs sau un serviciu TIC;

Amendamentul    104

Propunere de regulament

Articolul 50 – alineatul 6 – litera b

Textul propus de Comisie

Amendamentul

(b)  monitorizează și supraveghează activitățile organismelor de evaluare a conformității în scopul prezentului regulament, inclusiv în ceea ce privește notificarea organismelor de evaluare a conformității și sarcinile conexe prevăzute la articolul 52 din prezentul regulament;

(b)  monitorizează, supraveghează și, cel puțin o dată la doi ani, evaluează activitățile organismelor de evaluare a conformității în scopul prezentului regulament, inclusiv în ceea ce privește notificarea organismelor de evaluare a conformității și sarcinile conexe prevăzute la articolul 52 din prezentul regulament;

Amendamentul    105

Propunere de regulament

Articolul 50 – alineatul 6 – litera c

Textul propus de Comisie

Amendamentul

(c)  tratează plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor, investighează, în măsura în care este oportun, subiectul plângerii și informează reclamantul cu privire la stadiul și rezultatul investigației, într-un termen rezonabil;

(c)  tratează plângerile depuse de persoane fizice sau juridice în legătură cu certificatele emise de organismele de evaluare a conformității stabilite pe teritoriul lor sau în legătură cu declarațiile de conformitate pe proprie răspundere, investighează, în măsura în care este oportun, subiectul plângerii și informează reclamantul cu privire la stadiul și rezultatul investigației, într-un termen rezonabil;

Amendamentul    106

Propunere de regulament

Articolul 50 – alineatul 6 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  transmite rezultatele verificărilor prevăzute la litera (a) și ale evaluărilor prevăzute la litera (b) Grupului european pentru certificarea de securitate cibernetică și ENISA;

Amendamentul    107

Propunere de regulament

Articolul 50 – alineatul 6 – litera d

Textul propus de Comisie

Amendamentul

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemului european de certificare de securitate cibernetică specific;

(d)  cooperează cu alte autorități naționale de supraveghere în materie de certificare, cu autoritățile naționale de acreditare sau cu alte autorități publice, inclusiv prin schimbul de informații cu privire la o posibilă neconformitate, inclusiv declarațiile înșelătoare, false sau frauduloase de certificare, a produselor și serviciilor TIC cu cerințele prezentului regulament sau ale sistemelor europene de certificare de securitate cibernetică specifice;

Amendamentul    108

Propunere de regulament

Articolul 50 – alineatul 7 – litera ca (nouă)

Textul propus de Comisie

Amendamentul

 

(ca)  competența de a retrage acreditarea organismelor de evaluare a conformității care nu respectă prezentul regulament;

Amendamentul    109

Propunere de regulament

Articolul 50 – alineatul 7 – litera e

Textul propus de Comisie

Amendamentul

(e)  competența de a retrage, în conformitate cu legislația națională, certificatele care nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare de securitate cibernetică;

(e)  competența de a retrage, în conformitate cu legislația națională, certificatele care nu sunt conforme cu prezentul regulament sau cu un sistem european de certificare de securitate cibernetică și de a informa organismele naționale de acreditare în consecință;

Amendamentul    110

Propunere de regulament

Articolul 50 – alineatul 7 – litera fa (nouă)

Textul propus de Comisie

Amendamentul

 

(fa)  competența de a propune experți pentru participarea la grupul consultativ de experți din rândul părților interesate menționat la articolul 44 alineatul (2).

Amendamentul    111

Propunere de regulament

Articolul 50 – alineatul 8 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

În scopul acestui schimb, Comisia pune la dispoziție un sistem general de sprijin pentru informațiile electronice.

Amendamentul    112

Propunere de regulament

Articolul 50 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 50a

 

Evaluarea reciprocă

 

1.  Autoritățile naționale de supraveghere în materie de certificare fac obiectul unei evaluări reciproce cu privire la toate activitățile pe care le desfășoară în temeiul articolului 50 din prezentul regulament.

 

2.  Evaluările reciproce includ evaluarea procedurilor instituite de autoritățile naționale de supraveghere în materie de certificare, în special evaluarea procedurilor de verificare a conformității produselor care fac obiectul certificării de securitate cibernetică, a competenței personalului, a corectitudinii controalelor și a metodologiei de inspecție, precum și a corectitudinii rezultatelor. În cadrul evaluării reciproce se analizează, de asemenea, dacă autoritățile naționale de supraveghere în materie de certificare în cauză au suficiente resurse pentru îndeplinirea corespunzătoare a sarcinilor care le revin în conformitate cu articolul 50 alineatul (4).

 

3.  Evaluarea reciprocă a unei autorități naționale de supraveghere în materie de certificare se efectuează de către două autorități naționale de supraveghere în materie de certificare din alte state membre și de către Comisie și se efectuează cel puțin o dată la cinci ani. ENISA poate să participe la evaluarea reciprocă și poate să decidă cu privire la participarea sa pe baza unei analize a evaluării riscurilor.

 

4.  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 55a în vederea stabilirii unui plan pentru evaluările reciproce, care acoperă o perioadă de cel puțin cinci ani și care stabilește criterii privind componența echipei de evaluare reciprocă, metodologia utilizată pentru evaluare, calendarul, frecvența și celelalte sarcini legate de evaluare. Atunci când adoptă aceste acte delegate, Comisia ține seama în mod corespunzător de considerațiile Grupului.

 

5.  Grupul examinează rezultatele evaluărilor reciproce. ENISA întocmește un rezumat al rezultatelor și îl publică.

Amendamentul    113

Propunere de regulament

Articolul 51 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  În cazul în care fabricanții optează pentru o „declarație de conformitate pe proprie răspundere” în temeiul articolului 48 alineatul (3), organismele de evaluare a conformității adoptă măsuri suplimentare pentru a verifica procedurile interne derulate de fabricant pentru a asigura conformitatea produselor și/sau a serviciilor sale cu cerințele sistemului european de certificare de securitate cibernetică.

Amendamentul    114

Propunere de regulament

Articolul 53 – alineatul 3 – litera da (nouă)

Textul propus de Comisie

Amendamentul

 

(da)  să adopte norme obligatorii de stabilire a intervalelor la care autoritățile naționale de supraveghere în materie de certificare trebuie să efectueze verificări ale certificatelor și ale declarațiilor de conformitate pe proprie răspundere, precum și de stabilire a criteriilor, amplorii și conținutului acestor verificări și să adopte norme și standarde comune de prezentare a informațiilor, în conformitate cu articolul 50 alineatul (6);

Amendamentul    115

Propunere de regulament

Articolul 53 – alineatul 3 – litera e

Textul propus de Comisie

Amendamentul

(e)  să examineze evoluțiile relevante din domeniul securității cibernetice și să facă schimb de bune practici privind sistemele de certificare de securitate cibernetică;

(e)  să examineze evoluțiile relevante din domeniul securității cibernetice și să facă schimb de informații și de bune practici privind sistemele de certificare de securitate cibernetică;

Amendamentul    116

Propunere de regulament

Articolul 53 – alineatul 3 – litera fa (nouă)

Textul propus de Comisie

Amendamentul

 

(fa)  să facă schimb de bune practici în ceea ce privește anchetele desfășurate de organismele de evaluare a conformității, deținătorii de certificate europene de securitate cibernetică și fabricanții și prestatori de servicii care și-au declarat conformitatea pe proprie răspundere;

Amendamentul    117

Propunere de regulament

Articolul 53 – alineatul 3 – litera fb (nouă)

Textul propus de Comisie

Amendamentul

 

(fb)  să faciliteze alinierea sistemelor europene de certificare de securitate cibernetică la standardele recunoscute pe plan internațional și, dacă este cazul, să-i recomande ENISA domeniile în care aceasta ar trebui să colaboreze cu organizațiile de standardizare internaționale și europene competente în vederea soluționării deficiențelor sau a lacunelor din standardele recunoscute la nivel internațional;

Amendamentul    118

Propunere de regulament

Articolul 53 – alineatul 3 – litera fc (nouă)

Textul propus de Comisie

Amendamentul

 

(fc)  să-i ofere ENISA recomandări, atunci când aceasta elaborează planul de lucru menționat la articolul 43a, cu privire la lista prioritară a produselor și serviciilor TIC pentru care consideră că este necesar un sistem european de certificare de securitate cibernetică;

Amendamentul    119

Propunere de regulament

Articolul 53 – alineatul 4 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

ENISA asigură înregistrarea ordinii de zi, a procesului-verbal și a deciziilor adoptate, precum și punerea la dispoziția publicului pe site-ul de internet al ENISA, după fiecare întâlnire a Grupului, a versiunilor publicate ale acestor documente.

Amendamentul    120

Propunere de regulament

Articolul 55 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 55a

 

Exercitarea delegării

 

Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.

 

Competența de a adopta acte delegate menționată la articolul 44 alineatul (4) și la articolul 50a alineatul (4) este conferită Comisiei pentru o perioadă de 5 ani de la [data intrării în vigoare a actului legislativ de bază]. Comisia redactează un raport privind delegarea de competențe cel târziu cu nouă luni înainte de încheierea perioadei de 5 ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opun prelungirii respective cel târziu cu trei luni înainte de încheierea fiecărei perioade.

 

Delegarea de competențe menționată la articolul 44 alineatele (4) și la articolul 50a alineatul (4) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

 

Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

 

De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

 

Un act delegat adoptat în temeiul articolului 44 alineatul (4) sau al articolului 50a alineatul (4) intră în vigoare numai dacă nici Parlamentul European, nici Consiliul nu prezintă obiecții în termen de [două luni] de la notificarea actului în cauză către Parlamentul European și Consiliu sau dacă, înainte de expirarea acestui termen, atât Parlamentul European, cât și Consiliul au informat Comisia că nu vor prezenta obiecții. Termenul în cauză se prelungește cu [două luni] la inițiativa Parlamentului European sau a Consiliului.

PROCEDURA COMISIEI SESIZATE PENTRU AVIZ

Titlu

Regulamentul privind ENISA, „Agenția UE pentru securitate cibernetică”, și de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea securității cibernetice a TIC („Cybersecurity Act”)

Referințe

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Comisie competentă

Data anunțului în plen

ITRE

23.10.2017

 

 

 

Aviz emis de către

Data anunțului în plen

IMCO

23.10.2017

Comisii asociate - data anunțului în plen

18.1.2018

Raportor/Raportoare pentru aviz:

Data numirii

Nicola Danti

25.9.2017

Examinare în comisie

21.2.2018

21.3.2018

 

 

Data adoptării

17.5.2018

 

 

 

Rezultatul votului final

+:

–:

0:

31

2

1

Membri titulari prezenți la votul final

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Țurcanu, Anneleen Van Bossuyt, Marco Zullo

Membri supleanți prezenți la votul final

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Membri supleanți [articolul 200 alineatul (2)] prezenți la votul final

Inés Ayala Sender, Flavio Zanonato

VOT FINAL PRIN APEL NOMINAL ÎN COMISIA SESIZATĂ PENTRU AVIZ

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Țurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Legenda simbolurilor utilizate

+  :  pentru

-  :  împotrivă

0  :  abțineri


AVIZ al Comisiei pentru bugete (16.5.2018)

destinat Comisiei pentru industrie, cercetare și energie

referitor la propunerea de regulament al Parlamentului European și al Consiliului privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Raportor pentru aviz: Jens Geier

JUSTIFICARE SUCCINTĂ

Raportorul pentru aviz apreciază, în general, conținutul propunerii Comisiei referitoare la „Legea privind securitatea cibernetică”, care urmărește să consolideze și mai mult rolul Agenției Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA), deoarece problema securității cibernetice are în mod clar un caracter transfrontalier, astfel încât, în acest caz, se recomandă adoptarea unei abordări mai cuprinzătoare la nivel european. Raportorul pentru aviz salută în special propunerea Comisiei de a oferi ENISA un mandat permanent, având în vedere sporirea atribuțiilor sale și pentru a oferi certitudine membrilor personalului agenției. Comisia propune să se majoreze numărul membrilor personalului din grupele de funcții AD/AST cu 41 de posturi până în 2022(1) și ca bugetul anual al agenției să fie majorat treptat, pentru a ajunge la 23 de milioane EUR în 2022(2).

Raportorul pentru aviz este de părere că acordul actual privind sediul, care prevede amplasarea mai multor sedii în cele două locuri de desfășurare a activității agenției - Heraklion și Atena - împiedică funcționarea eficientă a agenției pentru îndeplinirea mandatului său. Grupul de lucru interinstituțional privind resursele agențiilor, astfel cum a fost instituit în urma acordului din 2014 privind bugetul, recomandă „Comisiei să realizeze o evaluare cu privire la sediile multiple ale agențiilor (sedii duble, existența unor amplasamente tehnice în plus față de sediu, birouri locale sau detașarea de personal în afara sediului principal) pe baza unei abordări coerente și utilizând criterii clare și transparente, în special cu scopul de a evalua valoarea adăugată a acestui mod de funcționare și ținând seama, de asemenea, de costurile suportate”. Toate instituțiile UE au fost de acord cu această recomandare, iar raportorul pentru aviz consideră că evaluarea susmenționată ar trebui să fie realizată cât mai curând. După realizarea acestei evaluări, instituțiile ar trebui să tragă concluziile necesare fără întârziere.

Raportorul pentru aviz consideră, de asemenea, că este posibil să se consolideze mandatul agenției în ceea ce privește serviciile pe care aceasta le furnizează pe baza expertizei sale, prin dotarea agenției cu un buget care să poată fi utilizat de către agenție pentru finanțarea activităților de cercetare și dezvoltare autorizate de aceasta. Pentru a dispune de un astfel de buget, este necesar să i se furnizeze agenției resursele necesare.

Este posibil să se realizeze economii suplimentare dacă agenția este autorizată să externalizeze o parte a serviciilor de traducere către alți furnizori de servicii. Supravegherea democratică a agenției poate fi îmbunătățită prin desemnarea unui reprezentant al Parlamentului European în cadrul consiliului de administrație, în conformitate cu abordarea comună privind agențiile.

AMENDAMENTE

Comisia pentru bugete recomandă Comisiei pentru industrie, cercetare și energie, competentă în fond, să ia în considerare următoarele amendamente:

Amendamentul    1

Propunere de regulament

Considerentul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a)  ENISA ar trebui să ofere mai mult sprijin practic și bazat pe informații industriei UE din domeniul securității cibernetice, în special IMM-urilor și întreprinderilor nou-înființate, care sunt surse-cheie de soluții inovatoare în domeniul apărării cibernetice și ar trebui să promoveze o cooperare mai strânsă cu organizațiile de cercetare din cadrul universităților și cu actorii importanți în vederea reducerii dependenței de produsele de securitate cibernetică provenite de la surse externe și a creării unui lanț de aprovizionare strategică în interiorul Uniunii;

Amendamentul    2

Propunere de regulament

Considerentul 4

Textul propus de Comisie

Amendamentul

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

(4)  În condițiile în care atacurile cibernetice sunt în creștere, o economie și o societate conectată care sunt mai vulnerabile la amenințările și atacurile cibernetice necesită dispozitive de protecție mai puternice. Cu toate acestea, deși atacurile cibernetice sunt adesea transfrontaliere, răspunsurile oferite de politicile autorităților de securitate cibernetică și de aplicare a legii sunt predominant naționale. Incidentele de securitate cibernetică de mare amploare sunt de natură să perturbe furnizarea serviciilor esențiale pe întregul teritoriu al UE. Din acest motiv, trebuie să se asigure un răspuns și o gestionare eficace a crizelor la nivelul UE, care să se bazeze pe politicile specifice și pe instrumentele mai generale de solidaritate europeană și asistență reciprocă. Nevoile de formare în domeniul apărării cibernetice sunt substanțiale și în creștere și sunt acoperite cel mai eficient prin cooperare la nivelul Uniunii. În plus, pentru factorii de decizie politică, sector și utilizatori este important, prin urmare, să existe o evaluare periodică a situației în materie de securitate cibernetică și reziliență în Uniune, pornind de la date fiabile la nivelul Uniunii, precum și de la o prognoză sistematică a evoluțiilor, provocărilor și amenințărilor viitoare, atât la nivelul Uniunii, cât și la nivel mondial.

Amendamentul    3

Propunere de regulament

Considerentul 10

Textul propus de Comisie

Amendamentul

(10)  În cadrul Deciziei 2004/97/CE, Euratom, adoptată cu ocazia reuniunii Consiliului European din 13 decembrie 2003, reprezentanții statelor membre au decis că ENISA își va avea sediul într-un oraș din Grecia care urma să fie stabilit de guvernul elen. Statul membru gazdă al agenției ar trebui să asigure cele mai bune condiții posibile pentru funcționarea optimă și în mod eficient a agenției. Pentru îndeplinirea adecvată și eficientă a sarcinilor sale, pentru recrutarea și menținerea personalului, precum și pentru consolidarea eficienței activităților sale de relaționare este indispensabil ca agenția să aibă un amplasament adecvat care, printre altele, să ofere conexiuni de transport și facilități adecvate pentru soții/soțiile și copiii care însoțesc membrii personalului agenției. Dispozițiile necesare ar trebui stabilite într-un acord încheiat între agenție și statul membru gazdă, după obținerea aprobării consiliului de administrație al agenției.

(10)  În cadrul Deciziei 2004/97/CE, Euratom, adoptată cu ocazia reuniunii Consiliului European din 13 decembrie 2003, reprezentanții statelor membre au decis că ENISA își va avea sediul într-un oraș din Grecia care urma să fie stabilit de guvernul elen. Statul membru gazdă al agenției ar trebui să asigure cele mai bune condiții posibile pentru funcționarea optimă și în mod eficient a agenției. Pentru îndeplinirea adecvată și eficientă a sarcinilor sale, pentru recrutarea și menținerea personalului, precum și pentru consolidarea eficienței activităților sale de relaționare este indispensabil ca agenția să aibă un amplasament adecvat care, printre altele, să ofere conexiuni de transport și facilități adecvate pentru soții/soțiile și copiii care însoțesc membrii personalului agenției. Dispozițiile necesare ar trebui stabilite într-un acord încheiat între agenție și statul membru gazdă, după obținerea aprobării consiliului de administrație al agenției. Acest acord ar trebui să fie revizuit în urma evaluării efectuate de Comisie, conform recomandărilor Grupului de lucru interinstituțional privind resursele agențiilor, cu scopul de a crește eficiența agenției, iar amplasarea sediului agenției ar trebui, de asemenea, să facă obiectul unei revizuiri.

Amendamentul    4

Propunere de regulament

Considerentul 12

Textul propus de Comisie

Amendamentul

(12)  Agenția ar trebui să dezvolte și să mențină un nivel ridicat de expertiză și să funcționeze ca punct de referință, instaurând încrederea în piața unică grație independenței sale, calității consilierii acordate și informațiilor diseminate, transparenței procedurilor și metodelor sale de operare, precum și eforturilor depuse în îndeplinirea sarcinilor sale. Agenția ar trebui să contribuie în mod proactiv la eforturile depuse la nivel național și la nivelul UE, îndeplinindu-și totodată sarcinile în deplină cooperare cu instituțiile, organele, oficiile și agențiile Uniunii și cu statele membre. În plus, agenția ar trebui să se bazeze pe informațiile primite de la sectorul privat și alte părți interesate relevante și pe cooperarea cu acestea. Este necesar să se stabilească printr-o serie de sarcini modul în care agenția trebuie să își realizeze obiectivele, permițându-i în același timp să funcționeze flexibil.

(12)  Agenția ar trebui să dezvolte și să mențină un nivel ridicat de expertiză și să funcționeze ca punct de referință, instaurând încrederea în piața unică grație independenței sale, calității consilierii acordate și informațiilor diseminate, transparenței procedurilor și metodelor sale de operare, precum și eforturilor depuse în îndeplinirea sarcinilor sale. Agenția ar trebui să contribuie în mod proactiv la eforturile depuse la nivel național și la nivelul UE, îndeplinindu-și totodată sarcinile în deplină cooperare cu instituțiile, organele, oficiile și agențiile Uniunii și cu statele membre, evitând orice suprapunere a eforturilor, promovând sinergia și complementaritatea și, astfel, consolidând coordonarea și realizând economii fiscale. În plus, agenția ar trebui să se bazeze pe informațiile primite de la sectorul privat și alte părți interesate relevante și pe cooperarea cu acestea. Este necesar să se stabilească printr-o serie de sarcini modul în care agenția trebuie să își realizeze obiectivele, permițându-i în același timp să funcționeze flexibil.

Amendamentul    5

Propunere de regulament

Considerentul 15 a (nou)

Textul propus de Comisie

Amendamentul

 

(15a)  Dreptul internațional se aplică spațiului cibernetic, iar rapoartele Grupului ONU de experți guvernamentali în securitatea informațiilor (UNGGE) din 2013 și din 2015 oferă orientări pertinente, în special în ceea ce privește interdicția impusă statelor de a desfășura sau de a sprijini cu bună știință activități cibernetice contrare obligațiilor care le revin în temeiul normelor internaționale. Relevanța Manualului Tallinn 2.0, în acest context, reprezintă o bază excelentă pentru dezbaterea privind modul în care se aplică dreptul internațional în cazul spațiului cibernetic și este timpul ca statele membre să înceapă analizarea și aplicarea manualului.

Amendamentul    6

Propunere de regulament

Considerentul 36

Textul propus de Comisie

Amendamentul

(36)  Agenția ar trebui să ia în considerare pe deplin activitățile în curs de cercetare, dezvoltare și evaluare tehnologică, în special cele desfășurate în cadrul diferitelor inițiative de cercetare ale Uniunii, în scopul de a consilia instituțiile, organele, oficiile și agențiile Uniunii și, după caz, statele membre, la solicitarea acestora, cu privire la necesitățile în materie de cercetare în domeniul securității rețelelor și a informațiilor, în special în ceea ce privește securitatea cibernetică.

(36)  Agenția ar trebui să ia în considerare pe deplin activitățile în curs de cercetare, dezvoltare și evaluare tehnologică, în special cele desfășurate în cadrul diferitelor inițiative de cercetare ale Uniunii, în scopul de a consilia instituțiile, organele, oficiile și agențiile Uniunii și, după caz, statele membre, la solicitarea acestora, cu privire la necesitățile în materie de cercetare în domeniul securității rețelelor și a informațiilor, în special în ceea ce privește securitatea cibernetică. Agenției ar trebui să îi fie atribuit un buget suplimentar pentru activitățile de cercetare și dezvoltare care vin în completarea programelor de cercetare existente ale Uniunii.

Amendamentul    7

Propunere de regulament

Considerentul 46 a (nou)

Textul propus de Comisie

Amendamentul

 

(46a)  Bugetul agenției ar trebui stabilit respectând principiul de întocmire a bugetului în funcție de performanțe și ținând cont de obiectivele agenției și de rezultatele preconizate ale activităților sale.

Amendamentul    8

Propunere de regulament

Articolul 4 – alineatul 4

Textul propus de Comisie

Amendamentul

4.  Agenția promovează cooperarea și coordonarea la nivelul Uniunii între statele membre, instituțiile, agențiile și organele Uniunii și părțile interesate relevante, inclusiv sectorul privat, cu privire la chestiuni legate de securitatea cibernetică.

4.  Agenția promovează cooperarea și coordonarea la nivelul Uniunii între statele membre, instituțiile, agențiile și organele Uniunii și părțile interesate relevante, inclusiv sectorul privat, cu privire la chestiuni legate de securitatea cibernetică pentru a consolida coordonarea și realiza economii financiare, a evita suprapunerile și a promova sinergia și complementaritatea în ceea ce privește activitățile lor.

Amendamentul    9

Propunere de regulament

Articolul 9 – alineatul 1 – litera ga (nouă)

Textul propus de Comisie

Amendamentul

 

(ga)  să publice și să-și promoveze activitățile și rezultatul activităților sale pentru a crește vizibilitatea și sensibilizarea cetățenilor.

Amendamentul    10

Propunere de regulament

Articolul 10 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba)  autorizează desfășurarea propriilor activități de cercetare în domenii de interes care nu sunt încă acoperite de programele existente ale Uniunii în materie de cercetare, în cazul în care există o valoare adăugată europeană clar identificată.

Amendamentul    11

Propunere de regulament

Articolul 13 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Consiliul de administrație este compus din câte un reprezentant al fiecărui stat membru și din doi reprezentanți numiți de Comisie. Toți reprezentanții au drept de vot.

1.  Consiliul de administrație este compus din câte un reprezentant al fiecărui stat membru, un reprezentant desemnat de Parlamentul European și din doi reprezentanți numiți de Comisie. Toți reprezentanții au drept de vot.

Amendamentul    12

Propunere de regulament

Articolul 26 – alineatul 1 – paragraful 1 (nou)

Textul propus de Comisie

Amendamentul

 

Proiectul estimativ provizoriu se bazează pe obiectivele și rezultatele preconizate indicate în documentul de programare anuală menționat la articolul 21 alineatul (1) și ține cont de resursele financiare necesare pentru atingerea acestor obiective și rezultate preconizate, în conformitate cu principiul de întocmire a bugetului în funcție de performanțe.

Amendamentul    13

Propunere de regulament

Articolul 36 – alineatul 5

Textul propus de Comisie

Amendamentul

5.  Răspunderea personală a angajaților față de agenție este reglementată de condițiile relevante care se aplică personalului agenției.

5.  Răspunderea personală a angajaților față de agenție este reglementată de condițiile relevante care se aplică personalului agenției. Se asigură recrutarea eficace de personal.

Amendamentul    14

Propunere de regulament

Articolul 37 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Serviciile de traducere necesare funcționării agenției sunt asigurate de către Centrul de Traduceri pentru Organismele Uniunii Europene.

2.  Serviciile de traducere necesare funcționării agenției sunt asigurate de către Centrul de Traduceri pentru Organismele Uniunii Europene sau de alți furnizori de servicii de traducere, în conformitate cu normele privind achizițiile publice și în limitele stabilite de normele financiare relevante.

Amendamentul    15

Propunere de regulament

Articolul 41 – alineatul 2

Textul propus de Comisie

Amendamentul

2.  Statul membru care găzduiește agenția pune la dispoziție cele mai bune condiții posibile pentru a asigura buna funcționare a agenției, printre care accesibilitatea amplasamentului, existența unor facilități adecvate de educație pentru copiii personalului, un acces corespunzător la piața muncii, la securitate socială și la asistență medicală atât pentru copiii, cât și pentru soții/soțiile personalului.

2.  Statul membru care găzduiește agenția pune la dispoziție cele mai bune condiții posibile pentru a asigura buna funcționare a agenției, printre care un singur sediu pentru toată agenția, accesibilitatea amplasamentului, existența unor facilități adecvate de educație pentru copiii personalului, un acces corespunzător la piața muncii, la securitate socială și la asistență medicală atât pentru copiii, cât și pentru soții/soțiile personalului.

Justificare

Structura actuală a agenției cu sediul administrativ la Heraklion și operațiile de bază la Atena s-a dovedit ineficientă și costisitoare. Tot personalul ENISA ar trebui să lucreze în același oraș. Având în vedere criteriile menționate în prezentul alineat, sediul ar trebui să fie la Atena.

Amendamentul    16

Propunere de regulament

Articolul 41 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

2a.  În urma evaluării realizate de Comisie, conform recomandărilor Grupului de lucru interinstituțional privind resursele agențiilor, acordul privind sediul agenției, precum și amplasarea sediului agenției fac obiectul unei revizuiri în mod corespunzător.

PROCEDURA COMISIEI SESIZATE PENTRU AVIZ

Titlu

Regulamentul privind ENISA, „Agenția UE pentru securitate cibernetică”, și de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea securității cibernetice a TIC („Cybersecurity Act”)

Referințe

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Comisie competentă

Data anunțului în plen

ITRE

23.10.2017

 

 

 

Aviz emis de către

Data anunțului în plen

BUDG

23.10.2017

Raportor pentru aviz:

Data numirii

Jens Geier

26.9.2017

Examinare în comisie

21.3.2018

 

 

 

Data adoptării

16.5.2018

 

 

 

Rezultatul votului final

+:

–:

0:

22

4

0

Membri titulari prezenți la votul final

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Membri supleanți prezenți la votul final

Ivana Maletić, Andrey Novakov

VOT FINAL PRIN APEL NOMINALÎN COMISIA SESIZATĂ PENTRU AVIZ

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Legenda simbolurilor utilizate:

+  :  pentru

-  :  împotrivă

0  :  abțineri

(1)

Printre posturile suplimentare propuse se numără 26 posturi AD, 6 posturi AST și 9 posturi de experți naționali detașați. Majorarea propusă nu include necesitățile de personal estimate pentru direcția generală tutelară, agenții contractuali și contractanții externi.

(2)

Cu titlu estimativ, fără a aduce atingere finanțării UE după 2020.


AVIZ al Comisiei pentru libertăți civile, justiție și afaceri interne (16.3.2018)

destinat Comisiei pentru industrie, cercetare și energie

referitor la propunerea de regulament al Parlamentului European și al Consiliului privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Raportor pentru aviz: Jan Philipp Albrecht

JUSTIFICARE SUCCINTĂ

Raportorul pentru aviz salută propunerea Comisiei referitoare la „o lege privind securitatea cibernetică”(1), deoarece aceasta definește mai bine rolul ENISA în ecosistemul schimbat al securității informatice și dezvoltă măsurile privind standardele de securitate informatică, certificarea și etichetarea, astfel încât sistemele bazate pe TIC, inclusiv obiecte conectate, să devină mai sigure.

Totuși, raportorul pentru aviz consideră că se pot efectua mai multe îmbunătățiri. Raportorul pentru aviz este ferm convins că securitatea informațiilor este esențială pentru protecția drepturilor fundamentale ale cetățenilor, consacrate în Carta drepturilor fundamentale a UE, precum și pentru combaterea criminalității informatice și protejarea democrației și a statului de drept.

Drepturile fundamentale: sistemele nesigure pot conduce la încălcarea securității datelor sau frauda de identitate, care ar putea provoca daune reale și suferință pentru persoanele fizice, inclusiv un risc la adresa vieții acestora, a vieții private, a demnității sau bunurilor acestora. De exemplu, martorii pot fi expuși riscului de intimidare și de vătămare fizică sau femeile pot fi expuse riscului violenței domestice, în cazul în care adresele acestora sunt făcute publice. Pentru internetul obiectelor fizice care conține, de asemenea, mecanisme de acționare fizică și nu doar senzori, integritatea fizică și viața persoanelor pot fi expuse riscului din cauza atacurilor la adresa sistemelor informatice; amendamentele propuse de raportor se concentrează, în special, asupra protecției oferite de articolele 1, 2, 3, 6, 7, 8, 11 și 17 din Carta drepturilor fundamentale a UE. Există chiar jurisprudență constituțională emergentă, care derivă un „drept fundamental la confidențialitatea și integritatea sistemelor informatice-tehnice”(2) din drepturile generale ale persoanei, adaptate la actuala lume digitală.

Combaterea criminalității informatice: anumite forme de infracțiuni comise online, cum ar fi atacurile de tip phishing sau fraudele financiare și bancare, constau din abuzul de încredere, care nu poate fi combătut prin măsuri de securitate informatică — împotriva acestor forme ale criminalității, raportorul pentru aviz salută propunerile de sensibilizare periodică și campaniile de educare a publicului, destinate utilizatorilor finali, organizate de ENISA. Alte forme de infracțiuni online implică atacuri împotriva sistemelor de informații, cum ar fi atacurile de piraterie sau blocarea distribuită a serviciului (DDoS) — împotriva acestor forme ale criminalității, raportorul consideră că întărirea securității informatice va consolida efectiv lupta împotriva criminalității cibernetice și, în special, prevenirea acesteia.

Democrația și statul de drept: atacurile împotriva sistemelor IT din partea guvernelor și actorilor nestatali reprezintă o amenințare evidentă și din ce în ce mai mare la adresa democrației, din cauza imixtiunii în alegerile libere și echitabile, de exemplu prin manipularea unor fapte și a unor opinii care influențează modul în care vor vota cetățenii, intervenind în procesul de votare și schimbând rezultatele votului sau subminând încrederea în integritatea procesului de votare.

Prin urmare, raportorul pentru aviz sugerează, în proiectul său de aviz LIBE, modificarea propunerii Comisiei Europene, concentrându-se pe următoarele aspecte-cheie LIBE:

•Agenția ar trebui să joace un rol mai important în promovarea adoptării unor tehnologii preventive solide de protecție a vieții private și a unor măsuri de securitate informatică de către toți actorii din societatea informațională europeană;

•Agenția ar trebui să propună politici care să stabilească în mod clar responsabilitățile și obligațiile juridice pentru toate părțile interesate care participă la ecosistemele TIC, în cazul în care abținerea de a acționa cu diligența necesară în materie de securitate informatică ar putea duce la efecte majore de securitate, distrugeri masive ale mediului, ar putea declanșa o criză financiară sau economică sistemică;

•Agenția ar trebui să propună cerințe de referință clare și obligatorii în materie de securitate informatică, în consultare cu experții în securitatea informatică;

•Agenția ar trebui să propună un sistem de certificare de securitate informatică, care să permită furnizorilor de TIC să mărească gradul de transparență pentru consumator cu privire la potențialul de actualizare și perioada de suport tehnic pentru software. Acest sistem de certificare ar trebui să fie dinamic, deoarece securitatea este un proces care necesită îmbunătățiri constante;

•Agenția ar trebui să facă mai ușoară și mai puțin costisitoare implementarea principiilor de securitate de la stadiul conceperii, prin emiterea de orientări și bune practici pentru fabricanții de produse TIC;

•Agenția ar trebui ca, la invitația instituțiilor, a organelor, a birourilor și a agențiilor Uniunii, precum și a statelor membre, să efectueze în mod periodic audituri preventive de securitate informatică a infrastructurilor de importanță critică (dreptul la audit);

•Agenția ar trebui să raporteze imediat vulnerabilitățile de securitate informatică care nu sunt încă cunoscute în mod public de producători. Agenția nu ar trebui să ascundă sau să exploateze vulnerabilitățile nedivulgate din întreprinderi și produse în scopuri proprii. Prin dezvoltarea, achiziționarea și exploatarea ușilor secrete din sistemele informatice, cu banii contribuabililor, organismele guvernamentale pun în pericol securitatea cetățenilor. Pentru a proteja alte părți interesate care interacționează în mod responsabil cu astfel de vulnerabilități, Agenția ar trebui să propună politici privind schimbul responsabil de informații cu privire la „zero zile” și alte tipuri de vulnerabilități în materie de securitate, care nu sunt încă cunoscute publicului, facilitând eliminarea vulnerabilităților;

•Pentru a permite Uniunii să ajungă la nivelul industriilor de securitate informatică din țările terțe, Agenția ar trebui să identifice și să inițieze lansarea unui proiect UE pe termen lung de securitate informatică, de o amploare comparabilă cu ceea ce s-a adoptat pentru industria aeronautică, prin Airbus;

Propunerea Comisiei ar trebui să evite utilizarea termenului de „securitate cibernetică”, deoarece este vag din punct de vedere juridic și ar putea da naștere la incertitudini. Raportorul pentru aviz propune înlocuirea termenului „securitate cibernetică” cu cel de „securitate informatică” pentru a îmbunătăți securitatea juridică.

AMENDAMENTE

Comisia pentru libertăți civile, justiție și afaceri interne recomandă Comisiei pentru industrie, cercetare și energie, care este comisie competentă, să ia în considerare următoarele amendamente:

Amendamentul    1

Propunere de regulament

Titlu

Textul propus de Comisie

Amendamentul

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind ENISA, „Agenția UE pentru securitate cibernetică”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate cibernetică pentru tehnologia informației și comunicațiilor („Legea privind securitatea cibernetică”)

privind ENISA, „Agenția UE pentru Securitatea Rețelelor și a Informațiilor”, de abrogare a Regulamentului (UE) nr. 526/2013 și privind certificarea de securitate pentru tehnologia informatică („Legea privind securitatea informatică”)

 

(Această modificare se aplică întregului text.)

Justificare

Prefixul „ciber”, derivat din operele științifico-fantastice din anii 1960 a fost din ce în ce mai utilizat pentru a descrie aspectele negative ale internetului (atac cibernetic, criminalitate cibernetică etc.), dar este foarte vag din punct de vedere juridic. Raportorul pentru aviz propune înlocuirea termenului de „securitate cibernetică” cu cel de „securitate informatică” din motive de securitate juridică.

Amendamentul    2

Propunere de regulament

Considerentul 2

Textul propus de Comisie