Förfarande : 2017/0225(COD)
Dokumentgång i plenum
Dokumentgång : A8-0264/2018

Ingivna texter :

A8-0264/2018

Debatter :

PV 11/03/2019 - 19
CRE 11/03/2019 - 19

Omröstningar :

PV 12/03/2019 - 9.17
Röstförklaringar

Antagna texter :

P8_TA(2019)0151

BETÄNKANDE     ***I
PDF 1782kWORD 309k
30.7.2018
PE 619.373v03-00 A8-0264/2018

om förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Utskottet för industrifrågor, forskning och energi

Föredragande: Angelika Niebler

Föredragande av yttrande (*):

Nicola Danti, utskottet för den inre marknaden och konsumentskydd

(*) Förfarande med associerat utskott – artikel 54 i arbetsordningen

ÄNDRINGSFÖRSLAG
FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION
 MOTIVERING
 YTTRANDE från utskottet för den inre marknaden och konsumentskydd
 YTTRANDE från budgetutskottet
 YTTRANDE från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
 ÄRENDETS GÅNG I DET ANSVARIGA UTSKOTTET
 SLUTOMRÖSTNING MED NAMNUPPROPI DET ANSVARIGA UTSKOTTET

FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION

om förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–  med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2017)0477),

–  med beaktande av artiklarna 294.2 och 114 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C8-0310/2017),

–  med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av yttrandet från Europeiska ekonomiska och sociala kommittén av den 14 februari 2018(1),

–  med beaktande av artikel 59 i arbetsordningen,

–  med beaktande av det motiverade yttrande från den franska senaten som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilket utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–  med beaktande av betänkandet från utskottet för industrifrågor, forskning och energi och yttrandena från utskottet för den inre marknaden och konsumentskydd, budgetutskottet och utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A8-0264/2018).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att på nytt lägga fram ärendet för parlamentet om den ersätter, väsentligt ändrar eller har för avsikt att väsentligt ändra sitt förslag.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

Ändringsförslag    1

Förslag till förordning

Skäl 1

Kommissionens förslag

Ändringsförslag

(1)  Nät- och informationssystem samt telekommunikationsnät och -tjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik är grunden för komplexa system som stöder samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

(1)  Nät- och informationssystem samt telekommunikationsnät och -tjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder dagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

Ändringsförslag    2

Förslag till förordning

Skäl 2

Kommissionens förslag

Ändringsförslag

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om cybersäkerheten hos IKT-produkter och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar.

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om cybersäkerheten hos IKT-produkter, IKT-processer och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar. Denna ambition utgör själva kärnan i kommissionens reformagenda för att uppnå en digital inre marknad eftersom IKT-nät är en grund för digitala produkter och tjänster som kan stödja alla aspekter av våra liv och bli en drivkraft för Europas ekonomiska tillväxt. För att säkerställa att målen för den digitala inre marknaden nås helt och hållet måste de väsentliga tekniska byggstenarna som sådana viktiga områden som e-hälsa, sakernas internet, artificiell intelligens, kvantteknik samt intelligenta transportsystem och avancerad tillverkning är beroende av finnas på plats.

Ändringsförslag    3

Förslag till förordning

Skäl 3

Kommissionens förslag

Ändringsförslag

(3)  Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska denna risk för samhället måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i EU i syfte att bättre skydda nät- och informationssystem, telekommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, myndigheter och företag – från små och medelstora företag till operatörer av kritisk infrastruktur – mot cyberhot.

(3)  Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska denna risk för samhället måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i EU i syfte att bättre skydda nät- och informationssystem, telekommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, myndigheter och företag – från små och medelstora företag till operatörer av kritisk infrastruktur – mot cyberhot. I detta hänseende är den handlingsplan för digital utbildning som kommissionen offentliggjorde den 17 januari 2018 ett steg i rätt riktning, framför allt den EU-övergripande informationskampanjen riktad till lärare, föräldrar och studerande för att främja säkerhet på nätet, it-hygien och mediekunskap, och ett initiativ för att lära ut it-säkerhet baserat på den europeiska ramen för utveckling av digital kompetens bland medborgarna för att ge människor möjlighet att använda teknik på ett säkert och ansvarsfullt sätt.

Ändringsförslag    4

Förslag till förordning

Skäl 3a (nytt)

Kommissionens förslag

Ändringsförslag

 

(3a)  Enisas mål och uppgifter bör anpassas ännu starkare till det gemensamma meddelandet med hänsyn till hänvisningen om att främja it-hygien och medvetenhet hos allmänheten. Cyberresiliens kan uppnås genom att det införs grundläggande it-hygienprinciper.

Ändringsförslag    5

Förslag till förordning

Skäl 3b (nytt)

Kommissionens förslag

Ändringsförslag

 

(3b)  Enisa bör ge mer praktiskt och informationsbaserat stöd åt unionens cybersäkerhetsbransch, i synnerhet små och medelstora företag och nystartade företag, som är viktiga källor till innovativa lösningar på cyberförsvarsområdet, samt främja ett närmare samarbete med universitetens forskningsorganisationer och stora aktörer i syfte att minska beroendet av cybersäkerhetsprodukter från externa källor och att skapa en strategisk distributionskedja inom unionen.

Ändringsförslag    6

Förslag till förordning

Skäl 4

Kommissionens förslag

Ändringsförslag

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare och säkrare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. Det finns ett betydande och ökande utbildningsbehov inom cyberförsvarsområdet, och detta tillgodoses mest effektivt genom samarbete på unionsnivå. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

Ändringsförslag    7

Förslag till förordning

Skäl 5

Kommissionens förslag

Ändringsförslag

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete och samordning mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser. Ytterligare insatser behövs också för att öka allmänhetens och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör förtroendet för den digitala inre marknaden stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter och IKT-tjänster. Detta kan underlättas genom EU-omfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete, samordning och informationsutbyte mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser, samtidigt som man bör understryka vikten av att upprätthålla och ytterligare stärka medlemsstaternas egen förmåga att bemöta cyberhot av alla storlekar. Ytterligare insatser behövs också för att vidta en samordnad svarsåtgärd på EU-nivå och öka allmänhetens och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom, med tanke på att cyberincidenter skadar förtroendet för leverantörerna av digitala tjänster och själva den digitala marknaden, inte minst bland konsumenter, bör förtroendet stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter, IKT-processer och IKT-tjänster, samtidigt som det bör understrykas att inte ens en hög nivå av cybersäkerhetscertifiering kan garantera att en IKT-produkt eller IKT-tjänst är helt säker. Detta kan underlättas genom EU-omfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer samt genom att främja it-kompetens parallellt med unionsomfattande certifiering och med tanke på den ökande tillgången till uppkopplade apparater, finns det en rad frivilliga åtgärder som den privata sektorn bör vidta för att stärka förtroendet för IKT-produkters IKT-processers och IKT-tjänsters säkerhet, t.ex. kryptering och blockkedjeteknik. Utmaningarna bör proportionellt återspeglas i den budget som tilldelas byrån för att säkerställa en optimal funktion under de rådande omständigheterna.

Ändringsförslag    8

Förslag till förordning

Skäl 5a (nytt)

Kommissionens förslag

Ändringsförslag

 

(5a)  I syfte att stärka Europas säkerhet och cyberförsvarsstrukturer är det viktigt att upprätthålla och utveckla medlemsstaternas förmåga att omfattande bemöta cyberhot, inbegripet gränsöverskridande incidenter, samtidigt som byråns samordning på EU-nivå inte får leda till att medlemsstaternas kapacitet eller insatser minskar.

Ändringsförslag    9

Förslag till förordning

Skäl 5b (nytt)

Kommissionens förslag

Ändringsförslag

 

(5b)  Såväl företag som enskilda konsumenter bör få korrekt information om säkerhetsnivån för deras IKT-produkter. Samtidigt måste man förstå att ingen produkt är cybersäker och att grundläggande regler för it-hygien måste främjas och prioriteras.

Ändringsförslag    10

Förslag till förordning

Skäl 7

Kommissionens förslag

Ändringsförslag

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cybersäkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området cybersäkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet.

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cybersäkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området cybersäkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet, vars framgång i hög grad beror på ett effektivt genomförande av medlemsstaterna, fullbordar strategin för den inre marknaden, och inför, tillsammans med andra instrument såsom direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation, förordning (EU) 2016/679 och direktiv 2002/58/EG, krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet.

Ändringsförslag    11

Förslag till förordning

Skäl 8

Kommissionens förslag

Ändringsförslag

(8)  Det är allmänt erkänt att den övergripande politiska ramen har förändrats avsevärt sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av byråns uppdrag, även i förhållande till en mer oviss och mindre säker global miljö. Mot denna bakgrund och inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att byrån bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från detta radikalt förändrade hotlandskap, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av byrån.

(8)  Det är allmänt erkänt att den övergripande politiska ramen har förändrats avsevärt sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av byråns uppdrag, även i förhållande till en mer oviss och mindre säker global miljö. Mot denna bakgrund och mot bakgrund av den positiva roll som byrån har spelat genom åren i fråga om sammanföring av expertis, samordning och kapacitetsuppbyggnad, samt inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att byrån bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från detta radikalt förändrade hotlandskap, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av byrån.

Ändringsförslag    12

Förslag till förordning

Skäl 11

Kommissionens förslag

Ändringsförslag

(11)  Med tanke på de ökande cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet.

(11)  Med tanke på de ökande cybersäkerhetshot och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet, så att Enisa effektivt kan utföra de uppgifter som byrån tilldelas genom denna förordning.

Ändringsförslag    13

Förslag till förordning

Skäl 12

Kommissionens förslag

Ändringsförslag

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna. Byrån bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur byrån ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna, undvika dubbelarbete och främja synergier och komplementaritet och därigenom uppnå samordning och budgetbesparingar. Byrån bör också stödja sig på synpunkter från och samarbete med den privata och den offentliga sektorn och andra berörda aktörer. En tydlig agenda och en uppsättning uppgifter samt mål som byrån ska uppnå bör definieras tydligt samtidigt som nödvändig flexibilitet i verksamheten beaktas. Där så är möjligt bör största möjliga insyn och spridning av information upprätthållas.

Ändringsförslag    14

Förslag till förordning

Skäl 12a (nytt)

Kommissionens förslag

Ändringsförslag

 

(12a)  Byråns roll bör fortlöpande utvärderas och ses över i lämplig tid, framför allt dess samordnande roll gentemot medlemsstaterna och deras nationella myndigheter samt möjligheten att fungera som en gemensam kontaktpunkt för medlemsstaterna och EU:s organ och institutioner. Även byråns roll när det gäller att undvika fragmentering av den inre marknaden och ett möjligt införande av obligatoriska cybersäkerhetscertifieringssystem, om situationen i framtiden kräver en sådan förändring, bör utvärderas liksom byråns roll beträffande bedömning av produkter från tredjeländer som kommer in på EU:s marknad och en eventuell svartlistning av företag som inte följer EU:s kriterier.

Ändringsförslag    15

Förslag till förordning

Skäl 12b (nytt)

Kommissionens förslag

Ändringsförslag

 

(12b)  För att kunna ge lämpligt stöd till det operativa samarbetet till medlemsstaterna bör Enisa ytterligare stärka sin egen tekniska kapacitet och expertis. För detta ändamål bör byrån successivt öka sin personal som arbetar med denna uppgift för att självständigt kunna samla och analysera olika typer av cybersäkerhetshot och sabotageprogram, utföra kriminalteknisk analys och bistå medlemsstaterna med insatser vid storskaliga incidenter. För att undvika överlappningar av befintlig kapacitet i medlemsstaterna bör Enisa öka sitt kunnande och sin kapacitet utifrån befintliga resurser i medlemsstaterna, särskilt genom utstationering av nationella experter till byrån, skapande av expertpooler, utbytesprogram för de anställda etc. När byrån utser personal som ansvarar för detta område bör den successivt säkerställa att personalen uppfyller lämpliga kriterier för att tillhandahålla tillräckligt stöd.

Ändringsförslag    16

Förslag till förordning

Skäl 13

Kommissionens förslag

Ändringsförslag

(13)  Byrån bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet, inbegripet skydd av kritisk infrastruktur och cyberresiliens. Byrån bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäkerhet.

(13)  Byrån bör bistå kommissionen med råd, yttranden och analyser i alla unionsfrågor som rör utveckling, uppdatering och översyn av politik och lagstiftning på cybersäkerhetsområdet, inbegripet skydd av kritisk infrastruktur och cyberresiliens. Byrån bör fungera som en referenspunkt för rådgivning och expertis för unionens sektorsspecifika politik och lagstiftningsinitiativ i frågor som rör cybersäkerhet. Dess expertis kommer att vara särskilt nödvändig vid utarbetandet av unionens fleråriga arbetsprogram för europeiska system för cybersäkerhetscertifiering. Byrån bör regelbundet förse parlamentet med uppdateringar, analyser och översyner på området cybersäkerhet och om utvecklingen av sina uppgifter.

Ändringsförslag    17

Förslag till förordning

Skäl 14

Kommissionens förslag

Ändringsförslag

(14)  De underliggande uppgiften för byrån är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av it-säkerhetsdirektivet, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av det snabbt föränderliga hotlandskapet på cybersäkerhetsområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

(14)  Den underliggande uppgiften för byrån är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av it-säkerhetsdirektivet, direktivet om inrättandet av den europeiska kodexen för elektronisk kommunikation, förordning (EU) 2016/679 och direktiv 2002/58/EG, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av det snabbt föränderliga hotlandskapet på cybersäkerhetsområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

Ändringsförslag    18

Förslag till förordning

Skäl 15

Kommissionens förslag

Ändringsförslag

(15)  Byrån bör bistå medlemsstaterna och unionens institutioner, organ, kontor och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, spåra och reagera på cybersäkerhetsproblem och -incidenter samt i fråga om säkerhet i nät- och informationssystem. Byrån bör särskilt stödja utvecklingen och stärkandet av nationella CSIRT-enheter, i syfte att uppnå en hög gemensam mognadsnivå för dem i unionen. Byrån bör också bistå med utveckling och uppdatering av unionens och medlemsstaternas strategier för säkerhet i nät- och informationssystem, särskilt för cybersäkerhet, främja deras spridning och följa upp hur de genomförs. Byrån bör också erbjuda utbildning och utbildningsmaterial till offentliga organ, och vid behov ”utbilda utbildarna”, för att bistå medlemsstaterna när de utvecklar sin egen utbildningskapacitet.

(15)  Byrån bör bistå medlemsstaterna och unionens institutioner, organ, kontor och byråer i deras arbete för att bygga upp och förbättra kapacitet och beredskap för att förebygga, spåra och reagera på cybersäkerhetsproblem och -incidenter samt i fråga om säkerhet i nät- och informationssystem. Byrån bör särskilt stödja utvecklingen och stärkandet av nationella CSIRT-enheter, i syfte att uppnå en hög gemensam mognadsnivå för dem i unionen. Byrån bör också bistå med utveckling och uppdatering av unionens och medlemsstaternas strategier för säkerhet i nät- och informationssystem, särskilt för cybersäkerhet, främja deras spridning och följa upp hur de genomförs. Med tanke på att mänskliga misstag hör till de väsentligaste cybersäkerhetsriskerna bör byrån också erbjuda utbildning och utbildningsmaterial till offentliga organ, och i största möjliga utsträckning ”utbilda utbildarna”, för att bistå medlemsstaterna och EU:s institutioner och byråer när de utvecklar sin egen utbildningskapacitet. Byrån bör också fungera som en kontaktpunkt för medlemsstaterna och unionens institutioner, som bör kunna begära bistånd från byrån inom ramen för den behörighet och roll som den tilldelats.

Ändringsförslag    19

Förslag till förordning

Skäl 18

Kommissionens förslag

Ändringsförslag

(18)  Byrån bör sammanställa och analysera nationella rapporter från CSIRT-enheter och CERT-EU samt upprätta gemensamma regler, gemensamt språk och gemensam terminologi för utbyte av information. Byrån bör även engagera den privata sektorn, inom ramen för it-säkerhetsdirektivet som lade grunden för frivilligt utbyte av teknisk information på operativ nivå med inrättandet av CSIRT-nätverket.

(18)  Byrån bör sammanställa och analysera nationella rapporter från CSIRT-enheter och CERT-EU samt upprätta gemensamma regler, gemensamt språk och gemensam terminologi för utbyte av information. Byrån bör även engagera den privata och den offentliga sektorn, inom ramen för it-säkerhetsdirektivet som lade grunden för frivilligt utbyte av teknisk information på operativ nivå med inrättandet av CSIRT-nätverket.

Ändringsförslag    20

Förslag till förordning

Skäl 19

Kommissionens förslag

Ändringsförslag

(19)  Byrån bör bidra till insatser på EU-nivå i samband med storskaliga gränsöverskridande cybersäkerhetsincidenter och -kriser. Denna funktion bör omfatta insamling av relevant information och att fungera som kontaktpunkt mellan CSIRT-nätverket och såväl tekniska aktörer som beslutsfattare med ansvar för krishantering. Vidare skulle byrån kunna stödja hanteringen av incidenter ur ett tekniskt perspektiv genom att underlätta utbyte av relevanta tekniska lösningar mellan medlemsstaterna och genom att ge input till kommunikation med allmänheten. Byrån bör stödja processen genom att granska formerna för sådant samarbete genom årliga cybersäkerhetsövningar.

(19)  Byrån bör bidra till insatser på EU-nivå i samband med storskaliga gränsöverskridande cybersäkerhetsincidenter och -kriser. Denna funktion bör omfatta sammankallande av medlemsstaternas myndigheter och hjälp med att samordna deras insatser, insamling av relevant information och att fungera som kontaktpunkt mellan CSIRT-nätverket och såväl tekniska aktörer som beslutsfattare med ansvar för krishantering. Vidare skulle byrån kunna stödja hanteringen av incidenter ur ett tekniskt perspektiv, exempelvis genom att underlätta utbyte av relevanta tekniska lösningar mellan medlemsstaterna och genom att ge input till kommunikation med allmänheten. Byrån bör stödja processen genom att granska formerna för sådant samarbete genom årliga cybersäkerhetsövningar. Byrån bör respektera medlemsstaternas befogenheter i fråga om cybersäkerhet, särskilt dem som berör allmän säkerhet, försvar, nationell säkerhet och statens verksamhet på strafflagstiftningens område.

Ändringsförslag    21

Förslag till förordning

Skäl 25

Kommissionens förslag

Ändringsförslag

(25)  Medlemsstaterna kan uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till byrån utan att det påverkar deras rätt att skydda kommersiellt känslig information,

(25)  Medlemsstaterna kan uppmana företag som berörs av incidenten att samarbeta genom att tillhandahålla nödvändig information och assistans till byrån utan att det påverkar deras rätt att skydda kommersiellt känslig information och information som är relevant för allmän säkerhet,

Ändringsförslag    22

Förslag till förordning

Skäl 26

Kommissionens förslag

Ändringsförslag

(26)  För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, behöver byrån analysera nuvarande och framväxande risker. För detta ändamål bör byrån i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra samla in relevant information och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nät- och informationssäkerhet, i synnerhet cybersäkerhet. Byrån bör också hjälpa medlemsstaterna och unionens institutioner, byråer och organ att identifiera framväxande trender och förebygga problem som rör cybersäkerhet, genom att utföra analyser av hot och incidenter.

(26)  För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, behöver byrån analysera nuvarande och framväxande risker, incidenter, hot och sårbarheter. För detta ändamål bör byrån i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra samla in relevant information och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nät- och informationssäkerhet, i synnerhet cybersäkerhet. Byrån bör också hjälpa medlemsstaterna och unionens institutioner, byråer och organ att identifiera framväxande trender och förebygga problem som rör cybersäkerhet, genom att utföra analyser av hot, incidenter och sårbarheter.

Ändringsförslag    23

Förslag till förordning

Skäl 27

Kommissionens förslag

Ändringsförslag

(27)  För att stärka unionens resiliens bör byrån utveckla spetskompetens i fråga om säkerhet för internetinfrastruktur och för de kritiska infrastrukturerna, genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör byrån utarbeta och upprätthålla unionens ”informationsnav”, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från EU:s och medlemsstaternas institutioner, organ och byråer.

(27)  För att stärka unionens resiliens bör byrån utveckla spetskompetens i fråga om säkerhet för internetinfrastruktur och för de kritiska infrastrukturerna, genom att tillhandahålla rådgivning, vägledning och bästa praxis. För att säkerställa enklare tillgång till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör byrån utarbeta och upprätthålla unionens ”informationsnav”, en gemensam webbportal som förser allmänheten med information om cybersäkerhet från EU:s och medlemsstaternas institutioner, organ och byråer. Att underlätta tillgången till bättre strukturerad information om cybersäkerhetsrisker och möjliga motåtgärder bör hjälpa medlemsstaterna att stärka sin kapacitet och anpassa sin praxis, och därmed att bättre stå emot cyberattacker i allmänhet.

Ändringsförslag    24

Förslag till förordning

Skäl 28

Kommissionens förslag

Ändringsförslag

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner och organisationer. Byrån bör även bidra till att främja bästa praxis och lösningar för enskilda och organisationer genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa rapporter i syfte att ge vägledning till företag och privatpersoner och att höja den allmänna beredskaps- och resiliensnivån. Byrån bör vidare, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, samt främja grundläggande rådgivning om autentisering och dataskydd. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet.

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet, bland annat genom att främja utbildning, om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner, organisationer och företag. Byrån bör även bidra till att främja bästa praxis för it-hygien, som omfattar flera åtgärder som bör genomföras regelbundet för att skydda användare och företag på nätet, och lösningar på individ-, organisations- och företagsnivå genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa och offentliggöra rapporter och handböcker i syfte att ge vägledning till företag och privatpersoner och att höja den allmänna beredskaps- och resiliensnivån. Enisa bör även sträva efter att förse konsumenter med relevant information om gällande certifieringssystem, till exempel genom att förse marknadsplatser både på och utanför nätet med riktlinjer och rekommendationer. Byrån bör vidare, i enlighet med handlingsplanen för digital utbildning, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare, digital kompetens och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, samt främja grundläggande rådgivning om flerfaktorautentisering, programkorrigeringar, kryptering, anonymisering och dataskydd. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och trygg användning av tjänster, samt öka kännedomen på EU-nivå om inbyggd säkerhet, inbyggt integritetsskydd och incidenter och deras lösningar. För att uppnå detta mål bör byrån på lämpligaste sätt använda tillgänglig bästa praxis och erfarenhet, framför allt akademiska institutioner och it-säkerhetsforskare. Med tanke på att enskilda misstag och omedvetenhet om cybersäkerhetsrisker utgör en stor osäkerhetsfaktor inom cybersäkerheten bör byrån tilldelas tillräckliga resurser för att kunna utöva denna funktion i så hög grad som möjligt.

Ändringsförslag    25

Förslag till förordning

Skäl 28a (nytt)

Kommissionens förslag

Ändringsförslag

 

(28a)  Byrån bör höja allmänhetens medvetenhet om riskerna med incidenter rörande databedrägeri och datastöld som kan få allvarliga konsekvenser för enskildas grundläggande rättigheter, utgöra ett hot mot rättsstatsprincipen och riskera stabiliteten i demokratiska samhällen, inbegripet de demokratiska processerna i medlemsstaterna.

Ändringsförslag    26

Förslag till förordning

Skäl 30

Kommissionens förslag

Ändringsförslag

(30)  För att se till att byrån fullt ut uppnår sina mål bör den samarbeta med berörda institutioner, byråer och organ, däribland CERT-EU, Europeiska it-brottscentrumet (EC3) vid Europol, Europeiska försvarsbyrån (EDA), Europeiska byrån för den operativa förvaltningen av stora it-system (eu-LISA), Europeiska byrån för luftfartssäkerhet (Easa) och andra EU-organ som arbetar med cybersäkerhet. Byrån bör också samverka med myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i byråns ständiga intressentgrupp. I samarbetet med rättsvårdande organ om nät- och informationssäkerhetsaspekter som kan påverka deras arbete bör byrån använda existerande informationskanaler och etablerade nätverk.

(30)  För att se till att byrån fullt ut uppnår sina mål bör den samarbeta med berörda institutioner, EU:s tillsynsmyndigheter och andra behöriga myndigheter, byråer och organ, däribland CERT-EU, Europeiska it-brottscentrumet (EC3) vid Europol, Europeiska försvarsbyrån (EDA), Europeiska byrån för GNSS (GSA), Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec), Europeiska byrån för den operativa förvaltningen av stora it-system (eu-LISA), Europeiska centralbanken (ECB), Europeiska bankmyndigheten (EBA), Europeiska dataskyddsstyrelsen, Europeiska byrån för luftfartssäkerhet (Easa) och andra EU-organ som arbetar med cybersäkerhet. Byrån bör också samverka med europeiska standardiseringsorganisationer, berörda intressenter och myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i Enisas rådgivande grupp. I samarbetet med rättsvårdande organ om nät- och informationssäkerhetsaspekter som kan påverka deras arbete bör byrån använda existerande informationskanaler och etablerade nätverk. Samarbete bör upprättas med akademiska institutioner som bedriver forskning inom området i fråga, samtidigt som det bör finnas lämpliga kanaler för konsumentorganisationer och andra organisationer att framföra sina synpunkter, vilka alltid bör analyseras.

Ändringsförslag    27

Förslag till förordning

Skäl 31

Kommissionens förslag

Ändringsförslag

(31)  Byrån, som en medlem i CSIRT-nätverket som dessutom tillhandahåller dess sekretariat, bör stödja medlemsstaternas CSIRT-enheter och CERT-EU i det operativa samarbetet med alla relevanta uppgifter för CSIRT-nätverket som fastställs i it-säkerhetsdirektivet. Byrån bör dessutom främja och stödja samarbete mellan de berörda CSIRT-enheterna i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller potentiellt kan beröra minst två CERT, och därvid beakta CSIRT-nätverkets operationella standardförfaranden.

(31)  Byrån, som en medlem i CSIRT-nätverket som dessutom tillhandahåller dess sekretariat, bör stödja medlemsstaternas CSIRT-enheter och CERT-EU i det operativa samarbetet med alla relevanta uppgifter för CSIRT-nätverket som fastställs i it-säkerhetsdirektivet. Byrån bör dessutom främja och stödja samarbete mellan de berörda CSIRT-enheterna i händelse av incidenter, attacker mot eller störningar i de nät eller den infrastruktur som förvaltas eller skyddas av dem och som berör eller potentiellt kan beröra minst två CERT, och därvid beakta CSIRT-nätverkets operationella standardförfaranden. Byrån får på begäran av kommissionen eller en medlemsstat, genomföra regelbundna granskningar av it-säkerheten i kritisk gränsöverskridande infrastruktur i syfte att identifiera eventuella cybersäkerhetsrisker och fastställa rekommendationer för att stärka deras resiliens.

Ändringsförslag    28

Förslag till förordning

Skäl 33

Kommissionens förslag

Ändringsförslag

(33)  Byrån bör vidareutveckla och upprätthålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Byrån bör främja spridningen av cybersäkerhetscertifiering i unionen, bland annat genom att bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå, i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos IKT-produkter och IKT-tjänster och därigenom stärka förtroendet för den digitala inre marknaden.

(33)  Byrån bör vidareutveckla och upprätthålla sina kunskaper om cybersäkerhetscertifiering för att stödja unionens politik på detta område. Byrån bör bygga på befintlig bästa praxis och främja spridningen av cybersäkerhetscertifiering i unionen, bland annat genom att bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå, i syfte att öka öppenheten i fråga om assuransnivån för cybersäkerhet hos IKT-produkter och IKT-tjänster och därigenom stärka förtroendet för den digitala inre marknaden.

Ändringsförslag    29

Förslag till förordning

Skäl 35

Kommissionens förslag

Ändringsförslag

(35)  Byrån bör uppmuntra medlemsstaterna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla eller återvinna produkter och tjänster som inte uppfyller cybersäkerhetsstandarderna. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om cybersäkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters och tjänsters säkerhet, inbegripet cybersäkerhet.

(35)  Byrån bör uppmuntra medlemsstaterna, tillverkarna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder i sina IKT-produkter, IKT-processer, IKT-tjänster och IKT-system som bör uppfylla grundläggande säkerhetskrav i enlighet med principen om inbyggd säkerhet och säkerhet som standard, särskilt genom nödvändiga uppdateringar, så att alla internetanvändare kan skyddas och motiveras att vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla, dra tillbaka eller återvinna produkter och tjänster som inte uppfyller grundläggande cybersäkerhetskrav, samtidigt som importörer och distributörer bör säkerställa att de IKT-produkter, IKT-processer, IKT-tjänster och IKT-system som de släpper ut på EU-marknaden uppfyller gällande krav och inte utgör en risk för europeiska konsumenter. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om cybersäkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters, processers, tjänsters och systems säkerhet, inbegripet cybersäkerhet. Byrån bör samarbeta med intressenter för att utarbeta en EU-omfattande strategi för ett ansvarsfullt utlämnande av uppgifter om sårbarheter, och bör främja bästa praxis på detta område.

Ändringsförslag    30

Förslag till förordning

Skäl 36

Kommissionens förslag

Ändringsförslag

(36)  Byrån bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ, kontor och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven på området nät- och informationssäkerhet, särskilt cybersäkerhet.

(36)  Byrån bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ, kontor och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven på området nät- och informationssäkerhet, särskilt cybersäkerhet. Närmare bestämt bör ett samarbete med Europeiska forskningsrådet (EFR) och Europeiska institutet för innovation och teknik (EIT) inledas och säkerhetsrelaterad forskning bör ingå i det nionde ramprogrammet för forskning (FP9) och Horisont 2020.

Ändringsförslag    31

Förslag till förordning

Skäl 36a (nytt)

Kommissionens förslag

Ändringsförslag

 

(36a)  Standarder är ett frivilligt marknadsdrivet verktyg som tillhandahåller tekniska krav och riktlinjer och som är resultatet av en öppen, insynsvänlig och inkluderande process. Byrån bör regelbundet samråda och ha ett nära samarbete med standardiseringsorganisationerna, i synnerhet vid utarbetandet av europeiska system för cybersäkerhetscertifiering.

Ändringsförslag    32

Förslag till förordning

Skäl 37

Kommissionens förslag

Ändringsförslag

(37)  Cybersäkerhetsproblem är globala frågor. Det behövs ett tätare internationellt samarbete för att förbättra säkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer, och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på, och en gemensam global syn på, nät- och informationssäkerhetsproblem. Därför bör byrån stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, -organ, -kontor och -byråer.

(37)  Cybersäkerhetsproblem är globala frågor. Det behövs ett tätare internationellt samarbete för att förbättra säkerhetsstandarder, bland annat genom att fastställa gemensamma beteendenormer och uppförandekoder, användning av internationella standarder och informationsutbyte, och på så vis främja snabbare internationellt samarbete som svar på, och en gemensam global syn på, nät- och informationssäkerhetsproblem. Därför bör byrån stödja ett starkare unionsdeltagande och samarbete med tredjeländer och internationella organisationer genom att, när så är lämpligt, tillhandahålla nödvändig expertis och nödvändiga analyser till berörda unionsinstitutioner, -organ, -kontor och -byråer.

Ändringsförslag    33

Förslag till förordning

Skäl 40

Kommissionens förslag

Ändringsförslag

(40)  Styrelsen, som består av företrädare för medlemsstaterna och kommissionen, bör fastställa den allmänna inriktningen för byråns verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för byråns beslutsfattande, anta byråns samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning av hans eller hennes mandat och om avslutande av mandatet.

(40)  Styrelsen, som företräder medlemsstaterna och kommissionen samt intressenter som berörs av byråns mål, bör fastställa den allmänna inriktningen för byråns verksamhet och se till att den utför sina uppgifter i enlighet med denna förordning. Styrelsen bör ha de nödvändiga befogenheterna för att fastställa budgeten och kontrollera att den genomförs, anta lämpliga finansiella bestämmelser, utarbeta klara och tydliga förfaranden för byråns beslutsfattande, anta byråns samlade programdokument, anta sin egen arbetsordning, utse den verkställande direktören, besluta om förlängning av hans eller hennes mandat och om avslutande av mandatet. Med hänsyn till byråns påtagligt tekniska och vetenskapliga uppgifter bör styrelseledamöterna ha lämplig erfarenhet och vara väl förfarna i frågor som hör till byråns verksamhetsområde.

Ändringsförslag    34

Förslag till förordning

Skäl 41

Kommissionens förslag

Ändringsförslag

(41)  För att byrån ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet inom funktionella områden. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete.

(41)  För att byrån ska fungera väl och effektivt bör kommissionen och medlemsstaterna säkerställa att personer som utses till styrelseledamöter har lämplig yrkesmässig expertis och erfarenhet inom funktionella områden. Medlemsstaterna och kommissionen bör även eftersträva att begränsa omsättningen av deras respektive företrädare i styrelsen i syfte att skapa kontinuitet i dess arbete. På grund av det höga marknadsvärdet på den kompetens som behövs i byråns arbete måste den lön och de sociala förmåner som erbjuds all personal på byrån vara konkurrenskraftiga så att de bästa inom branschen väljer att arbeta där.

Motivering

För att få nödvändig nivå på expertisen måste Enisa vara en konkurrenskraftig arbetsgivare på en marknad där det råder stor konkurrens.

Ändringsförslag    35

Förslag till förordning

Skäl 42

Kommissionens förslag

Ändringsförslag

(42)  För att byrån ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet, och den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till arbetsprogram för byrån, efter samråd med kommissionen, och vidta alla åtgärder som är nödvändiga för att säkerställa att byråns arbetsprogram genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som föreläggs styrelsen och upprätta en preliminär beräkning av byråns inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med beaktande av att det, utifrån de specifika frågor som berörs, ska finnas en representativ balans mellan medlemsstaternas förvaltningar, unionens institutioner och den privata sektorn, inklusive branschen, användare och akademiska experter på nät- och informationssäkerhet.

(42)  För att byrån ska fungera väl bör den verkställande direktören utses på grundval av meriter, dokumenterad skicklighet i förvaltning och ledarskap samt kompetens och erfarenheter som rör cybersäkerhet, och den verkställande direktörens uppgifter bör utföras med fullständigt oberoende. Den verkställande direktören bör utarbeta ett förslag till arbetsprogram för byrån, efter samråd med kommissionen, och vidta alla åtgärder som är nödvändiga för att säkerställa att byråns arbetsprogram genomförs på rätt sätt. Den verkställande direktören bör utarbeta en årsrapport som föreläggs styrelsen och upprätta en preliminär beräkning av byråns inkomster och utgifter samt genomföra budgeten. Den verkställande direktören bör också ha möjlighet att inrätta tillfälliga arbetsgrupper som i synnerhet ska behandla vetenskapliga, tekniska, rättsliga eller socioekonomiska frågor. Den verkställande direktören bör se till att de tillfälliga arbetsgruppernas medlemmar väljs med utgångspunkt i högsta möjliga standard när det gäller expertkunskaper, med beaktande av att det, utifrån de specifika frågor som berörs, ska finnas en representativ balans med jämn könsfördelning mellan medlemsstaternas förvaltningar, unionens institutioner och den privata sektorn, inklusive branschen, användare och akademiska experter på nät- och informationssäkerhet.

Ändringsförslag    36

Förslag till förordning

Skäl 44

Kommissionens förslag

Ändringsförslag

(44)  Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en tillräcklig representation av intressenter i byråns arbete.

(44)  Byrån bör ha en rådgivande grupp för Enisa som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer, den akademiska världen och andra berörda intressenter. Enisas rådgivande grupp, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en tillräcklig representation av intressenter i byråns arbete. Med tanke på vikten av certifieringskrav för att säkerställa förtroende för sakernas internet kommer kommissionen att särskilt beakta genomförandeåtgärder för att säkerställa EU-omfattande harmonisering av säkerhetsstandarder för uppkopplade apparater.

Ändringsförslag    37

Förslag till förordning

Skäl 44a (nytt)

Kommissionens förslag

Ändringsförslag

 

(44a)  Byrån bör ha en intressentgrupp för certifiering som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer, den akademiska världen och andra berörda intressenter. Intressentgruppen för certifiering, som inrättas av den verkställande direktören, bör bestå av en allmän rådgivande kommitté som framför synpunkter om vilka IKT-produkter och IKT-tjänster som bör ingå i EU:s framtida program för it-säkerhetscertifiering, och tillfälliga kommittéer som bidrar till förslag, utveckling och antagande av begärda förslag till europeiska system för cybersäkerhetscertifiering.

Ändringsförslag    38

Förslag till förordning

Skäl 46

Kommissionens förslag

Ändringsförslag

(46)  För att garantera byråns autonomi och oberoende och ge den möjlighet att utföra kompletterande och nya uppgifter, också oförutsedda uppgifter i en krissituation, bör den ges en tillräcklig egen budget där intäkterna främst består av ett bidrag från unionen och bidrag från tredjeländer som deltar i byråns arbete. Huvuddelen av byråns personal bör vara direkt delaktig i det operativa genomförandet av byråns mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till byråns intäkter. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska byråns räkenskaper för att säkerställa insyn och ansvarighet.

(46)  För att garantera byråns autonomi och oberoende och ge den möjlighet att utföra kompletterande och nya uppgifter, också oförutsedda uppgifter i en krissituation, bör den ges en tillräcklig egen budget där intäkterna främst består av ett bidrag från unionen och bidrag från tredjeländer som deltar i byråns arbete. En tillräcklig budget är av största vikt för att säkerställa att byrån har tillräcklig kapacitet att fullgöra sina allt fler uppgifter och mål. Huvuddelen av byråns personal bör vara direkt delaktig i det operativa genomförandet av byråns mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till byråns intäkter. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska byråns räkenskaper för att säkerställa insyn, ansvarighet och utgifternas effektivitet.

Ändringsförslag    39

Förslag till förordning

Skäl 47

Kommissionens förslag

Ändringsförslag

(47)  Bedömning av överensstämmelse är den process där det visas om specificerade krav avseende en produkt, en process, en tjänst, ett system, en person eller ett organ har uppfyllts. I denna förordning bör certifiering betraktas som en typ av bedömning av överensstämmelse när det gäller cybersäkerhetsegenskaperna hos en produkt, en process, en tjänst, ett system eller en kombination av dessa (”IKT-produkter och IKT-tjänster”) som utförs av en oberoende tredje part, annan än produkttillverkaren eller tjänsteleverantören. Certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra. Den är snarare ett förfarande och en teknisk metod för att intyga att IKT-produkter och IKT-tjänster har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

(47)  Bedömning av överensstämmelse är den process där det visas om specificerade krav avseende en produkt, en process, en tjänst, ett system, en person eller ett organ har uppfyllts. I denna förordning bör certifiering betraktas som en typ av bedömning av överensstämmelse när det gäller cybersäkerhetsegenskaperna hos en produkt, en process, en tjänst, ett system eller en kombination av dessa (”IKT-produkter, IKT-processer och IKT-tjänster”) som utförs av en oberoende tredje part eller, där så är tillåtet, genom egen bedömning av produkttillverkaren eller tjänsteleverantören. Egen bedömning kan utföras av produkttillverkaren, små och medelstora företag eller tjänsteleverantören, som anges i denna förordning, och i tillämpliga fall, enligt vad som föreskrivs i och överensstämmer med den nya lagstiftningsramen. Egen bedömning kan dessutom utföras av produktens tillverkare eller operatör om sannolikheten för att en cybersäkerhetsincident ska inträffa och/eller för att en sådan incident ska orsaka betydande skada för samhället eller en stor del av samhället inte beräknas vara hög eller betydande, med hänsyn till tillverkarens eller tjänsteleverantörens avsedda användning av produkten eller tjänsten i fråga. Certifiering utgör inte i sig någon garanti för att IKT-produkter, IKT-processer och IKT-tjänster är cybersäkra, vilket konsumenterna och företagen måste upplysas om. Den är snarare ett förfarande och en teknisk metod för att intyga att IKT-produkter, IKT-processer och IKT-tjänster har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder. Dessa tekniska standarder inbegriper uppgifter om huruvida en IKT-produkt, IKT-process eller IKT-tjänst kan fungera normalt om den kopplas bort från internet.

Ändringsförslag    40

Förslag till förordning

Skäl 48

Kommissionens förslag

Ändringsförslag

(48)  Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter och IKT-tjänster. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter och tjänster har en viss assuransnivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation eller smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av it-säkerhetsdirektivet är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

(48)  Europeisk cybersäkerhetscertifiering har en mycket stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter, IKT-processer och IKT-tjänster. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter och tjänster har en hög assuransnivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation eller smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av it-säkerhetsdirektivet är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

Ändringsförslag    41

Förslag till förordning

Skäl 49

Kommissionens förslag

Ändringsförslag

(49)  I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av IKT-produkter och IKT-tjänster på den inre marknaden är fortfarande i hög grad geografiskt fragmenterat. Cybersäkerhetsbranschen i Europa har till stor del utvecklats med stöd av nationell statlig efterfrågan. Bristen på interoperabla lösningar (tekniska standarder), förfaranden och EU-mekanismer för certifiering är några av de andra faktorer som påverkar den inre marknaden för cybersäkerhet. Detta gör det svårt för de europeiska företagen att konkurrera på nationell, europeisk och global nivå. Det minskar också utbudet av livskraftig och användbar cybersäkerhetsteknik som enskilda och företag har tillgång till. Även i halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden underströk kommissionen behovet av säkra uppkopplade produkter och system, och framhöll att skapandet av en europeisk IKT-säkerhetsram med regler om hur IKT-säkerhetscertifiering ska organiseras i unionen kan bevara förtroendet för internet och samtidigt motverka den nuvarande fragmenteringen av marknaden för cybersäkerhet.

(49)  I sitt meddelande från 2016 Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch tog kommissionen upp behovet av billiga och interoperabla cybersäkerhetsprodukter och cybersäkerhetslösningar av hög kvalitet. Utbudet av IKT-produkter, IKT-processer och IKT-tjänster på den inre marknaden är fortfarande i hög grad geografiskt fragmenterat. Cybersäkerhetsbranschen i Europa har till stor del utvecklats med stöd av nationell statlig efterfrågan. Bristen på interoperabla lösningar (tekniska standarder), förfaranden och EU-mekanismer för certifiering är några av de andra faktorer som påverkar den inre marknaden för cybersäkerhet. Detta gör det svårt för de europeiska företagen att konkurrera på nationell, europeisk och global nivå. Det minskar också utbudet av livskraftig och användbar cybersäkerhetsteknik som enskilda och företag har tillgång till. Även i halvtidsöversynen av genomförandet av strategin för den digitala inre marknaden underströk kommissionen behovet av säkra uppkopplade produkter och system, och framhöll att skapandet av en europeisk IKT-säkerhetsram med regler om hur IKT-säkerhetscertifiering ska organiseras i unionen kan bevara förtroendet för internet och samtidigt motverka den nuvarande fragmenteringen av marknaden för cybersäkerhet.

Ändringsförslag    42

Förslag till förordning

Skäl 50

Kommissionens förslag

Ändringsförslag

(50)  För närvarande används cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell cybersäkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning.

(50)  För närvarande används cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell cybersäkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter, processer och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, varvid de ökar sina omkostnader. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, riskbaserade assuransnivåer, grundläggande kriterier och faktisk användning. Ömsesidigt erkännande och förtroende bland medlemsstaterna är en central del i detta hänseende. Enisa har en viktig roll när det gäller att hjälpa medlemsstaterna att utveckla en stabil institutionell struktur och expertis till skydd mot potentiella cyberangrepp. I syfte att säkerställa att tjänster, processer och produkter omfattas av lämpliga certifieringssystem krävs bedömning från fall till fall. Dessutom krävs en riskbaserad strategi för att effektivt fastställa och minska risker samtidigt som man medger att det inte är möjligt med en lösning som passar alla.

Ändringsförslag    43

Förslag till förordning

Skäl 52

Kommissionens förslag

Ändringsförslag

(52)  Mot bakgrund av ovanstående är det nödvändigt att inrätta en europeisk ram för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för cybersäkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Systemen bör vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

(52)  Mot bakgrund av ovanstående är det nödvändigt att anta en gemensam strategi och inrätta en europeisk ram för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för cybersäkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. I detta sammanhang är det viktigt att bygga vidare på befintliga nationella och internationella system samt avtal för ömsesidigt erkännande, i synnerhet SOG-IS, och att möjliggöra en smidig övergång från befintliga system enligt sådana avtal till system inom ramen för den nya europeiska ramen. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter, IKT-processer och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Om ett europeiskt system för cybersäkerhetscertifiering har ersatt ett nationellt system ska certifikat som utfärdats inom ramen för det europeiska systemet godtas som giltigt i de fall där certifiering enligt ett nationellt system krävts. Systemen bör bygga på principen om inbyggd säkerhet och principerna i förordning (EU) 2016/679. De bör också vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

Ändringsförslag    44

Förslag till förordning

Skäl 52a (nytt)

Kommissionens förslag

Ändringsförslag

 

(52a)  Denna europeiska ram för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att undvika ”certifieringsshopping” på grund av skillnader i kostnad eller kravnivå medlemsstater emellan.

Ändringsförslag    45

Förslag till förordning

Skäl 52b (nytt)

Kommissionens förslag

Ändringsförslag

 

(52b)  Certifieringssystemen bör bygga på det som redan finns på nationell och internationell nivå, genom att dra lärdomar av befintliga starka sidor samt utvärdera och korrigera svagheter.

Ändringsförslag    46

Förslag till förordning

Skäl 52c (nytt)

Kommissionens förslag

Ändringsförslag

 

(52c)  Flexibla cybersäkerhetslösningar är nödvändiga för att branschen ska kunna förutse fientliga angrepp och hot, och därför bör alla certifieringssystem undvika risken att systemet snabbt blir föråldrat.

Ändringsförslag    47

Förslag till förordning

Skäl 53

Kommissionens förslag

Ändringsförslag

(53)  Kommissionen bör ges befogenhet att anta europeiska system för cybersäkerhetscertifiering för särskilda grupper av IKT-produkter och IKT-tjänster. Dessa system bör genomföras och övervakas av nationella tillsynsmyndigheter för certifiering, och certifikat utfärdade enligt dessa system bör vara giltiga och erkännas i hela unionen. Certifieringssystem som drivs av industrin eller andra privata organisationer bör inte ingå i förordningens tillämpningsområde. De organ som handhar sådana system kan dock föreslå kommissionen att överväga sådana system som en grund för att godkänna dem som ett europeiskt system.

(53)  Kommissionen bör ges befogenhet att anta europeiska system för cybersäkerhetscertifiering för särskilda grupper av IKT-produkter, IKT-processer och IKT-tjänster. Dessa system bör genomföras och övervakas av nationella tillsynsmyndigheter för certifiering, och certifikat utfärdade enligt dessa system bör vara giltiga och erkännas i hela unionen. Certifieringssystem som drivs av industrin eller andra privata organisationer bör inte ingå i förordningens tillämpningsområde. De organ som handhar sådana system kan dock föreslå kommissionen att överväga sådana system som en grund för att godkänna dem som ett europeiskt system. Byrån bör kartlägga och bedöma de system som redan används av branschen eller privata organisationer i syfte att välja ut bästa praxis som skulle kunna ingå i ett europeiskt system. Branschens aktörer kan göra en egen bedömning av sina produkter eller tjänster före certifiering, där de anger att deras produkt eller tjänst är redo för att inleda certifieringsprocessen om så krävs eller behövs.

Ändringsförslag    48

Förslag till förordning

Skäl 53a (nytt)

Kommissionens förslag

Ändringsförslag

 

(53a)  Byrån och kommissionen bör på bästa sätt använda redan befintliga certifieringssystem på EU-nivå och/eller internationell nivå. Enisa bör i samarbete med EU:s standardiseringsorganisationer kunna bedöma vilka av de system som redan används som lämpar sig för ändamålet och kan införas i EU:s lagstiftning samt, så långt möjligt, erkännas internationellt. Befintlig god praxis bör samlas in och utbytas mellan medlemsstaterna.

Ändringsförslag    49

Förslag till förordning

Skäl 54

Kommissionens förslag

Ändringsförslag

(54)  Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionslagstiftning som innehåller särskilda bestämmelser om certifiering av IKT-produkter och IKT-tjänster. Särskilt den allmänna dataskyddsförordningen innehåller bestämmelser för införandet av certifieringsmekanismer samt sigill och märkningar för dataskydd för att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens uppgiftsbehandling är förenlig med den förordningen. Dessa certifieringsmekanismer samt sigill och märkningar för dataskydd bör göra det möjligt för de registrerade att snabbt bedöma dataskyddsnivån för relevanta produkter och tjänster. Den här förordningen påverkar inte certifieringen av uppgiftsbehandling, inte heller om denna verksamhet ingår i produkter och tjänster, enligt den allmänna dataskyddsförordningen.

(54)  Bestämmelserna i denna förordning bör inte påverka tillämpningen av unionslagstiftning som innehåller särskilda bestämmelser om certifiering av IKT-produkter, IKT-processer och IKT-tjänster. Särskilt den allmänna dataskyddsförordningen innehåller bestämmelser för införandet av certifieringsmekanismer samt sigill och märkningar för dataskydd för att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens uppgiftsbehandling är förenlig med den förordningen. Dessa certifieringsmekanismer samt sigill och märkningar för dataskydd bör göra det möjligt för de registrerade att snabbt bedöma dataskyddsnivån för relevanta produkter och tjänster. Den här förordningen påverkar inte certifieringen av uppgiftsbehandling, inte heller om denna verksamhet ingår i produkter och tjänster, enligt den allmänna dataskyddsförordningen.

Ändringsförslag    50

Förslag till förordning

Skäl 55

Kommissionens förslag

Ändringsförslag

(55)  Syftet med europeiska system för cybersäkerhetscertifiering bör vara att se till att IKT-produkter och IKT-tjänster som certifierats enligt ett sådant system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss assuransnivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa cybersäkerhetskraven för alla IKT-produkter och och IKT-tjänster. IKT-produkter och IKT-tjänster och relaterade cybersäkerhetsbehov är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga över hela linjen. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, kompletterat med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska system för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter och och IKT-tjänster bör sedan fastställas i detalj för det enskilda certifieringssystem som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer.

(55)  Syftet med europeiska system för cybersäkerhetscertifiering bör vara att se till att IKT-produkter, IKT-tjänster och IKT-processer som certifierats enligt ett sådant system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss risknivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa cybersäkerhetskraven för alla IKT-produkter, IKT-tjänster och IKT-processer. IKT-produkter, IKT-tjänster och IKT-processer samt relaterade cybersäkerhetsbehov är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga över hela linjen. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, kompletterat med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska system för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter, IKT-tjänster och IKT-processer bör sedan fastställas i detalj för det enskilda certifieringssystem som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer. Alla aktörer i en viss distributionskedja bör uppmuntras att utveckla och anta säkerhetsstandarder, tekniska normer och principer för inbyggd säkerhet i alla stadier av produktens, tjänstens eller processens livscykel. Alla europeiska system för cybersäkerhetscertifiering bör utformas så att de uppfyller detta mål.

Ändringsförslag    51

Förslag till förordning

Skäl 56

Kommissionens förslag

Ändringsförslag

(56)  Kommissionen bör ges befogenhet att begära att Enisa förbereder förslag till system för särskilda IKT-produkter eller IKT-tjänster. Kommissionen bör, på grundval av Enisas förslag till system, ges befogenhet att anta det europeiska certifieringssystemet genom genomförandeakter. Med beaktande av det allmänna syfte och de säkerhetsmål som fastställs i denna förordning bör det i europeiska certifieringssystem som antas av kommissionen specificeras en minimiuppsättning komponenter avseende det enskilda systemets föremål, tillämpningsområde och funktionssätt. Dessa bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter och IKT-tjänster som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån: grundläggande, betydande och/eller hög.

(56)  Kommissionen bör ges befogenhet att begära att Enisa förbereder förslag till system för särskilda IKT-produkter, IKT-processer eller IKT-tjänster utifrån motiverade skäl, t.ex. befintliga nationella system för cybersäkerhetscertifiering, som fragmenterar den inre marknaden, ett aktuellt eller förutsett behov att stödja EU:s lagstiftning, eller ett yttrande från medlemsstaternas certifieringsgrupp eller intressenternas certifieringsgrupp. Efter att ha bedömt förslaget till certifieringssystem, som Enisa har lagt fram på kommissionens begäran, bör kommissionen ges befogenhet att anta det europeiska cybercertifieringssystemet genom delegerade akter. Med beaktande av det allmänna syfte och de säkerhetsmål som fastställs i denna förordning bör det i europeiska certifieringssystem specificeras en minimiuppsättning komponenter avseende det enskilda systemets föremål, tillämpningsområde och funktionssätt. Dessa bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter och IKT-tjänster som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån: grundläggande, betydande och/eller hög.

Ändringsförslag    52

Förslag till förordning

Skäl 56a (nytt)

Kommissionens förslag

Ändringsförslag

 

(56a)  Byrån bör fungera som referenspunkten för information om europeiska cybersäkerhetssystem. Den bör upprätthålla en webbplats med all relevant information, bland annat när det gäller återkallade och utgångna certifikat och nationella certifieringar. Byrån bör se till att en lämplig del av innehållet på dess webbplats är begriplig för vanliga konsumenter.

Ändringsförslag    53

Förslag till förordning

Skäl 56b (nytt)

Kommissionens förslag

Ändringsförslag

 

(56b)  Fastställande av assuransnivåer för certifikat är nödvändigt för att ge slutanvändaren information om den förväntade typen av cyberhot som cybersäkerhetsåtgärderna inom produkten, processen eller tjänsten avser att förhindra. Cyberhot måste fastställas med beaktande av den förväntade risken och upphovsmannens eller upphovsmännens möjligheter till attack i samband med den förväntade användningen av den berörda IKT-produkten, IKT-processen eller IKT-tjänsten. Assuransnivån ”grundläggande” avser möjligheter att motstå attacker som kan undvikas genom grundläggande cybersäkerhetsåtgärder, och som lätt kan kontrolleras med den tekniska dokumentationen. Assuransnivån ”betydande” avser möjligheter att motstå kända typer av attacker, som förövas med tämligen avancerade metoder men med begränsade resurser. Assuransnivå ”hög” avser kapacitet att motstå okända sårbarheter och avancerade attacker med hjälp av den senaste tekniken och med betydande resurser såsom finansierade tvärvetenskapliga team.

Ändringsförslag    54

Förslag till förordning

Skäl 56c (nytt)

Kommissionens förslag

Ändringsförslag

 

(56c)  För att undvika en fragmentering av den inre marknaden p.g.a. nationella cybersäkerhetssystem, stödja framtida lagstiftning och öka förtroendet och säkerheten bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen när det gäller fastställandet av prioriteringarna för den europeiska cybersäkerhetscertifieringen, antagandet av det löpande programmet och antagandet av europeiska certifieringssystem. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

Ändringsförslag    55

Förslag till förordning

Skäl 56d (nytt)

Kommissionens förslag

Ändringsförslag

 

(56d)  Bland de utvärderingsmetoder och bedömningsförfaranden förknippade med de olika systemen för cybersäkerhetscertifiering som förespråkas på EU-nivå märks etisk hackning, vars syfte är att hitta svaga och sårbara punkter i apparater och informationssystem genom att försöka förutsäga hur hackare med ont uppsåt kan agera och vad de klarar av att göra.

Ändringsförslag    56

Förslag till förordning

Skäl 57

Kommissionens förslag

Ändringsförslag

(57)  Användningen av europeisk cybersäkerhetscertifiering bör vara frivillig, om inte annat föreskrivs i unionslagstiftning eller nationell lagstiftning. I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör dock nationella system eller förfaranden för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering upphöra att ha verkan från och med den dag som fastställs av kommissionen genom en genomförandeakt. Vidare bör medlemsstaterna inte införa nya nationella certifieringssystem som tillhandahåller cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster som redan omfattas av ett befintligt europeiskt system för cybersäkerhetscertifiering.

(57)  Användningen av europeisk cybersäkerhetscertifiering bör vara frivillig, om inte annat föreskrivs i unionslagstiftning eller nationell lagstiftning. I syfte att uppnå målen för denna förordning och undvika en fragmentering av den inre marknaden, bör dock nationella system eller förfaranden för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering upphöra att ha verkan från och med den dag som fastställs av kommissionen genom en delegerad akt. Vidare bör medlemsstaterna inte införa nya nationella certifieringssystem som tillhandahåller cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster som redan omfattas av ett befintligt europeiskt system för cybersäkerhetscertifiering. Denna förordning bör dock inte påverka nationella system som omfattar IKT-produkter, IKT-processer och IKT-tjänster som används för egna nationella behov, vilka medlemsstaterna även i fortsättningen har suveräna befogenheter att förvalta.

Ändringsförslag    57

Förslag till förordning

Skäl 57a (nytt)

Kommissionens förslag

Ändringsförslag

 

(57a)  En skyldighet att utfärda en produktdeklaration med strukturerad information om certifieringen av produkten, processen eller tjänsten införs för att ge konsumenterna mer information och för att göra det möjligt för dem att göra väl underbyggda val.

Ändringsförslag    58

Förslag till förordning

Skäl 57b (nytt)

Kommissionens förslag

Ändringsförslag

 

(57b)  När Enisa och andra berörda organ föreslår nya europeiska cybersäkerhetssystem bör de ta hänsyn till förslagets konkurrensdynamik, och särskilt se till att där den berörda sektorn har flera små och medelstora företag, exempelvis inom programvaruutveckling, ska certifieringssystem inte utgöra något hinder för nya företags och innovationers inträde.

Ändringsförslag    59

Förslag till förordning

Skäl 57c (nytt)

Kommissionens förslag

Ändringsförslag

 

(57c)  Europeiska cybersäkerhetssystem kommer att bidra till att harmonisera och förenhetliga cybersäkerhetsrutiner inom EU. De får dock inte bli miniminivån för cybersäkerhet. Utformningen av europeiska cybersäkerhetssystem bör även beakta och möjliggöra utveckling av nya innovationer på området cybersäkerhet.

Ändringsförslag    60

Förslag till förordning

Skäl 58

Kommissionens förslag

Ändringsförslag

(58)  När ett europeiskt system för cybersäkerhetscertifiering har antagits bör tillverkarna av IKT-produkter och leverantörerna av IKT-tjänster kunna lämna in en ansökan om certifiering av sina produkter och tjänster till valfritt organ för bedömning av överensstämmelse. Organen för bedömning av överensstämmelse bör ackrediteras av ett ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och kan förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven. Ackrediteringsorganet bör återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

(58)  När ett europeiskt system för cybersäkerhetscertifiering har antagits bör tillverkarna av IKT-produkter, IKT-processer och leverantörerna av IKT-tjänster kunna lämna in en ansökan om certifiering av sina produkter och tjänster till valfritt organ för bedömning av överensstämmelse var som helst i unionen. Organen för bedömning av överensstämmelse bör ackrediteras av ett ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och kan förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven. Ackrediteringsorganet bör återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning. Byrån bör genomföra revisioner för att säkerställa att organ för bedömning av överensstämmelse håller samma kvalitetsnivå och kompetens, i syfte att undvika regelarbitrage. Resultaten bör rapporteras till byrån, kommissionen och parlamentet samt offentliggöras.

Ändringsförslag    61

Förslag till förordning

Skäl 58a (nytt)

Kommissionens förslag

Ändringsförslag

 

(58a)  Obligatorisk användning av europeisk cybersäkerhetscertifiering bör begränsas till fall där riskanalys motiverar kostnaderna för industrin, medborgarna och konsumenterna. Incidenter som stör viktiga tjänster kan hindra genomförandet av ekonomisk verksamhet, generera omfattande ekonomiska förluster, undergräva användarnas förtroende och medföra allvarliga konsekvenser för unionens ekonomi. Obligatorisk användning av europeisk cybersäkerhetscertifiering för leverantörer av samhällsviktiga tjänster bör begränsas till de delar som är avgörande för att de ska fungera, och bör inte omfatta allmänna produkter, processer eller tjänster, eftersom detta skulle leda till omotiverade kostnader för industrin och konsumenterna. Kommissionen bör samarbeta med den samarbetsgrupp som är inrättad enligt artikel 11 i direktiv (EU) 2016/1148 för att fastställa en förteckning över kategorier av produkter, processer och tjänster som är särskilt avsedda att användas av leverantörer av samhällsviktiga tjänster och vars funktionsfel i händelse av en incident svårt kan störa samhällsviktiga tjänster. Denna förteckning bör sammanställas successivt och uppdateras vid behov. Endast produkter, processer och tjänster på denna förteckning bör vara obligatoriska för leverantörer av samhällsviktiga tjänster.

Ändringsförslag    62

Förslag till förordning

Skäl 58b (nytt)

Kommissionens förslag

Ändringsförslag

 

(58b)  Korshänvisningar i nationell lagstiftning till en nationell standard som har upphört att ha rättslig verkan eftersom ett europeiskt certifieringssystem träder i kraft kan vara en källa till förvirring för tillverkare och slutanvändare. För att undvika att tillverkarna fortsätter att tillämpa specifikationer som motsvarar nationella certifikat som inte längre är i kraft bör medlemsstaterna i enlighet med sina skyldigheter enligt fördragen anpassa sin nationella lagstiftning till antagandet av ett europeiskt certifieringssystem.

Ändringsförslag    63

Förslag till förordning

Skäl 59

Kommissionens förslag

Ändringsförslag

(59)  Det är nödvändigt att kräva att alla medlemsstater utser en tillsynsmyndighet för cybersäkerhetscertifiering som övervakar att organen för bedömning av överensstämmelse och de certifikat som utfärdas av organ för bedömning av överensstämmelse som är etablerade på deras territorium uppfyller kraven i denna förordning och de relevanta systemen för cybersäkerhetscertifiering. De nationella tillsynsmyndigheterna för certifiering bör behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och underrätta anmälaren om utvecklingen och resultatet av utredningen inom rimlig tid. De bör dessutom att samarbeta med andra nationella tillsynsmyndigheter för certifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda system för cybersäkerhet.

(59)  Det är nödvändigt att kräva att alla medlemsstater utser en tillsynsmyndighet för cybersäkerhetscertifiering som övervakar att organen för bedömning av överensstämmelse och de certifikat som utfärdas av organ för bedömning av överensstämmelse som är etablerade på deras territorium uppfyller kraven i denna förordning och de relevanta systemen för cybersäkerhetscertifiering, och att säkerställa att europeiska cybersäkerhetscertifikat erkänns på deras territorium. De nationella tillsynsmyndigheterna för certifiering bör behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, eller i anknytning till påstådd underlåtelse att erkänna certifikat på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och underrätta anmälaren om utvecklingen och resultatet av utredningen inom rimlig tid. De bör dessutom samarbeta med andra nationella tillsynsmyndigheter för certifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter, IKT-processer och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda system för cybersäkerhet, eller underlåtelse att erkänna europeiska cybersäkerhetscertifikat. Vidare bör de övervaka och kontrollera efterlevnaden av egna försäkringar om överensstämmelse och att europeiska cybersäkerhetscertifieringar har utfärdats av organ för bedömning av överensstämmelse i enlighet med de krav som anges i denna förordning, inbegripet de regler som antagits av europeiska gruppen för cybersäkerhetscertifiering och de krav som anges i motsvarande europeiska system för cybersäkerhetscertifiering. Ett effektivt samarbete mellan nationella tillsynsmyndigheter för certifiering är av avgörande betydelse för ett korrekt genomförande av europeiska system för cybersäkerhetscertifiering och för tekniska frågor om IKT-produkters och IKT-tjänsters cybersäkerhet. Kommissionen bör underlätta sådant utbyte av information genom att erbjuda tillgång till ett allmänt stödsystem för elektronisk information, till exempel informations- och kommunikationssystemet för marknadskontroll (ICSMS) och systemet för snabb varning för farliga konsumentprodukter (Rapex) som redan används av marknadsövervakningsmyndigheterna i enlighet med förordning (EG) nr 765/2008.

Ändringsförslag    64

Förslag till förordning

Skäl 60

Kommissionens förslag

Ändringsförslag

(60)  För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en europeisk grupp för cybersäkerhetscertifiering (nedan kallad gruppen), bestående av nationella tillsynsmyndigheter. Gruppens främsta uppgifter bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med byrån i utarbetandet av förslag till system för cybersäkerhetscertifiering, att rekommendera kommissionen att uppmana byrån att utarbeta ett förslag till europeiskt system för cybersäkerhetscertifiering samt att anta yttranden till kommissionen rörande underhåll och översyn av befintliga europeiska system för cybersäkerhetscertifiering.

(60)  För att säkerställa en konsekvent tillämpning av den europeiska ramen för cybersäkerhetscertifiering bör det inrättas en medlemsstaternas certifieringsgrupp, bestående av nationella tillsynsmyndigheter. De främsta uppgifterna för medlemsstaternas certifieringsgrupp bör vara att ge kommissionen råd och bistånd i dess arbete för att säkerställa konsekvent genomförande och tillämpning av den europeiska ramen för cybersäkerhetscertifiering, att bistå och ha ett nära samarbete med byrån i utarbetandet av förslag till system för cybersäkerhetscertifiering, att rekommendera kommissionen att uppmana byrån att utarbeta ett förslag till europeiskt system för cybersäkerhetscertifiering samt att anta yttranden till kommissionen rörande underhåll och översyn av befintliga europeiska system för cybersäkerhetscertifiering.

Ändringsförslag    65

Förslag till förordning

Skäl 60a (nytt)

Kommissionens förslag

Ändringsförslag

 

(60a)  För att säkerställa att organen för bedömning av överensstämmelse har likvärdig kompetens, för att underlätta ömsesidigt erkännande och för att stärka den allmänna acceptansen av certifikat och de intyg om överensstämmelse som organ för bedömning av överensstämmelse utfärdar, är det nödvändigt att de nationella tillsynsmyndigheterna för certifiering tillämpar ett strikt och öppet system för sakkunnigbedömning och att alla organ regelbundet granskas.

Ändringsförslag    66

Förslag till förordning

Skäl 60b (nytt)

Kommissionens förslag

Ändringsförslag

 

(60b)  Effektivt samarbete mellan de nationella tillsynsmyndigheterna för certifiering är nödvändigt om systemet för sakkunnigbedömning och ackreditering över gränserna ska fungera. För att säkerställa transparens är det därför nödvändigt med en skyldighet för nationella tillsynsmyndigheter att sinsemellan utbyta information samt att ge nationella myndigheter och kommissionen nödvändig information. Uppdaterad och korrekt information om de ackrediteringstjänster de nationella ackrediteringsorganen erbjuder bör också finnas tillgänglig för allmänheten och därigenom särskilt för organen för bedömning av överensstämmelse.

Ändringsförslag    67

Förslag till förordning

Skäl 61

Kommissionens förslag

Ändringsförslag

(61)  För att öka medvetenheten och underlätta acceptansen för EU:s framtida cybersäkerhetssystem kan Europeiska kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade IKT-produkter och IKT-tjänster.

(61)  För att öka medvetenheten och underlätta acceptansen för EU:s framtida cybersäkerhetssystem kan Europeiska kommissionen utfärda allmänna eller sektorsspecifika cybersäkerhetsriktlinjer, t.ex. vad gäller god praxis för cybersäkerhet eller ansvarsfullt cybersäkerhetsbeteende som belyser de positiva konsekvenserna av att använda certifierade IKT-produkter, IKT-processer och IKT-tjänster.

Ändringsförslag    68

Förslag till förordning

Skäl 63

Kommissionens förslag

Ändringsförslag

(63)  I syfte att ytterligare specificera kriterierna för ackreditering av organ för bedömning av överensstämmelse bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Kommissionen bör genomföra lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Dessa samråd bör genomföras i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(63)  I syfte att ytterligare specificera kriterierna för ackreditering av organ för bedömning av överensstämmelse bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Kommissionen bör genomföra lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå och med berörda intressenter, när detta är lämpligt. Dessa samråd bör genomföras i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

Ändringsförslag    69

Förslag till förordning

Skäl 65

Kommissionens förslag

Ändringsförslag

(65)  Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska system för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster, om formerna för att genomföra utredningar av byrån samt om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella tillsynsmyndigheterna för certifiering till kommissionen.

(65)  Delegerade akter kan vidare antas om europeiska system för cybersäkerhetscertifiering av IKT-produkter, IKT-processer och IKT-tjänster, om formerna för att genomföra utredningar av byrån samt om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella tillsynsmyndigheterna för certifiering till kommissionen.

Ändringsförslag    70

Förslag till förordning

Skäl 66

Kommissionens förslag

Ändringsförslag

(66)  Byråns verksamhet bör utvärderas på ett oberoende sätt. Utvärderingen bör beakta byråns måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering.

(66)  Byråns verksamhet bör utvärderas kontinuerligt och på ett oberoende sätt. Utvärderingen bör beakta byråns måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter, särskilt dess samordnande roll gentemot medlemsstaterna och deras nationella myndigheter. I fall av en översyn bör kommissionen bedöma byråns möjlighet att fungera som en gemensam kontaktpunkt för medlemsstaterna och unionens institutioner och organ.

Ändringsförslag    71

Förslag till förordning

Skäl 66a (nytt)

Kommissionens förslag

Ändringsförslag

 

(66a)  Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering. Vid en översyn skulle kommissionen kunna utvärdera byråns roll i bedömningen av tredjeländers produkter och tjänster som kommer in på unionsmarknaden, och möjligheten att svartlista företag som inte följer unionsreglerna.

Ändringsförslag    72

Förslag till förordning

Skäl 66b (nytt)

Kommissionens förslag

Ändringsförslag

 

(66b)  Utvärderingen bör omfatta en analys av nivån på cybersäkerheten för produkter och tjänster som säljs i unionen. Vid en översyn bör kommissionen utvärdera huruvida det är nödvändigt att inbegripa väsentliga krav avseende cybersäkerhet som ett villkor för tillträde till den inre marknaden.

Ändringsförslag    73

Förslag till förordning

Artikel 1 – led a

Kommissionens förslag

Ändringsförslag

(a)  fastställa mål, uppgifter och organisatoriska aspekter för Enisa, ”EU:s cybersäkerhetsbyrå”, nedan kallad byrån, och

(a)  fastställa mål, uppgifter och organisatoriska aspekter för Europeiska unionens byrå för nät- och informationssäkerhet, nedan kallad byrån, och

Ändringsförslag    74

Förslag till förordning

Artikel 1 – led b

Kommissionens förslag

Ändringsförslag

(b)  fastställa en ram för inrättandet av europeiska system för cybersäkerhetscertifiering i syfte att säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för IKT-produkter och IKT-tjänster i unionen. En sådan ram ska användas utan att det påverkar tillämpningen av särskilda bestämmelser om frivillig eller obligatorisk certifiering i andra unionsakter.

(b)  fastställa en ram för inrättandet av europeiska system för cybersäkerhetscertifiering i syfte att undvika en fragmentering av certifieringssystemen i unionen och säkerställa en tillfredsställande nivå i fråga om cybersäkerhet för IKT-produkter, IKT-processer och IKT-tjänster i unionen, som gäller utan att det påverkar tillämpningen av särskilda bestämmelser om frivillig och, i tillämpliga fall, obligatorisk certifiering, om detta föreskrivs i denna förordning eller i andra unionsakter.

Ändringsförslag    75

Förslag till förordning

Artikel 1 – stycke 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

Byrån ska utföra sina uppgifter utan att påverka medlemsstaterna befogenheter i fråga om cybersäkerhet, och särskilt medlemsstaternas befogenheter rörande allmän säkerhet, försvar, nationell säkerhet och strafflagstiftning.

Ändringsförslag    76

Förslag till förordning

Artikel 2 – led 1

Kommissionens förslag

Ändringsförslag

(1)  cybersäkerhet: all verksamhet som är nödvändig för att skydda nät- och informationssystem, deras användare och berörda personer mot cyberhot.

(Berör inte den svenska versionen.)  

Ändringsförslag    77

Förslag till förordning

Artikel 2 – led 2

Kommissionens förslag

Ändringsförslag

(2)  nät- och informationssystem: ett system i den mening som avses i artikel 4.1 i direktiv (EU) 2016/1148.

(2)  nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 4.1 i direktiv (EU) 2016/1148.

Ändringsförslag    78

Förslag till förordning

Artikel 2 – led 3

Kommissionens förslag

Ändringsförslag

(3)  nationell strategi för säkerheten i nät- och informationssystem: en ram i den mening som avses i artikel 4.3 i direktiv (EU) 2016/1148.

(3)  nationell strategi för säkerheten i nätverks- och informationssystem: en nationell strategi för säkerheten i nätverks- och informationssystem enligt definitionen i artikel 4.3 i direktiv (EU) 2016/1148.

Ändringsförslag    79

Förslag till förordning

Artikel 2 – led 4

Kommissionens förslag

Ändringsförslag

(4)  leverantör av samhällsviktiga tjänster: en offentlig eller privat enhet enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.

(4)  leverantör av samhällsviktiga tjänster: en leverantör av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.

Ändringsförslag    80

Förslag till förordning

Artikel 2 – led 5

Kommissionens förslag

Ändringsförslag

(5)  leverantör av digitala tjänster: en juridisk person som tillhandahåller en digital tjänst enligt definitionen i artikel 4.6 i direktiv (EU) 2016/1148.

(5)  leverantör av digitala tjänster: en leverantör enligt definitionen i artikel 4.6 i direktiv (EU) 2016/1148.

Ändringsförslag    81

Förslag till förordning

Artikel 2 – led 6

Kommissionens förslag

Ändringsförslag

(6)  incident: en händelse enligt definitionen i artikel 4.7 i direktiv (EU) 2016/1148.

(6)  incident: en incident enligt definitionen i artikel 4.7 i direktiv (EU) 2016/1148.

Ändringsförslag    82

Förslag till förordning

Artikel 2 – led 7

Kommissionens förslag

Ändringsförslag

(7)  incidenthantering: ett förfarande enligt definitionen i artikel 4.8 i direktiv (EU) 2016/1148.

(7)  incidenthantering: incidenthantering enligt definitionen i artikel 4.8 i direktiv (EU) 2016/1148.

Ändringsförslag    83

Förslag till förordning

Artikel 2 – led 8

Kommissionens förslag

Ändringsförslag

(8)  cyberhot: en potentiell omständighet eller händelse som på ett negativt sätt kan påverka nät- och informationssystem, deras användare och berörda personer.

(8)  cyberhot: en potentiell omständighet, händelse eller en avsiktlig handling, inbegripet ett automatiskt kommando, som på ett negativt sätt kan skada, störa eller på annat sätt påverka nät- och informationssystem, deras användare och berörda personer.

Ändringsförslag    84

Förslag till förordning

Artikel 2 – led 8a (nytt)

Kommissionens förslag

Ändringsförslag

 

(8a)  it-hygien: enkla rutinåtgärder som, när de genomförs och utförs regelbundet av användare och företag online, minimerar deras exponering för risker från cyberhot.

Ändringsförslag    85

Förslag till förordning

Artikel 2 – led 9

Kommissionens förslag

Ändringsförslag

(9)  europeiskt system för cybersäkerhetscertifiering: den vittomfattande uppsättning regler, tekniska krav, standarder och förfaranden som fastställs på unionsnivå och som tillämpas på certifiering av informations- och kommunikationstekniska (IKT) produkter och och tjänster som omfattas av tillämpningsområdet för det systemet.

(9)  europeiskt system för cybersäkerhetscertifiering: den vittomfattande uppsättning regler, tekniska krav, standarder och förfaranden som fastställs på unionsnivå och enligt internationella och europeiska standarder och IKT-specifikationer som identifieras av byrån, som tillämpas på certifiering av informations- och kommunikationstekniska (IKT) produkter, tjänster och processer som omfattas av tillämpningsområdet för det systemet.

Ändringsförslag    86

Förslag till förordning

Artikel 2 – led 10

Kommissionens förslag

Ändringsförslag

(10)  europeiskt cybersäkerhetscertifikat: en handling utfärdad av ett organ för bedömning av överensstämmelse som intygar att en viss IKT-produkt eller IKT-tjänst uppfyller de specifika krav som fastställs i ett europeiskt system för cybersäkerhetscertifiering.

(10)  europeiskt cybersäkerhetscertifikat: en handling utfärdad av ett organ för bedömning av överensstämmelse som intygar att en viss IKT-produkt, IKT-tjänst eller IKT-process uppfyller de specifika krav som fastställs i ett europeiskt system för cybersäkerhetscertifiering.

Ändringsförslag    87

Förslag till förordning

Artikel 2 – led 11a (nytt)

Kommissionens förslag

Ändringsförslag

 

(11a)  IKT-process: all verksamhet som utförs för att utforma, utveckla, upprätthålla och tillhandahålla en IKT-produkt eller IKT-tjänst.

Ändringsförslag    88

Förslag till förordning

Artikel 2 – led 11b (nytt)

Kommissionens förslag

Ändringsförslag

 

(11b)  hemelektronikprodukt: en enhet bestående av maskinvara och programvara som behandlar personuppgifter eller ansluter till internet för drift av domotik- och hemautomationsstyrenheter, kontorsutrustning, dirigeringsutrustning och enheter som ansluter till ett nät, såsom smarta tv-apparater, leksaker och spelkonsoler, virtuella eller personliga assistenter, anslutna strömningsenheter, kroppsburen teknik samt system för röststyrning och virtuell verklighet.

Ändringsförslag    89

Förslag till förordning

Artikel 2 – led 16

Kommissionens förslag

Ändringsförslag

(16)  standard: en standard enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012.

(16)  standard, teknisk specifikation och teknisk specifikation på IKT-området: en standard, teknisk specifikation eller en teknisk specifikation på IKT-området enligt definitionen i artikel 2.1, 2.4 och 2.5 i förordning (EU) nr 1025/2012.

Ändringsförslag    90

Förslag till förordning

Artikel 2 – led 16a (nytt)

Kommissionens förslag

Ändringsförslag

 

(16a)  nationell tillsynsmyndighet för certifiering: ett organ som utses av varje medlemsstat i enlighet med artikel 50 i denna förordning.

Ändringsförslag    91

Förslag till förordning

Artikel 2 – led 16b (nytt)

Kommissionens förslag

Ändringsförslag

 

(16b)  egen bedömning: en försäkran om överensstämmelse genom vilken tillverkaren försäkrar att vissa specifika krav som fastställs i säkerhetscertifieringen för produkter, processer eller tjänster har uppfyllts.

Ändringsförslag    92

Förslag till förordning

Artikel 2 – led 16c (nytt)

Kommissionens förslag

Ändringsförslag

 

(16c)  säkerhet som standard: en situation där en produkt, programvara eller en process kan skapas på ett sätt som säkerställer en högre grad av säkerhet, och den första användaren bör få den förvalda konfigurationen med de säkraste inställningarna. Om en riskanalys och en användbarhetsanalys från fall till fall leder till slutsatsen att det inte är möjligt att göra en sådan inställning, bör användarna uppmanas att välja den säkraste inställningen.

Ändringsförslag    93

Förslag till förordning

Artikel 2 – led 16d (nytt)

Kommissionens förslag

Ändringsförslag

 

(16d)  leverantör av samhällsviktiga tjänster: en leverantör av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.

Ändringsförslag    94

Förslag till förordning

Artikel 3 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Byrån ska utföra de uppgifter som den tilldelas genom denna förordning i syfte att bidra till en hög nivå i fråga om cybersäkerhet inom unionen.

1.  Byrån ska utföra de uppgifter som den tilldelas genom denna förordning och ska stärkas i syfte att bidra till att nå en hög allmän nivå i fråga om cybersäkerhet, för att förhindra cyberattacker inom unionen, minska fragmenteringen på den inre marknaden och förbättra dess funktion, och säkerställa samstämmighet genom att beakta medlemsstaternas samarbetsinsatser inom ramen för it-säkerhetsdirektivet.

Ändringsförslag    95

Förslag till förordning

Artikel 4 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Byrån ska vara ett expertcentrum inom området cybersäkerhet genom sitt oberoende, den vetenskapliga och tekniska kvaliteten på de råd, den assistans och den information den tillhandahåller, öppenheten i dess operativa förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter.

1.  Byrån ska vara ett teoretiskt och praktiskt expertcentrum inom området cybersäkerhet genom sitt oberoende, den vetenskapliga och tekniska kvaliteten på de råd, den assistans och den information den tillhandahåller, öppenheten i dess operativa förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter.

Ändringsförslag    96

Förslag till förordning

Artikel 4 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Byrån ska bistå unionens institutioner, byråer och organ, samt medlemsstaterna, med utarbetande och genomförande av politiska åtgärder som rör cybersäkerhet.

2.  Byrån ska bistå unionens institutioner, byråer och organ, samt medlemsstaterna, med utarbetande och genomförande av politiska åtgärder som rör cybersäkerhet och öka medvetenheten hos medborgare och företag.

Ändringsförslag    97

Förslag till förordning

Artikel 4 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Byrån ska stödja kapacitetsuppbyggnad och beredskap i hela unionen genom att bistå unionen, medlemsstaterna och offentliga och privata intressenter i syfte att öka skyddet av deras nät- och informationssystem, utveckla färdigheter och kompetens inom området cybersäkerhet och uppnå cyberresiliens.

3.  Byrån ska stödja kapacitetsuppbyggnad och beredskap i alla unionens institutioner, byråer och organ genom att bistå unionen, medlemsstaterna och offentliga och privata intressenter i syfte att öka skyddet av deras nät- och informationssystem, utveckla och förbättra cyberresiliens och insatskapacitet, öka medvetenheten om cybersäkerhet och utveckla färdigheter och kompetens inom området cybersäkerhet.

Ändringsförslag    98

Förslag till förordning

Artikel 4 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Byrån ska främja samarbete och samordning på unionsnivå mellan medlemsstater, unionens institutioner, byråer och organ samt berörda intressenter, inbegripet den privata sektorn, i frågor som rör cybersäkerhet.

4.  Byrån ska främja samarbete, samordning och informationsutbyte på unionsnivå mellan medlemsstater, unionens institutioner, byråer och organ samt berörda intressenter, inbegripet den privata sektorn, i frågor som rör cybersäkerhet.

Ändringsförslag    99

Förslag till förordning

Artikel 4 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Byrån ska öka cybersäkerhetskapaciteten på unionsnivå i syfte att komplettera medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter.

5.  Byrån ska bidra till att öka cybersäkerhetskapaciteten på unionsnivå i syfte att komplettera medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter, och i syfte att utföra sin uppgift att hjälpa unionens institutioner att utveckla politik som rör cybersäkerhet.

Ändringsförslag    100

Förslag till förordning

Artikel 4 – punkt 6

Kommissionens förslag

Ändringsförslag

6.  Byrån ska främja användningen av certifiering, bland annat genom att bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå i enlighet med avdelning III i denna förordning, i syfte att öka transparensen i fråga om assuransnivån för cybersäkerhet hos IKT-produkter och IKT-tjänster och därigenom stärka förtroendet för den digitala inre marknaden.

6.  Byrån ska främja användningen av certifiering i syfte att undvika fragmentering på den inre marknaden och förbättra dess funktion, bland annat genom att bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå i enlighet med avdelning III i denna förordning, i syfte att öka transparensen i fråga om assuransnivån för cybersäkerhet hos IKT-produkter, IKT-tjänster och IKT-processer och därigenom stärka förtroendet för den digitala inre marknaden, samt att öka kompatibiliteten mellan befintliga nationella och internationella certifieringssystem.

Ändringsförslag    101

Förslag till förordning

Artikel 4 – punkt 7

Kommissionens förslag

Ändringsförslag

7.  Byrån ska främja en hög medvetenhet hos allmänheten och företagen i frågor som rör cybersäkerhet.

7.  Byrån ska främja och stödja projekt som bidrar till en hög medvetenhet, it-hygien och it-kompetens hos allmänheten och företagen i frågor som rör cybersäkerhet.

Ändringsförslag    102

Förslag till förordning

Artikel 5 – led 1

Kommissionens förslag

Ändringsförslag

1.  bistå och ge råd, särskilt genom att tillhandahålla oberoende yttranden och förberedande arbete, i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet samt sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår,

1.  bistå och ge råd, särskilt genom att tillhandahålla oberoende yttranden och analyser av berörd verksamhet i cyberrymden och förberedande arbete, i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet samt sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår,

Ändringsförslag    103

Förslag till förordning

Artikel 5 – led 2

Kommissionens förslag

Ändringsförslag

2.  hjälpa medlemsstaterna att på ett konsekvent sätt genomföra unionens politik och lagstiftning som rör cybersäkerhet, i synnerhet vad gäller direktiv (EU) 2016/1148, bland annat genom yttranden, riktlinjer, råd och bästa praxis i frågor såsom riskhantering, incidentrapportering och informationsutbyte, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter i detta avseende,

2.  hjälpa medlemsstaterna att på ett konsekvent sätt genomföra unionens politik och lagstiftning som rör cybersäkerhet, i synnerhet vad gäller direktiv (EU) 2016/1148, direktiv... om inrättandet av en europeisk kodex för elektronisk kommunikation, förordning (EU) 2016/679 och direktiv 2002/58/EG, bland annat genom yttranden, riktlinjer, råd och bästa praxis i frågor såsom utveckling av säker programvara och säkra system, riskhantering, incidentrapportering och informationsutbyte, tekniska och organisatoriska åtgärder, framför allt inrättandet av samordnade program för offentliggöranden av sårbarheter, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter i detta avseende,

Ändringsförslag    104

Förslag till förordning

Artikel 5 – led 2a (nytt)

Kommissionens förslag

Ändringsförslag

 

2a.  utveckla och främja en politik som stöder den allmänna tillgängligheten till eller integriteten för den offentliga kärnan av ett öppet internet, som ger internet dess viktiga funktioner som en helhet och som underbygger dess normala funktion, bland annat, men inte begränsat till, säkerheten och stabiliteten för nyckelprotokoll (framför allt DNS, BGP och IPv6), driften av domännamnssystemet (inklusive för alla toppdomäner) och driften av rotzonen,

Ändringsförslag    105

Förslag till förordning

Artikel 5 – led 4 – led 2

Kommissionens förslag

Ändringsförslag

(2)  främjandet av en högre säkerhetsnivå för elektronisk kommunikation, bland annat genom att tillhandahålla expertis och råd, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter,

(2)  främjandet av en högre säkerhetsnivå för elektronisk kommunikation, datalagring och databehandling, bland annat genom att tillhandahålla expertis och råd, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter,

Ändringsförslag    106

Förslag till förordning

Artikel 5 – led 5a (nytt)

Kommissionens förslag

Ändringsförslag

 

5a.  hjälpa medlemsstaterna att genomföra unionens politik och lagstiftning om dataskydd på ett konsekvent sätt, framför allt förordning (EU) 2016/679, samt bistå Europeiska dataskyddsstyrelsen med att utveckla riktlinjer för genomförandet av förordning (EU) 2016/679 för cybersäkerhetsändamål. Europeiska dataskyddsstyrelsen ska rådgöra med byrån varje gång den utfärdar ett yttrande eller antar ett beslut som rör genomförandet av den allmänna dataskyddsförordningen och cybersäkerhet, i synnerhet, men inte uteslutande, om frågor som rör konsekvensbedömningar om uppgiftsskydd, meddelanden om dataintrång, säkerhet vid databehandling, säkerhetskrav och inbyggt integritetsskydd.

Ändringsförslag    107

Förslag till förordning

Artikel 6 – punkt 1 – led aa (nytt)

Kommissionens förslag

Ändringsförslag

 

(aa)  medlemsstaterna och unionens institutioner med att införa och genomföra samordnade riktlinjer för att offentliggöra sårbarheter och statliga granskningsprocesser för offentliggöranden av sårbarheter, vars tillvägagångssätt och beslut bör vara transparenta och omfattas av oberoende tillsyn,

Ändringsförslag    108

Förslag till förordning

Artikel 6 – punkt 1 – led ab (nytt)

Kommissionens förslag

Ändringsförslag

 

(ab)  Byrån ska, i samarbete med Europeiska forskningsrådet (EFR) och Europeiska institutet för innovation och teknik (EIT) och med beaktande av unionens forskningsprogram, underlätta inrättandet och lanseringen av ett långsiktigt europeiskt it-säkerhetsprojekt för att främja cybersäkerhetsforskning i unionen och medlemsstaterna,

Ändringsförslag    109

Förslag till förordning

Artikel 6 – punkt 1 – led g

Kommissionens förslag

Ändringsförslag

(g)  medlemsstaterna genom att organisera årliga storskaliga cybersäkerhetsövningar på unionsnivå enligt artikel 7.6 och genom att avge policyrekommendationer som grundar sig på utvärderingar av övningarna och på lärdomar som dragits av dem,

(g)  medlemsstaterna genom att organisera regelbundet och minst årligen storskaliga cybersäkerhetsövningar på unionsnivå enligt artikel 7.6 och genom att avge policyrekommendationer och utbyte av bästa praxis som grundar sig på utvärderingar av övningarna och på lärdomar som dragits av dem,

Ändringsförslag    110

Förslag till förordning

Artikel 6 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Byrån ska underlätta inrättandet av och kontinuerligt stödja sektorsvisa centrum för informationsutbyte och analys (Information Sharing and Analysis Centres, ISAC), i synnerhet i de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg, om förfaranden samt om hur regleringsfrågor som rör informationsutbyte ska hanteras.

2.  Byrån ska underlätta inrättandet av och kontinuerligt stödja sektorsvisa centrum för informationsutbyte och analys (Information Sharing and Analysis Centres, ISAC), i synnerhet i de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148, genom att tillhandahålla bästa praxis och vägledning i fråga om tillgängliga verktyg, om förfaranden, om principer för it-hygien samt om hur regleringsfrågor som rör informationsutbyte ska hanteras.

Ändringsförslag    111

Förslag till förordning

Artikel 7 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Byrån ska stödja operativt samarbete mellan behöriga offentliga organ och mellan intressenter.

1.  Byrån ska stödja operativt samarbete mellan medlemsstaterna, unionens institutioner, byråer och organ och mellan intressenter i syfte att få till stånd ett samarbete genom att analysera och granska befintliga nationella system, genom att utveckla och genomföra en plan och genom att använda lämpliga instrument för att uppnå högsta möjliga nivå på cybersäkerhetscertifieringen i unionen och medlemsstaterna.

Ändringsförslag    112

Förslag till förordning

Artikel 7 – punkt 4 – stycke 1 – led b

Kommissionens förslag

Ändringsförslag

(b)  på deras begäran tillhandahålla tekniskt stöd i samband med incidenter som har en betydande eller avsevärd inverkan,

(b)  på deras begäran tillhandahålla tekniskt stöd i form av utbyte av information och expertis i samband med incidenter som har en betydande eller avsevärd inverkan,

Ändringsförslag    113

Förslag till förordning

Artikel 7 – punkt 4 – stycke 1 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  Om en situation kräver omedelbara åtgärder när en incident har en betydande störande inverkan kan en medlemsstat begära bistånd från experter från byrån för att bedöma situationen. Begäran ska innehålla en beskrivning av situationen, eventuella mål och beräknade behov.

Ändringsförslag    114

Förslag till förordning

Artikel 7 – punkt 5 – stycke 1

Kommissionens förslag

Ändringsförslag

På begäran av två eller flera berörda medlemsstater, och med det enda syftet att tillhandahålla råd för att förebygga framtida incidenter, ska byrån stödja eller genomföra en teknisk efterhandsundersökning som svar på rapporter från berörda företag om incidenter som har en betydande eller avsevärd inverkan enligt direktiv (EU) 2016/1148. Byrån ska också genomföra en sådan undersökning efter en vederbörligen motiverad begäran från kommissionen, i samförstånd med de berörda medlemsstaterna, om sådana incidenter berör fler än två medlemsstater.

På begäran av en eller flera berörda medlemsstater, och med det enda syftet att tillhandahålla hjälp, antingen i form av råd för att förebygga framtida incidenter eller i form av bistånd för att hantera aktuella storskaliga incidenter, ska byrån stödja eller genomföra en teknisk efterhandsundersökning som svar på rapporter från berörda företag om incidenter som har en betydande eller avsevärd inverkan enligt direktiv (EU) 2016/1148. Byrån ska utföra ovanstående uppgifter genom att få relevant information från berörda medlemsstater och genom att använda sina egna resurser för hotanalyser och resurser för hantering av incidenter. Byrån ska också genomföra en sådan undersökning efter en vederbörligen motiverad begäran från kommissionen, i samförstånd med de berörda medlemsstaterna, om sådana incidenter berör fler än en medlemsstat. Därvid ska byrån se till att inte offentliggöra de åtgärder som medlemsstaterna vidtagit för att skydda sina väsentliga statliga funktioner, särskilt dem som rör nationell säkerhet.

Ändringsförslag    115

Förslag till förordning

Artikel 7 – punkt 6

Kommissionens förslag

Ändringsförslag

6.  Byrån ska organisera årliga cybersäkerhetsövningar på unionsnivå och bistå medlemsstater och EU:s institutioner, byråer och organ med att organisera övningar på deras begäran. Årliga övningar på unionsnivå ska innehålla tekniska, operativa och strategiska element och ska bidra till att förbereda den samarbetsinriktade responsen på unionsnivå för att hantera storskaliga gränsöverskridande cybersäkerhetsincidenter. Byrån ska också bidra till och hjälpa till att organisera, när det är lämpligt, sektorsvisa cybersäkerhetsövningar tillsammans med berörda ISAC och tillåta ISAC att delta även i cybersäkerhetsövningar på unionsnivå.

6.  Byrån ska organisera regelbundna, och i alla händelser minst årliga cybersäkerhetsövningar på unionsnivå och bistå medlemsstater och EU:s institutioner, byråer och organ med att organisera övningar på deras begäran. Årliga övningar på unionsnivå ska innehålla tekniska, operativa och strategiska element och ska bidra till att förbereda den samarbetsinriktade responsen på unionsnivå för att hantera storskaliga gränsöverskridande cybersäkerhetsincidenter. Byrån ska också bidra till och hjälpa till att organisera, när det är lämpligt, sektorsvisa cybersäkerhetsövningar tillsammans med berörda ISAC och tillåta ISAC att delta även i cybersäkerhetsövningar på unionsnivå.

Ändringsförslag    116

Förslag till förordning

Artikel 7 – punkt 7

Kommissionens förslag

Ändringsförslag

7.  Byrån ska regelbundet utarbeta en teknisk lägesrapport om cybersäkerheten i EU om incidenter och hot på grundval av information från öppna källor, egna analyser och rapporter som den får från bland andra följande: medlemsstaternas CSIRT-enheter (på frivillig basis) eller de gemensamma kontaktpunkterna enligt it-säkerhetsdirektivet (i enlighet med artikel 14.5 i it-säkerhetsdirektivet); Europeiska it-brottscentrumet (EC3) vid Europol, CERT-EU.

7.  Byrån ska regelbundet och djupgående utarbeta en teknisk lägesrapport om cybersäkerheten i EU om incidenter och hot på grundval av information från öppna källor, egna analyser och rapporter som den får från bland andra följande: medlemsstaternas CSIRT-enheter (på frivillig basis) eller de gemensamma kontaktpunkterna enligt it-säkerhetsdirektivet (i enlighet med artikel 14.5 i it-säkerhetsdirektivet); Europeiska it-brottscentrumet (EC3) vid Europol, CERT-EU. Den verkställande direktören ska lägga fram de offentliga resultaten för Europaparlamentet när så är lämpligt.

Ändringsförslag    117

Förslag till förordning

Artikel 7 – punkt 7a (ny)

Kommissionens förslag

Ändringsförslag

 

7a.  Byrån ska, där så är lämpligt och efter föregående godkännande av kommissionen, bidra till cybersamarbete med Natos kunskapscentrum för samordnat cyberförsvar (Cooperative Cyber Defence Centre of Excellence) och Natos akademi för kommunikation och information (NCI).

Ändringsförslag    118

Förslag till förordning

Artikel 7 – punkt 8 – led a

Kommissionens förslag

Ändringsförslag

(a)  sammanställa rapporter från nationella källor i syfte att bidra till att skapa en gemensam situationsmedvetenhet,

(a)  analysera och sammanställa rapporter från nationella källor i syfte att bidra till att skapa en gemensam situationsmedvetenhet,

Ändringsförslag    119

Förslag till förordning

Artikel 7 – punkt 8 – led c

Kommissionens förslag

Ändringsförslag

(c)  stödja den tekniska hanteringen av incidenter eller kriser, bland annat genom att underlätta utbytet av tekniska lösningar mellan medlemsstater,

(c)  stödja den tekniska hanteringen av incidenter eller kriser på grundval av oberoende egen expertis och egna resurser, bland annat genom att underlätta det frivilliga utbytet av tekniska lösningar mellan medlemsstater,

Ändringsförslag    120

Förslag till förordning

Artikel 7 – punkt 8a (ny)

Kommissionens förslag

Ändringsförslag

 

8a.  Byrån ska vid behov ombesörja ett utbyte av synpunkter och bistå medlemsstaternas myndigheter med samordningen av deras insatser, i enlighet med subsidiaritets- och proportionalitetsprinciperna.

Ändringsförslag    121

Förslag till förordning

Artikel 7a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 7a

 

Byråns tekniska kapacitet

 

1. För att uppnå de mål som anges i artikel 7 och i enlighet med byråns arbetsprogram ska byrån bland annat utveckla följande tekniska kapacitet och kompetens:

 

a) Förmåga att samla in information om cybersäkerhetshot från öppna källor.

 

b) Förmåga att fjärranvända teknisk utrustning, verktyg och expertis.

 

2. För att uppnå den tekniska kapacitet som avses i punkt 1 i denna artikel och för att utveckla relevanta färdigheter ska byrån

 

a) se till att dess rekryteringsprocesser återspeglar de olika tekniska färdigheter som krävs, och

 

b) samarbeta med CERT-EU och Europol i enlighet med artikel 7.2 i denna förordning.

Ändringsförslag    122

Förslag till förordning

Artikel 8 – led a – inledningen

Kommissionens förslag

Ändringsförslag

(a)  stödja och främja utvecklingen och genomförandet av unionens politik för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster, enligt avdelning III i denna förordning, genom att

(a)  stödja och främja utvecklingen och genomförandet av unionens politik för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer, enligt avdelning III i denna förordning, genom att

Ändringsförslag    123

Förslag till förordning

Artikel 8 – led a – led -1 (nytt)

Kommissionens förslag

Ändringsförslag

 

(-1)  fortlöpande identifiera standarder, tekniska specifikationer och tekniska specifikationer på IKT-området,

Ändringsförslag    124

Förslag till förordning

Artikel 8 – led a – led 1

Kommissionens förslag

Ändringsförslag

(1)  utarbeta förslag till europeiska system för cybersäkerhetscertifiering för IKT-produkter och IKT-tjänster i enlighet med artikel 44 i denna förordning,

(1)  i samarbete med branschintressenter och standardiseringsorganisationer, i ett formellt, standardiserat och öppet förfarande, utarbeta förslag till europeiska system för cybersäkerhetscertifiering för IKT-produkter, IKT-tjänster och IKT-processer i enlighet med artikel 44 i denna förordning,

Ändringsförslag    125

Förslag till förordning

Artikel 8 – led a – led 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

(1a)  utföra, i samarbete med medlemsstaternas certifieringsgrupp i enlighet med artikel 53 i denna förordning, bedömningar av förfarandena för att utfärda europeiska cybersäkerhetscertifikat som inrättats genom de organ för bedömning av överensstämmelse som avses i artikel 51 i denna förordning i syfte att säkerställa att organen för bedömning av överensstämmelse tillämpar förordningen på ett enhetligt sätt när de utfärdar certifikat,

Ändringsförslag    126

Förslag till förordning

Artikel 8 – led a – led 1b (nytt)

Kommissionens förslag

Ändringsförslag

 

(1b)  utföra oberoende periodiska efterhandskontroller av certifierade IKT-produkters, IKT-processers och IKT-tjänsters överensstämmelse med europeiska system för cybersäkerhetscertifiering,

Ändringsförslag    127

Förslag till förordning

Artikel 8 – led a – led 2

Kommissionens förslag

Ändringsförslag

(2)  bistå kommissionen med att tillhandahålla sekretariatet för europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 53 i denna förordning,

(2)  bistå kommissionen med att tillhandahålla sekretariatet för medlemsstaternas certifieringsgrupp i enlighet med artikel 53 i denna förordning,

Ändringsförslag    128

Förslag till förordning

Artikel 8 – led a – led 3

Kommissionens förslag

Ändringsförslag

(3)  sammanställa och offentliggöra riktlinjer och utveckla god praxis när det gäller cybersäkerhetskraven för IKT-produkter och IKT-tjänster, i samarbete med nationella tillsynsmyndigheter för certifiering och branschen,

(3)  sammanställa och offentliggöra riktlinjer och utveckla god praxis, däribland om principer om it-hygien när det gäller cybersäkerhetskraven för IKT-produkter, IKT-processer och IKT-tjänster, i samarbete med nationella tillsynsmyndigheter för certifiering och branschen i en formell, standardiserad och transparent process,

Ändringsförslag    129

Förslag till förordning

Artikel 8 – led b

Kommissionens förslag

Ändringsförslag

(b)  underlätta upprättandet och tillämpningen av europeiska och internationella standarder för riskhantering och för säkerheten hos IKT-produkter och IKT-tjänster samt utarbeta, i samarbete med medlemsstater, råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148,

(b)  underlätta upprättandet och tillämpningen av europeiska och internationella standarder för riskhantering och för säkerheten hos IKT-produkter, IKT-processer och IKT-tjänster samt utarbeta, i samarbete med medlemsstater och branschen, råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148, och dela med sig av denna information till medlemsstaterna,

Ändringsförslag    130

Förslag till förordning

Artikel 9 – led c

Kommissionens förslag

Ändringsförslag

(c)  i samarbete med experter från medlemsstaternas myndigheter tillhandahålla råd, vägledning och bästa praxis avseende säkerheten i nät- och informationssystem, i synnerhet avseende säkerheten hos internetinfrastrukturen och de infrastrukturer som understödjer de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148,

(c)  i samarbete med experter från medlemsstaternas myndigheter och berörda intressenter tillhandahålla råd, vägledning och bästa praxis avseende säkerheten i nät- och informationssystem, i synnerhet avseende säkerheten hos internetinfrastrukturen och de infrastrukturer som understödjer de sektorer som förtecknas i bilaga II till direktiv (EU) 2016/1148,

Ändringsförslag    131

Förslag till förordning

Artikel 9 – led e

Kommissionens förslag

Ändringsförslag

(e)  öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning, som är inriktad på privatpersoner och organisationer, om god praxis för enskilda användare,

(e)  fortlöpande öka och höja medvetenheten om cybersäkerhetsrisker och ge utbildning och vägledning, som är inriktad på privatpersoner och organisationer, om god praxis för enskilda användare, samt bidra till att förebyggande och kraftfulla it-säkerhetsåtgärder och tillförlitligt skydd av personuppgifter och privatliv antas,

Ändringsförslag    132

Förslag till förordning

Artikel 9 – led g

Kommissionens förslag

Ändringsförslag

(g)  i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer organisera regelbundna informationskampanjer för att öka cybersäkerheten och dess synlighet i unionen.

(g)  i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer organisera regelbundna informationskampanjer för att främja en bred allmän debatt.

Ändringsförslag    133

Förslag till förordning

Artikel 9 – led ga (nytt)

Kommissionens förslag

Ändringsförslag

 

(ga)  främja närmare samordning och utbyte av bästa praxis mellan medlemsstaterna vad gäller utveckling av cybersäkerhetsutbildning och cybersäkerhetskompetens, it-hygien och åtgärder för att öka medvetenheten.

Ändringsförslag    134

Förslag till förordning

Artikel 10 – led a

Kommissionens förslag

Ändringsförslag

(a)  ge råd till unionen och medlemsstaterna om forskningsbehov och forskningsprioriteringar inom området cybersäkerhet, för att möjliggöra ett effektivt svar på befintliga och nya risker och hot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,

(a)  säkerställa föregående samråd med relevanta användargrupper och ge råd till unionen och medlemsstaterna om forskningsbehov och forskningsprioriteringar inom områdena cybersäkerhet, dataskydd och skydd av personuppgifter för att möjliggöra ett effektivt svar på befintliga och nya risker och hot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,

Ändringsförslag    135

Förslag till förordning

Artikel 10 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  förfoga över sin egen forskningsverksamhet på områden av intresse som ännu inte omfattas av unionens befintliga forskningsprogram, där det finns ett tydligt europeiskt mervärde.

Ändringsförslag    136

Förslag till förordning

Artikel 11 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  ge råd och stöd till kommissionen, i samarbete med medlemsstaternas grupp för cybersäkerhetscertifiering, inrättad i enlighet med artikel 53, i frågor som rör avtal om ömsesidigt erkännande av cybersäkerhetscertifikat med tredjeländer.

Ändringsförslag    137

Förslag till förordning

Artikel 12 – led d

Kommissionens förslag

Ändringsförslag

(d)  en ständig intressentgrupp, som ska utföra de uppgifter som anges i artikel 20.

(d)  Enisas rådgivande grupp, som ska utföra de uppgifter som anges i artikel 20.

Ändringsförslag    138

Förslag till förordning

Artikel 14 – punkt 1 – led e

Kommissionens förslag

Ändringsförslag

(e)  Bedöma och anta den konsoliderade årliga rapporten om byråns verksamhet och senast den 1 juli följande år sända både rapporten och bedömningen till Europaparlamentet, rådet, kommissionen och revisionsrätten. Den årliga rapporten ska innehålla räkenskaperna och beskriva hur byrån har uppnått sina resultatindikatorer. Den årliga rapporten ska offentliggöras.

(e)  Bedöma och anta den konsoliderade årliga rapporten om byråns verksamhet och senast den 1 juli följande år sända både rapporten och bedömningen till Europaparlamentet, rådet, kommissionen och revisionsrätten. Den årliga rapporten ska innehålla räkenskaperna, beskriva hur ändamålsenligt medlen har använts och utvärdera hur effektiv byrån har varit och hur den har uppnått sina resultatindikatorer. Den årliga rapporten ska offentliggöras.

Ändringsförslag    139

Förslag till förordning

Artikel 14 – punkt 1 – led m

Kommissionens förslag

Ändringsförslag

(m)  Utse den verkställande direktören och i förekommande fall förlänga mandatperioden för eller avsätta honom eller henne i enlighet med artikel 33 i denna förordning.

(m)  Utse den verkställande direktören genom ett urvalsförfarande utgående från yrkesmässiga kriterier och i förekommande fall förlänga mandatperioden för eller avsätta honom eller henne i enlighet med artikel 33 i denna förordning.

Ändringsförslag    140

Förslag till förordning

Artikel 14 – punkt 1 – led o

Kommissionens förslag

Ändringsförslag

(o)  Fatta alla beslut som rör inrättandet av byråns interna strukturer och, vid behov, ändringar av dessa, med beaktande av byråns verksamhetsbehov och en sund budgetförvaltning.

(o)  Fatta alla beslut som rör inrättandet av byråns interna strukturer och, vid behov, ändringar av dessa, med beaktande av byråns verksamhetsbehov enligt denna förordning och en sund budgetförvaltning.

Ändringsförslag    141

Förslag till förordning

Artikel 16 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Ledamöterna i den ständiga intressentgruppen får delta, efter inbjudan från ordföranden, i styrelsens sammanträden utan rösträtt.

4.  Ledamöterna i Enisas rådgivande grupp får delta, efter inbjudan från ordföranden, i styrelsens sammanträden utan rösträtt.

Ändringsförslag    142

Förslag till förordning

Artikel 18 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Direktionen ska bestå av fem ledamöter utsedda bland styrelsens ledamöter, däribland styrelsens ordförande, som även kan vara direktionens ordförande, samt en av kommissionens företrädare. Den verkställande direktören ska delta i direktionens sammanträden, men ska inte ha rösträtt.

3.  Direktionen ska bestå av fem ledamöter utsedda bland styrelsens ledamöter, däribland styrelsens ordförande, som även kan vara direktionens ordförande, samt en av kommissionens företrädare. Den verkställande direktören ska delta i direktionens sammanträden, men ska inte ha rösträtt. Utnämningarna ska syfta till att uppnå en jämn könsfördelning i direktionen.

Motivering

Utnämningarna till direktionen måste även syfta till att uppnå en jämn könsfördelning, för att återspegla bestämmelserna för styrelsen i artikel 13.3.

Ändringsförslag    143

Förslag till förordning

Artikel 19 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Den verkställande direktören ska på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

2.  Den verkställande direktören ska årligen eller på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

Ändringsförslag    144

Förslag till förordning

Artikel 19 – punkt 5a (ny)

Kommissionens förslag

Ändringsförslag

 

5a.  Den verkställande direktören ska även ha rätt att fungera som en institutionell särskild rådgivare om cybersäkerhetspolitik till kommissionens ordförande, med det mandat som anges i kommissionens beslut C(2014) 541 av den 6 februari 2014.

Ändringsförslag    145

Förslag till förordning

Artikel 20 – rubriken

Kommissionens förslag

Ändringsförslag

Den ständiga intressentgruppen

Enisas rådgivande grupp

 

(Denna ändring berör hela texten. Om ändringen antas ska hela texten anpassas i överensstämmelse härmed.)

Ändringsförslag    146

Förslag till förordning

Artikel 20 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Styrelsen ska på förslag av den verkställande direktören inrätta en ständig intressentgrupp bestående av erkända experter som företräder berörda intressenter, exempelvis IKT-branschen, leverantörer av allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster, konsumentgrupper, experter på cybersäkerhet från den akademiska världen och företrädare för behöriga myndigheter som anmälts i enlighet med [direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation] samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd.

1.  Styrelsen ska på förslag av den verkställande direktören, på ett transparent sätt inrätta Enisas rådgivande grupp, bestående av erkända säkerhetsexperter som företräder berörda intressenter, exempelvis IKT-branschen, inbegripet små och medelstora företag, leverantörer av samhällsviktiga tjänster enligt it-säkerhetsdirektivet, leverantörer av elektroniska kommunikationsnät eller kommunikationstjänster till allmänheten, konsumentgrupper, experter på cybersäkerhet från den akademiska världen, europeiska standardiseringsorganisationer, EU-byråer och företrädare för behöriga myndigheter som anmälts i enlighet med [direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation] samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd. Styrelsen ska säkerställa en lämplig balans mellan olika intressentgrupper.

Ändringsförslag    147

Förslag till förordning

Artikel 20 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Förfaranden för den ständiga intressentgruppen, i synnerhet avseende gruppens medlemsantal och sammansättning samt styrelsens utnämning av gruppens medlemmar, förslaget från den verkställande direktören och gruppens arbete, ska anges i byråns interna verksamhetsregler och ska offentliggöras.

2.  Förfaranden för Enisas rådgivande grupp, i synnerhet avseende gruppens medlemsantal och sammansättning samt styrelsens utnämning av gruppens medlemmar, förslaget från den verkställande direktören och gruppens arbete, ska anges i byråns interna verksamhetsregler och ska offentliggöras.

Ändringsförslag    148

Förslag till förordning

Artikel 20 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Den verkställande direktören eller en person som han eller hon utser från fall till fall ska vara den ständiga intressentgruppens ordförande.

3.  Den verkställande direktören eller en person som han eller hon utser från fall till fall ska vara ordförande för Enisas rådgivande grupp.

Ändringsförslag    149

Förslag till förordning

Artikel 20 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Mandatperioden för den ständiga intressentgruppens medlemmar ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i den ständiga intressentgruppen. Experter från kommissionen och medlemsstaterna får närvara vid den ständiga intressentgruppens möten och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av den ständiga intressentgruppen, får bjudas in att närvara vid den ständiga intressentgruppens möten och delta i dess arbete.

4.  Mandatperioden för medlemmar i Enisas rådgivande grupp ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i Enisas rådgivande grupp. Experter från kommissionen och medlemsstaterna får närvara vid den rådgivande gruppens möten och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av Enisas rådgivande grupp, får bjudas in att närvara vid den rådgivande gruppens möten och delta i dess arbete.

Ändringsförslag    150

Förslag till förordning

Artikel 20 – punkt 4a (ny)

Kommissionens förslag

Ändringsförslag

 

4a.  Enisas rådgivande grupp ska tillhandahålla regelbundna uppdateringar av sin planering under året och fastställa de mål i sitt arbetsprogram som ska offentliggöras var sjätte månad för att säkerställa transparens.

Ändringsförslag    151

Förslag till förordning

Artikel 20 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Den ständiga intressentgruppen ska ge byrån råd med avseende på genomförandet av dess verksamhet. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till byråns arbetsprogram och om kommunikationen med berörda intressenter om alla frågor kopplade till arbetsprogrammet.

5.  Enisas rådgivande grupp ska ge byrån råd med avseende på genomförandet av dess verksamhet, med undantag av tillämpningen av avdelning III i denna förordning. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till byråns arbetsprogram och om kommunikationen med berörda intressenter om alla frågor kopplade till arbetsprogrammet.

Ändringsförslag    152

Förslag till förordning

Artikel 20a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 20a

 

Intressentgrupp för certifiering

 

1.   Den verkställande direktören ska inrätta en intressentgrupp för certifiering bestående av en allmänt rådgivande kommitté, som ger allmänna råd om tillämpningen av avdelning III i denna förordning, och inrätta tillfälliga kommittéer för förslag, utveckling och antagande av förslag till system. Medlemmarna i denna grupp ska utses bland erkända säkerhetsexperter som företräder berörda intressenter, exempelvis IKT-branschen, inbegripet små och medelstora företag, leverantörer av samhällsviktiga tjänster enligt it-säkerhetsdirektivet, leverantörer av elektroniska kommunikationsnät eller kommunikationstjänster till allmänheten, konsumentgrupper, experter på cybersäkerhet från den akademiska världen, europeiska standardiseringsorganisationer och företrädare för behöriga myndigheter som anmälts i enlighet med [direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation] samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd.

 

2.   Förfaranden för intressentgruppen för certifiering, i synnerhet avseende gruppens medlemsantal, sammansättning och den verkställande direktörens utnämning av gruppens medlemmar, ska fastställas i byråns interna verksamhetsregler, följa bästa praxis när det gäller att säkerställa rättvis representation och lika rättigheter för alla intressenter, och ska offentliggöras.

 

3.   Styrelseledamöter får inte vara medlemmar i intressentgruppen för certifiering. Ledamöter i Enisas rådgivande grupp kan även vara medlemmar i intressentgruppen för certifiering. Experter från kommissionen och medlemsstaterna får, efter inbjudan, närvara vid möten i intressentgruppen för certifiering. Företrädare för andra organ, som den verkställande direktören bedömer vara relevanta, kan bjudas in att närvara vid möten i intressentgruppen för certifiering och delta i dess arbete.

 

4.   Intressentgruppen för certifiering ska ge byrån råd om genomförandet av dess verksamhet med hänsyn till avdelning III i denna förordning. Gruppen ska i synnerhet ha rätt att föreslå för kommissionen att utarbeta ett förslag till ett europeiskt system för cybersäkerhetscertifiering, i enlighet med artikel 44 i denna förordning, samt delta i de förfaranden som beskrivs i artiklarna 43, 48 och 53 i denna förordning för godkännande av sådana system.

Ändringsförslag    153

Förslag till förordning

Artikel 21a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 21a

 

Förfrågan till byrån

 

1. Byrån bör inrätta och förvalta en gemensam kontaktpunkt, till vilken förfrågningar om rådgivning och bistånd inom ramen för byråns mål och uppgifter ska riktas. Dessa förfrågningar bör åtföljas av bakgrundsinformation om vad ärendet gäller. Byrån bör ge förslag på möjliga resursmässiga konsekvenser och därefter följa upp förfrågningarna. Om byrån avvisar en förfrågan ska detta motiveras.

 

2. De förfrågningar som avses i punkt 1 får göras av

 

a) Europaparlamentet,

 

b) rådet,

 

c) kommissionen, och

 

d) behöriga organ utsedda av medlemsstaterna, t.ex. en nationell regleringsmyndighet enligt definitionen i artikel 2 i direktiv 2002/21/EG.

 

3. De praktiska arrangemangen för tillämpning av punkterna 1 och 2, särskilt vad gäller inlämnande, prioritering, uppföljning och information, ska fastställas av styrelsen och anges i byråns interna verksamhetsregler.

Ändringsförslag    154

Förslag till förordning

Artikel 24 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Ledamöterna i styrelsen, den verkställande direktören, den ständiga intressentgruppen, de externa experter som deltar i olika tillfälliga arbetsgrupper och byråns personal, inbegripet tjänstemän som är tillfälligt utstationerade av medlemsstaterna, ska omfattas av tystnadsplikt enligt artikel 339 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), även efter det att deras uppdrag upphört.

2.  Ledamöterna i styrelsen, den verkställande direktören, Enisas rådgivande grupp, de externa experter som deltar i olika tillfälliga arbetsgrupper och byråns personal, inbegripet tjänstemän som är tillfälligt utstationerade av medlemsstaterna, ska omfattas av tystnadsplikt enligt artikel 339 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), även efter det att deras uppdrag upphört.

Ändringsförslag    155

Förslag till förordning

Artikel 26 – punkt 1 – stycke 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

Det preliminära utkastet till beräkning ska baseras på målen och det förväntade resultatet enligt det samlade programdokument som avses i artikel 21.1 i denna förordning, och ska, i enlighet med principen om resultatbaserad budgetering, ta hänsyn till vilka ekonomiska resurser som behövs för att dessa mål och förväntade resultat ska kunna nås.

Ändringsförslag    156

Förslag till förordning

Artikel 30 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Revisionsrätten ska ha befogenhet att utföra revision, på grundval av handlingar och kontroller på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från byrån.

2.  Revisionsrätten ska ha befogenhet att utföra revision, på grundval av handlingar och inspektioner på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från byrån.

Ändringsförslag    157

Förslag till förordning

Artikel 36 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  De anställdas personliga ansvar gentemot byrån ska regleras av de relevanta bestämmelser som är tillämpliga på byråns personal.

5.  De anställdas personliga ansvar gentemot byrån ska regleras av de relevanta bestämmelser som är tillämpliga på byråns personal. Effektiv rekrytering av personal ska säkerställas.

Ändringsförslag    158

Förslag till förordning

Artikel 37 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  De översättningar som krävs för byråns verksamhet ska tillhandahållas av Översättningscentrum för Europeiska unionens organ.

2.  De översättningar som krävs för byråns verksamhet ska tillhandahållas av Översättningscentrum för Europeiska unionens organ eller andra översättningsleverantörer i enlighet med upphandlingsreglerna och inom de gränser som fastställs genom relevanta finansiella bestämmelser.

Ändringsförslag    159

Förslag till förordning

Artikel 39 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  I den mån det är nödvändigt för att uppnå målen i denna förordning får byrån samarbeta med de behöriga myndigheterna i tredjeländer eller med internationella organisationer, eller båda. För detta ändamål får byrån, efter förhandsgodkännande från kommissionen, upprätta samarbetsavtal med myndigheterna i tredjeländer och med internationella organisationer. Dessa avtal får inte medföra några juridiska förpliktelser för unionen och dess medlemsstater.

1.  I den mån det är nödvändigt för att uppnå målen i denna förordning får byrån samarbeta med de behöriga myndigheterna i tredjeländer eller med internationella organisationer, eller båda. För detta ändamål får byrån, efter förhandsgodkännande från kommissionen, upprätta samarbetsavtal med myndigheterna i tredjeländer och med internationella organisationer. Samarbete med Nato, när detta sker, kan inbegripa gemensamma cybersäkerhetsövningar och gemensam samordning av insatser vid cyberincidenter. Dessa avtal får inte medföra några juridiska förpliktelser för unionen och dess medlemsstater.

Motivering

Med tanke på cyberincidenters gränsöverskridande karaktär bör Enisa agera tillsammans med andra cybersäkerhetsaktörer i Europa, exempelvis Nato, där så är lämpligt. Detta är särskilt viktigt eftersom Nato kan ha cyberkapacitet som Enisa inte har, och tvärtom. Mot bakgrund av ökade cyberangrepp som riktas mot hela stater är det mycket viktigt för Europas säkerhet att Enisa samarbetar med internationella organisationer såsom Nato på internationell nivå.

Ändringsförslag    160

Förslag till förordning

Artikel 41 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Byråns värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, bland annat när det gäller platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för både barn och makar.

2.  Byråns värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, bland annat när det gäller ett enda säte för hela byrån, platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för både barn och makar.

Motivering

Den nuvarande strukturen för byrån med dess administrativa säte i Heraklion och kärnverksamheten i Aten har visat sig ineffektiv och kostsam. Alla anställda på Enisa bör därför arbeta i samma stad. Mot bakgrund av de kriterier som anges i denna punkt bör denna plats vara Aten.

Ändringsförslag    161

Förslag till förordning

Artikel 43 – punkt 1

Kommissionens förslag

Ändringsförslag

Ett europeiskt system för cybersäkerhetscertifiering ska intyga att de IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller de angivna kraven när det gäller deras förmåga att tåla, vid en viss assuransnivå, åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten eller konfidentialiteten hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system.

Ett europeiskt system för cybersäkerhetscertifiering ska intyga att de IKT-produkter, IKT-processer och IKT-tjänster som omfattas inte har några kända brister när de certifieras, och att de uppfyller de angivna kraven som kan avse europeiska och internationella standarder, tekniska specifikationer och tekniska specifikationer på IKT-området när det gäller deras förmåga att tåla, under sin hela livscykel, vid en viss assuransnivå, åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten eller konfidentialiteten hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och uppnår de angivna säkerhetsmålen.

Ändringsförslag    162

Förslag till förordning

Artikel 44 – punkt -1 (ny)

Kommissionens förslag

Ändringsförslag

 

-1.  Kommissionen ska anta delegerade akter i enlighet med artikel 55a för att komplettera denna förordning genom att inrätta ett löpande arbetsprogram för unionen för europeiska system för cybersäkerhetscertifiering. Dessa delegerade akter ska fastställa gemensamma åtgärder som ska vidtas på unionsnivå, och strategiska prioriteringar. Unionens löpande arbetsprogram ska i synnerhet omfatta en prioriteringslista över IKT-produkter, IKT-processer och IKT-tjänster som lämpar sig för ett europeiskt system för cybersäkerhetscertifiering, samt en analys av huruvida det finns en likvärdig kvalitets-, kunskaps- och expertisnivå bland organen för bedömning av överensstämmelse och de nationella tillsynsmyndigheterna för certifiering och, vid behov, ett förslag för hur denna nivå av likvärdighet kan uppnås.

 

Unionens ursprungliga löpande arbetsprogram ska fastställas senast den ... [sex månader efter denna förordnings ikraftträdande] och uppdateras vid behov, men i alla händelser vartannat år därefter. Unionens löpande arbetsprogram ska göras allmänt tillgängligt.

 

Före antagandet eller uppdateringen av unionens löpande arbetsprogram ska kommissionen samråda med medlemsstaternas certifieringsgrupp, byrån och intressenternas certifieringsgrupp genom ett öppet, transparent och inkluderande samråd.

Ändringsförslag    163

Förslag till förordning

Artikel 44 – punkt -1a (ny)

Kommissionens förslag

Ändringsförslag

 

-1a.  När så är motiverat kan kommissionen begäran att byrån utarbetar ett förslag till europeiskt system för cybersäkerhetscertifiering. Denna begäran ska grundas på unionens löpande arbetsprogram.

Ändringsförslag    164

Förslag till förordning

Artikel 44 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Efter en begäran från kommissionen, ska Enisa utarbeta ett förslag till ett europeiskt system för cybersäkerhetscertifiering som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning. Medlemsstaterna eller den europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) som inrättats enligt artikel 53 får lämna förslag till kommissionen om utarbetande av ett förslag till ett europeiskt system för cybersäkerhetscertifiering.

1.  Begäran om ett förslag till ett europeiskt system för cybersäkerhetscertifiering ska innehålla tillämpningsområdet, de tillämpliga säkerhetsmålen som avses i artikel 45, de tillämpliga komponenterna som avses i artikel 47, och en tidsfrist för när det särskilda systemet ska börja gälla. Vid utarbetandet av begäran kan kommissionen samråda med byrån, medlemsstaternas certifieringsgrupp och intressentgruppen för certifiering.

Ändringsförslag    165

Förslag till förordning

Artikel 44 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Vid utarbetandet av förslag till system som avses i punkt 1 i denna artikel ska Enisa samråda med alla berörda intressenter och bedriva ett nära samarbete med gruppen. Gruppen ska ge Enisa det bistånd och de expertråd som Enisa behöver vid utarbetandet av förslaget till system, bland annat genom att avge yttranden om det behövs.

2.  Vid utarbetandet av förslagen till system som avses i punkt -1 (ny) ska byrån samråda med alla berörda intressenter genom ett formellt, öppet, transparent och inkluderande samrådsförfarande, och ska bedriva ett nära samarbete med medlemsstaternas certifieringsgrupp, intressentgruppen för certifiering, tillfälliga kommittéer i enlighet med artikel 20a i denna förordning och de europeiska standardiseringsorganen. De ska ge byrån det bistånd och de expertråd som byrån behöver vid utarbetandet av förslaget till system, bland annat genom att avge yttranden om det behövs.

Ändringsförslag    166

Förslag till förordning

Artikel 44 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Enisa ska till kommissionen översända det förslag till europeiskt system för cybersäkerhetscertifiering som utarbetats i enlighet med punkt 2 i denna artikel.

3.  Byrån ska till kommissionen översända det förslag till europeiskt system för cybersäkerhetscertifiering som utarbetats i enlighet med punkterna 1 och 2 i denna artikel.

Ändringsförslag    167

Förslag till förordning

Artikel 44 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Med utgångspunkt i det förslag till system som Enisa lagt fram, får kommissionen anta genomförandeakter i enlighet med artikel 55.1 för europeiska system för certifiering av IKT-produkter och IKT-tjänster som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning.

4.  Med utgångspunkt i det förslag till system som byrån lagt fram, får kommissionen anta delegerade akter i enlighet med artikel 55a, som kompletterar denna förordning med europeiska system för certifiering av IKT-produkter, IKT-processer och IKT-tjänster som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning.

Ändringsförslag    168

Förslag till förordning

Artikel 44 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Enisa ska upprätthålla en särskild webbplats med information om och offentliggörande av europeiska system för cybersäkerhetscertifiering.

5.  Byrån ska upprätthålla en särskild webbplats med information om och offentliggörande av europeiska system för cybersäkerhetscertifiering, däribland när det gäller återkallade och utgångna certifikat, och nationella certifikat som omfattas av certifieringen.

 

Om ett europeiskt system för cybersäkerhetscertifiering uppfyller de krav som det avser att uppfylla i enlighet med unionens relevanta harmoniseringslagstiftning, ska kommissionen utan dröjsmål offentliggöra en hänvisning till detta i Europeiska unionens officiella tidning eller på annat sätt i enlighet med de villkor som fastställs i motsvarande bestämmelser i unionens harmoniseringslagstiftning.

Ändringsförslag    169

Förslag till förordning

Artikel 44 – punkt 5a (ny)

Kommissionens förslag

Ändringsförslag

 

5a.  Byrån ska i enlighet med den struktur som inrättas enligt denna förordning se över de antagna systemen när deras giltighet löper ut i enlighet med artikel 47.1ac eller på begäran av kommissionen, med beaktande av synpunkter från berörda intressenter.

Ändringsförslag    170

Förslag till förordning

Artikel 45 – inledningen

Kommissionens förslag

Ändringsförslag

Ett europeiskt system för cybersäkerhetscertifiering ska vara utformat så att det, i tillämpliga fall, tar hänsyn till följande säkerhetsmål:

Ett europeiskt system för cybersäkerhetscertifiering ska vara utformat så att det, i tillämpliga fall, tar hänsyn till säkerhetsmål som säkerställer:

Ändringsförslag    171

Förslag till förordning

Artikel 45 – led a

Kommissionens förslag

Ändringsförslag

(a)  Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten lagring, behandling eller åtkomst eller oavsiktligt eller otillåtet offentliggörande.

(a)  Sekretess, integritet, tillgänglighet och privatliv när det gäller tjänster, funktioner och data.

Ändringsförslag    172

Förslag till förordning

Artikel 45 – led b

Kommissionens förslag

Ändringsförslag

(b)  Att skydda data som lagras, överförs eller på andra sätt behandlas, mot oavsiktlig eller otillåten förstöring, oavsiktlig förlust eller ändringar.

(b)  Att tjänster, funktioner och data endast kan nås och användas av auktoriserade personer och/eller godkända system och program.

Ändringsförslag    173

Förslag till förordning

Artikel 45 – led c

Kommissionens förslag

Ändringsförslag

(c)  Att säkerställa att behöriga personer, program eller maskiner kan få åtkomst endast till de data, tjänster eller funktioner som omfattas av deras åtkomsträttigheter.

(c)  Att det införs en process för att fastställa och dokumentera alla beroendeförhållanden och kända brister i IKT-produkterna, IKT-processerna och IKT-tjänsterna.

Ändringsförslag    174

Förslag till förordning

Artikel 45 – led d

Kommissionens förslag

Ändringsförslag

(d)  Att registrera vilka data, funktioner och tjänster som har lämnats ut, vid vilken tidpunkt och av vem.

(d)  Att IKT-produkterna, IKT-processerna och IKT-tjänsterna inte innehåller kända brister.

Ändringsförslag    175

Förslag till förordning

Artikel 45 – led e

Kommissionens förslag

Ändringsförslag

(e)  Att säkerställa att det är möjligt att kontrollera vilka data, tjänster eller funktioner som någon haft åtkomst till eller som använts, vid vilken tidpunkt och vem som haft åtkomst till eller använt dessa.

(e)  Att det införs en process för att hantera nyligen upptäckta brister i IKT-produkterna, IKT-processerna och IKT-tjänsterna.

Ändringsförslag    176

Förslag till förordning

Artikel 45 – led f

Kommissionens förslag

Ändringsförslag

(f)  Att återställa tillgängligheten och tillgången avseende data, tjänster och funktioner i rätt tid vid en fysisk eller teknisk incident.

(f)  Att IKT-produkter, IKT-processer och IKT-tjänster har säkerhet som standard och inbyggd säkerhet.

Ändringsförslag    177

Förslag till förordning

Artikel 45 – led g

Kommissionens förslag

Ändringsförslag

(g)  Att säkerställa att IKT-produkter och IKT-tjänster tillhandahålls med uppdaterad programvara som inte innehåller kända brister, och med mekanismer för säkra uppdateringar av programvaran.

(g)  Att IKT-produkter och IKT-tjänster tillhandahålls med uppdaterad programvara som inte innehåller kända brister, och med mekanismer för säkra uppdateringar av programvaran.

Ändringsförslag    178

Förslag till förordning

Artikel 45 – led ga (nytt)

Kommissionens förslag

Ändringsförslag

 

(ga)  Att andra risker kopplade till it-incidenter, såsom risker för liv, hälsa, miljön och andra viktiga rättsliga intressen , minimeras.

Ändringsförslag    179

Förslag till förordning

Artikel 46 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Ett europeiskt system för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer: grundläggande, betydande och/eller hög för IKT-produkter och IKT-tjänster som har utfärdats inom det systemet.

1.  Ett europeiskt system för cybersäkerhetscertifiering får innehålla en eller flera av följande riskbaserade assuransnivåer beroende på sammanhanget och den avsedda användningen av IKT-produkterna, IKT-processerna och IKT-tjänsterna: grundläggande, betydande och/eller hög för IKT-produkter, IKT-processer och IKT-tjänster som har utfärdats inom det systemet.

Ändringsförslag    180

Förslag till förordning

Artikel 46 – punkt 2 – led a

Kommissionens förslag

Ändringsförslag

(a)  Assuransnivån grundläggande ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en begränsad grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

(a)  Assuransnivån grundläggande ska motsvara en låg risk med hänsyn till den kombinerade sannolikheten och skadan i förbindelse med en IKT-produkt, IKT-process eller IKT-tjänst med hänsyn till deras avsedda användning och sammanhang. Assuransnivån grundläggande skapar förtroende för att kända grundläggande risker för it-incidenter kan motstås.

Ändringsförslag    181

Förslag till förordning

Artikel 46 – punkt 2 – led b

Kommissionens förslag

Ändringsförslag

(b)  Assuransnivån betydande ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en betydande grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

(b)  Assuransnivån betydande ska motsvara en högre risk, med hänsyn till den kombinerade sannolikheten och skadan, i förbindelse med en IKT-produkt, IKT-process eller IKT-tjänst. Assuransnivån betydande skapar förtroende för att kända risker för it-incidenter kan motstås och att det också finns kapacitet att stå emot cyberattacker med begränsade resurser.

Ändringsförslag    182

Förslag till förordning

Artikel 46 – punkt 2 – led c

Kommissionens förslag

Ändringsförslag

(c)  Assuransnivån hög ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en högre grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst än certifikat med assuransnivån betydande, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska förhindra cybersäkerhetsincidenter.

(c)  Assuransnivån hög ska motsvara en hög risk med hänsyn till skadan med anknytning till en IKT-produkt, IKT-process eller IKT-tjänst. Assuransnivån hög skapar förtroende för att risker för it-incidenter kan motstås och att det också finns kapacitet att stå emot avancerade cyberattacker med betydande resurser.

Ändringsförslag    183

Förslag till förordning

Artikel 46a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 46a

 

Utvärdering av assuransnivåer för europeiska system för cybersäkerhetscertifiering

 

1.   När det gäller assuransnivån grundläggande kan tillverkaren eller leverantören av IKT-produkter, IKT-processer eller IKT-tjänster göra en egen bedömning av överensstämmelse på eget ansvar.

 

2.   När det gäller assuransnivån betydande ska bedömningen åtminstone åtföljas av en verifiering av överensstämmelse av säkerhetsfunktionerna i produkten, processen eller tjänsten i förhållande till den tekniska dokumentationen.

 

3.   När det gäller assuransnivån hög ska bedömningsmetoden åtminstone åtföljas av ett effektivitetstest som bedömer hur väl säkerhetsfunktionerna kan stå emot angripare med betydande resurser.

Ändringsförslag    184

Förslag till förordning

Artikel 47 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

(a)  Föremålet och tillämpningsområdet för certifieringen, inbegripet typen eller kategorierna av de IKT-produkter och IKT-tjänster som omfattas av certifieringen.

(a)  Föremålet och tillämpningsområdet för certifieringen, inbegripet typen eller kategorierna av de IKT-produkter, IKT-processer och IKT-tjänster som omfattas av certifieringen.

Ändringsförslag    185

Förslag till förordning

Artikel 47 – punkt 1 – led aa (nytt)

Kommissionens förslag

Ändringsförslag

 

(aa)  tillämpningsområde och cybersäkerhetskrav, och i tillämpliga fall ska detta tillämpningsområde och dessa krav återspegla kraven i de nationella cybersäkerhetscertifikat som den ersätter eller som föreskrivs i rättsakter.

Ändringsförslag    186

Förslag till förordning

Artikel 47 – punkt 1 – led ab (nytt)

Kommissionens förslag

Ändringsförslag

 

(ab)  Certifieringssystemets giltighetstid.

Ändringsförslag    187

Förslag till förordning

Artikel 47 – punkt 1 – led b

Kommissionens förslag

Ändringsförslag

(b)  Detaljerad specificering av de cybersäkerhetskrav som specifika IKT-produkter och IKT-tjänster bedöms mot, t.ex. genom hänvisning till unionslagstiftning, internationella standarder eller tekniska specifikationer.

(b)  Detaljerad specificering av de cybersäkerhetskrav som specifika IKT-produkter, IKT-processer och IKT-tjänster bedöms mot, t.ex. genom hänvisning till europeiska eller internationella standarder, tekniska specifikationer eller tekniska specifikationer på IKT-området, fastställda på ett sådant sätt att certifieringen kan byggas in eller baseras på producentens systematiska säkerhetsförfaranden, som följs under utvecklingen av den berörda produkten eller tjänsten och dess livscykel.

Ändringsförslag    188

Förslag till förordning

Artikel 47 – punkt 1 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  Information om kända cyberhot som inte omfattas av certifiering och vägledning för att hantera dem.

Ändringsförslag    189

Förslag till förordning

Artikel 47 – punkt 1 – led c

Kommissionens förslag

Ändringsförslag

(c)  I tillämpliga fall, en eller flera assuransnivåer.

(c)  I tillämpliga fall, en eller flera assuransnivåer bland annat utgående från aktuella risker.

Ändringsförslag    190

Förslag till förordning

Artikel 47 – punkt 1 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  En uppgift om huruvida en egen bedömning av överensstämmelse tillåts enligt systemet, och det tillämpliga förfarandet för bedömning av överensstämmelse, eller egen försäkran om överensstämmelse, eller båda.

Ändringsförslag    191

Förslag till förordning

Artikel 47 – punkt 1 – led d

Kommissionens förslag

Ändringsförslag

(d)  Särskilda bedömningskriterier och -metoder som använts, inklusive utvärderingstyper, i syfte att visa att de särskilda mål som anges i artikel 45 uppnås.

(d)  Särskilda bedömningskriterier, typer av bedömning av överensstämmelse och bedömningsmetoder, i syfte att visa att de särskilda mål som anges i artikel 45 uppnås.

Ändringsförslag    192

Förslag till förordning

Artikel 47 – punkt 1 – led e

Kommissionens förslag

Ändringsförslag

(e)  Uppgifter som en sökande ska lämna till organ för bedömning av överensstämmelse och som är nödvändiga för certifieringen.

(e)  Uppgifter som en sökande ska lämna till organ för bedömning av överensstämmelse och som är nödvändiga för certifieringen.

Ändringsförslag    193

Förslag till förordning

Artikel 47 – punkt 1 – led f

Kommissionens förslag

Ändringsförslag

(f)  Om systemet fastställer användning av märken eller etiketter, villkoren för deras användning.

(f)  Information om cybersäkerhet i enlighet med artikel 47a i denna förordning.

Ändringsförslag    194

Förslag till förordning

Artikel 47 – punkt 1 – led g

Kommissionens förslag

Ändringsförslag

(g)  Om övervakning ingår i systemet, reglerna för övervakning och efterlevnad av certifieringskraven, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven.

(g)  Reglerna för övervakning och efterlevnad av certifieringskraven, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven.

Ändringsförslag    195

Förslag till förordning

Artikel 47 – punkt 1 – led h

Kommissionens förslag

Ändringsförslag

(h)  Villkor för beviljande, bibehållande, fortsättande, utvidgning och inskränkning av tillämpningsområdet för certifiering.

(h)  Villkor för beviljande, bibehållande, fortsättande, granskning, utvidgning och inskränkning av tillämpningsområdet och giltighetstiden för certifiering.

Ändringsförslag    196

Förslag till förordning

Artikel 47 – punkt 1 – led ha (nytt)

Kommissionens förslag

Ändringsförslag

 

(ha)  Bestämmelser för hur sårbarheter som kan uppstå efter att certifiering beviljats ska hanteras genom inrättande av dynamiska och löpande organisatoriska rutiner för leverantörer och användare.

Ändringsförslag    197

Förslag till förordning

Artikel 47 – punkt 1 – led i

Kommissionens förslag

Ändringsförslag

(i)  Bestämmelser om följderna om certifierade IKT-produkter och IKT-tjänster inte överensstämmer med certifieringskraven.

(i)  Bestämmelser om följderna om certifierade IKT-produkter och IKT-tjänster som varit föremål för egen bedömning inte överensstämmer med certifieringskraven.

Ändringsförslag    198

Förslag till förordning

Artikel 47 – punkt 1 – led j

Kommissionens förslag

Ändringsförslag

(j)  Bestämmelser om hur tidigare oupptäckta sårbarheter i fråga om cybersäkerhet hos IKT-produkter och IKT-tjänster ska rapporteras och utredas.

(j)  Bestämmelser om hur sårbarheter i fråga om cybersäkerhet, som inte är allmänt kända, hos IKT-produkter och IKT-tjänster ska rapporteras och utredas när de upptäckts.

Ändringsförslag    199

Förslag till förordning

Artikel 47 – punkt 1 – led l

Kommissionens förslag

Ändringsförslag

(l)  Identifiering av nationella system för cybersäkerhetscertifiering som omfattar samma typ eller kategorier av IKT-produkter och IKT-tjänster.

(l)  Identifiering av nationella och internationella system för cybersäkerhetscertifiering som omfattar samma typ eller kategorier av IKT-produkter, IKT-processer och IKT-tjänster, säkerhetskrav och kriterier och metoder för utvärdering.

Ändringsförslag    200

Förslag till förordning

Artikel 47 – punkt 1 – led ma (nytt)

Kommissionens förslag

Ändringsförslag

 

(ma)  Villkor för ömsesidigt erkännande av certifieringssystem med tredjeländer.

Ändringsförslag    201

Förslag till förordning

Artikel 47 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a.  Underhållsprocesser med uppdateringar får inte göra certifieringen ogiltig, såvida inte sådana uppdateringar avgjort skadar säkerheten hos IKT-produkten, IKT-processen eller IKT-tjänsten.

Ändringsförslag    202

Förslag till förordning

Artikel 47a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 47a

 

Upplysningar om cybersäkerhet för certifierade produkter, processer och tjänster

 

1.   Tillverkaren eller leverantören av IKT-produkter, IKT-processer och IKT-tjänster som omfattas av ett certifieringssystem enligt denna förordning ska tillhandahålla slutanvändaren ett dokument i elektronisk form eller pappersform med åtminstone följande information: Assuransnivån för certifieringen som gäller den avsedda användningen av IKT-produkten, IKT-processen eller IKT-tjänsten. En beskrivning av vilka risker som enligt certifieringen ska gå att motverka på ett trovärdigt sätt. Rekommendationer om hur användarna ytterligare kan främja produktens, processens eller tjänstens cybersäkerhet, hur regelbundet samt om eventuella uppdateringar bör göras och om stödperioden efter dem. I tillämpliga fall upplysningar om hur användarna kan bevara produktens, processens eller tjänstens huvudsakliga egenskaper i händelse av en attack.

 

2.   Det dokument som avses i punkt 1 i denna artikel ska finnas tillgängligt under produktens, processens eller tjänsternas hela livscykel tills den längre inte finns på marknaden och under minst fem år.

 

3.   Kommissionen ska anta genomförandeakter för att införa en mall för dokumentet. Kommissionen kan begära att byrån utarbetar ett förslag till en mall för dokumentet. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 55 i denna förordning.

Ändringsförslag    203

Förslag till förordning

Artikel 48 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  IKT-produkter och IKT-tjänster som har certifierats enligt ett europeiskt system för cybersäkerhetscertifiering som antagits enligt artikel 44 ska förutsättas överensstämma med kraven i ett sådant system.

1.  IKT-produkter, IKT-processer och IKT-tjänster som har certifierats enligt ett europeiskt system för cybersäkerhetscertifiering som antagits enligt artikel 44 ska förutsättas överensstämma med kraven i ett sådant system.

Ändringsförslag    204

Förslag till förordning

Artikel 48 – punkt 4 – inledningen

Kommissionens förslag

Ändringsförslag

4.  Genom undantag från punkt 3, och i vederbörligen motiverade fall, får ett visst europeiskt system för cybersäkerhet föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av det systemet kan utfärdas endast av ett offentligt organ. Ett sådant offentligt organ ska vara ett av följande:

4.  Genom undantag från punkt 3, och endast i vederbörligen motiverade fall, såsom av nationella säkerhetsskäl, får ett visst europeiskt certifieringssystem för cybersäkerhet föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av det systemet kan utfärdas endast av ett offentligt organ. Ett sådant offentligt organ ska vara ett organ som ackrediterats som ett organ för bedömning av överensstämmelse i enlighet med artikel 51.1 i denna förordning. Den fysiska eller juridiska person som lämnar in sina IKT-produkter eller IKT-tjänster till certifieringsmekanismen ska till det organ för bedömning av överensstämmelse som avses i artikel 51 lämna all information som krävs för att certifieringsförfarandet ska kunna genomföras.

Ändringsförslag    205

Förslag till förordning

Artikel 48 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Den fysiska eller juridiska person som lämnar in sina IKT- produkter eller IKT-tjänster till certifieringsmekanismen ska till det organ för bedömning av överensstämmelse som avses i artikel 51 lämna all information som krävs för att genomföra certifieringsförfarandet.

5.  Den fysiska eller juridiska person som lämnar in sina IKT-produkter, IKT-tjänster eller IKT-processer till certifieringsmekanismen ska till det organ för bedömning av överensstämmelse som avses i artikel 51 lämna all information som krävs för att genomföra certifieringsförfarandet, däribland information om varje form av kända säkerhetsbrister. Inlämnandet kan ske till ett valfritt organ för bedömning av överensstämmelse som avses i artikel 51.

Ändringsförslag    206

Förslag till förordning

Artikel 48 – punkt 6

Kommissionens förslag

Ändringsförslag

6.  Certifikat ska utfärdas för en period på högst tre år och får förnyas på samma villkor under förutsättning att de relevanta kraven fortsätter att uppfyllas.

6.  Certifikat ska utfärdas för en maximiperiod som fastställs från fall till fall för varje system, med beaktande av en rimlig livscykel, som i vilket fall som helst inte får överstiga fem år, och som får förnyas under förutsättning att de relevanta kraven fortsätter att uppfyllas.

Motivering

Detta ger flexibilitet att anpassa giltighetstiden för den avsedda användningen.

Ändringsförslag    207

Förslag till förordning

Artikel 48 – punkt 7

Kommissionens förslag

Ändringsförslag

7.  Ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater.

7.  Ett europeiskt cybersäkerhetscertifikat som utfärdats i enlighet med denna artikel ska erkännas i alla medlemsstater, och de IKT-produkter, IKT-processer och elektroniska konsumentprodukter som certifikatet gäller för ska anses uppfylla lokala cybersäkerhetskrav med beaktande av den angivna assuransnivån som avses i artikel 46, och det får inte förekomma någon särbehandling mellan sådana certifikat, vare sig på grundval av ursprungsmedlemsstat eller utfärdande organ för bedömning av överensstämmelse enligt artikel 51.

Motivering

För att undvika fragmentering i erkännandet och/eller överensstämmelsen i EU:s system för cybersäkerhetscertifiering måste det framgå i artikeln att certifikaten måste behandlas lika oavsett var de utfärdats.

Ändringsförslag    208

Förslag till förordning

Artikel 48a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 48a

 

Certifieringssystem för leverantörer av samhällsviktiga tjänster

 

1.   När de europeiska systemen för cybersäkerhetscertifiering har antagits i enlighet med punkt 2 i denna artikel, ska leverantörer av samhällsviktiga tjänster, för att uppfylla säkerhetskraven i artikel 14 i direktiv (EU) 2016/1148, använda produkter, processer och tjänster som omfattas av dessa certifieringssystem.

 

2.   Senast [ett år efter ikraftträdandet av denna förordning] ska kommissionen, efter samråd med den samarbetsgrupp som avses i artikel 11 i direktiv (EU) 2016/1148, anta delegerade akter i enlighet med artikel 55a för att komplettera denna förordning genom att förteckna de kategorier av produkter, processer och tjänster som uppfyller följande kriterier:

 

(a)  De är avsedda att användas av leverantörer av samhällsviktiga tjänster.

 

(b)  Tillhandahållandet av den samhällsviktiga tjänsten skulle störas svårt om de inte fungerar ordentligt.

 

3.   Kommissionen ska anta delegerade akter i enlighet med artikel 55a för att ändra denna förordning genom att vid behov uppdatera förteckningen med kategorier av produkter, processer och tjänster som avses i punkt 3 i denna artikel.

 

4.   Kommissionen ska begära att byrån utarbetar ett förslag till europeiska cybersäkerhetssystem i enlighet med artikel 44(-1) i denna förordning för förteckningen över kategorier av produkter, processer och tjänster som avses i punkterna 2 och 3 i denna artikel så snart den förteckningen har antagits eller uppdaterats. De certifikat som utfärdas i enlighet med sådana europeiska system för cybersäkerhetscertifiering ska ha assuransnivån hög.

Ändringsförslag    209

Förslag till förordning

Artikel 48b (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 48b

 

Formella invändningar mot europeiska system för cybersäkerhetscertifiering

 

1.  Om en medlemsstat anser att ett europeiskt system för cybersäkerhetscertifiering inte helt uppfyller de krav det söker uppfylla och som fastställs i unionens relevanta harmoniseringslagstiftning, ska denna medlemsstat informera kommissionen och tillhandahålla en utförlig förklaring. Kommissionen ska, efter samråd med den kommitté som inrättats i enlighet med unionens relevanta harmoniseringslagstiftning, i tillämpliga fall, eller efter andra former av samråd med sektorsexperter, besluta följande:

 

(a)  Att offentliggöra hänvisningarna till det berörda europeiska systemet för cybersäkerhet i Europeiska unionens officiella tidning, att inte offentliggöra dem eller att offentliggöra dem med restriktioner.

 

(b)  Att behålla hänvisningarna till det berörda europeiska systemet för cybersäkerhet i Europeiska unionens officiella tidning, att behålla dem med restriktioner eller att dra tillbaka dem.

 

2.  Kommissionen ska på sin webbplats offentliggöra sådan information om europeiska system för cybersäkerhet som har blivit föremål för ett sådant beslut som avses i punkt 1 i denna artikel.

 

3.  Kommissionen ska underrätta byrån om det beslut som avses i punkt 1 i denna artikel och, om så krävs, begära en översyn av det berörda europeiska systemet för cybersäkerhet.

 

4.  Det beslut som avses i punkt 1 a i denna artikel ska antas i enlighet med det rådgivande förfarande som avses i artikel 55.2 i denna förordning.

 

5.  Det beslut som avses i punkt 1 b i denna artikel ska antas i enlighet med det rådgivande förfarande som avses i artikel 55.2a (ny) i denna förordning.

Ändringsförslag    210

Förslag till förordning

Artikel 49 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Utan att det påverkar tillämpningen av punkt 3 ska de nationella systemen för cybersäkerhetscertifiering och därtill hörande förfaranden, för de IKT-produkter och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering, upphöra att ha verkan från och med den dag som anges i den genomförandeakt som antagits i enlighet med artikel 44.4. Befintliga nationella system för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter och IKT-tjänster som inte omfattas av ett europeiskt system för cybersäkerhetscertifiering ska fortsätta att existera.

1.  Utan att det påverkar tillämpningen av punkt 3 ska de nationella systemen för cybersäkerhetscertifiering och därtill hörande förfaranden, för de IKT-produkter, IKT-processer och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering, upphöra att ha verkan från och med den dag som anges i den genomförandeakt som antagits i enlighet med artikel 44.4. Befintliga nationella system för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter, IKT-processer och IKT-tjänster som inte omfattas av ett europeiskt system för cybersäkerhetscertifiering ska kvarstå.

Ändringsförslag    211

Förslag till förordning

Artikel 49 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Vidare ska medlemsstaterna inte införa nya nationella system för cybersäkerhetscertifiering av de IKT-produkter och IKT-tjänster som omfattas av ett befintligt europeiskt system för cybersäkerhetscertifiering.

2.  Vidare ska medlemsstaterna inte införa nya nationella system för cybersäkerhetscertifiering av de IKT-produkter, IKT-processer och IKT-tjänster som omfattas av ett befintligt europeiskt system för cybersäkerhetscertifiering.

Ändringsförslag    212

Förslag till förordning

Artikel 49 – punkt 3a (ny)

Kommissionens förslag

Ändringsförslag

 

3a.  Medlemsstaterna ska meddela kommissionen om alla begäranden om att utarbeta nationella system för cybersäkerhetscertifiering och ska därvid ange skälen för deras införande.

Ändringsförslag    213

Förslag till förordning

Artikel 49 – punkt 3b (ny)

Kommissionens förslag

Ändringsförslag

 

3b.  Medlemsstaterna ska på begäran och åtminstone i elektronisk form översända utkast till nationella system för cybersäkerhetscertifiering till andra medlemsstater, byrån eller kommissionen.

Ändringsförslag    214

Förslag till förordning

Artikel 49 – punkt 3c (ny)

Kommissionens förslag

Ändringsförslag

 

3c.  Utan att det påverkar bestämmelserna i direktiv (EU) 2015/1535 ska medlemsstaterna inom tre månader besvara och ta vederbörlig hänsyn till eventuella iakttagelser som de mottagit från andra medlemsstater, byrån eller kommissionen när det gäller de utkast som avses i punkt 3b i denna artikel.

Ändringsförslag    215

Förslag till förordning

Artikel 49 – punkt 3d (ny)

Kommissionens förslag

Ändringsförslag

 

3d.  När de iakttagelser som inkommit i enlighet med punkt 3c i denna artikel visar att ett utkast till ett nationellt system för cybersäkerhetscertifiering sannolikt kommer att skada den inre marknadens funktion, ska den mottagande medlemsstaten samråda och ta största möjliga hänsyn till byråns och kommissionens iakttagelser innan den antar utkastet till system.

Ändringsförslag    216

Förslag till förordning

Artikel 50 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  För en effektiv tillämpning av förordningen är det lämpligt att dessa myndigheter deltar i den europeiska grupp för cybersäkerhetscertifiering som inrättats enligt artikel 53 på ett effektivt, ändamålsenligt och säkert sätt.

5.  För en effektiv tillämpning av förordningen är det lämpligt att dessa myndigheter deltar i medlemsstaternas certifieringsgrupp som inrättats enligt artikel 53 på ett effektivt, ändamålsenligt och säkert sätt.

Ändringsförslag    217

Förslag till förordning

Artikel 50 – punkt 6 – led a

Kommissionens förslag

Ändringsförslag

(a)  övervaka och kontrollera tillämpningen av de bestämmelser som föreskrivs i denna avdelning på nationell nivå och övervaka att de certifikat som har utfärdats av organ för bedömning av överensstämmelse etablerade på deras respektive territorier uppfyller kraven i denna avdelning och i motsvarande europeiska system för cybersäkerhetscertifiering,

(a)  övervaka och kontrollera tillämpningen av de bestämmelser som föreskrivs i denna avdelning på nationell nivå och verifiera att följande överensstämmer med de regler som antagits av den europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 53.3 led da, av följande:

 

i)   De certifikat som har utfärdats av organ för bedömning av överensstämmelse etablerade på deras respektive territorier med kraven i denna avdelning och i motsvarande europeiska system för cybersäkerhetscertifiering.

 

ii)   Egna försäkringar om överensstämmelse som lämnats in inom ramen för ett system för en IKT-process, IKT-produkt eller IKT-tjänst.

Ändringsförslag    218

Förslag till förordning

Artikel 50 – punkt 6 – led b

Kommissionens förslag

Ändringsförslag

(b)  övervaka och kontrollera den verksamhet som organen för bedömning av överensstämmelse utför i enlighet med denna förordning, bland annat när det gäller anmälan av organ för bedömning av överensstämmelse och de relaterade uppgifter som anges i artikel 52 i denna förordning,

(b)  övervaka och kontrollera och minst vartannat år utvärdera den verksamhet som organen för bedömning av överensstämmelse utför i enlighet med denna förordning, bland annat när det gäller anmälan av organ för bedömning av överensstämmelse och de relaterade uppgifter som anges i artikel 52 i denna förordning,

Ändringsförslag    219

Förslag till förordning

Artikel 50 – punkt 6 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  utföra revisioner för att säkerställa att likvärdiga standarder tillämpas i unionen och rapportera resultaten till byrån och gruppen,

Motivering

Detta bidrar till att säkerställa en enhetlig servicenivå och kvalitetsnivå i hela EU och bidrar till att förhindra ”certifieringsshopping”.

Ändringsförslag    220

Förslag till förordning

Artikel 50 – punkt 6 – led c

Kommissionens förslag

Ändringsförslag

(c)  behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen,

(c)  behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier eller avseende egna bedömningar av överensstämmelse, i lämplig utsträckning undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen,

Ändringsförslag    221

Förslag till förordning

Artikel 50 – punkt 6 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  rapportera resultaten av verifieringen enligt led a och bedömningarna enligt led b till Enisa och den europeiska gruppen för cybersäkerhetscertifiering,

Ändringsförslag    222

Förslag till förordning

Artikel 50 – punkt 6 – led d

Kommissionens förslag

Ändringsförslag

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för cybersäkerhetscertifiering,

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering eller andra myndigheter, såsom nationella tillsynsmyndigheter för dataskydd, bland annat genom att utbyta information om IKT-produkter, IKT-processer och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för cybersäkerhetscertifiering,

Ändringsförslag    223

Förslag till förordning

Artikel 50 – punkt 6 – led d

Kommissionens förslag

Ändringsförslag

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för cybersäkerhetscertifiering,

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering eller andra myndigheter, såsom nationella tillsynsmyndigheter för dataskydd, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för it-säkerhetscertifiering,

Motivering

Från yttrandet från EDPS.

Ändringsförslag    224

Förslag till förordning

Artikel 50 – punkt 7 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  Kunna återkalla ackrediteringen för organ för bedömning av överensstämmelse som inte uppfyller kraven i denna förordning.

Ändringsförslag    225

Förslag till förordning

Artikel 50 – punkt 7 – led e

Kommissionens förslag

Ändringsförslag

(e)  Kunna, i enlighet med nationell lagstiftning, återkalla certifikat som inte uppfyller kraven i denna förordning eller ett europeiskt system för cybersäkerhetscertifiering.

(e)  Kunna, i enlighet med nationell lagstiftning, återkalla certifikat som inte uppfyller kraven i denna förordning eller ett europeiskt system för cybersäkerhetscertifiering och underrätta nationella ackrediteringsorgan om detta.

Ändringsförslag    226

Förslag till förordning

Artikel 50 – punkt 8

Kommissionens förslag

Ändringsförslag

8.  Nationella tillsynsmyndigheter för certifiering ska samarbeta med varandra och kommissionen och, i synnerhet, utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter och IKT-tjänster.

8.  Nationella tillsynsmyndigheter för certifiering ska samarbeta med varandra och kommissionen och, i synnerhet, utbyta information, erfarenheter och god praxis när det gäller cybersäkerhetscertifiering och tekniska frågor som rör cybersäkerhet hos IKT-produkter, IKT-processer och IKT-tjänster.

Ändringsförslag    227

Förslag till förordning

Artikel 50 – punkt 8a (ny)

Kommissionens förslag

Ändringsförslag

 

8a.  Varje enskild nationell tillsynsmyndighet för certifiering och varje ledamot i och anställd hos alla enskilda nationella tillsynsmyndigheter för certifiering omfattas, i enlighet med unionslagstiftning eller lagstiftning i medlemsstaten, av tystnadsplikt både under och efter sin mandat- eller anställningstid, när det gäller konfidentiella uppgifter som de fått kännedom om vid utförandet av sitt uppdrag och utövandet av sina befogenheter.

Ändringsförslag    228

Förslag till förordning

Artikel 50a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 50a

 

Sakkunnigbedömning

 

1.  Det arbete som de nationella tillsynsmyndigheterna för certifiering utför i enlighet med artikel 50 i denna förordning ska sakkunnigbedömas genom byråns försorg.

 

2.   Sakkunnigbedömningen ska företas utifrån gedigna och transparenta kriterier och förfaranden för utvärdering, särskilt när det gäller strukturella krav, krav gällande mänskliga resurser och förfaranden och med hänsyn till konfidentialitet och klagomål. Det ska inrättas lämpliga förfaranden för överklaganden av beslut som fattats till följd av bedömningen.

 

3.   Sakkunnigbedömningen ska omfatta utvärderingar av de förfaranden som nationella tillsynsmyndigheter för certifiering har infört, särskilt förfarandena för kontroll av certifikatens överensstämmelse, förfarandena för övervakning av och tillsyn över den verksamhet som bedrivs av organen för bedömning av överensstämmelse, personalens kompetens, kontrollernas riktighet, inspektionsmetoder och resultatens riktighet. Sakkunnigbedömningen ska också bedöma om de nationella tillsynsmyndigheterna i fråga har tillräckliga resurser för att korrekt kunna utföra sina uppgifter i enlighet med artikel 50.4.

 

4.   Sakkunnigbedömningen av de nationella tillsynsmyndigheterna för certifiering ska utföras av två andra nationella tillsynsmyndigheter för certifiering och kommissionen, och ska genomföras minst vart femte år. Byrån får delta i sakkunnigbedömningen och ska besluta om sitt deltagande utifrån en riskanalys.

 

5.   Kommissionen får anta delegerade akter enligt artikel 55a, som kompletterar denna förordning genom att inrätta en plan för sakkunnigbedömningen som ska omfatta en period på minst fem år, med kriterier för sammansättningen av gruppen som ska utföra bedömningen, den metod som används, tidsplanen, frekvensen och andra uppgifter som rör bedömningen. När kommissionen antar dessa delegerade akter ska den ta vederbörlig hänsyn till åsikterna för medlemsstaternas certifieringsgrupp.

 

6.   Resultaten från sakkunnigbedömningen ska granskas av medlemsstaternas certifieringsgrupp. Byrån ska sammanställa en sammanfattning av resultaten och vid behov ge vägledning och dokument om bästa praxis och offentliggöra dessa.

Ändringsförslag    229

Förslag till förordning

Artikel 51 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a.  För assuransnivån hög ska organet för bedömning av överensstämmelse, utöver sin ackreditering, ha anmälts av den nationella tillsynsmyndigheten för certifiering avseende dess kompetens och expertis vad gäller bedömning av cybersäkerhet. Den nationella tillsynsmyndigheten för certifiering ska genomföra regelbundna revisioner av expertisen och kompetensen hos de organ för bedömning av överensstämmelse som har anmälts.

Motivering

För assuransnivån hög krävs ändamålsenlighetstester. Expertisen och kompetensen hos de organ för bedömning av överensstämmelse som utför ändamålsenlighetstester bör revideras regelbundet, främst för att säkerställa kvaliteten på dessa tester.

Ändringsförslag    230

Förslag till förordning

Artikel 51 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  Revisioner ska genomföras för att säkerställa att likvärdiga standarder gäller i unionen, och resultaten av dessa ska rapporteras till byrån och gruppen.

Ändringsförslag    231

Förslag till förordning

Artikel 51 – punkt 2b (ny)

Kommissionens förslag

Ändringsförslag

 

2b.  När tillverkarna väljer ”egen försäkran om överensstämmelse” i enlighet med artikel 48.3 ska organen för bedömning av överensstämmelse vidta ytterligare åtgärder för att verifiera tillverkarens interna förfaranden för säkerställande av sina produkters och/eller tjänsters överensstämmelse med kraven i det europeiska systemet för cybersäkerhetscertifiering.

Ändringsförslag    232

Förslag till förordning

Artikel 52 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Kommissionen får genom genomförandeakter fastställa förutsättningar, format och förfaranden för de anmälningar som avses i punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 55.2.

5.  Kommissionen får genom delegerade akter fastställa förutsättningar, format och förfaranden för de anmälningar som avses i punkt 1 i denna artikel. Dessa delegerade akter ska antas i enlighet med det granskningsförfarande som avses i artikel 55.2.

Ändringsförslag    233

Förslag till förordning

Artikel 53 – rubriken

Kommissionens förslag

Ändringsförslag

Europeiska gruppen för cybersäkerhetscertifiering

Medlemsstaternas certifieringsgrupp

 

(Denna ändring berör hela texten. Om ändringen antas ska hela texten anpassas i överensstämmelse härmed.)

Ändringsförslag    234

Förslag till förordning

Artikel 53 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) ska inrättas.

1.  Medlemsstaternas certifieringsgrupp ska inrättas.

Ändringsförslag    235

Förslag till förordning

Artikel 53 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Gruppen ska bestå av de nationella tillsynsmyndigheterna för certifiering. Myndigheterna ska företrädas av sina myndighetschefer eller av andra högre företrädare för nationella tillsynsmyndigheter för certifiering.

2.  Medlemsstaternas certifieringsgrupp ska bestå av de nationella tillsynsmyndigheterna för certifiering från varje medlemsstat. Myndigheterna ska företrädas av sina myndighetschefer eller av andra högre företrädare för nationella tillsynsmyndigheter för certifiering. Medlemmarna i intressentgruppen för certifiering kan inbjudas till gruppens möten och delta i dess arbete.

Ändringsförslag    236

Förslag till förordning

Artikel 53 – punkt 3 – inledningen

Kommissionens förslag

Ändringsförslag

3.  Gruppen ska ha i uppgift att

3.  Medlemsstaternas certifieringsgrupp ska ha i uppgift att

Ändringsförslag    237

Förslag till förordning

Artikel 53 – punkt 3 – led b

Kommissionens förslag

Ändringsförslag

(b)  ge råd till, bistå och samarbeta med Enisa när det gäller utarbetande av förslag till system i enlighet med artikel 44 i denna förordning,

(b)  ge råd till, bistå och samarbeta med byrån när det gäller utarbetande av förslag till system i enlighet med artikel 44 i denna förordning,

Ändringsförslag    238

Förslag till förordning

Artikel 53 – punkt 3 – led da (nytt)

Kommissionens förslag

Ändringsförslag

 

(da)  anta rekommendationer om hur ofta nationella tillsynsmyndigheter för certifiering ska utföra verifieringar av certifikat och egenförsäkringar om överensstämmelse och om kriterier, omfattning och räckvidd för dessa verifieringar, samt anta gemensamma regler och standarder för redovisning i enlighet med artikel 50.6.

Ändringsförslag    239

Förslag till förordning

Artikel 53 – punkt 3 – led e

Kommissionens förslag

Ändringsförslag

(e)  undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta god praxis om system för cybersäkerhetscertifiering,

(e)  undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta information och god praxis om system för cybersäkerhetscertifiering,

Ändringsförslag    240

Förslag till förordning

Artikel 53 – punkt 3 – led fa (nytt)

Kommissionens förslag

Ändringsförslag

 

(fa)  underlätta anpassningen av europeiska system för cybersäkerhetscertifiering med internationellt erkända standarder, också genom att se över befintliga europeiska system för cybersäkerhet och, där så är lämpligt, lämna rekommendationer till byrån om att samarbeta med relevanta internationella standardiseringsorganisationer för att åtgärda brister eller luckor i de befintliga internationellt erkända standarderna.

Ändringsförslag    241

Förslag till förordning

Artikel 53 – punkt 3 – led fb (nytt)

Kommissionens förslag

Ändringsförslag

 

(fb)  inrätta ett förfarande för sakkunnigbedömning. Detta förfarande ska ta särskild hänsyn till den tekniska sakkunskap som de nationella tillsynsmyndigheterna för certifiering måste besitta för att kunna utföra sina uppdrag enligt artiklarna 48 och 50, och vid behov inbegripa utarbetandet av dokument om vägledning och bästa praxis för att de nationella tillsynsmyndigheterna för certifiering bättre ska efterleva denna förordning.

Ändringsförslag    242

Förslag till förordning

Artikel 53 – punkt 3 – led fc (nytt)

Kommissionens förslag

Ändringsförslag

 

(fc)  övervaka övervakning och upprätthållande av certifikat.

Ändringsförslag    243

Förslag till förordning

Artikel 53 – punkt 3 – led fd (nytt)

Kommissionens förslag

Ändringsförslag

 

(fd)  beakta resultaten från samrådet med berörda parter som genomförts inför utarbetandet av ett förslag till system i enlighet med artikel 44.

Ändringsförslag    244

Förslag till förordning

Artikel 53 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Kommissionen ska vara ordförande i gruppen och tillhandahålla sekretariatet för gruppen, med stöd från Enisa i enlighet med artikel 8 a.

4.  Kommissionen ska vara ordförande i medlemsstaternas certifieringsgrupp och tillhandahålla sekretariatet för gruppen, med stöd från byrån i enlighet med artikel 8 a.

Ändringsförslag    245

Förslag till förordning

Artikel 53a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 53a

 

Rätt till ett effektivt rättsmedel mot beslut fattade av tillsynsmyndighet eller organ för bedömning av överensstämmelse

 

1.  Utan att det påverkar något rättsmedel, administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska alla enskilda fysiska eller juridiska personer ha rätt till effektiva rättsmedel

 

(a)  mot beslut fattade av ett organ för bedömning av överensstämmelse eller en nationell tillsynsmyndighet för certifiering som berör dem, även, i tillämpliga fall, när det gäller utfärdande, underlåtenhet att utfärda eller erkännande av ett europeiskt cybersäkerhetscertifikat som personen i fråga innehar, och

 

(b)  då en nationell tillsynsmyndighet för certifiering inte behandlar ett klagomål som hör till dess behörighetsområde.

 

2.  Förfaranden mot ett organ för bedömning av överensstämmelse eller en nationell tillsynsmyndighet för certifiering ska inledas vid domstolarna i den medlemsstat där organet för bedömning av överensstämmelse eller den nationella tillsynsmyndigheten för certifiering har sitt säte.

Ändringsförslag    246

Förslag till förordning

Artikel 55 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

Ändringsförslag    247

Förslag till förordning

Artikel 55a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 55a

 

Utövande av delegeringen

 

1.   Kommissionen ska ges befogenhet att anta delegerade akter med förbehåll för de villkor som anges i denna artikel.

 

2.   Den befogenhet att anta delegerade akter som avses i artiklarna 44 och 48a ska ges till kommissionen tills vidare från och med den …. [den dag då den grundläggande lagstiftningsakten träder i kraft].

 

3.   Den delegering av befogenhet som avses i artiklarna 44 och 48a får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggjorts i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

 

4.   Innan kommissionen antar en delegerad akt, ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016.

 

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

 

6.   En delegerad akt som antas enligt artiklarna 44 och 48a ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

Ändringsförslag    248

Förslag till förordning

Artikel 56 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Senast fem år efter den dag som anges i artikel 58, och därefter vart femte år, ska kommissionen bedöma effekterna, ändamålsenligheten och effektiviteten hos byråns arbete samt dess arbetsmetoder och eventuella behov av att ändra byråns mandat samt de finansiella följderna av sådana ändringar. Utvärderingen ska beakta alla synpunkter som byrån mottagit beträffande sin verksamhet. Om kommissionen anser att byråns fortsatta existens inte längre är motiverad med avseende på de mål, mandat och uppgifter som den tilldelats, kan den föreslå att de bestämmelser i denna förordning som rör byrån ändras.

1.  Senast två år efter den dag som anges i artikel 58, och därefter vartannat år, ska kommissionen bedöma effekterna, ändamålsenligheten och effektiviteten hos byråns arbete samt dess arbetsmetoder och eventuella behov av att ändra byråns mandat samt de finansiella följderna av sådana ändringar. Utvärderingen ska beakta alla synpunkter som byrån mottagit beträffande sin verksamhet. Om kommissionen anser att byråns fortsatta existens inte längre är motiverad med avseende på de mål, mandat och uppgifter som den tilldelats, kan den föreslå att de bestämmelser i denna förordning som rör byrån ändras.

Ändringsförslag    249

Förslag till förordning

Artikel 56 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Utvärderingen ska även bedöma effekterna, ändamålsenligheten och effektiviteten hos bestämmelserna i avdelning III i fråga om målen att säkerställa en tillräcklig nivå avseende cybersäkerhet hos IKT-produkter och IKT-tjänster i unionen och förbättra den inre marknadens funktion.

2.  Utvärderingen ska även bedöma effekterna, ändamålsenligheten och effektiviteten hos bestämmelserna i avdelning III i fråga om målen att säkerställa en tillräcklig nivå avseende cybersäkerhet hos IKT-produkter, IKT-processer och IKT-tjänster i unionen och förbättra den inre marknadens funktion.

Ändringsförslag    250

Förslag till förordning

Artikel 56 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  I utvärderingen ska det bedömas om tillträde till den inre marknaden ska förutsätta att väsentliga cybersäkerhetskrav uppfyllts, för att förhindra att produkter, tjänster och processer som inte uppfyller de grundläggande cybersäkerhetskraven kommer in på unionsmarknaden.

Ändringsförslag    251

Förslag till förordning

Bilaga -I (ny)

Kommissionens förslag

Ändringsförslag

 

BILAGA -1

 

När EU:s ram för cybersäkerhetscertifiering införs är det sannolikt att fokus kommer att ligga på områden av omedelbart intresse för att bemöta de problem som uppstår på grund av ny teknik. Sakernas internet är ett område som är av särskilt intresse eftersom det berör både konsument- och näringslivskrav. Det föreslås att följande prioriteringslista ska införas i certifieringsramen:

 

(1) Certifiering av molntjänster.

 

(2) Certifiering av uppkopplade apparater, bland andra

 

a. produkter som används på individnivå, som smart kroppsburen teknik,

 

b. produkter som används på närnivå, som smarta bilar, smarta bostäder och hälsoanordningar,

 

c. produkter som används på samhällsnivå, som smarta städer och intelligenta energinät.

 

(3) Certifiering av system inom Industri 4.0, inbegripet intelligenta, sammankopplade cyberfysiska system som automatiserar alla delar i industriproduktionen, från utformning och tillverkning till drift, distribution och service.

 

(4) Certifiering av teknik och produkter som används i vardagen. Det kan röra sig om sådant som nätverksenheter, till exempel internetroutrar för hemmabruk.

Ändringsförslag    252

Förslag till förordning

Bilaga I – led 5a (nytt)

Kommissionens förslag

Ändringsförslag

 

5a.  Om ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan, å ena sidan, tillsynsmyndigheten för certifiering och, å andra sidan, organet för bedömning av överensstämmelse.

Ändringsförslag    253

Förslag till förordning

Bilaga I – led 8

Kommissionens förslag

Ändringsförslag

8.  Ett behörigt bedömningsorgan ska vara i stånd att utföra alla de uppgifter för bedömning av överensstämmelse som det utsetts att utföra enligt denna förordning, oavsett om uppgifterna utförs av organet för bedömning av överensstämmelse självt eller av annan part för dess räkning och på dess ansvar.

8.  Ett behörigt bedömningsorgan ska vara i stånd att utföra alla de uppgifter för bedömning av överensstämmelse som det utsetts att utföra enligt denna förordning, oavsett om uppgifterna utförs av organet för bedömning av överensstämmelse självt eller av annan part för dess räkning och på dess ansvar. Om underleverantörer eller utomstående konsulter anlitas ska detta vara väl dokumenterat, inte inbegripa mellanhänder och det ska finnas ett skriftligt avtal som bland annat ska innehålla bestämmelser om sekretess och intressekonflikter. Det aktuella organet för bedömning av överensstämmelse ska åta sig fullt ansvar för de uppgifter som utförs.

Ändringsförslag    254

Förslag till förordning

Bilaga I – led 12

Kommissionens förslag

Ändringsförslag

12.  Det ska garanteras att organ för bedömning av överensstämmelse, deras högsta ledning och bedömningspersonal är opartiska.

12.  Det ska garanteras att organ för bedömning av överensstämmelse, deras högsta ledning och bedömningspersonal och underleverantörer är opartiska.

Ändringsförslag    255

Förslag till förordning

Bilaga I – led 15

Kommissionens förslag

Ändringsförslag

15.  Personalen vid ett organ för bedömning av överensstämmelse ska iaktta tystnadsplikt beträffande all information som de erhåller vid utförandet av sina uppgifter i enlighet med denna förordning eller de nationella bestämmelser som genomför den, utom gentemot de behöriga myndigheterna i de medlemsstater där verksamheten utförs.

15.  Organet för bedömning av överensstämmelse och dess personal, kommittéer, dotterbolag, underleverantörer och eventuella anslutna organ eller personal vid externa organ som ett organ för bedömning av överensstämmelse anlitar ska upprätthålla konfidentialitet och iaktta tystnadsplikt beträffande all information som de erhåller vid utförandet av sina uppgifter i enlighet med denna förordning eller de nationella bestämmelser som genomför den, utom i de fall då uppgifter måste lämnas enligt EU-lag eller nationell lag som är tillämplig för personen i fråga och utom gentemot de behöriga myndigheterna i de medlemsstater där verksamheten utförs. Äganderättigheter ska skyddas. Organet för bedömning av överensstämmelse ska ha infört förfaranden rörande kraven i denna punkt 15.

Ändringsförslag    256

Förslag till förordning

Bilaga I – led 15a (nytt)

Kommissionens förslag

Ändringsförslag

 

15a.  Förutom kraven i led 15 hindrar inget i denna bilaga utbyte av teknisk information och upplysningar om gällande regler mellan organet för bedömning av överensstämmelse och de som ansöker, eller överväger att ansöka, om certifiering.

Ändringsförslag    257

Förslag till förordning

Bilaga I – led 15b (nytt)

Kommissionens förslag

Ändringsförslag

 

15b.  Organen för bedömning av överensstämmelse ska fungera enligt konsekventa, rättvisa och rimliga villkor och bestämmelser och när det gäller avgifter beakta intressena hos små och medelstora företag enligt definitionen i rekommendation 2003/361/EG.

(1)

EUT L 227, 28.6.2018, s. 86.


MOTIVERING

Det är ett faktum att den globala digitala revolutionen har kommit för att stanna och sprids snabbt i våra ekonomier, samhällen och förvaltningar – alla våra data är känsliga. Konsumenter, branscher, institutioner och demokratier på lokal, nationell, europeisk och global nivå har utsatts för cyberangrepp, cyberspionage och cybersabotage, och vi är alla medvetna om att detta avsevärt kommer att öka de kommande åren.

Miljarder enheter kopplas upp och samverkar på ett helt nytt sätt och i en helt ny omfattning. Dessa enheter och tillhörande tjänster kan förbättra medborgarnas liv och våra ekonomier. Men personer och organisationer kommer bara fullt ut bli en del av den digitala världen om de har förtroende för digital teknik. Förtroende kräver att enheter, processer och tjänster anslutna till sakernas internet är säkra och trygga.

För att uppnå dessa mål lade kommissionen fram ”’cybersäkerhetsakten”. Denna förordning är en viktig del i och ett viktigt verktyg för EU:s nya cybersäkerhetsstrategi, som syftar till att förse Europa med en långsiktig vision om cybersäkerhet och att trygga förtroendet för den digitala tekniken. Det ska ses mot bakgrund av den lagstiftning som redan finns på plats. EU har redan inrättat Europeiska byrån för nät- och informationssäkerhet (Enisa) och antagit ett direktiv om nät- och informationssäkerhet (it-säkerhetsdirektivet), som för närvarande införlivas i medlemsstaterna.

”Cybersäkerhetsakten” består av två delar: I den första delen fastläggs Enisas roll och mandat i syfte att stärka byrån. I den andra delen införs ett europeiskt system för cybersäkerhetscertifiering i form av en frivillig ram för att förbättra säkerheten för uppkopplade enheter och digitala produkter och tjänster.

Generellt sett välkomnar föredraganden kommissionens förslag om en europeisk cybersäkerhetsakt, eftersom det är mycket viktigt att minimera riskerna och hoten mot informationssäkerheten och nätverkssystem och för att konsumenterna ska kunna ha förtroende för it-lösningar, i synnerhet när det gäller sakernas internet. Föredraganden är starkt övertygad om att Europa kan bli ledande inom cybersäkerhet. Europa har en stark industriell bas, och därför är arbetet med att förbättra cybersäkerheten för konsumtionsvaror, industriella tillämpningar och kritisk infrastruktur av intresse för både konsumenterna och branschen.

Kommissionens förslag bör ändras både när det gäller Enisa och när det gäller certifiering.

Vad gäller Enisa anser föredraganden att det är mycket viktigt att sätta de rätta ramvillkoren om vi vill ha en stark och välfungerande byrå. Föredraganden välkomnar en starkare roll för Enisa, som omfattar dess tidigare permanenta mandat och en ökning av dess budget och personal, men menar också att en realistisk strategi behövs, med tanke på det fortfarande lilla antal experter vid Enisa i förhållande till personalstyrkan i vissa nationella tillsynsmyndigheter för certifiering. Enisas uppgift bör även i fortsättningen vara att organisera operativt samarbete genom att dra nytta av den expertis som förvärvats inom ramen för it-säkerhetsdirektivet, att fortsätta att stödja kapacitetsuppbyggnad i medlemsstaterna och att vara en källa för information. Vidare måste Enisa spela en framträdande roll vid fastställandet av europeiska system för cybersäkerhet tillsammans med medlemsstaterna och berörda intressenter.

Vad gäller certifieringen ställer sig föredraganden bakom ett tydligare tillämpningsområde för förslaget. För det första bör inte bara produkter och tjänster omfattas av denna förordning, utan hela livscykeln. Således måste även processer ingå i tillämpningsområdet. Å andra sidan bör vissa av medlemsstaternas befogenheter klart och tydligt exkluderas, nämligen områdena allmän säkerhet, försvar, nationell säkerhet och straffrätt.

När det gäller det europeiska systemet för cybersäkerhetscertifiering föreslår föredraganden att mer detaljerat specificera ett riskbaserat tillvägagångssätt och inte ett enda certifieringssystem som ska passa alla. Dessutom stöder föredraganden ett frivilligt system, men bara för assuransnivåerna grundläggande och betydande. För produkter, processer eller tjänster som omfattas av den högsta assuransnivån är ett obligatoriskt system att föredra, enligt föredraganden. När det gäller bedömningen av digital teknik som omfattas av den grundläggande assuransnivån föreslår föredraganden dessutom en länk till den nya lagstiftningsramen. Detta gör det möjligt för egen bedömning, ett billigare och mindre betungande system som visat sig fungera väl på olika specifika områden.

Föredraganden anser att tillverkaren eller leverantören av IKT-produkter, IKT-processer och IKT-tjänster bör vara skyldiga att utfärda obligatoriska produktdeklarationer med strukturerad information om certifiering, t.ex. uppgifter om tillgängligheten av uppdateringar eller interoperabiliteten hos certifierade produkter, processer eller tjänster. Detta skulle ge konsumenterna användbar information när de väljer en produkt. Föredraganden föredrar sådana produktdeklarationer i stället för en etikett eller märkning som kan vara vilseledande för konsumenterna.

Föredraganden är övertygad om att den förvaltningsstruktur som föreslås av kommissionen behöver förbättras för att bli öppnare för alla inblandade intressenter. Föredraganden föreslår därför att man antar ett flerårigt unionsarbetsprogram som ska fastställa gemensamma åtgärder som ska vidtas på unionsnivå och som ska ange de områden där europeiska certifieringssystem bör inrättas med förtur och den nivå av likvärdighet som bör råda när det gäller kunskap och expertis vid bedömning och för tillsynsorgan i medlemsstaterna. En förstärkt förvaltning innebär också ett starkare deltagande från medlemsstaterna och branschen i certifieringsprocessen. Medlemsstaternas roll kan stärkas när den ”grupp”, som inrättats enligt artikel 53 i förslaget och som består av nationella tillsynsmyndigheter för certifiering, jämställs med kommissionen vid utarbetandet av ett certifieringssystem. Gruppen kommer också att behöva godkänna ett förslag till europeiskt system. För det tredje bör även branschens deltagande i certifieringsprocessen stärkas. Detta kan uppnås genom att klargöra sammansättningen av den ständiga intressentgruppen och genom inrättandet av ad hoc-samrådsgrupper av Enisa för att få ytterligare expertis och kunskap från branschen och andra berörda intressenter inom certifieringsprocessen. Föredraganden anser att alla dessa åtgärder kommer att hjälpa små och medelstora företag att få en mycket mer framträdande roll i processen.

Slutligen behöver ett europeiskt certifieringssystem ett ökat deltagande av europeiska standardiseringsorganisationer som CEN och Cenelec vid utarbetandet av nya system. Detta skulle göra det möjligt för befintliga och allmänt internationella standarder att bestå.


YTTRANDE från utskottet för den inre marknaden och konsumentskydd (22.5.2018)

till utskottet för industrifrågor, forskning och energi

över förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013 och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Föredragande av yttrande: (*) Nicola Danti

(*)  Förfarande med associerat utskott – artikel 54 i arbetsordningen

KORTFATTAD MOTIVERING

I den digitala tidsåldern är cybersäkerhet en viktig faktor för den ekonomiska konkurrenskraften och säkerheten i Europeiska unionen, men också för våra fria och demokratiska samhällen och de processer som ligger till grund för dem. Att säkerställa en hög nivå av cyberresiliens i hela EU är av yttersta vikt för konsumenternas förtroende för den digitala inre marknaden och för den fortsatta utvecklingen av ett mer innovativt och konkurrenskraftigt Europa.

Utan tvekan är cyberhot och cyberangrepp – såsom ”Wannacry” och ”Meltdown” – frågor av ökande betydelse i vårt allt mer digitaliserade samhälle. Enligt en Eurobarometerundersökning som offentliggjordes i juli 2017 framgick det att 87 % av de svarande betraktar cyberbrottslighet som en viktig utmaning för EU:s inre säkerhet och en majoritet är oroade över att bli offer för olika former av cyberbrottslighet. Dessutom sker sedan början av 2016 mer än 4 000 attacker med utpressningstrojaner över hela världen varje dag, vilket är en ökning med 300 % sedan 2015 och påverkar 80 % av EU:s företag. Dessa fakta och rön visar tydligt att EU måste vara motståndskraftigare och effektivare i kampen mot cyberangrepp och öka sin kapacitet för att bättre skydda Europas medborgare, företag och offentliga institutioner.

Ett år efter ikraftträdandet av it-säkerhetsdirektivet lade Europeiska kommissionen fram, inom den bredare ramen för EU:s strategi för cybersäkerhet, en förordning som syftar till att ytterligare öka EU:s cyberresiliens, avskräckande åtgärder och försvar. Den 13 september 2017 lade kommissionen fram ”cybersäkerhetsakten”, som grundar sig på två pelare:

1) ett permanent och starkare mandat för Europeiska byrån för nät- och informationssäkerhet (Enisa) för att bistå medlemsstaterna i deras arbete med att förebygga och hantera cyberattacker och 2) inrättandet av en EU:s ram för cybersäkerhetscertifiering för att säkerställa att IKT-produkter och IKT-tjänster är cybersäkra.

Generellt sett välkomnar föredraganden den strategi som Europeiska kommissionen föreslagit och uppskattar särskilt införandet av de unionstäckande certifieringssystemen för cybersäkerhet, som syftar till att öka säkerheten i IKT-produkter och IKT-tjänster och undvika kostsam fragmentering av den inre marknaden inom detta viktiga område. Trots att den till en början bör förbli ett frivilligt instrument hoppas föredraganden att en EU:s ram för cybersäkerhetscertifiering och andra därmed sammanhängande förfaranden kommer att bli ett nödvändigt verktyg för att stärka förtroendet hos våra medborgare och användare och för att höja säkerheten för varor och tjänster som cirkulerar på den inre marknaden.

Men föredraganden är faktiskt också övertygad om att ett antal punkter i förslaget bör förtydligas och förbättras:

•  För det första bör de berörda aktörerna i högre grad medverka i de olika faserna av styrningssystemet för Enisas utarbetande av förslag till certifieringssystem: Enligt föredragandens uppfattning är det absolut nödvändigt att formellt involvera de viktigaste berörda aktörerna, t.ex. IKT-branschen, konsumentorganisationer, små och medelstora företag, EU:s standardiseringsorganisationer och EU:s myndigheter inom olika områden, och ge dem möjlighet att föreslå nya certifieringssystem, bistå Enisa med sakkunskap eller samarbeta med Enisa vid utarbetandet av ett certifieringssystem.

•  För det andra finns det ett behov av att stärka den samordnande rollen för den europeiska gruppen för cybersäkerhetscertifiering (som består av nationella myndigheter med stöd av kommissionen och Enisa) med ytterligare uppgifter för att ge strategisk vägledning och fastställa ett arbetsprogram för gemensamma åtgärder på unionsnivå på certifieringsområdet samt upprätta och regelbundet uppdatera en prioriteringslista för IKT-produkter och IKT-tjänster för vilka den anser att ett europeiskt system för cybersäkerhetscertifiering skulle behövas.

•  Föredraganden är fast övertygad om att vi bör undvika att man ”väljer och vrakar” bland EU-certifieringar, något som redan har inträffat i andra sektorer. Bestämmelserna för kontroll och övervakning för Enisa och de nationella tillsynsmyndigheterna för certifiering bör stärkas betydligt i syfte att se till att ett europeiskt certifikat utfärdat i en medlemsstat följer samma standarder och krav som ett som utfärdats i en annan medlemsstat. Föredraganden föreslår därför följande:

1) Enisas övervakningbefogenheter bör stärkas: tillsammans med gruppen för cybersäkerhetscertifiering bör Enisa genomföra bedömningar av de förfaranden som tillämpas av de myndigheter som ansvarar för att utfärda EU-certifikat.

2) De nationella tillsynsmyndigheterna för certifiering bör genomföra regelbundna utvärderingar (minst vartannat år) av EU-certifikat som utfärdats av organ för bedömning av överensstämmelse.

3) Införandet av gemensamma bindande kriterier som fastställs av gruppen i syfte att fastställa omfattningen, räckvidden och frekvensen enligt vilken nationella tillsynsmyndigheter för certifiering ska genomföra utvärderingar i enlighet med punkt 2.

•  Föredraganden anser att en obligatorisk EU-förtroendemärkning bör införas för certifierade IKT-produkter och IKT-tjänster som är avsedda för slutanvändare. Denna märkning skulle kunna hjälpa till att öka medvetenheten om cybersäkerhet och ge företag med god cybersäkerhet trovärdighet och en konkurrensfördel.

•  Föredraganden stöder kommissionens enhetliga och harmoniserade tillvägagångssätt, men är övertygad om att det bör vara flexiblare och göras mer anpassningsbart till varje produkts eller tjänsts särdrag och svagheter – och inte tillgripa en enda patentlösning. Föredraganden anser därför att assuransnivåerna bör benämnas annorlunda och att de bör beakta IKT-produkternas och IKT-tjänsternas avsedda användning. Även certifikatens giltighetstid bör fastställas separat för varje system.

•  Varje certifieringssystem bör utformas på ett sätt som stimulerar och uppmuntrar alla berörda aktörer inom den berörda sektorn att utveckla och anta säkerhetsstandarder, tekniska standarder och principerna om inbyggd säkerhet och inbyggt integritetsskydd i alla skeden av varans eller tjänstens livscykel.

ÄNDRINGSFÖRSLAG

Utskottet för den inre marknaden och konsumentskydd uppmanar utskottet för industrifrågor, forskning och energi att som ansvarigt utskott beakta följande ändringsförslag:

Ändringsförslag    1

Förslag till förordning

Skäl 1

Kommissionens förslag

Ändringsförslag

(1)  Nät- och informationssystem samt telekommunikationsnät och -tjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik är grunden för komplexa system som stöder samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

(1)  Nät- och informationssystem samt telekommunikationsnät och -tjänster har en avgörande betydelse för samhället och har blivit själva ryggraden för ekonomisk tillväxt. Informations- och kommunikationsteknik (IKT) är grunden för komplexa system som stöder vardagliga samhälleliga verksamheter, håller våra ekonomier igång inom viktiga sektorer som hälso- och sjukvård, energi, finans och transporter, och framför allt bidrar till den inre marknadens funktion.

Ändringsförslag    2

Förslag till förordning

Skäl 2

Kommissionens förslag

Ändringsförslag

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om cybersäkerheten hos IKT-produkter och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar.

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om cybersäkerheten hos IKT-produkter och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar som är avgörande för inrättandet av den digitala inre marknaden.

Ändringsförslag    3

Förslag till förordning

Skäl 3

Kommissionens förslag

Ändringsförslag

(3)  Ökad digitalisering och konnektivitet leder till ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. För att minska denna risk för samhället måste alla nödvändiga åtgärder vidtas för att stärka cybersäkerheten i EU i syfte att bättre skydda nät- och informationssystem, telekommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, myndigheter och företag – från små och medelstora företag till operatörer av kritisk infrastruktur – mot cyberhot.

(3)  Ökad digitalisering och konnektivitet leder till avsevärt ökade cybersäkerhetsrisker, vilket gör samhället som helhet mer sårbart för cyberhot och ökar farorna för enskilda individer, inbegripet sårbara grupper som barn. De omvälvande möjligheterna med artificiell intelligens och maskininlärning kommer att nyttjas av samhället i stort men även av cyberbrottslingar. För att minska dessa risker för samhället måste alla nödvändiga åtgärder vidtas för att stärka säkerheten mot cyberangrepp i EU i syfte att bättre skydda nät- och informationssystem, telekommunikationsnät, digitala produkter, tjänster och enheter som används av privatpersoner, myndigheter och företag – från små och medelstora företag till operatörer av kritisk infrastruktur – mot cyberhot.

Ändringsförslag    4

Förslag till förordning

Skäl 4

Kommissionens förslag

Ändringsförslag

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare och säkrare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

Ändringsförslag    5

Förslag till förordning

Skäl 5

Kommissionens förslag

Ändringsförslag

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete och samordning mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser. Ytterligare insatser behövs också för att öka allmänhetens och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör förtroendet för den digitala inre marknaden stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter och IKT-tjänster. Detta kan underlättas genom EU-omfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete och samordning mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser. Ytterligare insatser behövs också för att öka allmänhetens och företagens medvetenhet om cybersäkerhetsfrågor. Med tanke på att cyberincidenter skadar förtroendet för leverantörerna av digitala tjänster och på den digitala inre marknaden självt, inte minst bland konsumenter, bör förtroendet stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter och IKT-tjänster. Detta kan underlättas genom standardiserad EU-omfattande certifiering, enligt europeiska och internationella standarder, som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer. Vid sidan av unionsomfattande certifiering finns det en rad frivilliga åtgärder som den privata sektorn själv bör vidta för att stärka förtroendet för säkerheten i IKT-produkter och IKT-tjänster, särskilt med tanke på det ökade utbudet av uppkopplade apparater. Till exempel bör man mer effektivt använda kryptering och annan teknik, även teknik som förhindrar att cyberattacker lyckas, såsom blockkedjor, i syfte att förbättra säkerheten för slutanvändarnas data och kommunikation såväl som den övergripande säkerheten i nätverks- och informationssystem i unionen.

Ändringsförslag    6

Förslag till förordning

Skäl 5a (nytt)

Kommissionens förslag

Ändringsförslag

 

(5a)  Även om certifiering och andra former av bedömning av överensstämmelse för IKT-processer, IKT-produkter och IKT-tjänster spelar en viktig roll, krävs det en mångsidig strategi, som omfattar människor, processer och teknik, för att förbättra cybersäkerheten. EU bör också fortsätta att främja och lägga stor vikt vid andra insatser, som utbildning och kompetensutveckling om cybersäkerhetsområdet, ökad kunskapsnivå på chefs- och styrelsenivå i företag, uppmuntran till frivilligt utbyte av cyberhotsinformation och en övergång i EU från att handla reaktivt till att handla proaktivt mot hot genom att lägga vikt vid att förebygga så att cyberattacker inte lyckas.

Ändringsförslag    7

Förslag till förordning

Skäl 7

Kommissionens förslag

Ändringsförslag

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cybersäkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området cybersäkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet.

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cybersäkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området cybersäkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet, vars framgång till stor del kommer att bero på hur effektivt det genomförs av medlemsstaterna, införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet.

Ändringsförslag    8

Förslag till förordning

Skäl 11

Kommissionens förslag

Ändringsförslag

(11)  Med tanke på de ökande cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet.

(11)  Med tanke på de ökande cybersäkerhetshot och cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet.

Ändringsförslag    9

Förslag till förordning

Skäl 28

Kommissionens förslag

Ändringsförslag

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner och organisationer. Byrån bör även bidra till att främja bästa praxis och lösningar för enskilda och organisationer genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa rapporter i syfte att ge vägledning till företag och privatpersoner och att höja den allmänna beredskaps- och resiliensnivån. Byrån bör vidare, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, samt främja grundläggande rådgivning om autentisering och dataskydd. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet.

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner och organisationer. Byrån bör även bidra till att främja bästa praxis och lösningar för cyberhygien, vilket innebär enkla rutinmässiga åtgärder som enskilda personer och organisationer kan vidta för att minimera riskerna för cyberhot, såsom flerfaktorautentisering, programkorrigering, kryptering och åtkomsthantering. Byrån bör göra detta genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa och offentliggöra rapporter och riktlinjer i syfte att ge vägledning till företag och privatpersoner och att höja den allmänna beredskaps- och resiliensnivån. Byrån bör vidare, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och höja medvetenheten om de åtgärder som kan tas för att skydda mot de potentiella hoten i cyberrymden, bland annat cyberbrottslighet såsom phishingattacker, angrepp med utpressningstrojaner, kapning, botnät, ekonomiska bedrägerier och bankbedrägerier, samt rådgivning om grundläggande flerfaktorautentisering, kryptering, programkorrigeringar, åtkomsthanteringsprinciper, dataskydd och andra tekniker och anonymiseringsverktyg som förbättrar säkerhet och integritetsskydd. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet och trygg användning av tjänster, främja inbyggd säkerhet på unionsnivå, vilket är av yttersta vikt för att förbättra säkerheten för uppkopplade enheter, särskilt för känsliga slutanvändare, inte minst barn, och inbyggt integritetsskydd. Byrån bör uppmuntra alla slutanvändare att vidta lämpliga åtgärder för att förhindra och minimera effekterna av incidenter som påverkar säkerheten i deras nätverk och informationssystem. Partnerskap bör upprättas med akademiska institutioner som har forskningsinitiativ inom relevanta cybersäkerhetsområden.

Ändringsförslag    10

Förslag till förordning

Skäl 35

Kommissionens förslag

Ändringsförslag

(35)  Byrån bör uppmuntra medlemsstaterna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla eller återvinna produkter och tjänster som inte uppfyller cybersäkerhetsstandarderna. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om cybersäkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters och tjänsters säkerhet, inbegripet cybersäkerhet.

(35)  Byrån bör uppmuntra medlemsstaterna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla eller återvinna produkter och tjänster som inte uppfyller cybersäkerhetsstandarderna. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om cybersäkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters säkerhet, inbegripet cybersäkerhet. Enisa bör offentliggöra sådana varningar på den webbplats vars syfte det är att informera om certifieringssystem. Byrån bör utarbeta riktlinjer om minimikrav avseende säkerhet för it-utrustning som säljs i eller exporteras från unionen. Sådana riktlinjer skulle kunna kräva att tillverkarna tillhandahåller en skriftlig förklaring som bekräftar att en enhet inte innehåller hårdvara, programvara eller fast programvara med någon form av kända sårbarheter som kan utnyttjas i fråga om säkerhet eller något okrypterat lösenord eller okrypterad åtkomstkod som inte går att ändra och som kan ta emot tillförlitliga och vederbörligen autentiserade säkerhetsuppdateringar, samt att försäljarna, när de hanterar en berörd enhet, tillhandahåller en lämpligt rangordnad serie hjälpåtgärder och att de informerar slutanvändarna när säkerhetssupporten för en enhet upphör.

Ändringsförslag    11

Förslag till förordning

Skäl 36a (nytt)

Kommissionens förslag

Ändringsförslag

 

(36a)  Standarder är ett frivilligt marknadsdrivet verktyg som tillhandahåller tekniska krav och riktlinjer och som är resultatet av en öppen, insynsvänlig och inkluderande process. Användning av standarder underlättar varors och tjänsters förenlighet med unionsrätten och stöder EU: s politik i enlighet med förordning (EU) nr 1025/2012 om europeisk standardisering. Byrån bör regelbundet samråda och samarbeta med de europeiska standardiseringsorganisationerna, i synnerhet vid utarbetandet av europeiska system för cybersäkerhetscertifiering.

Ändringsförslag    12

Förslag till förordning

Skäl 44

Kommissionens förslag

Ändringsförslag

(44)  Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en tillräcklig representation av intressenter i byråns arbete.

(44)  Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer, den akademiska världen och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. I syfte att säkerställa berörda intressenters vederbörliga medverkan inom cybersäkerhetscertifiering bör den ständiga intressentgruppen också ge råd om vilka IKT-produkter och IKT-tjänster som framtida europeiska system för cybersäkerhetscertifiering ska omfatta, och den bör lägga fram förslag till kommissionen om att begära att byrån utarbetar förslag på certifieringssystem för sådana IKT-produkter och IKT-tjänster, antingen på eget initiativ eller till följd av ingivna förslag från relevanta intressenter. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en effektiv och jämlik representation av intressenter i byråns arbete.

Ändringsförslag    13

Förslag till förordning

Skäl 46

Kommissionens förslag

Ändringsförslag

(46)  För att garantera byråns autonomi och oberoende och ge den möjlighet att utföra kompletterande och nya uppgifter, också oförutsedda uppgifter i en krissituation, bör den ges en tillräcklig egen budget där intäkterna främst består av ett bidrag från unionen och bidrag från tredjeländer som deltar i byråns arbete. Huvuddelen av byråns personal bör vara direkt delaktig i det operativa genomförandet av byråns mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till byråns intäkter. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska byråns räkenskaper för att säkerställa insyn och ansvarighet.

(46)  För att garantera byråns autonomi och oberoende och ge den möjlighet att utföra kompletterande och nya uppgifter, också oförutsedda uppgifter i en krissituation, bör den ges en tillräcklig egen budget där intäkterna främst består av ett bidrag från unionen och bidrag från tredjeländer som deltar i byråns arbete. Huvuddelen av byråns personal bör vara direkt delaktig i det operativa genomförandet av byråns mandat. Värdmedlemsstaten, eller varje annan medlemsstat, bör ha rätt att lämna frivilliga bidrag till byråns intäkter. Unionens budgetförfarande bör även i fortsättningen tillämpas på de bidrag som belastar unionens allmänna budget. Dessutom bör revisionsrätten granska byråns räkenskaper för att säkerställa insyn och ansvarighet, effektivitet och ändamålsenlighet när det gäller de använda medlen.

Ändringsförslag    14

Förslag till förordning

Skäl 47

Kommissionens förslag

Ändringsförslag

(47)  Bedömning av överensstämmelse är den process där det visas om specificerade krav avseende en produkt, en process, en tjänst, ett system, en person eller ett organ har uppfyllts. I denna förordning bör certifiering betraktas som en typ av bedömning av överensstämmelse när det gäller cybersäkerhetsegenskaperna hos en produkt, en process, en tjänst, ett system eller en kombination av dessa (”IKT-produkter och IKT-tjänster”) som utförs av en oberoende tredje part, annan än produkttillverkaren eller tjänsteleverantören. Certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra. Den är snarare ett förfarande och en teknisk metod för att intyga att IKT-produkter och IKT-tjänster har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

(47)  Bedömning av överensstämmelse är den process där det visas om specificerade krav avseende en produkt, en process, en tjänst, ett system, en person eller ett organ har uppfyllts. I denna förordning bör certifiering betraktas som en typ av bedömning av överensstämmelse när det gäller cybersäkerhetsegenskaperna och cybersäkerhetsrutinerna hos en produkt, en process, en tjänst, ett system eller en kombination av dessa (”IKT-produkter och IKT-tjänster”) som utförs av en oberoende tredje part eller genom ett förfarande för egen försäkran om överensstämmelse. Certifiering utgör inte i sig någon garanti för att certifierade IKT-produkter och IKT-tjänster är cybersäkra, vilket slutanvändarna bör upplysas om. Den är snarare ett förfarande och en teknisk metod för att intyga att IKT-produkter och IKT-tjänster, såväl som underliggande processer och system, har testats och att de uppfyller vissa cybersäkerhetskrav som fastställs på annan plats, till exempel i tekniska standarder.

Ändringsförslag    15

Förslag till förordning

Skäl 48

Kommissionens förslag

Ändringsförslag

(48)  Cybersäkerhetscertifiering har stor betydelse för att öka förtroendet för och säkerheten hos IKT-produkter och IKT-tjänster. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter och tjänster har en viss assuransnivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation eller smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av it-säkerhetsdirektivet är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

(48)  Europeisk cybersäkerhetscertifiering har en central betydelse för att öka förtroendet för och säkerheten hos IKT-produkter och IKT-tjänster. Den digitala inre marknaden, och särskilt den datadrivna ekonomin och sakernas internet, kan utvecklas framgångsrikt endast om allmänheten litar på att sådana produkter och tjänster har en hög assuransnivå i fråga om cybersäkerhet. Uppkopplade och automatiserade bilar, elektroniska medicintekniska produkter, styrsystem för industriell automation eller smarta elnät är bara några exempel på sektorer inom vilka certifiering redan används eller kan komma att användas i en nära framtid. De sektorer som regleras av it-säkerhetsdirektivet är också sektorer där cybersäkerhetscertifiering är av yttersta vikt.

Ändringsförslag    16

Förslag till förordning

Skäl 50

Kommissionens förslag

Ändringsförslag

(50)  För närvarande används cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell cybersäkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning.

(50)  För närvarande används cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell cybersäkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, varvid de ökar sina omkostnader. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, riskbaserade assuransnivåer, grundläggande kriterier och faktisk användning.

Ändringsförslag    17

Förslag till förordning

Skäl 52

Kommissionens förslag

Ändringsförslag

(52)  Mot bakgrund av ovanstående är det nödvändigt att inrätta en europeisk ram för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för cybersäkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Systemen bör vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

(52)  Mot bakgrund av ovanstående är det nödvändigt att anta en gemensam strategi och inrätta en europeisk ram för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för cybersäkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. I detta sammanhang är det viktigt att bygga vidare på befintliga nationella och internationella system samt avtal för ömsesidigt erkännande, i synnerhet SOG-IS, och att möjliggöra en smidig övergång från befintliga system enligt sådana avtal till system inom ramen för den nya europeiska ramen. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Om ett europeiskt system för cybersäkerhetscertifiering har ersatt ett nationellt system bör certifikat som utfärdats inom ramen för det europeiska systemet godtas som giltigt i de fall där certifiering enligt ett nationellt system krävts. Systemen bör vara utformade enligt principen om inbyggd säkerhet och principerna i förordning (EU) 2016/679. De bör också vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

Ändringsförslag    18

Förslag till förordning

Skäl 52a (nytt)

Kommissionens förslag

Ändringsförslag

 

(52a)  Denna europeiska ram för cybersäkerhetscertifiering bör inrättas på ett enhetligt sätt i alla medlemsstater i syfte att undvika ”certifieringsshopping” på grund av skillnader i kostnad eller kravnivå medlemsstater emellan.

Ändringsförslag    19

Förslag till förordning

Skäl 55

Kommissionens förslag

Ändringsförslag

(55)  Syftet med europeiska system för cybersäkerhetscertifiering bör vara att se till att IKT-produkter och IKT-tjänster som certifierats enligt ett sådant system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss assuransnivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa cybersäkerhetskraven för alla IKT-produkter och IKT-tjänster. IKT-produkter och IKT-tjänster och relaterade cybersäkerhetsbehov är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga över hela linjen. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, kompletterat med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska system för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter och IKT-tjänster bör sedan fastställas i detalj för det enskilda certifieringssystem som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer.

(55)  Syftet med europeiska system för cybersäkerhetscertifiering bör vara att bidra till en hög nivå på skyddet för slutanvändarna och den europeiska konkurrenskraften och att stärka säkerhetsnivån på den digitala inre marknaden, och mer specifikt se till att IKT-produkter och IKT-tjänster som certifierats enligt ett system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss assuransnivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa processer, produkter, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa cybersäkerhetskraven för alla IKT-produkter och IKT-tjänster. IKT-produkter och IKT-tjänster och relaterade cybersäkerhetsbehov är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga över hela linjen. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, kompletterat med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska system för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter och IKT-tjänster bör sedan fastställas i detalj för det enskilda certifieringssystem som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer. Det är av yttersta vikt att alla europeiska system för cybersäkerhetscertifiering utformas på ett sätt som stimulerar och uppmuntrar alla berörda aktörer inom den aktuella sektorn att utarbeta och följa säkerhetsstandarder, tekniska standarder och principerna om inbyggd säkerhet i alla skeden i sina produkters eller tjänsters livscykel. Om det i certifieringssystemet finns krav på märkning eller etiketter måste det tydligt framgå under vilka omständigheter dessa märkningar eller etiketter kan användas. Sådana etiketter, som skulle kunna uppträda i form av en digital logotyp eller QR-kod, bör ange riskerna knutna till drift och användning av IKT-produkter eller IKT-tjänster och vara tydliga och lätta att förstå för slutanvändarna.

Ändringsförslag    20

Förslag till förordning

Skäl 55a (nytt)

Kommissionens förslag

Ändringsförslag

 

(55a)  Med tanke på innovationstrenderna, och den växande tillgången till det hela tiden ökande antalet uppkopplade apparater i alla delar av samhället, bör särskild uppmärksamhet riktas mot alla, till och med de enklaste, uppkopplade produkter. Eftersom certifiering är en viktig metod för att öka förtroendet på marknaden och förbättra säkerheten och resiliensen bör särskild hänsyn tas till uppkopplade produkter och tjänster i EU:s nya ram för cybersäkerhetscertifiering så att dessa blir mindre riskutsatta och säkrare för konsumenter och företag.

Ändringsförslag    21

Förslag till förordning

Skäl 56

Kommissionens förslag

Ändringsförslag

(56)  Kommissionen bör ges befogenhet att begära att Enisa förbereder förslag till system för särskilda IKT-produkter eller IKT-tjänster. Kommissionen bör, på grundval av Enisas förslag till system, ges befogenhet att anta det europeiska certifieringssystemet genom genomförandeakter. Med beaktande av det allmänna syfte och de säkerhetsmål som fastställs i denna förordning bör det i europeiska certifieringssystem som antas av kommissionen specificeras en minimiuppsättning komponenter avseende det enskilda systemets föremål, tillämpningsområde och funktionssätt. Dessa bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter och IKT-tjänster som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna samt den avsedda assuransnivån: grundläggande, betydande och/eller hög.

(56)  Enisa bör upprätta en särskild webbplats med ett användarvänligt onlineverktyg med information om antagna system, förslag till system och system som kommissionen begärt. Med beaktande av det allmänna syfte och de säkerhetsmål som fastställs i denna förordning bör det i europeiska certifieringssystem som antas av kommissionen specificeras en minimiuppsättning komponenter avseende det enskilda systemets föremål, tillämpningsområde och funktionssätt. Dessa bör bland annat omfatta cybersäkerhetscertifieringens tillämpningsområde och föremål, inklusive de kategorier av IKT-produkter och IKT-tjänster som omfattas, den detaljerade specifikationen av cybersäkerhetskraven, exempelvis genom hänvisning till standarder eller tekniska specifikationer, de särskilda utvärderingskriterierna och utvärderingsmetoderna knutna till drift och användning av en IKT-produkt, IKT-process eller IKT-tjänst, deras inneboende risk samt den avsedda assuransnivån: funktionellt säker, det vill säga assuransnivåer med en funktionell säkerhetsnivå, väsentligen säker, ytterst säker, eller en kombination av dessa. Assuransnivåerna får inte antyda att säkerheten är absolut, för att inte vilseleda slutanvändaren. Dessutom bör man ta hänsyn till produktens hela livscykel. För att klargöra vilka risker som en viss produkt eller tjänst är utformad för att stå emot bör Enisa samordna sammanställandet av en checklista över de risker som IKT-produkten, IKT-processen eller IKT-tjänsten förväntas vara utsatt för vid användning av en viss kategori av användare i en viss miljö.

Ändringsförslag    22

Förslag till förordning

Skäl 56a (nytt)

Kommissionens förslag

Ändringsförslag

 

(56a)  Kommissionen bör ges befogenhet att begära att Enisa förbereder förslag till system för särskilda IKT-produkter eller IKT-tjänster. Befogenhet att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt bör delegeras till kommissionen vad beträffar upprättande av europeiska system för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, även på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter. Vid antagandet av dessa delegerade akter bör kommissionen utgå från de eventuella förslag till system som Enisa lagt fram när kommissionen utarbetar systemen för cybersäkerhetscertifiering för IKT-produkter och IKT-tjänster. Detta för att främja förtroendet för ramen för cybersäkerhetscertifiering och öka förutsägbarheten i den, och allmänhetens kännedom om den.

Ändringsförslag    23

Förslag till förordning

Skäl 56b (nytt)

Kommissionens förslag

Ändringsförslag

 

(56b)  En av de utvärderingsmetoder och bedömningsförfaranden förknippade med de olika systemen för cybersäkerhetscertifiering som bör förespråkas på EU-nivå är etisk hackning, vars syfte är att hitta svaga och sårbara punkter i apparater och informationssystem genom att försöka förutsäga hur ohederliga hackare kan agera och vad de klarar av att göra.

Ändringsförslag    24

Förslag till förordning

Skäl 58

Kommissionens förslag

Ändringsförslag

(58)  När ett europeiskt system för cybersäkerhetscertifiering har antagits bör tillverkarna av IKT-produkter och leverantörerna av IKT-tjänster kunna lämna in en ansökan om certifiering av sina produkter och tjänster till valfritt organ för bedömning av överensstämmelse. Organen för bedömning av överensstämmelse bör ackrediteras av ett ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och kan förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven. Ackrediteringsorganet bör återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning.

(58)  När ett europeiskt system för cybersäkerhetscertifiering har antagits bör tillverkarna av IKT-produkter och leverantörerna av IKT-tjänster kunna lämna in en ansökan om certifiering av sina processer, produkter och tjänster till valfritt organ för bedömning av överensstämmelse, eller deklarera att deras produkter eller tjänster är förenliga med det relevanta europeiska systemet för cybersäkerhetscertifiering. Organen för bedömning av överensstämmelse bör ackrediteras av ett ackrediteringsorgan, om de uppfyller vissa krav som fastställs i denna förordning. Ackrediteringen bör utfärdas för en period på högst fem år och kan förnyas på samma villkor under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven. Ackrediteringsorganet bör återkalla ackrediteringen av ett organ för bedömning av överensstämmelse om villkoren för ackrediteringen inte, eller inte längre, uppfylls eller om åtgärder som vidtagits av organet för bedömning av överensstämmelse strider mot denna förordning. För att säkerställa att ackrediteringen utförs på ett enhetligt sätt i hela unionen bör nationella tillsynsmyndigheter för certifiering underkastas en kollegial granskning av förfarandena för kontroll av överensstämmelse av de produkter som är föremål för cybersäkerhetscertifiering.

Ändringsförslag    25

Förslag till förordning

Skäl 59

Kommissionens förslag

Ändringsförslag

(59)  Det är nödvändigt att kräva att alla medlemsstater utser en tillsynsmyndighet för cybersäkerhetscertifiering som övervakar att organen för bedömning av överensstämmelse och de certifikat som utfärdas av organ för bedömning av överensstämmelse som är etablerade på deras territorium uppfyller kraven i denna förordning och de relevanta systemen för cybersäkerhetscertifiering. De nationella tillsynsmyndigheterna för certifiering bör behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och underrätta anmälaren om utvecklingen och resultatet av utredningen inom rimlig tid. De bör dessutom att samarbeta med andra nationella tillsynsmyndigheter för certifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda system för cybersäkerhet.

(59)  Det är nödvändigt att kräva att alla medlemsstater utser en tillsynsmyndighet för cybersäkerhetscertifiering som övervakar att organen för bedömning av överensstämmelse och de certifikat som utfärdas av organ för bedömning av överensstämmelse som är etablerade på deras territorium uppfyller kraven i denna förordning och de relevanta systemen för cybersäkerhetscertifiering. De nationella tillsynsmyndigheterna för certifiering bör behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och underrätta anmälaren om utvecklingen och resultatet av utredningen inom rimlig tid. De bör dessutom att samarbeta med andra nationella tillsynsmyndigheter för certifiering eller någon annan offentlig myndighet, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda system för cybersäkerhet. Vidare bör de övervaka och kontrollera efterlevnaden av egna försäkringar om överensstämmelse och att europeiska cybersäkerhetscertifieringar har utfärdats av organ för bedömning av överensstämmelse med de krav som anges i denna förordning, inbegripet de regler som antagits av europeiska gruppen för cybersäkerhetscertifiering och de krav som anges i motsvarande europeiska system för cybersäkerhetscertifiering. Ett effektivt samarbete mellan nationella tillsynsmyndigheter för certifiering är av avgörande betydelse för ett korrekt genomförande av europeiska system för cybersäkerhetscertifiering och för tekniska frågor om IKT-produkters och IKT-tjänsters cybersäkerhet. Kommissionen bör underlätta sådant utbyte av information genom att erbjuda tillgång till ett allmänt stödsystem för elektronisk information, till exempel informations- och kommunikationssystemet för marknadskontroll (ICSMS) och systemet för snabb varning för farliga konsumentprodukter (Rapex) som redan används av marknadsövervakningsmyndigheterna i enlighet med förordning (EG) nr 765/2008.

Ändringsförslag    26

Förslag till förordning

Skäl 63

Kommissionens förslag

Ändringsförslag

(63)  I syfte att ytterligare specificera kriterierna för ackreditering av organ för bedömning av överensstämmelse bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Kommissionen bör genomföra lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Dessa samråd bör genomföras i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör systematiskt ges tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

utgår

Ändringsförslag    27

Förslag till förordning

Skäl 65

Kommissionens förslag

Ändringsförslag

(65)  Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska system för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster, om formerna för att genomföra utredningar av byrån samt om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella tillsynsmyndigheterna för certifiering till kommissionen.

(65)  Granskningsförfarandet bör användas för antagande av genomförandeakter om europeiska system för cybersäkerhetscertifiering av IKT-processer, IKT-produkter och IKT-tjänster, om formerna för att genomföra utredningar av byrån samt om förhållanden, format och förfaranden för anmälningar av ackrediterade organ för bedömning av överensstämmelse från de nationella tillsynsmyndigheterna för certifiering till kommissionen, med hänsyn till den bevisade effektiviteten hos det elektroniska anmälningsverktyget Nando (New Approach Notified and Designated Organisations).

Ändringsförslag    28

Förslag till förordning

Skäl 66

Kommissionens förslag

Ändringsförslag

(66)  Byråns verksamhet bör utvärderas på ett oberoende sätt. Utvärderingen bör beakta byråns måluppfyllelse, dess arbetsmetoder och relevansen i dess uppgifter. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering.

(66)  Byråns verksamhet bör utvärderas på ett oberoende sätt. Utvärderingen bör omfatta legitimiteten och ändamålsenligheten i byråns användning av medlen, måluppfyllelsens effektivitet och en beskrivning av dess arbetsmetoder och relevansen i dess uppgifter. Utvärderingen bör även bedöma konsekvenserna, ändamålsenligheten och effektiviteten i fråga om den europeiska ramen för cybersäkerhetscertifiering.

Ändringsförslag    29

Förslag till förordning

Artikel 2 – led 11

Kommissionens förslag

Ändringsförslag

(11)  IKT-produkt och IKT-tjänst: en del, eller grupp av delar, i nät- och informationssystem.

(11)  IKT-process, IKT-produkt och IKT-tjänst: en produkt, tjänst, process, system eller en kombination därav som utgör en del i nät- och informationssystem.

 

(Denna ändring berör hela texten. Om ändringen antas ska hela texten anpassas i överensstämmelse härmed.)

Ändringsförslag    30

Förslag till förordning

Artikel 2 – led 11a (nytt)

Kommissionens förslag

Ändringsförslag

 

(11a)  nationell tillsynsmyndighet för certifiering: en myndighet i en medlemsstat som ansvarar för att genomföra övervakning, kontroll av efterlevnad och tillsyn i samband med cybersäkerhetscertifiering på det egna territoriet.

Ändringsförslag    31

Förslag till förordning

Artikel 2 – led 16a (nytt)

Kommissionens förslag

Ändringsförslag

 

(16a)  egen försäkran om överensstämmelse: förklaring från tillverkaren som intygar att vederbörandes IKT-process, IKT-produkt eller IKT-tjänst överensstämmer med de angivna europeiska systemen för cybersäkerhetscertifiering.

Ändringsförslag    32

Förslag till förordning

Artikel 3 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Byrån ska utföra de uppgifter som den tilldelas genom denna förordning i syfte att bidra till en hög nivå i fråga om cybersäkerhet inom unionen.

1.  Byrån ska utföra de uppgifter som den tilldelas genom denna förordning i syfte att bidra till att uppnå en hög allmän nivå i fråga om cybersäkerhet, i syfte att förhindra cyberangrepp inom unionen, minska fragmenteringen av den inre marknaden och förbättra dess funktion.

Ändringsförslag    33

Förslag till förordning

Artikel 4 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Byrån ska öka cybersäkerhetskapaciteten på unionsnivå i syfte att komplettera medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter.

5.  Byrån ska bidra till att öka cybersäkerhetskapaciteten på unionsnivå i syfte att komplettera och stärka medlemsstaternas åtgärder för att förebygga och vidta åtgärder mot cyberhot, särskilt vid gränsöverskridande incidenter.

Ändringsförslag    34

Förslag till förordning

Artikel 4 – punkt 6

Kommissionens förslag

Ändringsförslag

6.  Byrån ska främja användningen av certifiering, bland annat genom att bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå i enlighet med avdelning III i denna förordning, i syfte att öka transparensen i fråga om assuransnivån för cybersäkerhet hos IKT-produkter och IKT-tjänster och därigenom stärka förtroendet för den digitala inre marknaden.

6.  Byrån ska främja användningen av certifiering samtidigt som fragmentering på grund av bristande samordning mellan befintliga certifieringssystem i unionen undviks. Byrån ska bidra till inrättandet och upprätthållandet av en ram för cybersäkerhetscertifiering på unionsnivå i enlighet med artiklarna 43–54 [avdelning III], i syfte att öka transparensen i fråga om assuransnivån för cybersäkerhet hos IKT-produkter och IKT-tjänster och därigenom stärka förtroendet för den digitala inre marknaden.

Ändringsförslag    35

Förslag till förordning

Artikel 4 – punkt 7

Kommissionens förslag

Ändringsförslag

7.  Byrån ska främja en hög medvetenhet hos allmänheten och företagen i frågor som rör cybersäkerhet.

7.  Byrån ska främja en hög medvetenhet hos allmänheten, myndigheterna och företagen i frågor som rör cybersäkerhet.

Ändringsförslag    36

Förslag till förordning

Artikel 5 – led 1

Kommissionens förslag

Ändringsförslag

1.  bistå och ge råd, särskilt genom att tillhandahålla oberoende yttranden och förberedande arbete, i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet samt sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår,

1.  bistå och ge råd i fråga om utarbetande och översyn av unionens politik och lagstiftning inom området cybersäkerhet samt sektorsspecifika strategier och lagförslag där frågor som rör cybersäkerhet ingår,

Motivering

Byrån bör fritt kunna välja vilka instrument den ska använda för att utföra sina uppgifter.

Ändringsförslag    37

Förslag till förordning

Artikel 5 – led 2a (nytt)

Kommissionens förslag

Ändringsförslag

 

2a.  hjälpa Europeiska dataskyddsstyrelsen, som inrättades genom förordning (EU) 2016/679, att utarbeta riktlinjer för att på teknisk nivå specificera villkoren som möjliggör för registeransvariga att lagligen använda personuppgifter för it-säkerhetsändamål i syfte att skydda deras infrastruktur genom att upptäcka och stoppa attacker mot deras informationssystem inom ramen för följande: i) förordning (EU) 2016/6791a, ii) direktiv (EU) 2016/11481b och iii) direktiv 2002/58/EG1c,

 

_________________

 

1a Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (EUT L 119, 4.5.2016, s. 1).

 

1b Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (EUT L 119, 4.5.2016, s. 1).

 

1c Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

Motivering

Detta i syfte att inrätta lämpliga samarbetsmekanismer.

Ändringsförslag    38

Förslag till förordning

Artikel 5 – led 4 – led 2

Kommissionens förslag

Ändringsförslag

(2)  främjandet av en högre säkerhetsnivå för elektronisk kommunikation, bland annat genom att tillhandahålla expertis och råd, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter,

(2)  främjandet av en högre säkerhetsnivå för elektronisk kommunikation, datalagring och databehandling, bland annat genom att tillhandahålla expertis och råd, samt underlätta utbytet av bästa praxis mellan behöriga myndigheter,

Ändringsförslag    39

Förslag till förordning

Artikel 6 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  Byrån ska underlätta inrättandet och lanserandet av ett långsiktigt europeiskt cybersäkerhetsprojekt till stöd för tillväxten av en oberoende cybersäkerhetsindustri i EU, samt integrera cybersäkerheten i all IKT-utveckling inom EU.

Motivering

Enisa bör bistå lagstiftarna när det gäller utarbetandet av en politik som gör det möjligt för EU att komma i kapp it-säkerhetsindustrier i tredjeland. Projektet bör vara jämförbart i omfattning till vad som tidigare har uppnåtts inom flygbranschen (se exemplet Airbus). Detta behövs för att utveckla en starkare, självständig och pålitlig IKT-industri i EU (se enheten för vetenskaplig framsyn (Stoa), studie PE 614.531).

Ändringsförslag    40

Förslag till förordning

Artikel 7 – punkt 5 – stycke 1

Kommissionens förslag

Ändringsförslag

På begäran av två eller flera berörda medlemsstater, och med det enda syftet att tillhandahålla råd för att förebygga framtida incidenter, ska byrån stödja eller genomföra en teknisk efterhandsundersökning som svar på rapporter från berörda företag om incidenter som har en betydande eller avsevärd inverkan enligt direktiv (EU) 2016/1148. Byrån ska också genomföra en sådan undersökning efter en vederbörligen motiverad begäran från kommissionen, i samförstånd med de berörda medlemsstaterna, om sådana incidenter berör fler än två medlemsstater.

På begäran av en eller flera berörda medlemsstater, och med det enda syftet att tillhandahålla råd för att förebygga framtida incidenter, ska byrån stödja eller genomföra en teknisk efterhandsundersökning som svar på rapporter från berörda företag om incidenter som har en betydande eller avsevärd inverkan enligt direktiv (EU) 2016/1148. Byrån ska också genomföra en sådan undersökning efter en vederbörligen motiverad begäran från kommissionen, i samförstånd med de berörda medlemsstaterna, om sådana incidenter berör fler än två medlemsstater.

Ändringsförslag    41

Förslag till förordning

Artikel 7 – punkt 8 – led a

Kommissionens förslag

Ändringsförslag

(a)  sammanställa rapporter från nationella källor i syfte att bidra till att skapa en gemensam situationsmedvetenhet,

(a)  sammanställa rapporter från nationella och internationella källor i syfte att bidra till att skapa en gemensam situationsmedvetenhet,

Ändringsförslag    42

Förslag till förordning

Artikel 8 – led a – led 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

(1a)  utföra, i samarbete med den europeiska gruppen för cybersäkerhetscertifiering, bedömningar av förfarandena för att utfärda europeiska cybersäkerhetscertifikat som inrättats genom de organ för bedömning av överensstämmelse som avses i artikel 51 i syfte att säkerställa en enhetlig tillämpning av denna förordning av organ för bedömning av överensstämmelse när de utfärdar certifikat,

Ändringsförslag    43

Förslag till förordning

Artikel 8 – led a – led 1b (nytt)

Kommissionens förslag

Ändringsförslag

 

(1b)  utföra oberoende periodiska efterhandskontroller av certifierade IKT-produkters och IKT-tjänsters överensstämmelse med europeiska system för cybersäkerhetscertifiering,

Ändringsförslag    44

Förslag till förordning

Artikel 8 – led a – led 3

Kommissionens förslag

Ändringsförslag

(3)  sammanställa och offentliggöra riktlinjer och utveckla god praxis när det gäller cybersäkerhetskraven för IKT-produkter och IKT-tjänster, i samarbete med nationella tillsynsmyndigheter för certifiering och branschen,

(3)  sammanställa och offentliggöra riktlinjer och utveckla god praxis, bland annat vad avser principer för it-hygien och att hindra hemliga bakdörrar, när det gäller cybersäkerhetskraven för IKT-produkter och IKT-tjänster, i samarbete med nationella tillsynsmyndigheter för certifiering och branschen i ett formellt, standardiserat och öppet förfarande,

Ändringsförslag    45

Förslag till förordning

Artikel 8 – led b

Kommissionens förslag

Ändringsförslag

(b)  underlätta upprättandet och tillämpningen av europeiska och internationella standarder för riskhantering och för säkerheten hos IKT-produkter och IKT-tjänster samt utarbeta, i samarbete med medlemsstater, råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148,

(b)  rådfråga internationella och europeiska standardiseringsorganisationer om utvecklingen av standarder, i syfte att säkerställa lämpligheten hos de standarder som används i europeiska system för cybersäkerhetscertifiering, och underlätta upprättandet och tillämpningen av relevanta europeiska och internationella standarder för riskhantering och för säkerheten hos IKT-produkter och IKT-tjänster samt utarbeta, i samarbete med medlemsstater, råd och riktlinjer avseende de tekniska områden som har en koppling till säkerhetskraven för leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster, samt avseende redan befintliga standarder, inbegripet medlemsstaternas nationella standarder, i enlighet med artikel 19.2 i direktiv (EU) 2016/1148,

Ändringsförslag    46

Förslag till förordning

Artikel 8 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  upprätta riktlinjer om hur och när medlemsstater ska informera varandra när de får kunskap om en sårbarhet som inte är allmänt känd i en IKT-process, IKT-produkt eller IKT-tjänst som är certifierad i enlighet med avdelning III i denna förordning, däribland riktlinjer för samordning av offentliggöranden av sårbarheter,

Ändringsförslag    47

Förslag till förordning

Artikel 8 – led bb (nytt)

Kommissionens förslag

Ändringsförslag

 

(bb)  utarbeta riktlinjer om minimikrav avseende säkerhet för it-utrustning som släpps ut på unionsmarknaden eller exporteras från unionen,

Ändringsförslag    48

Förslag till förordning

Artikel 9 – led d

Kommissionens förslag

Ändringsförslag

(d)  via en särskild portal samla, organisera och för allmänheten tillgängliggöra information om cybersäkerhet som tillhandahålls av unionens institutioner, byråer och organ,

(d)  via en särskild portal samla, organisera och för allmänheten tillgängliggöra information om cybersäkerhet, bland annat information om betydande cybersäkerhetsincidenter och större dataintrång, som tillhandahålls av unionens institutioner, byråer och organ,

Ändringsförslag    49

Förslag till förordning

Artikel 9 – led e

Kommissionens förslag

Ändringsförslag

(e)  öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning, som är inriktad på privatpersoner och organisationer, om god praxis för enskilda användare,

(e)  öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning, som är inriktad på privatpersoner och organisationer, om god praxis för användare, samt främja antagandet av förebyggande och kraftfulla it-säkerhetsåtgärder och tillförlitlig datasäkerhet och skydd av privatlivet,

Ändringsförslag    50

Förslag till förordning

Artikel 9 – led ga (nytt)

Kommissionens förslag

Ändringsförslag

 

(ga)  stödja närmare samarbete och utbyte av bästa praxis mellan medlemsstaterna om utbildning och medvetenhet om cybersäkerhet samt it-hygien.

Ändringsförslag    51

Förslag till förordning

Artikel 10 – led a

Kommissionens förslag

Ändringsförslag

(a)  ge råd till unionen och medlemsstaterna om forskningsbehov och forskningsprioriteringar inom området cybersäkerhet, för att möjliggöra ett effektivt svar på befintliga och nya risker och hot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,

(a)  garantera föregående samråd med relevanta användargrupper och ge råd till unionen och medlemsstaterna om forskningsbehov och forskningsprioriteringar inom området cybersäkerhet, för att möjliggöra ett effektivt svar på befintliga och nya risker och hot, bland annat när det gäller ny och framväxande informations- och kommunikationsteknik, och för att säkerställa en effektiv användning av riskförebyggande teknik,

Ändringsförslag    52

Förslag till förordning

Artikel 13 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Styrelsen ska bestå av en företrädare för varje medlemsstat och två företrädare som utses av kommissionen. Samtliga företrädare ska ha rösträtt.

1.  Styrelsen ska bestå av en företrädare för varje medlemsstat och två företrädare som utses av kommissionen och Europaparlamentet. Samtliga företrädare ska ha rösträtt.

Ändringsförslag    53

Förslag till förordning

Artikel 14 – punkt 1 – led e

Kommissionens förslag

Ändringsförslag

(e)  Bedöma och anta den konsoliderade årliga rapporten om byråns verksamhet och senast den 1 juli följande år sända både rapporten och bedömningen till Europaparlamentet, rådet, kommissionen och revisionsrätten. Den årliga rapporten ska innehålla räkenskaperna och beskriva hur byrån har uppnått sina resultatindikatorer. Den årliga rapporten ska offentliggöras.

(e)  Bedöma och anta den konsoliderade årliga rapporten om byråns verksamhet och senast den 1 juli följande år sända både rapporten och bedömningen till Europaparlamentet, rådet, kommissionen och revisionsrätten. Den årliga rapporten ska innehålla räkenskaperna, beskriva hur ändamålsenligt medlen har använts och utvärdera hur effektiv byrån har varit och hur den har uppnått sina resultatindikatorer. Den årliga rapporten ska offentliggöras.

Ändringsförslag    54

Förslag till förordning

Artikel 14 – punkt 1 – led m

Kommissionens förslag

Ändringsförslag

(m)  Utse den verkställande direktören och i förekommande fall förlänga mandatperioden för eller avsätta honom eller henne i enlighet med artikel 33 i denna förordning.

(m)  Genom ett urvalsförfarande utgående från yrkesmässiga kriterier utse den verkställande direktören och i förekommande fall förlänga mandatperioden för eller avsätta honom eller henne i enlighet med artikel 33 i denna förordning.

Ändringsförslag    55

Förslag till förordning

Artikel 14 – punkt 1 – led o

Kommissionens förslag

Ändringsförslag

(o)  Fatta alla beslut som rör inrättandet av byråns interna strukturer och, vid behov, ändringar av dessa, med beaktande av byråns verksamhetsbehov och en sund budgetförvaltning.

(o)  Fatta alla beslut som rör inrättandet av byråns interna strukturer och, vid behov, ändringar av dessa, med beaktande av byråns verksamhetsbehov enligt denna förordning och en sund budgetförvaltning.

Ändringsförslag    56

Förslag till förordning

Artikel 19 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Den verkställande direktören ska på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

2.  Den verkställande direktören ska årligen, eller på begäran, rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

Ändringsförslag    57

Förslag till förordning

Artikel 20 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Styrelsen ska på förslag av den verkställande direktören inrätta en ständig intressentgrupp bestående av erkända experter som företräder berörda intressenter, exempelvis IKT-branschen, leverantörer av allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster, konsumentgrupper, experter på cybersäkerhet från den akademiska världen och företrädare för behöriga myndigheter som anmälts i enlighet med [direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation] samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd.

1.  Styrelsen ska på förslag av den verkställande direktören inrätta en ständig intressentgrupp bestående av erkända experter som företräder berörda intressenter, exempelvis IKT-branschen, leverantörer av allmänt tillgängliga elektroniska kommunikationsnät eller kommunikationstjänster, i synnerhet den europeiska IKT-branschen och europeiska IKT-leverantörer, sammanslutningar av små och medelstora företag, konsumentgrupper och konsumentorganisationer, experter på området cybersäkerhet från den akademiska världen, de europeiska standardiseringsorganisationerna, enligt definitionen i artikel 2.8 i förordning (EU) nr 1025/2012, unionens relevanta sektorsvisa byråer och organ och företrädare för behöriga myndigheter som anmälts i enlighet med [direktivet om inrättandet av en europeisk kodex för elektronisk kommunikation] samt rättsvårdande myndigheter och tillsynsmyndigheter med ansvar för dataskydd.

Ändringsförslag    58

Förslag till förordning

Artikel 20 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Mandatperioden för den ständiga intressentgruppens medlemmar ska vara två och ett halvt år. Styrelseledamöter får inte vara medlemmar i den ständiga intressentgruppen. Experter från kommissionen och medlemsstaterna får närvara vid den ständiga intressentgruppens möten och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av den ständiga intressentgruppen, får bjudas in att närvara vid den ständiga intressentgruppens möten och delta i dess arbete.

4.  Mandatperioden för den ständiga intressentgruppens medlemmar ska vara två och ett halvt år. Styrelseledamöter och ledamöter i direktionen, med undantag för den verkställande direktören, får inte vara medlemmar i den ständiga intressentgruppen. Experter från kommissionen och medlemsstaterna får närvara vid den ständiga intressentgruppens möten och delta i dess arbete. Företrädare för andra organ som av den verkställande direktören anses som relevanta, men som inte är medlemmar av den ständiga intressentgruppen, får bjudas in att närvara vid den ständiga intressentgruppens möten och delta i dess arbete.

Ändringsförslag    59

Förslag till förordning

Artikel 20 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Den ständiga intressentgruppen ska ge byrån råd med avseende på genomförandet av dess verksamhet. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till byråns arbetsprogram och om kommunikationen med berörda intressenter om alla frågor kopplade till arbetsprogrammet.

5.  Den ständiga intressentgruppen ska ge byrån råd med avseende på genomförandet av dess verksamhet. Den ska i synnerhet ge den verkställande direktören råd om utarbetandet av förslaget till byråns arbetsprogram och om kommunikationen med berörda intressenter om alla frågor kopplade till arbetsprogrammet. Den kan också föreslå att kommissionen uppmanar byrån att utarbeta förslag till europeiska system för cybersäkerhetscertifiering i enlighet med artikel 44, antingen på eget initiativ eller till följd av ingivna förslag från relevanta intressenter.

Ändringsförslag    60

Förslag till förordning

Artikel 20 – punkt 5a (ny)

Kommissionens förslag

Ändringsförslag

 

5a.  Den ständiga intressentgruppen ska ge byrån råd med avseende på utarbetande av förslag till europeiska system för cybersäkerhetscertifiering.

Ändringsförslag    61

Förslag till förordning

Artikel 23 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Byrån ska säkerställa att allmänheten och eventuella berörda parter får lämplig, objektiv, tillförlitlig och lättillgänglig information, framför allt om resultaten av dess arbete. Den ska också offentliggöra de intresseförklaringar som avges i enlighet med artikel 22.

2.  Byrån ska säkerställa att allmänheten och eventuella berörda parter får lämplig, objektiv, tillförlitlig och lättillgänglig information, framför allt om diskussionerna och resultaten av dess arbete. Den ska också offentliggöra de intresseförklaringar som avges i enlighet med artikel 22.

Motivering

Transparens måste vara verkställbar, med hänsyn till tillämpningen av artikel 24.

Ändringsförslag    62

Förslag till förordning

Artikel 43

Kommissionens förslag

Ändringsförslag

Ett europeiskt system för cybersäkerhetscertifiering ska intyga att de IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller de angivna kraven när det gäller deras förmåga att tåla, vid en viss assuransnivå, åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten eller konfidentialiteten hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system.

Ett europeiskt system för cybersäkerhetscertifiering ska inrättas för att stärka säkerhetsnivån på den digitala inre marknaden och anta en harmoniserad certifieringsstrategi för europeisk certifiering på EU-nivå i syfte att säkerställa att IKT-produkter, IKT-tjänster och IKT-system är motståndskraftiga mot cyberattacker.

Det ska intyga att de IKT-processer, IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller de angivna allmänna kraven och egenskaperna när det gäller deras förmåga att tåla, vid en viss assuransnivå, åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten eller konfidentialiteten hos lagrade, överförda eller behandlade data eller de funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa processer, produkter, tjänster och system.

Ändringsförslag    63

Förslag till förordning

Artikel 43a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 43a

 

Arbetsprogram

 

Enisa ska, efter samråd med den europeiska gruppen för cybersäkerhetscertifiering och den ständiga intressentgruppen och efter godkännande från kommissionen, upprätta ett arbetsprogram som i detalj redogör för gemensamma åtgärder som ska vidtas på unionsnivå för att säkerställa en konsekvent tillämpning av denna avdelning och som innehåller en förteckning över prioriterade IKT-produkter och IKT-tjänster för vilka den anser att ett europeiska system för cybersäkerhetscertifiering skulle behövas.

 

Arbetsprogrammet ska upprättas senast [sex månader efter att denna förordning träder i kraft] och ett nytt arbetsprogram ska fastställas vartannat år därefter. Arbetsprogrammet ska göras allmänt tillgängligt.

Ändringsförslag    64

Förslag till förordning

Artikel 44 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Efter en begäran från kommissionen, ska Enisa utarbeta ett förslag till ett europeiskt system för cybersäkerhetscertifiering som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning. Medlemsstaterna eller den europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) som inrättats enligt artikel 53 får lämna förslag till kommissionen om utarbetande av ett förslag till ett europeiskt system för cybersäkerhetscertifiering.

1.  Efter en begäran från kommissionen, ska Enisa utarbeta ett förslag till ett europeiskt system för cybersäkerhetscertifiering som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning. Medlemsstaterna eller den europeiska gruppen för cybersäkerhetscertifiering (nedan kallad gruppen) som inrättats enligt artikel 53 eller den ständiga intressentgruppen som inrättats enligt artikel 20 får lämna förslag till kommissionen om utarbetande av ett förslag till ett europeiskt system för cybersäkerhetscertifiering.

Ändringsförslag    65

Förslag till förordning

Artikel 44 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Vid utarbetandet av förslag till system som avses i punkt 1 i denna artikel ska Enisa samråda med alla berörda intressenter och bedriva ett nära samarbete med gruppen. Gruppen ska ge Enisa det bistånd och de expertråd som Enisa behöver vid utarbetandet av förslaget till system, bland annat genom att avge yttranden om det behövs.

2.  Vid utarbetandet av förslag till system som avses i punkt 1 i denna artikel ska Enisa samråda med den ständiga intressentgruppen, särskilt de europeiska standardiseringsorganisationerna och alla andra berörda intressenter, däribland konsumentorganisationer, i en formell, standardiserad och öppen process, och bedriva ett nära samarbete med gruppen, med beaktande av befintliga nationella och internationella standarder. Vid utarbetandet av varje förslag till system ska Enisa upprätta en checklista med risker och motsvarande cybersäkerhetsegenskaper.

 

Gruppen ska ge Enisa det bistånd och de expertråd som Enisa behöver vid utarbetandet av förslaget till system, bland annat genom att avge yttranden om det behövs.

 

Enisa kan i förekommande fall även inrätta en intressentexpertgrupp bestående av medlemmar i den ständiga intressentgruppen och andra berörda intressenter med särskilda sakkunskaper på området för ett visst förslag till system, i syfte att tillhandahålla ytterligare stöd och råd.

Ändringsförslag    66

Förslag till förordning

Artikel 44 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Enisa ska till kommissionen översända det förslag till europeiskt system för cybersäkerhetscertifiering som utarbetats i enlighet med punkt 2 i denna artikel.

3.  Enisa ska översända det förslag till europeiskt system för cybersäkerhetscertifiering som utarbetats i enlighet med punkt 2 i denna artikel till kommissionen, som ska bedöma dess lämplighet för att uppnå målen av den begäran som avses i punkt 1.

Ändringsförslag    67

Förslag till förordning

Artikel 44 – punkt 3a (ny)

Kommissionens förslag

Ändringsförslag

 

3a.  Enisa ska iaktta professionell sekretess med hänsyn till all information som erhålls i utförandet av dess uppgifter enligt denna förordning.

Ändringsförslag    68

Förslag till förordning

Artikel 44 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Med utgångspunkt i det förslag till system som Enisa lagt fram, får kommissionen anta genomförandeakter i enlighet med artikel 55.1 för europeiska system för certifiering av IKT-produkter och IKT-tjänster som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning.

4.  Kommissionen har befogenhet att anta delegerade akter i enlighet med artikel 55a när det gäller inrättandet av europeiska system för cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster som uppfyller kraven i artiklarna 45, 46 och 47 i denna förordning. Vid antagandet av dessa delegerade akter ska kommissionen utgå från de eventuella förslag till system som Enisa lagt fram när kommissionen utarbetar systemen för cybersäkerhetscertifiering för IKT-produkter och IKT-tjänster. Kommissionen får samråda med Europeiska dataskyddsstyrelsen och beakta dess ståndpunkt innan den antar sådana delegerade akter.

Ändringsförslag    69

Förslag till förordning

Artikel 44 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Enisa ska upprätthålla en särskild webbplats med information om och offentliggörande av europeiska system för cybersäkerhetscertifiering.

5.  Enisa ska upprätthålla en särskild webbplats med information om och offentliggörande av europeiska system för cybersäkerhetscertifiering, där det även ska finnas information om alla förslag till system som kommissionen har att begärt att Enisa ska utarbeta.

Ändringsförslag    70

Förslag till förordning

Artikel 45 – inledningen

Kommissionens förslag

Ändringsförslag

Ett europeiskt system för cybersäkerhetscertifiering ska vara utformat så att det, i tillämpliga fall, tar hänsyn till följande säkerhetsmål:

Varje europeiskt system för cybersäkerhetscertifiering ska vara utformat så att det åtminstone tar hänsyn till följande säkerhetsmål, i den mån de är relevanta:

Ändringsförslag    71

Förslag till förordning

Artikel 45 – led g

Kommissionens förslag

Ändringsförslag

(g)  Att säkerställa att IKT-produkter och IKT-tjänster tillhandahålls med uppdaterad programvara som inte innehåller kända brister, och med mekanismer för säkra uppdateringar av programvaran.

(g)  Att säkerställa att IKT-produkter och IKT-tjänster tillhandahålls med uppdaterad programvara och hårdvara som inte innehåller kända brister, att säkerställa att de har utformats och genomförts på ett sådant sätt att de effektivt begränsar sin mottaglighet för sårbarheter, och säkerställa att de innehåller mekanismer för säkra uppdateringar av programvaran, inklusive uppgradering av hårdvara och automatiska säkerhetsuppdateringar.

Ändringsförslag    72

Förslag till förordning

Artikel 45 – led ga (nytt)

Kommissionens förslag

Ändringsförslag

 

(ga)  Att säkerställa att IKT-produkter och IKT-tjänster utvecklas och drivs på ett sådant sätt att en hög nivå av cybersäkerhet och dataskydd är förkonfigurerad, enligt principen om inbyggd säkerhet.

Ändringsförslag    73

Förslag till förordning

Artikel 46 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Ett europeiskt system för cybersäkerhetscertifiering får innehålla en eller flera av följande assuransnivåer: grundläggande, betydande och/eller hög för IKT-produkter och IKT-tjänster som har utfärdats inom det systemet.

1.  Varje europeiskt system för cybersäkerhetscertifiering får innehålla en eller flera av följande riskbaserade assuransnivåer: ”funktionellt säker”, ”väsentligen säker” och/eller ”ytterst säker” för IKT-produkter och IKT-tjänster som har utfärdats inom det systemet.

 

Assuransnivåerna för varje förslag till europeiskt system för cybersäkerhetscertifiering ska identifieras på grundval av de risker som identifieras i den checklista som fastställs i artikel 44.2 och tillgängligheten hos cybersäkerhetsåtgärder för att motverka dessa risker i de IKT-produkter och IKT-tjänster som certifieringssystemet avser.

Ändringsförslag    74

Förslag till förordning

Artikel 46 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a.  Varje system ska ange den bedömningsmetod eller utvärderingsprocess som ska följas för att utfärda intyg på varje assuransnivå, beroende på den avsedda användningen och den inneboende risken för IKT-produkterna och IKT-tjänsterna enligt detta system.

Ändringsförslag    75

Förslag till förordning

Artikel 46 – punkt 2 – inledningen

Kommissionens förslag

Ändringsförslag

2.  Assuransnivåerna grundläggande, betydande och hög ska uppfylla följande kriterier:

2.  Assuransnivåerna ”funktionellt säker”, ”väsentligen säker” och ”ytterst säker” ska uppfylla följande kriterier:

Ändringsförslag    76

Förslag till förordning

Artikel 46 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

(a)  Assuransnivån grundläggande ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en begränsad grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

(a)  Assuransnivån ”funktionellt säker” ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en lämplig grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-process, IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

Ändringsförslag    77

Förslag till förordning

Artikel 46 – punkt 2 – led b

Kommissionens förslag

Ändringsförslag

(b)  Assuransnivån betydande ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en betydande grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

(b)  Assuransnivån ”väsentligen säker” ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en betydande grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-process, IKT-produkt eller IKT-tjänst, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska minska risken för cybersäkerhetsincidenter.

Ändringsförslag    78

Förslag till förordning

Artikel 46 – punkt 2 – led c

Kommissionens förslag

Ändringsförslag

(c)  Assuransnivån hög ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en högre grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-produkt eller IKT-tjänst än certifikat med assuransnivån betydande, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska förhindra cybersäkerhetsincidenter.

(c)  Assuransnivån ”ytterst säker” ska avse ett certifikat som utfärdats inom ramen för ett europeiskt system för cybersäkerhetscertifiering, som ger en högre grad av tillförlitlighet i fråga om påstådda eller styrkta cybersäkerhetsegenskaper hos en IKT-process, IKT-produkt eller IKT-tjänst än certifikat med assuransnivån ”väsentligen säker”, och som betecknas med hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska förhindra cybersäkerhetsincidenter. Detta ska i synnerhet gälla varor och tjänster som är avsedda att användas av leverantörer av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148.

Ändringsförslag    79

Förslag till förordning

Artikel 47 – punkt 1 – inledningen

Kommissionens förslag

Ändringsförslag

1.  Ett europeiskt system för cybersäkerhetscertifiering ska innehålla följande komponenter:

1.  Varje europeiskt system för cybersäkerhetscertifiering ska innehålla åtminstone följande komponenter, där så är tillämpligt:

Ändringsförslag    80

Förslag till förordning

Artikel 47 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

(a)  Föremålet och tillämpningsområdet för certifieringen, inbegripet typen eller kategorierna av de IKT-produkter och IKT-tjänster som omfattas av certifieringen.

(a)  Föremålet och tillämpningsområdet för certifieringssystemet, inbegripet eventuellt specifika sektorer det täcker, samt typen eller kategorierna av de IKT-produkter och IKT-tjänster som omfattas.

Ändringsförslag    81

Förslag till förordning

Artikel 47 – punkt 1 – led b

Kommissionens förslag

Ändringsförslag

(b)  Detaljerad specificering av de cybersäkerhetskrav som specifika IKT-produkter och IKT-tjänster bedöms mot, t.ex. genom hänvisning till unionslagstiftning, internationella standarder eller tekniska specifikationer.

(b)  Detaljerad specificering av de cybersäkerhetskrav som specifika IKT-produkter och IKT-tjänster bedöms mot, särskilt genom hänvisning till internationella, europeiska eller nationella standarder eller tekniska specifikationer.

Ändringsförslag    82

Förslag till förordning

Artikel 47 – punkt 1 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  Detaljerad specificering om en beviljad certifiering kan gälla för bara en enskild produkt eller om den kan tillämpas på ett produktsortiment, t.ex. olika versioner eller modeller med samma grundläggande produktstruktur.

Ändringsförslag    83

Förslag till förordning

Artikel 47 – punkt 1 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  Uppgift om huruvida systemet tillåter egen försäkran om överensstämmelse, samt det tillämpliga förfarandet för bedömning av överensstämmelse eller egen försäkran om överensstämmelse eller båda.

Ändringsförslag    84

Förslag till förordning

Artikel 47 – punkt 1 – led cb (nytt)

Kommissionens förslag

Ändringsförslag

 

(cb)  Certifieringskrav som definieras på ett sådant sätt att certifieringen kan införlivas i eller baseras på producentens systematiska cybersäkerhetsprocesser som följs under IKT-processens, IKT-produktens eller IKT-tjänstens utformning, utveckling eller livscykel.

Ändringsförslag    85

Förslag till förordning

Artikel 47 – punkt 1 – led f

Kommissionens förslag

Ändringsförslag

(f)  Om systemet fastställer användning av märken eller etiketter, villkoren för deras användning.

(f)  Om systemet fastställer användning av märken eller etiketter, såsom en EU-överensstämmelsemärkning för cybersäkerhet som visar att en IKT-process, IKT-produkt eller IKT-tjänst uppfyller kriterierna i ett system, och villkoren för deras användning.

Ändringsförslag    86

Förslag till förordning

Artikel 47 – punkt 1 – led g

Kommissionens förslag

Ändringsförslag

(g)  Om övervakning ingår i systemet, reglerna för övervakning och efterlevnad av certifieringskraven, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven.

(g)  Reglerna för övervakning och efterlevnad av certifieringskraven, inklusive mekanismer för att visa fortsatt överensstämmelse med de angivna cybersäkerhetskraven, såsom, när så är relevant och genomförbart, obligatoriska uppdateringar, uppgraderingar eller programfixar för IKT-processen IKT-produkten eller IKT-tjänsten i fråga.

Ändringsförslag    87

Förslag till förordning

Artikel 47 – punkt 1 – led h

Kommissionens förslag

Ändringsförslag

(h)  Villkor för beviljande, bibehållande, fortsättande, utvidgning och inskränkning av tillämpningsområdet för certifiering.

(h)  Villkor för beviljande, bibehållande, fortsättande, förnyande, utvidgning och inskränkning av tillämpningsområdet för certifiering.

Ändringsförslag    88

Förslag till förordning

Artikel 47 – punkt 1 – led i

Kommissionens förslag

Ändringsförslag

(i)  Bestämmelser om följderna om certifierade IKT-produkter och IKT-tjänster inte överensstämmer med certifieringskraven.

(i)  Bestämmelser om följderna om certifierade IKT-produkter och IKT-tjänster inte överensstämmer med certifieringskraven samt allmän information om påföljder, i enlighet med artikel 54 i denna förordning.

Ändringsförslag    89

Förslag till förordning

Artikel 47 – punkt 1 – led j

Kommissionens förslag

Ändringsförslag

(j)  Bestämmelser om hur tidigare oupptäckta sårbarheter i fråga om cybersäkerhet hos IKT-produkter och IKT-tjänster ska rapporteras och utredas.

(j)  Bestämmelser om hur tidigare oupptäckta sårbarheter i fråga om cybersäkerhet hos IKT-produkter och IKT-tjänster ska rapporteras och utredas, däribland genom samordnade processer för att offentliggöra sårbarheter.

Ändringsförslag    90

Förslag till förordning

Artikel 47 – punkt 1 – led l

Kommissionens förslag

Ändringsförslag

(l)  Identifiering av nationella system för cybersäkerhetscertifiering som omfattar samma typ eller kategorier av IKT-produkter och IKT-tjänster.

(l)  Identifiering av nationella och internationella system för cybersäkerhetscertifiering, eller befintliga internationella avtal om ömsesidigt erkännande, som omfattar samma typ eller kategorier av IKT-produkter och IKT-tjänster.

Ändringsförslag    91

Förslag till förordning

Artikel 47 – punkt 1 – led ma (nytt)

Kommissionens förslag

Ändringsförslag

 

(ma)  Certifikatens maximala giltighetstid.

Ändringsförslag    92

Förslag till förordning

Artikel 47 – punkt 1 – led mb (nytt)

Kommissionens förslag

Ändringsförslag

 

(mb)  Bestämmelser rörande tester av motstånd och slitstyrka för assuransnivån ”ytterst säker”.

Ändringsförslag    93

Förslag till förordning

Artikel 47 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Om det föreskrivs i en viss unionsakt får certifiering enligt ett europeiskt system för cybersäkerhetscertifiering användas för att påvisa presumtion om överensstämmelse med kraven i den unionsakten.

3.  Om det föreskrivs i en viss framtida unionsakt får certifiering enligt ett europeiskt system för cybersäkerhetscertifiering användas för att påvisa presumtion om överensstämmelse med kraven i den unionsakten.

Ändringsförslag    94

Förslag till förordning

Artikel 48 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Certifieringen ska vara frivillig, om inte annat uttryckligen anges i unionslagstiftningen.

2.  Certifiering enligt ett europeiskt system för cybersäkerhetscertifiering ska vara obligatoriskt för IKT-produkter och IKT-tjänster med hög inneboende risk som är särskilt avsedda för leverantörer av samhällsviktiga tjänster enligt definitionen i artikel 4.4 i direktiv (EU) 2016/1148. För alla andra IKT-produkter och IKT-tjänster ska certifieringen vara frivillig, om inte annat uttryckligen anges i unionslagstiftningen.

Ändringsförslag    95

Förslag till förordning

Artikel 48 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Ett europeiskt cybersäkerhetscertifikat i enlighet med denna artikel ska utfärdas av de organ för bedömning av överensstämmelse som avses i artikel 51 på grundval av de kriterier som ingår i det europeiska systemet för cybersäkerhetscertifiering, som antagits i enlighet med artikel 44.

3.  Europeiska cybersäkerhetscertifikat i enlighet med denna artikel ska utfärdas av de organ för bedömning av överensstämmelse som avses i artikel 51 på grundval av de kriterier som ingår i det europeiska systemet för cybersäkerhetscertifiering, som antagits i enlighet med artikel 44.

 

Som ett alternativ till certifiering av organ för bedömning av överensstämmelse får produkttillverkare och tjänsteleverantörer, om systemet i fråga föreskriver en sådan möjlighet, göra en egen försäkran om överensstämmelse i vilken de försäkrar att en process, produkt eller tjänst uppfyller kriterierna i certifieringssystemet. I sådana fall ska produkttillverkaren eller tjänsteleverantören på begäran lämna den egna försäkran om överensstämmelse till den begärande nationella tillsynsmyndigheten för certifiering och Enisa.

Ändringsförslag    96

Förslag till förordning

Artikel 48 – punkt 4 – inledningen

Kommissionens förslag

Ändringsförslag

4.  Genom undantag från punkt 3, och i vederbörligen motiverade fall, får ett visst europeiskt system för cybersäkerhet föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av det systemet kan utfärdas endast av ett offentligt organ. Ett sådant offentligt organ ska vara ett av följande:

4.  Genom undantag från punkt 3, och i vederbörligen motiverade fall, såsom av nationella säkerhetsskäl, får ett visst europeiskt system för cybersäkerhetscertifiering föreskriva att ett europeiskt cybersäkerhetscertifikat som är ett resultat av det systemet kan utfärdas endast av ett offentligt organ. Ett sådant offentligt organ ska vara ett av följande:

Ändringsförslag    97

Förslag till förordning

Artikel 48 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  Den fysiska eller juridiska person som lämnar in sina IKT- produkter eller IKT-tjänster till certifieringsmekanismen ska till det organ för bedömning av överensstämmelse som avses i artikel 51 lämna all information som krävs för att genomföra certifieringsförfarandet.

5.  Den fysiska eller juridiska person som lämnar in sina IKT- produkter eller IKT-tjänster till certifieringsmekanismen ska till det organ för bedömning av överensstämmelse som avses i artikel 51 lämna all information som krävs för att genomföra certifieringsförfarandet, däribland information om varje form av kända säkerhetsbrister.

Ändringsförslag    98

Förslag till förordning

Artikel 48 – punkt 6

Kommissionens förslag

Ändringsförslag

6.  Certifikat ska utfärdas för en period på högst tre år och får förnyas på samma villkor under förutsättning att de relevanta kraven fortsätter att uppfyllas.

6.  Certifikat ska utfärdas och ska fortsätta att vara giltiga under en maximiperiod som definieras i varje certifieringssystem och får förnyas på samma villkor under förutsättning att de relevanta kraven i detta system, inklusive eventuella nya eller ändrade krav, fortsätter att uppfyllas.

Ändringsförslag    99

Förslag till förordning

Artikel 48 – punkt 6a (ny)

Kommissionens förslag

Ändringsförslag

 

6a.  Certifikat ska fortsätta att vara giltiga för alla nya versioner av en process, produkt eller tjänst, där den främsta orsaken till den nya versionen är att rätta, fixa eller på annat sätt åtgärda kända eller potentiella sårbarheter i fråga om cybersäkerhet eller hot.

Ändringsförslag    100

Förslag till förordning

Artikel 49 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Utan att det påverkar tillämpningen av punkt 3 ska de nationella systemen för cybersäkerhetscertifiering och därtill hörande förfaranden, för de IKT-produkter och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering, upphöra att ha verkan från och med den dag som anges i den genomförandeakt som antagits i enlighet med artikel 44.4. Befintliga nationella system för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter och IKT-tjänster som inte omfattas av ett europeiskt system för cybersäkerhetscertifiering ska fortsätta att existera.

1.  Utan att det påverkar tillämpningen av punkt 3 ska de nationella systemen för cybersäkerhetscertifiering och därtill hörande förfaranden, för de IKT-produkter och IKT-tjänster som omfattas av ett europeiskt system för cybersäkerhetscertifiering, upphöra att ha verkan från och med den dag som anges i den delegerade akt som antagits i enlighet med artikel 44.4. Kommissionen ska övervaka efterlevnaden av detta stycke i syfte att undvika förekomsten av parallella system. Befintliga nationella system för cybersäkerhetscertifiering och därtill hörande förfaranden för IKT-produkter och IKT-tjänster som inte omfattas av ett europeiskt system för cybersäkerhetscertifiering ska fortsätta att existera.

Ändringsförslag    101

Förslag till förordning

Artikel 49 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Befintliga certifikat som utfärdats enligt nationella system för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.

3.  Befintliga certifikat som utfärdats enligt nationella system för cybersäkerhetscertifiering och omfattas av ett europeiskt system för cybersäkerhetscertifiering ska förbli giltiga tills de löper ut.

Ändringsförslag    102

Förslag till förordning

Artikel 50 – punkt 3

Kommissionens förslag

Ändringsförslag

3.  Varje nationell tillsynsmyndighet för certifiering ska, vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande vara oberoende av de enheter som den utövar tillsyn över.

3.  Varje nationell tillsynsmyndighet för certifiering ska, vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande vara oberoende av de enheter som den utövar tillsyn över och ska inte vara ett organ för bedömning av överensstämmelse eller ett nationellt ackrediteringsorgan.

Ändringsförslag    103

Förslag till förordning

Artikel 50 – punkt 6 – led a

Kommissionens förslag

Ändringsförslag

(a)  övervaka och kontrollera tillämpningen av de bestämmelser som föreskrivs i denna avdelning på nationell nivå och övervaka att de certifikat som har utfärdats av organ för bedömning av överensstämmelse etablerade på deras respektive territorier uppfyller kraven i denna avdelning och i motsvarande europeiska system för cybersäkerhetscertifiering,

(a)  övervaka och kontrollera tillämpningen av de bestämmelser som föreskrivs i denna avdelning på nationell nivå och övervaka efterlevnaden, i enlighet med de regler som antagits av den europeiska gruppen för cybersäkerhetscertifiering i enlighet med artikel 53.3 led da, av följande:

 

i)  de certifikat som har utfärdats av organ för bedömning av överensstämmelse etablerade på deras respektive territorier uppfyller kraven i denna avdelning och i motsvarande europeiska system för cybersäkerhetscertifiering, och

 

ii)  egna försäkringar om överensstämmelse som lämnats in inom ramen för ett system för en IKT-process, IKT-produkt eller IKT-tjänst.

Ändringsförslag    104

Förslag till förordning

Artikel 50 – punkt 6 – led b

Kommissionens förslag

Ändringsförslag

(b)  övervaka och kontrollera den verksamhet som organen för bedömning av överensstämmelse utför i enlighet med denna förordning, bland annat när det gäller anmälan av organ för bedömning av överensstämmelse och de relaterade uppgifter som anges i artikel 52 i denna förordning,

(b)  övervaka, kontrollera och, åtminstone vartannat år, utvärdera den verksamhet som organen för bedömning av överensstämmelse utför i enlighet med denna förordning, bland annat när det gäller anmälan av organ för bedömning av överensstämmelse och de relaterade uppgifter som anges i artikel 52 i denna förordning,

Ändringsförslag    105

Förslag till förordning

Artikel 50 – punkt 6 – led c

Kommissionens förslag

Ändringsförslag

(c)  behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier, i lämplig utsträckning undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen,

(c)  behandla klagomål som lämnas in av fysiska eller juridiska personer avseende certifikat som utfärdats av organ för bedömning av överensstämmelse som är etablerade på deras territorier eller avseende egna försäkringar om överensstämmelse, i lämplig utsträckning undersöka det ärende som klagomålet gäller och inom rimlig tid underrätta anmälaren om utvecklingen och resultatet av utredningen,

Ändringsförslag    106

Förslag till förordning

Artikel 50 – punkt 6 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  rapportera resultaten av verifieringarna enligt punkt a och utvärderingarna enligt punkt b till Enisa och den europeiska gruppen för cybersäkerhetscertifiering,

Ändringsförslag    107

Förslag till förordning

Artikel 50 – punkt 6 – led d

Kommissionens förslag

Ändringsförslag

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för cybersäkerhetscertifiering,

(d)  samarbeta med andra nationella tillsynsmyndigheter för certifiering, nationella ackrediteringsorgan eller andra myndigheter, bland annat genom att utbyta information om IKT-produkter och IKT-tjänster som eventuellt avviker från kraven i denna förordning eller särskilda europeiska system för cybersäkerhetscertifiering, däribland vilseledande, falska eller bedrägliga påståenden om certifiering,

Ändringsförslag    108

Förslag till förordning

Artikel 50 – punkt 7 – led ca (nytt)

Kommissionens förslag

Ändringsförslag

 

(ca)  Återkalla ackrediteringen för organ för bedömning av överensstämmelse som inte uppfyller kraven i denna förordning.

Ändringsförslag    109

Förslag till förordning

Artikel 50 – punkt 7 – led e

Kommissionens förslag

Ändringsförslag

(e)  Kunna, i enlighet med nationell lagstiftning, återkalla certifikat som inte uppfyller kraven i denna förordning eller ett europeiskt system för cybersäkerhetscertifiering.

(e)  Kunna, i enlighet med nationell lagstiftning, återkalla certifikat som inte uppfyller kraven i denna förordning eller ett europeiskt system för cybersäkerhetscertifiering och underrätta nationella ackrediteringsorgan om detta.

Ändringsförslag    110

Förslag till förordning

Artikel 50 – punkt 1 – led fa (nytt)

Kommissionens förslag

Ändringsförslag

 

(fa)  Kunna föreslå Enisa-experter för deltagande i den intressentexpertgrupp som avses i artikel 44.2.

Ändringsförslag    111

Förslag till förordning

Artikel 50 – punkt 8 – stycke 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

Kommissionen ska tillhandahålla ett allmänt stödsystem för elektronisk information för sådant utbyte.

Ändringsförslag    112

Förslag till förordning

Artikel 50a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 50a

 

Sakkunnigbedömning

 

1.  Nationella tillsynsmyndigheter för certifiering ska genomgå sakkunnigbedömning med avseende på varje verksamhet som de utför i enlighet med artikel 50 i denna förordning.

 

2.  Sakkunnigbedömningen ska omfatta bedömningar av de förfaranden som nationella tillsynsmyndigheter har infört, särskilt förfarandena för kontroll av överensstämmelse avseende de produkter som omfattas av cybersäkerhetscertifiering, personalens kompetens, kontrollernas riktighet, inspektionsmetoder och resultatens riktighet. Sakkunnigbedömningen ska också bedöma om de nationella tillsynsmyndigheterna i fråga har tillräckliga resurser för att korrekt kunna utföra sina uppgifter i enlighet med artikel 50.4.

 

3.  Sakkunnigbedömningen av en nationell tillsynsmyndighet ska genomföras av två nationella tillsynsmyndigheter från andra medlemsstater och kommissionen och ska utföras minst en gång vart femte år. Enisa får delta i sakkunnigbedömningen och ska besluta om sitt deltagande på grundval av en riskanalys.

 

4.  Kommissionen har befogenhet att anta delegerade akter i enlighet med artikel 55a i syfte att upprätta en plan för sakkunnigbedömningen som ska täcka en period på minst fem år, där det fastställs kriterier för sammansättningen av det team som genomför sakkunnigbedömningen, den metod som används vid sakkunnigbedömningen, tidsplanen, frekvensen och andra uppgifter som rör sakkunnigbedömningen. När dessa delegerade akter antas ska kommissionen ta vederbörlig hänsyn till gruppens överväganden.

 

5.  Sakkunnigbedömningarnas resultat ska granskas av gruppen. Enisa ska göra en sammanfattning av resultaten och offentliggöra den.

Ändringsförslag    113

Förslag till förordning

Artikel 51 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  När tillverkarna väljer ”egen försäkran om överensstämmelse” i enlighet med artikel 48.3 ska organen för bedömning av överensstämmelse vidta ytterligare åtgärder för att verifiera att de interna förfaranden som utförs av tillverkaren för att säkerställa att dennes produkter och/eller tjänster överensstämmer med kraven i det europeiska systemet för cybersäkerhetscertifiering.

Ändringsförslag    114

Förslag till förordning

Artikel 53 – punkt 3 – led da (nytt)

Kommissionens förslag

Ändringsförslag

 

(da)  anta bindande regler som fastställer hur ofta nationella tillsynsmyndigheter för certifiering ska utföra verifieringar av certifikat och egna försäkringar om överensstämmelse, och kriterierna, omfattningen och räckvidden för dessa verifieringar, samt anta gemensamma regler och standarder för rapportering, i enlighet med artikel 50.6,

Ändringsförslag    115

Förslag till förordning

Artikel 53 – punkt 3 – led e

Kommissionens förslag

Ändringsförslag

(e)  undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta god praxis om system för cybersäkerhetscertifiering,

(e)  undersöka den relevanta utvecklingen på området cybersäkerhetscertifiering och utbyta information och god praxis om system för cybersäkerhetscertifiering,

Ändringsförslag    116

Förslag till förordning

Artikel 53 – punkt 3 – led fa (nytt)

Kommissionens förslag

Ändringsförslag

 

(fa)  utbyta bästa praxis i fråga om utredningar av organ för bedömning av överensstämmelse, innehavare av europeiska cybersäkerhetscertifikat och tillverkare och tjänsteleverantörer som har lämnat egna försäkringar om överensstämmelse,

Ändringsförslag    117

Förslag till förordning

Artikel 53 – punkt 3 – led fb (nytt)

Kommissionens förslag

Ändringsförslag

 

(fb)  underlätta anpassningen av europeiska system för cybersäkerhetscertifiering med internationellt erkända standarder och, i tillämpliga fall, rekommendera områden på vilka Enisa bör samarbeta med relevanta internationella och europeiska standardiseringsorganisationer för att åtgärda brister eller luckor i internationellt erkända standarder,

Ändringsförslag    118

Förslag till förordning

Artikel 53 – punkt 3 – led fc (nytt)

Kommissionens förslag

Ändringsförslag

 

(fc)  bistå Enisa, vid fastställandet av arbetsprogrammet som avses i artikel 43a, med upprättandet av en förteckning över prioriterade IKT-produkter och IKT-tjänster för vilka den anser att ett europeiskt system för cybersäkerhetscertifiering skulle behövas.

Ändringsförslag    119

Förslag till förordning

Artikel 53 – punkt 4 – stycke 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

Enisa ska se till att dagordning, mötesprotokoll och fattade beslut registreras och att offentliggjorda versioner av dessa handlingar görs tillgängliga för allmänheten på Enisas webbplats efter varje möte i gruppen.

Ändringsförslag    120

Förslag till förordning

Artikel 55a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 55a

 

Utövande av delegeringen

 

Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

 

Den befogenhet att anta delegerade akter som avses i artiklarna 44.4 och 50a.4 ska ges till kommissionen för en period på fem år från och med den [den dag så den grundläggande lagstiftningsakten träder i kraft]. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av den aktuella perioden.

 

Den delegering av befogenhet som avses i artiklarna 44.4 och 50a.4 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

 

Innan kommissionen antar en delegerad akt, ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

 

Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

 

En delegerad akt som antas enligt artikel 44.4 eller artikel 50a.4 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med [två månader] på Europaparlamentets eller rådets initiativ.

ÄRENDETS GÅNG I DET RÅDGIVANDE UTSKOTTET

Titel

Förslag till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

Referensnummer

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Ansvarigt utskott

       Tillkännagivande i kammaren

ITRE

23.10.2017

 

 

 

Yttrande från

       Tillkännagivande i kammaren

IMCO

23.10.2017

Associerat/Associerade utskott - tillkännagivande i kammaren

18.1.2018

Föredragande av yttrande

       Utnämning

Nicola Danti

25.9.2017

Behandling i utskott

21.2.2018

21.3.2018

 

 

Antagande

17.5.2018

 

 

 

Slutomröstning: resultat

+:

–:

0:

31

2

1

Slutomröstning: närvarande ledamöter

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Slutomröstning: närvarande suppleanter

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Slutomröstning: närvarande suppleanter (art. 200.2)

Inés Ayala Sender, Flavio Zanonato

SLUTOMRÖSTNING MED NAMNUPPROPI DET RÅDGIVANDE UTSKOTTET

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Teckenförklaring:

+  :  Ja-röster

-  :  Nej-röster

0  :  Nedlagda röster


YTTRANDE från budgetutskottet (16.5.2018)

till utskottet för industrifrågor, forskning och energi

över förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Föredragande av yttrande: Jens Geier

KORTFATTAD MOTIVERING

Föredraganden välkomnar i princip kommissionens förslag om en cybersäkerhetsakt i syfte att ytterligare stärka rollen för Europeiska byrån för nät- och informationssäkerhet (Enisa), eftersom frågan om cybersäkerhet är uppenbart gränsöverskridande och ett mer europeiskt tillvägagångssätt är lämpligt. Föredraganden välkomnar särskilt kommissionens förslag om att skapa ett permanent mandat för Enisa, med tanke på dess utökade roll och för att skapa säkerhet för anställda vid byrån. Kommissionen föreslår att AD/AST-personalen ökas med 41 tjänster senast 2022(1) och att den årliga budgeten ökas till upp till 23 miljoner euro 2022(2).

Föredraganden anser att det nuvarande arrangemanget med byråns säte, det vill säga byråns flertaliga platser i Heraklion och Aten, hindrar en effektiv verksamhet och ett fullgörande av byråns uppdrag. Den interinstitutionella arbetsgruppen om de decentraliserade byråernas resurser, som inrättades efter budgetöverenskommelsen 2014, rekommenderar att ”kommissionen utvärderar byråer med flera kontor (dubbla säten, förekomst av tekniska enheter utöver sätet, lokalkontor och utstationering av personal utanför huvudsätena) på grundval av en konsekvent strategi och med hjälp av tydliga och transparenta kriterier, framför allt med sikte på att bedöma deras mervärde, även mot bakgrund av kostnaderna”. Alla institutioner kom överens om att följa denna rekommendation och föredraganden anser att en sådan utvärdering bör genomföras snabbt. Efter en sådan utvärdering bör institutionerna dra nödvändiga slutsatser utan ytterligare dröjsmål.

Föredraganden anser vidare att byråns uppdrag att tillhandahålla sakkunskap ytterligare kan stärkas genom att förse byrån med en sådan budget att den själv kan förfoga över sin egen budget för forsknings- och utvecklingsverksamhet. För detta syfte bör byrån ges nödvändiga resurser.

Ytterligare besparingar kan göras genom att möjliggöra för byrån att få översättningar gjorda av andra tjänsteleverantörer. Den demokratiska tillsynen av byrån skulle kunna stärkas genom att utse en företrädare för Europaparlamentet till styrelsen, i linje med den gemensamma strategin rörande decentraliserade organ.

ÄNDRINGSFÖRSLAG

Budgetutskottet uppmanar utskottet för industrifrågor, forskning och energi att som ansvarigt utskott beakta följande ändringsförslag:

Ändringsförslag    1

Förslag till förordning

Skäl 3a (nytt)

Kommissionens förslag

Ändringsförslag

 

(3a)  Enisa bör ge mer praktiskt och informationsbaserat stöd åt cybersäkerhetsbranschen i EU, i synnerhet små och medelstora företag och nystartade företag, som är viktiga källor till innovativa lösningar på cyberförsvarsområdet, samt främja ett närmare samarbete med universitetens forskningsorganisationer och stora aktörer i syfte att minska beroendet av cybersäkerhetsprodukter från externa källor och att skapa en strategisk logistikkedja inom unionen.

Ändringsförslag    2

Förslag till förordning

Skäl 4

Kommissionens förslag

Ändringsförslag

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. Det finns ett betydande och ökande utbildningsbehov inom cyberförsvarsområdet, och detta tillgodoses mest effektivt genom samarbete på unionsnivå. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

Ändringsförslag    3

Förslag till förordning

Skäl 10

Kommissionens förslag

Ändringsförslag

(10)  Inom ramen för beslut 2004/97/EG, Euratom, som antogs vid Europeiska rådets möte den 13 december 2003, beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Byråns värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av byrån. Det är mycket viktigt att byrån är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer byråns personal, för att byrån ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av byråns styrelse fastställas i ett avtal mellan byrån och värdmedlemsstaten.

(10)  Inom ramen för beslut 2004/97/EG, Euratom, som antogs vid Europeiska rådets möte den 13 december 2003, beslutade medlemsstaternas företrädare att Enisa skulle ha sitt säte i en stad i Grekland som skulle fastställas av den grekiska regeringen. Byråns värdmedlemsstat bör säkerställa bästa möjliga förutsättningar för en smidig och effektiv drift av byrån. Det är mycket viktigt att byrån är förlagd till en lämplig plats, där det bland annat finns lämpliga transportförbindelser och faciliteter för makar och barn som medföljer byråns personal, för att byrån ska kunna utföra sina uppgifter väl och effektivt samt för möjligheterna att rekrytera och behålla personal och för en effektivare nätverksverksamhet. De nödvändiga arrangemangen bör efter godkännande av byråns styrelse fastställas i ett avtal mellan byrån och värdmedlemsstaten. Detta avtal ska ses över efter den utvärdering som kommissionen genomför i enlighet med rekommendationerna från den interinstitutionella arbetsgruppen om de decentraliserade byråernas resurser i syfte att öka byråns effektivitet, och även byråns säte bör ses över.

Ändringsförslag    4

Förslag till förordning

Skäl 12

Kommissionens förslag

Ändringsförslag

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna. Byrån bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur byrån ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna, undvika dubbelarbete och främja synergier och komplementaritet och därigenom uppnå samordning och budgetbesparingar. Byrån bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur byrån ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

Ändringsförslag    5

Förslag till förordning

Skäl 15a (nytt)

Kommissionens förslag

Ändringsförslag

 

(15a)  Internationell rätt tillämpas i cyberrymden och 2013 och 2015 års rapporter från FN:s grupp med statliga experter på informationssäkerhet (UNGGE) tillhandahåller relevanta riktlinjer, särskilt vad gäller förbudet för stater att genomföra eller medvetet stödja cyberrelaterad verksamhet som strider mot deras skyldigheter enligt internationella bestämmelser. Relevansen av Tallinn Manual 2.0 är i detta sammanhang ett utmärkt underlag för en debatt om hur internationell rätt tillämpas på i cyberrymden och det är nu dags för medlemsstaterna att börja granska och tillämpa handboken.

Ändringsförslag    6

Förslag till förordning

Skäl 36

Kommissionens förslag

Ändringsförslag

(36)  Byrån bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ, kontor och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven på området nät- och informationssäkerhet, särskilt cybersäkerhet.

(36)  Byrån bör i sitt arbete fullt ut beakta pågående forskning, utveckling och tekniska bedömningar, i synnerhet sådan verksamhet som bedrivs inom unionens olika forskningsinitiativ för att ge råd till unionens institutioner, organ, kontor och byråer och, i tillämpliga fall, till medlemsstaterna på deras begäran om forskningsbehoven på området nät- och informationssäkerhet, särskilt cybersäkerhet. Byrån bör ges en tilläggsbudget för forskning och utveckling som kompletterar unionens befintliga forskningsprogram.

Ändringsförslag    7

Förslag till förordning

Skäl 46a (nytt)

Kommissionens förslag

Ändringsförslag

 

(46a)  Byråns budget bör utarbetas i enlighet med principen om resultatbaserad budgetering och med beaktande av byråns mål och de förväntade resultaten av dess uppgifter.

Ändringsförslag    8

Förslag till förordning

Artikel 4 – punkt 4

Kommissionens förslag

Ändringsförslag

4.  Byrån ska främja samarbete och samordning på unionsnivå mellan medlemsstater, unionens institutioner, byråer och organ samt berörda intressenter, inbegripet den privata sektorn, i frågor som rör cybersäkerhet.

4.  Byrån ska främja samarbete och samordning på unionsnivå mellan medlemsstater, unionens institutioner, byråer och organ samt berörda intressenter, inbegripet den privata sektorn, i frågor som rör cybersäkerhet i syfte att säkra samordning och besparingar, undvika dubbelarbete och främja synergier och komplementaritet i fråga om deras verksamhet.

Ändringsförslag    9

Förslag till förordning

Artikel 9 – led ga (nytt)

Kommissionens förslag

Ändringsförslag

 

(ga)  offentliggöra och främja sin verksamhet och resultaten av dess arbete för att öka synligheten och medvetenheten bland medborgarna.

Ändringsförslag    10

Förslag till förordning

Artikel 10 – led ba (nytt)

Kommissionens förslag

Ändringsförslag

 

(ba)  förfoga över sin egen forskningsverksamhet på områden av intresse som ännu inte omfattas av unionens befintliga forskningsprogram, där det finns ett tydligt europeiskt mervärde.

Ändringsförslag    11

Förslag till förordning

Artikel 13 – punkt 1

Kommissionens förslag

Ändringsförslag

1.  Styrelsen ska bestå av en företrädare för varje medlemsstat och två företrädare som utses av kommissionen. Samtliga företrädare ska ha rösträtt.

1.  Styrelsen ska bestå av en företrädare för varje medlemsstat, en företrädare som utses av Europaparlamentet och två företrädare som utses av kommissionen. Samtliga företrädare ska ha rösträtt.

Ändringsförslag    12

Förslag till förordning

Artikel 26 – punkt 1 – stycke 1 (nytt)

Kommissionens förslag

Ändringsförslag

 

Det preliminära utkastet till beräkning ska baseras på målen och det förväntade resultatet enligt det programdokument som avses i artikel 21.1, och i enlighet med principen om resultatbaserad budgetering ska där beaktas vilka ekonomiska resurser som behövs för att uppnå dessa mål och vilka resultat som förväntas.

Ändringsförslag    13

Förslag till förordning

Artikel 36 – punkt 5

Kommissionens förslag

Ändringsförslag

5.  De anställdas personliga ansvar gentemot byrån ska regleras av de relevanta bestämmelser som är tillämpliga på byråns personal.

5.  De anställdas personliga ansvar gentemot byrån ska regleras av de relevanta bestämmelser som är tillämpliga på byråns personal. Effektiv rekrytering av personal ska säkerställas.

Ändringsförslag    14

Förslag till förordning

Artikel 37 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  De översättningar som krävs för byråns verksamhet skall utföras av Översättningscentrum för Europeiska unionens organ.

2.  De översättningar som krävs för byråns verksamhet ska utföras av Översättningscentrum för Europeiska unionens organ eller andra översättningsleverantörer i enlighet med upphandlingsreglerna och inom de gränser som fastställs genom relevanta finansiella bestämmelser.

Ändringsförslag    15

Förslag till förordning

Artikel 41 – punkt 2

Kommissionens förslag

Ändringsförslag

2.  Byråns värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, bland annat när det gäller platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för både barn och makar.

2.  Byråns värdmedlemsstat ska tillhandahålla bästa möjliga förutsättningar för att säkerställa en väl fungerande byrå, bland annat när det gäller ett enda säte för hela byrån, platsens tillgänglighet, adekvata utbildningsmöjligheter för personalens barn, lämplig tillgång till arbetsmarknad, social trygghet och sjukvård för både barn och makar.

Motivering

Den nuvarande strukturen för byrån med dess administrativa säte i Heraklion och kärnverksamheten i Aten har visat sig ineffektiv och kostsam. Alla anställda på Enisa bör därför arbeta i samma stad. Mot bakgrund av de kriterier som anges i denna punkt bör denna plats vara Aten.

Ändringsförslag    16

Förslag till förordning

Artikel 41 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a.  Efter kommissionens utvärdering i enlighet med rekommendationerna från den interinstitutionella arbetsgruppen om de decentraliserade byråernas resurser, ska överenskommelsen om sätet för byrån revideras och byråns lokalisering ses över i enlighet därmed.

ÄRENDETS GÅNG I DET RÅDGIVANDE UTSKOTTET

Titel

Förslag till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

Referensnummer

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Ansvarigt utskott

       Tillkännagivande i kammaren

ITRE

23.10.2017

 

 

 

Yttrande från

       Tillkännagivande i kammaren

BUDG

23.10.2017

Föredragande av yttrande

       Utnämning

Jens Geier

26.9.2017

Behandling i utskott

21.3.2018

 

 

 

Antagande

16.5.2018

 

 

 

Slutomröstning: resultat

+:

–:

0:

22

4

0

Slutomröstning: närvarande ledamöter

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Slutomröstning: närvarande suppleanter

Ivana Maletić, Andrey Novakov

SLUTOMRÖSTNING MED NAMNUPPROPI DET RÅDGIVANDE UTSKOTTET

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Teckenförklaring:

+  :  Ja-röster

-  :  Nej-röster

0  :  Nedlagda röster

(1)

Här ingår 26 AD-tjänster, 6 AST-tjänster och 9 utstationerade nationella experter. Förslaget omfattar inte beräknade krav för det ansvariga generaldirektoratet, kontraktsanställda och externa uppdragstagare.

(2)

Uppskattade värden, utan att det påverkar EU:s finansiering efter 2020.


YTTRANDE från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (16.3.2018)

till utskottet för industrifrågor, forskning och energi

över förslaget till Europaparlamentets och rådets förordning om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013 och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

(COM(2017)0477 – C8‑0310/2017 – 2017/0225(COD))

Föredragande av yttrande: Jan Philipp Albrecht

KORTFATTAD MOTIVERING

Föredraganden välkomnar kommissionens förslag om en ”cybersäkerhetsakt”(1), eftersom det bättre definierar Enisas roll i det förändrade ekosystemet för it-säkerhet och tar fram åtgärder för standarder, certifiering och märkning på it-säkerhetsområdet med målet att göra IKT-baserade system, inbegripet uppkopplade enheter, säkrare.

Föredraganden anser dock att ytterligare förbättringar skulle kunna göras. Föredraganden är fast övertygad om att informationssäkerheten är av yttersta vikt för skyddet för medborgarnas grundläggande rättigheter enligt vad som fastställs i EU:s stadga om de grundläggande rättigheterna, liksom för kampen mot it-brottslighet och skyddet av demokratin och rättsstatsprincipen.

Grundläggande rättigheter: Osäkra system kan leda till dataintrång eller identitetsstöld som kan åstadkomma verklig skada och lidande för enskilda personer, inte minst utgöra en risk för deras liv, integritet, värdighet eller egendom. Exempelvis kan vittnen riskera att utsättas för hotelser och fysisk skada, och kvinnor riskerar att utsättas för våld i hemmet om deras hemadresser har lämnats ut. För sakernas internet, som också innehåller fysiska ställdon och inte bara sensorer, kan den fysiska integriteten och användarnas liv äventyras vid angrepp på informationssystem. De ändringar som föredraganden föreslår är framför allt inriktade på skyddet av artiklarna 1, 2, 3, 6, 7, 8, 11 och 17 i EU:s stadga om de grundläggande rättigheterna. Det finns även en framväxande konstitutionell rättspraxis som härleder en särskild grundläggande rätt till sekretess och integritet i it-system(2) utifrån det allmänna personlighetsskyddet, anpassat till dagens digitala värld.

Kampen mot cyberbrottsligheten: Vissa former av brott som begås på nätet, till exempel nätfiske eller finans- och bankbedrägeri, innebär ett missbruk av förtroende som inte kan motverkas genom åtgärder för cybersäkerhet – mot denna typ av brottslighet välkomnar föredraganden den föreslagna regelbundna uppsökande verksamheten och de allmänna upplysningskampanjer som riktas till slutanvändare och som anordnas av Enisa. Andra former av brottslighet på nätet omfattar angrepp på informationssystem, t.ex. hackning eller distribuerade överbelastningsattacker (DDoS), och mot denna typ av brottslighet anser föredraganden att en förhöjd it-säkerhet effektivt kommer att stärka kampen mot och förebyggande av cyberbrottslighet.

Demokrati och rättsstatsprincipen: Angrepp mot regeringars och icke-statliga aktörers it-system utgör ett tydligt och växande hot mot demokratin genom sin inblandning i fria och rättvisa val, till exempel genom att manipulera fakta och åsikter som påverkar hur medborgarna kommer att rösta, störa röstningen och förändra valresultatet eller undergräva förtroendet för valet.

Föredraganden föreslår därför i sitt förslag till LIBE:s yttrande att ändra kommissionens förslag och fokusera på följande viktiga frågor för LIBE-utskottet:

•  Byrån bör spela en större roll när det gäller att främja att alla aktörer i det europeiska informationssamhället antar förebyggande och kraftfull integritetshöjande teknik och it-säkerhetsåtgärder.

•  Byrån bör lägga fram strategier som fastställer tydliga uppgifter och ansvar för alla aktörer som deltar i IKT-ekosystem där underlåtenhet att agera med korrekt tillbörlig aktsamhet med avseende på it-säkerhet kan leda till svåra säkerhetskonsekvenser, massiv miljöförstörelse och utlösa en finansiell eller ekonomisk systemkris.

•  Byrån bör lägga fram förslag på tydliga och obligatoriska grundläggande krav i fråga om it-säkerhet i samråd med experter på it-säkerhet.

•  Byrån bör lägga fram ett system för it-säkerhetscertifiering som möjliggör för IKT-återförsäljare att öka insynen för konsumenterna om uppgraderingsmöjligheter och tider för programvarustöd. Ett sådant certifieringssystem måste vara dynamiskt eftersom säkerhet är en process som kräver ständig förbättring.

•  Byrån bör göra det enklare och billigare för tillverkare av IKT-produkter att genomföra principer för inbyggd säkerhet genom att offentliggöra riktlinjer och bästa praxis.

•  Byrån bör, på inbjudan av unionens institutioner, organ och byråer samt medlemsstaterna, regelbundet genomföra förebyggande granskningar av it-säkerheten i deras kritiska infrastruktur (rätt till revision).

•  Byrån ska omedelbart rapportera brister i it-säkerheten som ännu inte är allmänt kända för tillverkare. Byrån får inte dölja eller utnyttja sekretessbelagda sårbarheter i företag och produkter för egna syften. Genom att utveckla, uppköpa och utnyttja bakdörrar i it-system med skattebetalarnas pengar sätter statliga organ medborgarnas säkerhet på spel. I syfte att skydda andra aktörer som hanterar sådana sårbarheter på ett ansvarsfullt sätt bör byrån föreslå strategier för ett ansvarsfullt utbyte av information om ”Zero days” och andra typer av säkerhetsbrister som ännu inte är allmänt kända och som underlättar avlägsnandet av sådana sårbarheter.

•  För att göra det möjligt för EU att komma i kapp it-säkerhetsbranscher i tredjeländer bör byrån fastställa och inleda ett långsiktigt unionellt it-säkerhetsprojekt med en räckvidd som är jämförbar med vad som har uppnåtts med Airbus för luftfartsindustrin.

Kommissionens bör i sitt förslag undvika att använda termen ”cybersäkerhet”, eftersom den ur rättslig synvinkel är vag och kan ge upphov till osäkerhet. I stället föreslår föredraganden att man ersätter ”cybersäkerhet” med ”it-säkerhet” för att öka rättssäkerheten.

ÄNDRINGSFÖRSLAG

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor uppmanar utskottet för industrifrågor, forskning och energi att som ansvarigt utskott beakta följande ändringsförslag:

Ändringsförslag    1

Förslag till förordning

Titel

Kommissionens förslag

Ändringsförslag

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om Enisa, ”EU:s cybersäkerhetsbyrå”, och om upphävande av förordning (EU) nr 526/2013, och om cybersäkerhetscertifiering av informations- och kommunikationsteknik (”cybersäkerhetsakten”)

om Enisa, den ”europeiska byrån för nät- och informationssäkerhet”, och om upphävande av förordning (EU) nr 526/2013, och om it-säkerhetscertifiering av informations- och kommunikationsteknik (”it-säkerhetsakten”)

 

(Denna ändring berör hela texten.)

Motivering

Prefixet ”cyber”, som härrör från 1960-talets science fiction-verk, har i allt större utsträckning kommit att användas för att beskriva de negativa aspekterna av internet (cyberattack, cyberbrottslighet osv.), men är mycket vagt ur rättslig synvinkel. Föredraganden föreslår en ändring av termen ”cybersäkerhet” till ”it-säkerhet” av rättssäkerhetsskäl.

Ändringsförslag    2

Förslag till förordning

Skäl 2

Kommissionens förslag

Ändringsförslag

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig cybersäkerhet. I detta sammanhang leder den begränsade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om cybersäkerheten hos IKT-produkter och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar.

(2)  Användningen av nät- och informationssystem bland allmänheten, företag och regeringar i hela unionen genomsyrar nu hela samhället. Digitalisering och konnektivitet är på väg att bli centrala inslag i ett allt större antal produkter och tjänster, och med tillkomsten av sakernas internet väntas miljoner eller rentav miljarder uppkopplade digitala enheter tas i bruk inom EU under det kommande årtiondet. Trots att allt fler enheter är uppkopplade till internet, är säkerhet och resiliens inte tillräckligt integrerade i konstruktionen, vilket leder till otillräcklig it-säkerhet. I detta sammanhang leder den begränsade och fragmenterade användningen av certifiering till att organisationer och enskilda användare har otillräcklig information om it-säkerheten hos IKT-produkter och IKT-tjänster, vilket undergräver förtroendet för digitala lösningar. IKT-näten är grundstommen för digitala produkter och tjänster med potential att påverka alla aspekter av medborgarnas liv och påskynda Europas ekonomiska tillväxt. För att säkerställa att målen för den digitala inre marknaden nås helt och hållet måste de väsentliga tekniska byggstenarna som sådana viktiga områden såsom e-hälsa, sakernas internet, artificiell intelligens, kvantteknik samt intelligenta transportsystem och avancerad tillverkning är beroende av finnas på plats.

Ändringsförslag    3

Förslag till förordning

Skäl 4

Kommissionens förslag

Ändringsförslag

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från cybersäkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller cybersäkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

(4)  Cyberangreppen ökar och en uppkopplad ekonomi och ett uppkopplat samhälle som är mer utsatta för cyberhot och -angrepp kräver starkare och säkrare skydd. Även om cyberangrepp ofta är gränsöverskridande, är dock de politiska insatserna från it-säkerhetsmyndigheter och brottsbekämpande organ till övervägande del nationella. Storskaliga cyberincidenter kan störa tillhandahållandet av grundläggande tjänster i hela EU. Detta kräver en effektiv respons och krishantering på EU-nivå som bygger på särskilt utformade strategier och bredare instrument för europeisk solidaritet och ömsesidigt stöd. För beslutsfattare, näringsliv och användare är det också viktigt att det görs regelbundna bedömningar av situationen när det gäller it-säkerhet och resiliens i unionen, på grundval av tillförlitliga unionsdata, samt systematiska prognoser för framtida utveckling, utmaningar och hot på både unionsnivå och global nivå.

Ändringsförslag    4

Förslag till förordning

Skäl 5

Kommissionens förslag

Ändringsförslag

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete och samordning mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser. Ytterligare insatser behövs också för att öka allmänhetens och företagens medvetenhet om cybersäkerhetsfrågor. Dessutom bör förtroendet för den digitala inre marknaden stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter och IKT-tjänster. Detta kan underlättas genom EU-omfattande certifiering som erbjuder gemensamma cybersäkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer.

(5)  Mot bakgrund av de allt större cybersäkerhetsutmaningar som unionen står inför behövs en omfattande uppsättning åtgärder som bygger vidare på tidigare unionsåtgärder och främjar mål som stärker varandra inbördes. Dessa innefattar behovet av att ytterligare öka medlemsstaternas och företagens kapacitet och beredskap samt att förbättra samarbete och samordning mellan medlemsstaterna och EU:s institutioner, byråer och organ. Med tanke på cyberhotens gränsöverskridande karaktär finns det ett behov av att öka kapaciteten på unionsnivå som ett komplement till medlemsstaternas insatser, särskilt när det gäller storskaliga gränsöverskridande cyberincidenter och -kriser. Ytterligare insatser behövs också för att vidta en samordnad svarsåtgärd på EU-nivå och öka allmänhetens och företagens medvetenhet om it-säkerhetsfrågor. Dessutom bör förtroendet för den digitala inre marknaden stärkas ytterligare genom att transparent information tillhandahålls om säkerhetsnivån för IKT-produkter och IKT-tjänster. Detta kan underlättas genom EU-omfattande certifiering som erbjuder gemensamma it-säkerhetskrav och utvärderingskriterier för olika nationella marknader och sektorer. Vid sidan av unionsomfattande certifiering finns en mängd frivilliga åtgärder som är allmänt accepterade på marknadsplatsen, beroende på produkt, tjänst, användning eller standard. Dessa åtgärder, samt branschens bottom-up-strategi, inbegripet användning av inbyggd säkerhet, skulduppbyggnad och bidrag till internationella standarder, bör uppmuntras.

Ändringsförslag    5

Förslag till förordning

Skäl 7

Kommissionens förslag

Ändringsförslag

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa cybersäkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för cybersäkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området cybersäkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet införde krav om nationell kapacitet på cybersäkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av cybersäkerhet.

(7)  Unionen har redan vidtagit viktiga åtgärder för att säkerställa it-säkerhet och öka förtroendet för digital teknik. År 2013 antogs EU:s strategi för cybersäkerhet för att vägleda EU:s politiska åtgärder för it-säkerhetshot och -risker. I sin satsning för att bättre skydda invånarna på nätet antog unionen 2016 den första rättsakten på området it-säkerhet, direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (nedan kallat it-säkerhetsdirektivet). It-säkerhetsdirektivet fullbordar strategin för den digitala inre marknaden och inför, tillsammans med andra instrument, såsom direktiv …/… [om inrättandet av en europeisk kodex för elektronisk kommunikation], Europaparlamentets och rådets förordning (EU) 2016/6791a och Europaparlamentets och rådets direktiv 2002/58/EG1b, krav om nationell kapacitet på it-säkerhetsområdet, inrättade de första mekanismerna för att stärka det strategiska och operativa samarbetet mellan medlemsstaterna och införde skyldigheter avseende säkerhetsåtgärder och incidentrapportering inom sektorer som är centrala för ekonomin och samhället, såsom energi, transporter, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur samt leverantörer av viktiga digitala tjänster (sökmotorer, molntjänster och elektroniska marknadsplatser). Enisa fick en viktig roll när det gällde att stödja genomförandet av direktivet. Dessutom är en effektiv kamp mot it-brottslighet en viktig prioritering i den europeiska säkerhetsagendan, som bidrar till det övergripande målet att uppnå en hög nivå av it-säkerhet.

 

_______________

 

1a Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), (EUT L 119, 4.5.2016, s. 1).

 

1b Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

Ändringsförslag    6

Förslag till förordning

Skäl 8

Kommissionens förslag

Ändringsförslag

(8)  Det är allmänt erkänt att den övergripande politiska ramen har förändrats avsevärt sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av byråns uppdrag, även i förhållande till en mer oviss och mindre säker global miljö. Mot denna bakgrund och inom ramen för unionens nya cybersäkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade cybersäkerhetsekosystemet och säkerställa att byrån bidrar effektivt till unionens reaktion på cybersäkerhetsutmaningar som härrör från detta radikalt förändrade hotlandskap, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av byrån.

(8)  Det är allmänt erkänt att den övergripande politiska ramen har förändrats avsevärt sedan antagandet av EU:s strategi för cybersäkerhet 2013 och den senaste översynen av byråns uppdrag, även i förhållande till en mer oviss och mindre säker global miljö. Mot denna bakgrund och inom ramen för unionens nya it-säkerhetsstrategi är det nödvändigt att se över Enisas mandat för att definiera dess roll i det förändrade it-säkerhetsekosystemet och säkerställa att byrån tar på sig en ledande roll som på ett effektivt sätt kommer att förbättra unionens reaktion på it-säkerhetsutmaningar som härrör från detta radikalt förändrade hotlandskap, för vilket det nuvarande mandatet är inte tillräckligt, vilket också medges i utvärderingen av byrån.

Ändringsförslag    7

Förslag till förordning

Skäl 11

Kommissionens förslag

Ändringsförslag

(11)  Med tanke på de ökande cybersäkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet.

(11)  Med tanke på de ökande it-säkerhetsutmaningar som unionen står inför bör de ekonomiska och personella resurser som anslagits för byrån ökas för att återspegla dess förstärkta roll och arbetsuppgifter och dess centrala position i ekosystemet av organisationer som försvarar det europeiska digitala ekosystemet. Ytterligare förstärkning av byråns kapacitet bör beaktas.

Motivering

Det är av avgörande vikt att vi beaktar byråns bristande kapacitet. Vi måste även sträva mot att fastställa byråns fortsatta utveckling med tanke på hur avgörande it-säkerhet är idag, och än viktigare, hur viktigt det kommer att vara ”i morgon”. Den ryska inblandningen i val måste noteras, samt den ökande kapaciteten hos stormakter och stater runtom i världen och den omedelbart förestående digitaliseringen av stora sektorer.

Ändringsförslag    8

Förslag till förordning

Skäl 11a (nytt)

Kommissionens förslag

Ändringsförslag

 

(11a)  Utmaningarna på it-säkerhetsområdet är, i den digitala tidsåldern, ofta tätt sammanlänkade med utmaningar på området dataskydd, integritetsskydd samt skydd av elektronisk kommunikation. För att byrån på lämpligt sätt ska kunna ta itu med dessa utmaningar behövs ett nära samarbete och täta samråd med de organ som inrättats genom Europaparlamentets och rådets förordning (EG) 45/20011a, förordning (EU) 2016/679, direktiv (EU) 2016/680 och förordning (EG) nr 1211/2009 samt med branschen och det civila samhället.

 

________________

 

1a Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

Ändringsförslag    9

Förslag till förordning

Skäl 12

Kommissionens förslag

Ändringsförslag

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna. Byrån bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. Genom en uppsättning uppgifter bör det fastställas hur byrån ska uppnå sina mål samtidigt som flexibilitet i verksamheten möjliggörs.

(12)  Byrån bör utveckla och upprätthålla en hög nivå av expertis och fungera som en referenspunkt och skapa förtroende och tillit för den inre marknaden genom sin opartiskhet, kvaliteten på de råd och den information den tillhandahåller, öppenheten i dess förfaranden och arbetssätt samt genom ett kompetent utförande av sina uppgifter. Byrån bör aktivt bidra till nationella insatser och unionsinsatser och utföra sina uppgifter i fullt samarbete med unionens institutioner, organ, kontor och byråer samt medlemsstaterna. Byrån bör också stödja sig på synpunkter från och samarbete med den privata sektorn och andra berörda aktörer. En tydlig dagordning och en uppsättning uppgifter samt mål som byrån ska uppnå bör definieras tydligt samtidigt som nödvändig flexibilitet i verksamheten beaktas. Där så är möjligt bör största möjliga insyn och spridning av information upprätthållas.

Ändringsförslag    10

Förslag till förordning

Skäl 14

Kommissionens förslag

Ändringsförslag

(14)  De underliggande uppgiften för byrån är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av it-säkerhetsdirektivet, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av det snabbt föränderliga hotlandskapet på cybersäkerhetsområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

(14)  Den underliggande uppgiften för byrån är att främja ett konsekvent genomförande av den gällande rättsliga ramen, i synnerhet ett effektivt genomförande av it-säkerhetsdirektivet, direktiv …/… [om inrättandet av en europeisk kodex för elektronisk kommunikation], förordning (EU) 2016/679 och direktiv 2002/58/EG, vilket är viktigt för att öka cyberresiliensen. Mot bakgrund av det snabbt föränderliga hotlandskapet på it-säkerhetsområdet är det uppenbart att medlemsstaterna måste stödjas genom en mer omfattande tvärpolitisk strategi för att bygga upp cyberresiliens.

Ändringsförslag    11

Förslag till förordning

Skäl 21a (nytt)

Kommissionens förslag

Ändringsförslag

 

(21a)  Kommissionen bör föreslå obligatoriskt samarbete mellan medlemsstater när det gäller skyddet av kritisk informationsinfrastruktur.

Ändringsförslag    12

Förslag till förordning

Skäl 26

Kommissionens förslag

Ändringsförslag

(26)  För att bättre förstå utmaningarna inom cybersäkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, behöver byrån analysera nuvarande och framväxande risker. För detta ändamål bör byrån i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra samla in relevant information och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nät- och informationssäkerhet, i synnerhet cybersäkerhet. Byrån bör också hjälpa medlemsstaterna och unionens institutioner, byråer och organ att identifiera framväxande trender och förebygga problem som rör cybersäkerhet, genom att utföra analyser av hot och incidenter.

(26)  För att bättre förstå utmaningarna inom it-säkerhetsområdet, och i syfte att tillhandahålla strategisk långsiktig rådgivning till medlemsstaterna och unionens institutioner, behöver byrån analysera nuvarande och framväxande risker, incidenter och sårbarheter. För detta ändamål bör byrån i samarbete med medlemsstaterna och, om lämpligt, med statistikorgan och andra samla in relevant information och utföra analyser av framväxande teknik och tillhandahålla ämnesspecifika bedömningar om förväntade samhälleliga, rättsliga, ekonomiska och regleringsmässiga konsekvenser av tekniska innovationer inom området nät- och informationssäkerhet, i synnerhet it-säkerhet. Byrån bör också hjälpa medlemsstaterna och unionens institutioner, byråer och organ att identifiera framväxande trender och förebygga problem som rör it-säkerhet, genom att utföra analyser av hot, incidenter och sårbarheter.

Ändringsförslag    13

Förslag till förordning

Skäl 28

Kommissionens förslag

Ändringsförslag

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet om cybersäkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner och organisationer. Byrån bör även bidra till att främja bästa praxis och lösningar för enskilda och organisationer genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa rapporter i syfte att ge vägledning till företag och privatpersoner och att höja den allmänna beredskaps- och resiliensnivån. Byrån bör vidare, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare, i syfte att främja ett säkrare beteende bland enskilda internetanvändare och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, samt främja grundläggande rådgivning om autentisering och dataskydd. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet.

(28)  Byrån bör bidra till att öka allmänhetens medvetenhet om it-säkerhetsrisker och ge vägledning om god praxis för enskilda användare riktad till privatpersoner och organisationer. För att höja den allmänna beredskaps- och resiliensnivån bör byrån även bidra till att främja bästa praxis och lösningar för enskilda och organisationer genom att samla in och analysera offentligt tillgänglig information om betydande incidenter och genom att sammanställa rapporter i syfte att ge vägledning till företag, privatpersoner och relevanta myndigheter på unionsnivå och på nationell nivå. Byrån bör vidare, i samarbete med medlemsstaterna och unionens institutioner, organ, kontor och byråer, organisera informations- och folkbildningskampanjer riktade till slutanvändare. Dessa kampanjer bör främja utbildning i it-säkerhet och ett säkrare beteende bland enskilda internetanvändare och höja medvetenheten om de potentiella hoten i cyberrymden, bland annat it-brottslighet såsom phishingattacker, botnät, ekonomiska bedrägerier och bankbedrägerier, förfalskning och olagligt innehåll, samt förespråka dataskydd och grundläggande autentisering för att förhindra stöld av data och identiteter. Byrån bör spela en central roll när det gäller att höja slutanvändarnas medvetenhet om enheters säkerhet.

Ändringsförslag    14

Förslag till förordning

Skäl 28a (nytt)

Kommissionens förslag

Ändringsförslag

 

(28a)  Byrån bör höja allmänhetens medvetenhet om riskerna med incidenter rörande databedrägeri och datastöld som kan få allvarliga konsekvenser för enskildas grundläggande rättigheter, utgöra ett hot mot rättsstatsprincipen och riskera stabiliteten i demokratiska samhällen, inbegripet de demokratiska processerna i medlemsstaterna.

Ändringsförslag    15

Förslag till förordning

Skäl 30

Kommissionens förslag

Ändringsförslag

(30)  För att se till att byrån fullt ut uppnår sina mål bör den samarbeta med berörda institutioner, byråer och organ, däribland CERT-EU, Europeiska it-brottscentrumet (EC3) vid Europol, Europeiska försvarsbyrån (EDA), Europeiska byrån för den operativa förvaltningen av stora it-system (eu-LISA), Europeiska byrån för luftfartssäkerhet (Easa) och andra EU-organ som arbetar med cybersäkerhet. Byrån bör också samverka med myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om cybersäkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i byråns ständiga intressentgrupp. I samarbetet med rättsvårdande organ om nät- och informationssäkerhetsaspekter som kan påverka deras arbete bör byrån använda existerande informationskanaler och etablerade nätverk.

(30)  För att se till att byrån fullt ut uppnår sina mål bör den samarbeta med berörda institutioner, byråer och organ, däribland CERT-EU, Europeiska it-brottscentrumet (EC3) vid Europol, Europeiska försvarsbyrån (EDA), Europeiska byrån för den operativa förvaltningen av stora it-system (eu-LISA), Europeiska byrån för luftfartssäkerhet (Easa), Europeiska byrån för GNSS (GSA) och andra EU-organ som arbetar med it-säkerhet. Byrån bör också samverka med unionella och nationella myndigheter som hanterar dataskydd för att utbyta sakkunskap och bästa praxis samt ge råd om it-säkerhetsaspekter som kan påverka deras arbete. Företrädare för medlemsstaternas och unionens rättsvårdande myndigheter och dataskyddsmyndigheter bör ha rätt att företrädas i byråns ständiga intressentgrupp. I samarbetet med rättsvårdande organ om nät- och informationssäkerhetsaspekter som kan påverka deras arbete bör byrån använda existerande informationskanaler och etablerade nätverk.

Motivering

Eftersom det finns it-säkerhetsproblem inom Galileo, särskilt inom jordsegmenten, stärker faktiskt samarbetet med Europeiska byrån för GNSS Enisas roll samtidigt som det ökar Galileos trovärdighet.

Ändringsförslag    16

Förslag till förordning

Skäl 35

Kommissionens förslag

Ändringsförslag

(35)  Byrån bör uppmuntra medlemsstaterna och tjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen cybersäkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla eller återvinna produkter och tjänster som inte uppfyller cybersäkerhetsstandarderna. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om cybersäkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters och tjänsters säkerhet, inbegripet cybersäkerhet.

(35)  Byrån bör uppmuntra medlemsstaterna, maskinvaru- och programvarutillverkarna samt IKT- och onlinetjänsteleverantörerna att höja sina allmänna säkerhetsstandarder så att alla internetanvändare kan vidta de åtgärder som krävs för att trygga sin egen it-säkerhet. I synnerhet bör tjänsteleverantörer och produkttillverkare återkalla eller återvinna produkter och tjänster som inte uppfyller it-säkerhetsstandarderna. I samarbete med de behöriga myndigheterna kan Enisa sprida uppgifter om it-säkerhetsnivån för de produkter och tjänster som erbjuds på den inre marknaden, och utfärda varningar riktade till leverantörer och tillverkare och ålägga dem att förbättra sina produkters och tjänsters säkerhet, inbegripet it-säkerhet. Byrån bör samarbeta med intressenter för att utarbeta en unionsomfattande strategi för ett ansvarsfullt utlämnande av uppgifter om sårbarheter, och bör främja bästa praxis på detta område.

Ändringsförslag    17

Förslag till förordning

Skäl 44

Kommissionens förslag

Ändringsförslag

(44)  Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en tillräcklig representation av intressenter i byråns arbete.

(44)  Byrån bör ha en ständig intressentgrupp som rådgivande organ, för att säkerställa en regelbunden dialog med den privata sektorn, konsumentorganisationer och andra berörda intressenter. Den ständiga intressentgruppen, som inrättas av styrelsen på förslag av den verkställande direktören, bör koncentrera sig på frågor som är relevanta för intressenter och uppmärksamma byrån på dem. Den ständiga intressentgruppens sammansättning och de uppgifter som anförtrotts denna grupp, som särskilt rådfrågas om utkastet till arbetsprogram, bör säkerställa en tillräcklig representation av intressenter i byråns arbete. Med tanke på vikten av certifieringskrav för att säkerställa förtroende för sakernas internet bör kommissionen särskilt beakta genomförandeåtgärder för att säkerställa unionsomfattande harmonisering av säkerhetsstandarder för sakernas internet.

Ändringsförslag    18

Förslag till förordning

Skäl 50

Kommissionens förslag

Ändringsförslag

(50)  För närvarande används cybersäkerhetscertifiering av IKT-produkter och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell cybersäkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande cybersäkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning.

(50)  För närvarande används it-säkerhetscertifiering av IKT-produkter och IKT-tjänster endast i begränsad omfattning. I de fall det förekommer är det oftast på medlemsstatsnivå eller inom ramen för industridrivna system. Ett certifikat utfärdat av en nationell it-säkerhetsmyndighet i ett sådant sammanhang erkänns i princip inte av andra medlemsstater. Företag kan därför behöva certifiera sina produkter och tjänster i flera medlemsstater där de bedriver verksamhet, exempelvis för att kunna delta i nationella upphandlingsförfaranden, och dessa förfaranden kan medföra extra kostnader för företagen. Även om nya system utvecklas, tycks det inte finnas någon samlad helhetssyn på övergripande it-säkerhetsfrågor, exempelvis inom området sakernas internet. Befintliga system uppvisar allvarliga brister och skillnader i fråga om produkttäckning, assuransnivå, grundläggande kriterier och faktisk användning. I syfte att säkerställa att tjänster och produkter omfattas av lämpliga certifieringssystem bör en bedömning från fall till fall ske. Därtill tarvas en riskbaserad strategi för en effektiv identifiering av risker och riskreducering och för att undvika ökade kostnader för tillverkarna.

Ändringsförslag    19

Förslag till förordning

Skäl 52

Kommissionens förslag

Ändringsförslag

(52)  Mot bakgrund av ovanstående är det nödvändigt att inrätta en europeisk ram för cybersäkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för cybersäkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella cybersäkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Systemen bör vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

(52)  Mot bakgrund av ovanstående är det nödvändigt att inrätta en harmoniserad europeisk ram för it-säkerhetscertifiering som fastställer de viktigaste övergripande kraven för europeiska system för it-säkerhetscertifiering som ska utvecklas, och som gör att certifikat för IKT-produkter och IKT-tjänster kan erkännas och användas i samtliga medlemsstater. Den europeiska ramen bör ha ett dubbelt syfte: Å ena sidan bör den bidra till att öka förtroendet för IKT-produkter och IKT-tjänster som har certifierats enligt sådana system. Å andra sidan bör den undvika att det uppstår flera olika motstridiga eller överlappande nationella it-säkerhetscertifieringar och därmed minska kostnaderna för företag som är verksamma på den digitala inre marknaden. Systemen bör vara icke-diskriminerande och grundas på internationella och/eller unionens standarder såvida inte dessa standarder är ineffektiva eller olämpliga för att förverkliga EU:s legitima mål i detta avseende.

Ändringsförslag    20

Förslag till förordning

Skäl 55

Kommissionens förslag

Ändringsförslag

(55)  Syftet med europeiska system för cybersäkerhetscertifiering bör vara att se till att IKT-produkter och IKT-tjänster som certifierats enligt ett sådant system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss assuransnivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa cybersäkerhetskraven för alla IKT-produkter och IKT-tjänster. IKT-produkter och IKT-tjänster och relaterade cybersäkerhetsbehov är så olikartade att det är mycket svårt att ta fram allmänna cybersäkerhetskrav som är giltiga över hela linjen. Det är därför nödvändigt att anta ett brett och allmänt cybersäkerhetsbegrepp när det gäller certifieringsändamål, kompletterat med en uppsättning specifika cybersäkerhetmål som måste beaktas vid utformningen av europeiska system för cybersäkerhetscertifiering. Formerna för att uppnå dessa mål i specifika IKT-produkter och IKT-tjänster bör sedan fastställas i detalj för det enskilda certifieringssystem som antas av kommissionen, till exempel genom hänvisningar till standarder eller tekniska specifikationer.

(55)  Syftet med europeiska system för it-säkerhetscertifiering bör vara att se till att IKT-produkter och IKT-tjänster som certifierats enligt ett sådant system uppfyller de angivna kraven. Dessa krav gäller förmågan att, vid en viss assuransnivå, stå emot åtgärder som syftar till att äventyra tillgängligheten, autenticiteten, integriteten och konfidentialiteten hos lagrade eller överförda eller behandlade uppgifter eller de därmed sammanhängande funktioner eller tjänster som tillhandahålls av eller är tillgängliga via dessa produkter, processer, tjänster och system i den mening som avses i denna förordning. Det är inte möjligt att i denna förordning i detalj fastställa it-säkerhetskraven för alla IKT-produkter och IKT-tjänster. IKT-produkter och IKT-tjänster och relaterade it-säkerhetsbehov är så olikartade, och detsamma gäller dessas livscykel, att det är mycket svårt att ta fram allmänna it-s