ZPRÁVA o návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
12. 2. 2014 - (COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD)) - ***I
Výbor pro vnitřní trh a ochranu spotřebitelů
Zpravodaj: Andreas Schwab
Navrhovatelé (*):
Pilar del Castillo Vera, Výbor pro průmysl, výzkum a energetiku,
Carl Schlyter, Výbor pro občanské svobody, spravedlnost a vnitřní věci
(*) Postup s přidruženými výbory – článek 50 jednacího řádu
NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU
o návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
(Řádný legislativní postup: první čtení)
Evropský parlament,
– s ohledem na návrh Komise předložený Evropskému parlamentu a Radě (COM(2013)0048),
– s ohledem na čl. 294 odst. 2 a článek 114 Smlouvy o fungování Evropské unie, v souladu s nimiž Komise předložila svůj návrh Parlamentu (C7‑0035/2013),
– s ohledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,
– s ohledem na článek 55 jednacího řádu,
– s ohledem na stanovisko Evropského hospodářského a sociálního výboru ze dne 22. května 2013[1],
– s ohledem na usnesení Evropského parlamentu ze dne 12. září 2013 o strategii kybernetické bezpečnosti Evropské unie: Otevřený, bezpečný a chráněný kyberprostor[2],
– s ohledem na zprávu Výboru pro vnitřní trh a ochranu spotřebitelů a stanoviska Výboru pro zahraniční věci, Výboru pro průmysl, výzkum a energetiku a Výboru pro občanské svobody, spravedlnost a vnitřní věci (A7-0103/2014),
1. přijímá níže uvedený postoj v prvním čtení;
2. vyzývá Komisi, aby věc znovu postoupila Parlamentu, bude-li mít v úmyslu svůj návrh podstatně změnit nebo jej nahradit jiným textem;
3. pověřuje svého předsedu, aby předal postoj Parlamentu Radě, Komisi a vnitrostátním parlamentům.
Pozměňovací návrh 1 Návrh směrnice Bod odůvodnění 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro svobodu a všeobecnou bezpečnost občanů Unie, jakož i pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
Pozměňovací návrh 2 Návrh směrnice Bod odůvodnění 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie. |
(2) Rozsah, četnost výskytu a dopad bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto systémy se rovněž mohou stát snadným cílem úmyslných škodlivých akcí, jejichž cílem je poškodit nebo narušit provoz systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a investorů a způsobovat značnou újmu hospodářství Unie a nakonec i ohrožovat dobré životní podmínky občanů Unie a schopnost členských států chránit se a zajišťovat bezpečnost klíčové infrastruktury. |
Pozměňovací návrh 3 Návrh směrnice Bod odůvodnění 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(3a) Jelikož systémová selhání vznikají i nadále obvykle nezáměrně, například kvůli přírodním okolnostem nebo lidské chybě, infrastruktura by měla být odolná vůči úmyslným i neúmyslným narušením a provozovatelé kritické infrastruktury by měli navrhovat systémy založené na odolnosti. |
Pozměňovací návrh 4 Návrh směrnice Bod odůvodnění 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(4) Na úrovni Unie by měl být zřízen mechanismus spolupráce, který by umožnil výměnu informací a koordinované odhalování a reakci v záležitostech týkajících se bezpečnosti sítí a informací. Aby byl tento mechanismus účinný a všeobecně přístupný, musí mít všechny členské státy alespoň minimální kapacity a strategii, které zajistí vysoký stupeň bezpečnosti sítí a informací na jejich území. Minimální požadavky na bezpečnost by se měly vztahovat rovněž na orgány veřejné správy a provozovatele kritické informační infrastruktury, aby byla podpořena kultura řízení rizik a zaručeno oznamování nejzávažnějších incidentů. |
(4) Na úrovni Unie by měl být zřízen mechanismus spolupráce, který by umožnil výměnu informací a koordinovanou prevenci, odhalování a reakci v záležitostech týkajících se bezpečnosti sítí a informací. Aby byl tento mechanismus účinný a všeobecně přístupný, musí mít všechny členské státy alespoň minimální kapacity a strategii, které zajistí vysoký stupeň bezpečnosti sítí a informací na jejich území. Minimální požadavky na bezpečnost by se měly vztahovat alespoň na určité hospodářské subjekty, aby byla podpořena kultura řízení rizik a zaručeno oznamování nejzávažnějších incidentů. Společnosti kotované na burze by měly být podporovány v dobrovolném zveřejňování incidentů ve svých finančních zprávách. Právní rámec by měl vycházet z potřeby chránit soukromí a integritu občanů. Výstražná informační síť kritické infrastruktury (CIWIN) by se měla rozšířit i na hospodářské subjekty, na něž se vztahuje tato směrnice. |
Pozměňovací návrh 5 Návrh směrnice Bod odůvodnění 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4a) Orgány veřejné správy, jež jsou pověřeny výkonem veřejné služby, by měly ke správě a ochraně své vlastní sítě a informačních systémů přistupovat s náležitou péčí, avšak tato směrnice by se měla zaměřit na kritickou infrastrukturu, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů a zdravotnictví. Z oblasti působnosti této směrnice by měli být vyloučeni vývojáři softwaru a výrobci hardwaru. |
Pozměňovací návrh 6 Návrh směrnice Bod odůvodnění 4 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4b) Jsou-li incidenty, které mají významný dopad, považovány za incidenty vnější a teroristické povahy, měla by být zajištěna spolupráce a koordinace mezi příslušnými orgány Unie, vysokým představitelem / místopředsedou odpovědným za společnou zahraniční a bezpečností politiku a společnou bezpečnostní a obrannou politiku a protiteroristickým koordinátorem EU. |
Pozměňovací návrh 7 Návrh směrnice Bod odůvodnění 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(6) Stávající kapacity nejsou pro zajištění vysokého stupně bezpečnosti sítí a informací v Unii dostačující. Míra připravenosti jednotlivých členských států se velmi liší, což vede v rámci Unie k roztříštěnosti přístupů. Důsledkem je různá úroveň ochrany spotřebitelů a podniků a zhoršená celková úroveň bezpečnosti sítí a informací v Unii. Kvůli neexistenci společných minimálních požadavků, jež by byly stanoveny pro veřejnou správu a hospodářské subjekty, je pak nemožné nastavit komplexní a účinný mechanismus spolupráce na úrovni Unie. |
(6) Stávající kapacity nejsou pro zajištění vysokého stupně bezpečnosti sítí a informací v Unii dostačující. Míra připravenosti jednotlivých členských států se velmi liší, což vede v rámci Unie k roztříštěnosti přístupů. Důsledkem je různá úroveň ochrany spotřebitelů a podniků a zhoršená celková úroveň bezpečnosti sítí a informací v Unii. Kvůli neexistenci společných minimálních požadavků, jež by byly stanoveny pro hospodářské subjekty, je pak nemožné nastavit komplexní a účinný mechanismus spolupráce na úrovni Unie. Univerzity a výzkumná centra mají rozhodující úlohu, pokud jde o stimulaci výzkumu, vývoje a inovace v těchto oblastech, a mělo by jim být poskytnuto náležité financování. |
Pozměňovací návrh 8 Návrh směrnice Bod odůvodnění 7 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(7) Účinná odezva na výzvy, jež přináší bezpečnost sítí a informačních systémů, proto vyžaduje komplexní přístup na úrovni Unie, jenž se vztahuje na společné minimální požadavky, pokud jde o plánování a budování kapacit, výměnu informací a koordinaci opatření, jakož i společné minimální bezpečnostní požadavky, jež se týkají všech dotčených hospodářských subjektů a orgánů veřejné správy. |
(7) Účinná odezva na výzvy, jež přináší bezpečnost sítí a informačních systémů, proto vyžaduje komplexní přístup na úrovni Unie, jenž se vztahuje na společné minimální požadavky, pokud jde o plánování a budování kapacit, rozvíjení dostatečných dovedností v oblasti kybernetické bezpečnosti, výměnu informací a koordinaci opatření, jakož i společné minimální bezpečnostní požadavky. Minimální společné normy by měly být uplatňovány v souladu s příslušnými doporučeními koordinačních skupin pro kybernetickou bezpečnost. |
Pozměňovací návrh 9 Návrh směrnice Bod odůvodnění 8 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8) Ustanoveními této směrnice by neměla být dotčena možnost jednotlivých členských států přijmout nezbytná opatření, aby tak zajistily ochranu svých zásadních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů . Podle článku 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění považuje za neslučitelné se svými základními bezpečnostními zájmy. |
(8) Ustanoveními této směrnice by neměla být dotčena možnost jednotlivých členských států přijmout nezbytná opatření, aby tak zajistily ochranu svých zásadních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů . Podle článku 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění považuje za neslučitelné se svými základními bezpečnostními zájmy. Žádný členský stát není povinen poskytnout utajované informace EU podle definice v rozhodnutí Rady ze dne 31. března 2011 o bezpečnostních pravidlech na ochranu utajovaných informací (2011/292/EU), informace podléhající dohodám o zachování důvěrnosti nebo neformálním dohodám o zachování důvěrnosti, jako je například tzv. Traffic Light Protocol. |
Odůvodnění | |
Cílem tohoto pozměňovacího návrhu je vyjasnit, jak se v rámci této směrnice přistupuje k důvěrným informacím. | |
Pozměňovací návrh 10 Návrh směrnice Bod odůvodnění 9 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie. |
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba na základě minimálních požadavků stanovených v této směrnici vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie, přičemž je třeba respektovat a chránit soukromý život a osobní údaje. Každý členský stát by proto měl být povinen splňovat společné normy týkající se formátu údajů a vzájemné vyměnitelnosti údajů, které se mají sdílet a hodnotit. Členské státy by při vyvíjení svých vnitrostátních strategií pro bezpečnost sítí a informací vycházejících z plánu pro vypracovávání společné minimální strategie pro bezpečnost sítí a informací měly mít možnost požádat o pomoc Agenturu Evropské unie pro bezpečnost sítí a informaci (ENISA). |
Pozměňovací návrh 11 Návrh směrnice Bod odůvodnění 10 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(10a) Vzhledem k odlišnostem jednotlivých vnitrostátních struktur správy a s cílem zabezpečit již existující odvětvová opatření nebo kontrolní a regulační orgány Unie a zamezit zdvojování by členské státy měly mít možnost jmenovat více než jeden vnitrostátní orgán odpovědný za plnění úkolů spojených s bezpečností sítí a informačních systémů hospodářských subjektů podle této směrnice. V zájmu zajištění bezproblémové přeshraniční spolupráce a komunikace je však nezbytné, aniž by tím byla dotčena regulační odvětvová opatření, aby každý členský stát jmenoval pouze jedno vnitrostátní jednotné kontaktní místo pověřené přeshraniční spoluprací na úrovni Unie. Vyžaduje-li to jeho ústavní struktura nebo jiné uspořádání, měl by mít členský stát možnost jmenovat pouze jeden orgán pro výkon úkolů odpovědného orgánu a jednotného kontaktního místa. Odpovědné orgány a jednotná kontaktní místa by měly být civilní orgány podléhající plnému demokratickému dohledu a neměly by vykonávat žádné úkoly v oblasti zpravodajské činnosti, vynucování práva nebo obrany ani by neměly být nijak napojeny na orgány činné v těchto oblastech. |
Pozměňovací návrh 12 Návrh směrnice Bod odůvodnění 11 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(11) Všechny členské státy by měly být náležitě vybaveny jak technicky, tak organizačně, aby mohly předcházet vzniku incidentů a rizik spojených se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Ve všech členských státech by proto měly být zřízeny dobře fungující skupiny pro reakci na počítačové hrozby splňující základní požadavky, aby byly zaručeny efektivní a kompatibilní kapacity pro řešení incidentů a rizik a zajištěna účinná spolupráce na úrovni Unie. |
(11) Všechny členské státy a hospodářské subjekty by měly být náležitě vybaveny jak technicky, tak organizačně, aby mohly kdykoli předcházet vzniku incidentů a rizik spojených se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Bezpečnostní systémy orgánů veřejné správy by měly být zajištěny a měly by podléhat demokratické kontrole a dohledu. Běžně požadované vybavení a kapacity by měly splňovat obecně dohodnuté technické předpisy a také standardní postupy provozu. Ve všech členských státech by proto měly být zřízeny dobře fungující skupiny pro reakci na počítačové hrozby (CERT) splňující základní požadavky, aby byly zaručeny efektivní a kompatibilní kapacity pro řešení incidentů a rizik a zajištěna účinná spolupráce na úrovni Unie. Tyto skupiny CERT by měly mít možnost vzájemné spolupráce na základě společných technických norem a standardních postupů provozu. S ohledem na různé charakteristiky stávajících skupin CERT, což odpovídá různým potřebám příslušných subjektů a různým aktérům, by členské státy měly zaručit, aby každému z odvětví uvedených na seznamu hospodářských subjektů stanovených touto směrnicí poskytovala služby alespoň jedna skupina CERT. Pokud jde o přeshraniční spolupráci skupin CERT, měly by členské státy zajistit, aby tyto skupiny měly dostatek prostředků na to, aby se zapojily do stávajících mezinárodních a unijních sítí spolupráce. |
Odůvodnění | |
Je nutné zajistit interoperabilitu. | |
Pozměňovací návrh 13 Návrh směrnice Bod odůvodnění 12 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(12) Členské státy a Komise by měly využít značného pokroku, kterého dosáhlo Evropské fórum členských států (EFMS) v podporování diskuzí a výměny informací o osvědčených postupech v této oblasti politiky, včetně vypracování zásad spolupráce v případě evropské počítačové krize, a vytvořit síť na podporu vzájemné spolupráce a stálé komunikace. Tento mechanismus pro bezpečnou a efektivní spolupráci by měl umožnit strukturovanou a koordinovanou výměnu informací a odhalování a reakci na úrovni Unie. |
(12) Členské státy a Komise by měly využít značného pokroku, kterého dosáhlo Evropské fórum členských států (EFMS) v podporování diskuzí a výměny informací o osvědčených postupech v této oblasti politiky, včetně vypracování zásad spolupráce v případě evropské počítačové krize, a vytvořit síť na podporu vzájemné spolupráce a stálé komunikace. Tento mechanismus pro bezpečnou a efektivní spolupráci, případně včetně účasti hospodářských subjektů, by měl umožnit strukturovanou a koordinovanou výměnu informací a odhalování a reakci na úrovni Unie. |
Pozměňovací návrh 14 Návrh směrnice Bod odůvodnění 13 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(13) Evropská agentura pro bezpečnost sítí a informací (ENISA) by měla členským státům a Komisi pomoci poskytnutím svých odborných znalostí a doporučení a umožněním vzájemné výměny osvědčených postupů. Především Komise by při uplatňování této směrnice měla agenturu ENISA konzultovat. V zájmu účinného a včasného poskytování informací členským státům a Komisi by v rámci sítě pro spolupráci měla být vydávána včasná varování o vzniku incidentů a rizik. Síť pro spolupráci by rovněž měla sloužit jako nástroj pro vzájemnou výměnu osvědčených postupů, pomáhat svým členům při budování kapacit, řídit organizaci vzájemných hodnocení a plnění úkolů souvisejících s bezpečností sítí a informací, aby se v členských státech vybudovaly kapacity a příslušná znalostní základna. |
(13) Agentura ENISA by měla členským státům a Komisi pomoci poskytnutím svých odborných znalostí a doporučení a umožněním vzájemné výměny osvědčených postupů. Především Komise a členské státy by při uplatňování této směrnice měly agenturu ENISA konzultovat. V zájmu účinného a včasného poskytování informací členským státům a Komisi by v rámci sítě pro spolupráci měla být vydávána včasná varování o vzniku incidentů a rizik. Síť pro spolupráci by rovněž měla sloužit jako nástroj pro vzájemnou výměnu osvědčených postupů, pomáhat svým členům při budování kapacit, řídit organizaci vzájemných hodnocení a plnění úkolů souvisejících s bezpečností sítí a informací, aby se v členských státech vybudovaly kapacity a příslušná znalostní základna. |
Pozměňovací návrh 15 Návrh směrnice Bod odůvodnění 13 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(13a) Při uplatňování ustanovení této směrnice by členské státy případně měly mít možnost využít nebo přizpůsobit stávající organizační struktury či strategie. |
Pozměňovací návrh 16 Návrh směrnice Bod odůvodnění 14 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(14) Měla by být vytvořena infrastruktura pro bezpečné sdílení informací, která umožní výměnu citlivých a důvěrných informací v rámci sítě pro spolupráci. Přístup k důvěrným informacím z jiného členského státu by měl být členskému státu poskytnut, pouze pokud prokáže, že jeho technické, finanční a lidské zdroje a postupy, jakož i komunikační infrastruktura, zaručují jeho účinné a bezpečné zapojení do sítě, aniž by tím byla dotčena jeho povinnost ohlašovat uvnitř sítě pro spolupráci incidenty a rizika unijních rozměrů. |
(14) Měla by být vytvořena infrastruktura pro bezpečné sdílení informací, která umožní výměnu citlivých a důvěrných informací v rámci sítě pro spolupráci. Za tímto účelem by měly být plně využity stávající struktury v rámci Unie. Přístup k důvěrným informacím z jiného členského státu by měl být členskému státu poskytnut, pouze pokud prokáže, že jeho technické, finanční a lidské zdroje a postupy, jakož i komunikační infrastruktura, zaručují jeho účinné a bezpečné zapojení do sítě, aniž by tím byla dotčena jeho povinnost ohlašovat uvnitř sítě pro spolupráci incidenty a rizika unijních rozměrů, a za použití transparentních metod. |
Pozměňovací návrh 17 Návrh směrnice Bod odůvodnění 15 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a sdílet informace a osvědčené postupy výměnou za provozní podporu v případě vzniku incidentu. |
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a vzájemně sdílet informace a osvědčené postupy včetně vzájemné výměny relevantních informací a provozní podpory a strategicky analyzovaných informací v případě vzniku incidentu. V zájmu účinné podpory sdílení informací a osvědčených postupů je zásadní zajistit, aby hospodářské subjekty, které se na těchto výměnách podílejí, nebyly v důsledku své spolupráce znevýhodněny. Je třeba poskytnout náležité záruky k zajištění toho, aby z důvodu této spolupráce nebyly tyto subjekty vystaveny vyššímu riziku nedodržení předpisů ani novým odpovědnostem vyplývajícím mimo jiné z právních předpisů v oblasti hospodářské soutěže, duševního vlastnictví, ochrany údajů nebo kyberkriminality a aby nebyly vystaveny ani zvýšenému provoznímu nebo bezpečnostnímu riziku. |
Pozměňovací návrh 18 Návrh směrnice Bod odůvodnění 16 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by zveřejňovaly informace o incidentech a rizicích, které nemají důvěrný charakter. |
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v Unii by jednotná kontaktní místa měla zřídit společné internetové stránky pro celou Unii, na nichž by se zveřejňovaly informace o incidentech, rizicích a prostředcích snižování rizik, které nemají důvěrný charakter, a na kterých by se v případě potřeby poskytovalo poradenství ohledně vhodných opatření týkajících se údržby. Informace na internetových stránkách by měly být dostupné bez ohledu na použité zařízení. Jakékoli osobní údaje zveřejněné na těchto internetových stránkách by měly být omezeny na nezbytné minimum a měly by být co nejanonymnější. |
Pozměňovací návrh 19 Návrh směrnice Bod odůvodnění 18 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(18) Na základě především vnitrostátních zkušeností s řešením krizí a ve spolupráci s agenturou ENISA by členské státy měly vypracovat evropský plán spolupráce v oblasti bezpečnosti sítí a informací, který by vymezil mechanismy spolupráce pro potírání rizik a incidentů. Tento plán by měl být řádně zohledněn při práci s včasnými varováními v síti pro spolupráci. |
(18) Na základě především vnitrostátních zkušeností s řešením krizí a ve spolupráci s agenturou ENISA by členské státy měly vypracovat evropský plán spolupráce v oblasti bezpečnosti sítí a informací, který by vymezil mechanismy spolupráce, osvědčené postupy a operační schémata pro prevenci, zjišťování a potírání rizik a incidentů a podávání zpráv o nich. Tento plán by měl být řádně zohledněn při práci s včasnými varováními v síti pro spolupráci. |
Pozměňovací návrh 20 Návrh směrnice Bod odůvodnění 19 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(19) Oznámení o vydání včasného varování v této síti by mělo být vyžadováno pouze v případě, že rozsah a závažnost daného incidentu nebo rizika jsou nebo by se mohly stát natolik významnými, že je nutné informovat nebo koordinovaně zareagovat na úrovni Unie. Včasná varování by se proto měla omezit na skutečné nebo hrozící incidenty či rizika, jež rychle rostou, přesahují národní reakční kapacitu nebo postihují více než jeden členský stát. Pro účely řádného vyhodnocení daného rizika nebo incidentu by měly být všechny informace, které jsou relevantní pro jeho posouzení, sděleny prostřednictvím sítě pro spolupráci. |
(19) Oznámení o vydání včasného varování v této síti by mělo být vyžadováno pouze v případě, že rozsah a závažnost daného incidentu nebo rizika jsou nebo by se mohly stát natolik významnými, že je nutné informovat nebo koordinovaně zareagovat na úrovni Unie. Včasná varování by se proto měla omezit na incidenty či rizika, jež rychle rostou, přesahují národní reakční kapacitu nebo postihují více než jeden členský stát. Pro účely řádného vyhodnocení daného rizika nebo incidentu by měly být všechny informace, které jsou relevantní pro jeho posouzení, sděleny prostřednictvím sítě pro spolupráci. |
Pozměňovací návrh 21 Návrh směrnice Bod odůvodnění 20 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(20) Jakmile obdrží a vyhodnotí včasné varování, měly by se odpovědné orgány dohodnout na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací. Odpovědné orgány a Komise by měly být informovány o tom, jaká opatření byla na základě koordinované reakce na vnitrostátní úrovni přijata. |
(20) Jakmile obdrží a vyhodnotí včasné varování, měla by se jednotná kontaktní místa dohodnout na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací. Jednotná kontaktní místa, agentura ENISA a Komise by měly být informovány o tom, jaká opatření byla na základě koordinované reakce na vnitrostátní úrovni přijata. |
Pozměňovací návrh 22 Návrh směrnice Bod odůvodnění 21 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(21) Vzhledem ke globální povaze problémů bezpečnosti sítí a informací je nutná užší mezinárodní spolupráce zaměřená na zdokonalení bezpečnostních norem a výměnu informací a prosazování společného a komplexního přístupu k otázkám bezpečnosti sítí a informací. |
(21) Vzhledem ke globální povaze problémů bezpečnosti sítí a informací je nutná užší mezinárodní spolupráce zaměřená na zdokonalení bezpečnostních norem a výměnu informací a prosazování společného a komplexního přístupu k otázkám bezpečnosti sítí a informací. Jakýkoli rámec pro tuto mezinárodní spolupráci by měl podléhat ustanovením směrnice 95/46/ES a nařízení (ES) č. 45/2001. |
Pozměňovací návrh 23 Návrh směrnice Bod odůvodnění 22 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na orgánech veřejné správy a hospodářských subjektech. Stanovením vhodných právních povinností a pomocí dobrovolných postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, včetně posuzování rizik a zavádění bezpečnostních opatření úměrných hrozícím rizikům. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření rovných podmínek. |
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na hospodářských subjektech. Stanovením vhodných právních povinností a pomocí dobrovolných postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, úzké spolupráce a důvěry, včetně posuzování rizik a zavádění bezpečnostních opatření úměrných rizikům a incidentům, ať již úmyslným nebo náhodným. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření důvěryhodných rovných podmínek. |
Pozměňovací návrh 24 Návrh směrnice Bod odůvodnění 24 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(24) Uvedené povinnosti by měly platit i mimo odvětví elektronických komunikací a vztahovat se na klíčové poskytovatele služeb informační společnosti, jak je stanoveno ve směrnici Evropského Parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti27, jež podporují následné služby informační společnosti či online aktivity, jako jsou například platformy elektronického obchodu, internetové platební brány, sociální sítě, vyhledavače, služby cloud computingu a obchody s aplikacemi. Narušení těchto služeb vytvářejících informační společnost brání poskytování dalších služeb informační společnosti, které jsou na nich jakožto na klíčových vstupech závislé. Vývojáři softwaru a výrobci hardwaru nejsou poskytovateli služeb informační společnosti, a jsou proto z této povinnosti vyňati. Uvedené povinnosti by se rovněž měly vztahovat na orgány veřejné správy a provozovatele kritických infrastruktur, které jsou silně závislé na informačních a komunikačních technologiích a mají zásadní význam pro zachování životně důležitých ekonomických a společenských funkcí, jako elektřina a plyn, doprava, úvěrové instituce, burzy cenných papírů a zdravotnictví. Narušení těchto sítí a informačních systémů by zasáhlo vnitřní trh. |
(24) Uvedené povinnosti by měly platit i mimo odvětví elektronických komunikací a vztahovat se na provozovatele infrastruktur, které jsou silně závislé na informačních a komunikačních technologiích a mají zásadní význam pro zachování životně důležitých ekonomických či společenských funkcí, jako jsou elektřina a plyn, doprava, úvěrové instituce, infrastruktura finančních trhů a zdravotnictví. Narušení těchto sítí a informačních systémů by zasáhlo vnitřní trh. Přestože by se povinnosti stanovené touto směrnicí neměly vztahovat na klíčové poskytovatele služeb informační společnosti, jak je stanoveno ve směrnici Evropského Parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti27, jež podporují následné služby informační společnosti či online aktivity, jako jsou například platformy elektronického obchodu, internetové platební brány, sociální sítě, vyhledavače, služby cloud computingu obecně nebo a obchody s aplikacemi, mohli by tito poskytovatelé dle uvážení dobrovolně informovat odpovědný orgán nebo jednotné kontaktní místo o incidentech souvisejících s bezpečností sítě. Odpovědný orgán nebo jednotné kontaktní místo by podle možností měly poskytnout hospodářským subjektům, které incident ohlásily, strategicky analyzované informace, které pomohou bezpečnostní hrozbu vyřešit. |
Pozměňovací návrh 25 Návrh směrnice Bod odůvodnění 24 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(24a) Přestože poskytovatelé hardwaru a softwaru nejsou hospodářskými subjekty srovnatelnými s těmi hospodářskými subjekty, na které se vztahuje tato směrnice, jejich produkty přispívají k bezpečnosti sítí a informačních systémů. Tito poskytovatelé hrají tudíž důležitou úlohu v tom, že hospodářským subjektům umožňují zabezpečit jejich sítě a informační infrastruktury. Vzhledem k tomu, že hardwarové a softwarové produkty již podléhají stávajícím předpisům o odpovědnosti za výrobky, měly by členské státy zajistit, aby tyto předpisy byly vymáhány. |
Pozměňovací návrh 26 Návrh směrnice Bod odůvodnění 25 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(25) Technická a organizační opatření, jež by měly přijímat orgány veřejné správy a hospodářské subjekty, by neměla vyžadovat, aby byla konkrétní komerční informační a komunikační technologie navržena, vyvinuta nebo vyrobena určitým konkrétním způsobem. |
(25) Technická a organizační opatření, jež by měly přijímat hospodářské subjekty, by neměla vyžadovat, aby byla konkrétní komerční informační a komunikační technologie navržena, vyvinuta nebo vyrobena určitým konkrétním způsobem. |
Pozměňovací návrh 27 Návrh směrnice Bod odůvodnění 26 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(26) Orgány veřejné správy a hospodářské subjekty by měly zajistit bezpečnost jimi řízených sítí a informačních systémů. K těm by patřily především soukromé sítě a systémy buď řízené jejich vlastními odděleními IT, nebo takové, jejichž bezpečnost zajišťuje externí dodavatel. Povinnosti týkající se zabezpečení a oznamování by měly platit pro příslušné orgány veřejné správy a hospodářské subjekty bez ohledu na to, zda své sítě a informační systémy spravují interně nebo s pomocí externího dodavatele. |
(26) Hospodářské subjekty by měly zajistit bezpečnost jimi řízených sítí a informačních systémů. K těm by patřily především soukromé sítě a systémy buď řízené jejich vlastními odděleními IT, nebo takové, jejichž bezpečnost zajišťuje externí dodavatel. Povinnosti týkající se zabezpečení a oznamování by měly platit pro příslušné hospodářské subjekty bez ohledu na to, zda své sítě a informační systémy spravují interně nebo s pomocí externího dodavatele. |
Pozměňovací návrh 28 Návrh směrnice Bod odůvodnění 28 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(28) Odpovědné orgány by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Zveřejňování incidentů oznámených odpovědným orgánům by mělo být přiměřené zájmu veřejnosti na informacích o hrozbách, jež by mohly poškodit dobrou pověst či obchodní zájmy orgánů veřejné správy a hospodářských subjektů, které incidenty ohlašují. Při zavádění ohlašovací povinnosti by odpovědné orgány měly věnovat pozornost především skutečnosti, že informace o zranitelnosti produktu musí až do zjednání odpovídající nápravy v oblasti bezpečnosti zůstat přísně důvěrné. |
(28) Odpovědné orgány a jednotná kontaktní místa by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Odpovědné orgány a jednotná kontaktní místa by měly informovat výrobce dotčených produktů a poskytovatelé dotčených služeb v oblasti informačních a komunikačních technologií o incidentech s významným dopadem, které jim byly oznámeny. Zveřejňování incidentů oznámených odpovědným orgánům a jednotným kontaktním místům by mělo být přiměřené zájmu veřejnosti na informacích o hrozbách, jež by mohly poškodit dobrou pověst či obchodní zájmy hospodářských subjektů, které incidenty ohlašují. Při zavádění ohlašovací povinnosti by odpovědné orgány a jednotná kontaktní místa měly věnovat pozornost především skutečnosti, že informace o zranitelnosti produktu musí až do zjednání odpovídající nápravy v oblasti bezpečnosti zůstat přísně důvěrné. Jednotná kontaktní místa by zpravidla neměla zveřejňovat osobní údaje jednotlivců zapojených do incidentů. Jednotná kontaktní místa by měla osobní údaje zveřejňovat pouze tehdy, je-li jejich zveřejnění nezbytné a přiměřené sledovanému cíli. |
Pozměňovací návrh 29 Návrh směrnice Bod odůvodnění 29 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(29) Odpovědné orgány by měly mít k dispozici potřebné prostředky k výkonu svých povinností, včetně pravomoci získat od hospodářských subjektů a orgánů veřejné správy dostatek informací, aby mohly posoudit míru bezpečnosti sítí a informačních systémů, jakož i spolehlivých a úplných dat týkajících se skutečných bezpečnostních incidentů, jež měly dopad na provoz sítí a informačních systémů. |
(29) Odpovědné orgány by měly mít k dispozici potřebné prostředky k výkonu svých povinností, včetně pravomoci získat od hospodářských subjektů dostatek informací, aby mohly posoudit míru bezpečnosti sítí a informačních systémů, určit počet, velikost a rozsah incidentů, jakož i spolehlivá a úplná data týkající se skutečných bezpečnostních incidentů, jež měly dopad na provoz sítí a informačních systémů.
|
Pozměňovací návrh 30 Návrh směrnice Bod odůvodnění 30 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(30) Na pozadí mnoha bezpečnostních incidentů je často trestná činnost. Trestněprávní povahu incidentů lze usuzovat, i pokud důkazy o ní nejsou od začátku dostatečně jasné. V tomto kontextu by měla být součástí účinné a komplexní reakce na hrozbu bezpečnostního incidentu odpovídající spolupráce mezi odpovědnými a donucovacími orgány. Prosazování zabezpečeného, bezpečného a odolnějšího prostředí pak vyžaduje především systematické oznamování incidentů, u nichž panuje podezření, že mají povahu závažného trestného činu, donucovacím orgánům. To, zda mají incidenty povahu závažného trestného činu, by mělo být posuzováno ve světle předpisů EU o kyberkriminalitě. |
(30) Na pozadí mnoha bezpečnostních incidentů je často trestná činnost. Trestněprávní povahu incidentů lze usuzovat, i pokud důkazy o ní nejsou od začátku dostatečně jasné. V tomto kontextu by měla být součástí účinné a komplexní reakce na hrozbu bezpečnostního incidentu odpovídající spolupráce mezi odpovědnými orgány, jednotnými kontaktními místy a donucovacími orgány a také spolupráce s centrem Europolu pro boj proti kyberkriminalitě (EC3) a agenturou ENISA. Prosazování zabezpečeného, bezpečného a odolnějšího prostředí pak vyžaduje především systematické oznamování incidentů, u nichž panuje podezření, že mají povahu závažného trestného činu, donucovacím orgánům. To, zda mají incidenty povahu závažného trestného činu, by mělo být posuzováno ve světle předpisů EU o kyberkriminalitě. |
Pozměňovací návrh 31 Návrh směrnice Bod odůvodnění 31 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(31) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. V tomto ohledu by odpovědné orgány a úřady pro ochranu údajů měly spolupracovat a vyměňovat si informace o všech významných skutečnostech, aby zabránily porušení ochrany osobních údajů, k němuž v důsledku incidentů dochází. Členské státy by měly povinnost oznamovat bezpečnostní incidenty zavádět tak, aby v případě, že je incident zároveň porušením ochrany osobních údajů podle nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů, byla administrativní zátěž minimální. Agentura ENISA, ve spolupráci s odpovědnými orgány a úřady pro ochranu údajů, by mohla přispět vytvořením mechanismů a vzorových formulářů pro výměnu informací, aby se pro oznamování nemusely používat dva formuláře. Tento jednotný oznamovací formulář by usnadnil oznamování incidentů, kterými zároveň dochází k porušení ochrany osobních údajů, a zmírnil tak administrativní zátěž pro podniky a orgány veřejné správy. |
(31) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. Členské státy a hospodářské subjekty by měly chránit ukládané, zpracovávané nebo přenášené osobní údaje před náhodným nebo nezákonným zničením, náhodnou ztrátou nebo změnou a před neoprávněným nebo nezákonným ukládáním, zpřístupněním, zveřejněním či šířením, a měly by zajistit provádění bezpečnostní politiky týkající se zpracovávání osobních údajů. V tomto ohledu by odpovědné orgány, jednotná kontaktní místa a úřady pro ochranu údajů měly spolupracovat a vyměňovat si informace, a to případně i s hospodářskými subjekty, s cílem zabránit porušení ochrany osobních údajů, k němuž v důsledku incidentů dochází, v souladu s platnými předpisy o ochraně údajů. Povinnost oznamovat bezpečnostní incidenty by měla být vykonávána tak, aby v případě, že je incident zároveň porušením ochrany osobních údajů, jež musí být podle právních předpisů Unie o ochraně údajů oznámeno, byla administrativní zátěž minimální. Agentura ENISA by měla přispět vytvořením mechanismů pro výměnu informací a jednotného oznamovacího formuláře, jenž by usnadnil oznamování incidentů, kterými zároveň dochází k porušení ochrany osobních údajů, a zmírnil tak administrativní zátěž pro podniky a orgány veřejné správy. |
Pozměňovací návrh 32 Návrh směrnice Bod odůvodnění 32 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(32) Standardizace bezpečnostních požadavků vychází z potřeb trhu. V zájmu zajištění jednotného uplatňování bezpečnostních norem by členské státy měly podporovat dodržování či soulad s určitými normami, tak aby byla zaručena vysoká míra bezpečnosti na úrovni Unie. Za tímto účelem může být nutné vypracovat jednotné normy, které by měly být v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES29. |
(32) Standardizace bezpečnostních požadavků je dobrovolným procesem vycházejícím z potřeb trhu, který by měl umožnit hospodářským subjektům používat alternativní prostředky k dosažení alespoň podobných výsledků. V zájmu zajištění jednotného uplatňování bezpečnostních norem by členské státy měly podporovat dodržování či soulad s určitými interoperabilními normami, tak aby byla zaručena vysoká míra bezpečnosti na úrovni Unie. Za tímto účelem je třeba zvážit uplatňování otevřených mezinárodních norem v oblasti bezpečnosti sítí a informací nebo navržení takových nástrojů. Dalším nezbytným krokem vpřed může být vypracování jednotných norem, které by měly být v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES29. Zejména organizace ETSI, CEN a CENELEC by měly být pověřeny, aby navrhly účinné a účelné otevřené bezpečnostní normy Unie, které se budou maximálně vyhýbat technologickým preferencím a se kterými by mohly snadno pracovat malé a střední hospodářské subjekty. Měly by být důkladně prověřeny mezinárodní normy v oblasti kybernetické bezpečnosti, aby se zaručilo, že nedošlo k jejich narušení a že poskytují odpovídající úroveň bezpečnosti, čímž se zajistí, aby požadované splňování norem v oblasti kybernetické bezpečnosti posilovalo celkovou úroveň kybernetické bezpečnosti Unie, namísto aby ji oslabovalo. |
|
__________________ |
__________________ |
|
29 Úř věst. L 316, 14.11.2012, s. 12. |
29 Úř. věst. L 316, 14.11.2012, s. 12. |
Pozměňovací návrh 33 Návrh směrnice Bod odůvodnění 33 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(33) Komise by ustanovení této směrnice měla pravidelně přezkoumávat, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se technologické nebo tržní podmínky. |
(33) Komise by ustanovení této směrnice měla pravidelně přezkoumávat v konzultaci se všemi zainteresovanými stranami, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se společenské, politické, technologické nebo tržní podmínky. |
Pozměňovací návrh 34 Návrh směrnice Bod odůvodnění 34 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(34) Aby mohla síť pro spolupráci řádně fungovat, měla by být na Komisi v souladu s článkem 290 Smlouvy o fungování Evropské unie přenesena pravomoc přijímat akty, pokud jde o stanovení kritérií, jež by měly členské státy splňovat, aby byly oprávněny používat bezpečný systém pro sdílení informací, o další upřesnění skutečností, jež mají být spouštěčem včasného varování, a o vymezení okolností, za nichž jsou hospodářské subjekty a orgány veřejné správy povinny oznámit, že došlo k bezpečnostnímu incidentu. |
(34) Aby mohla síť pro spolupráci řádně fungovat, měla by být na Komisi v souladu s článkem 290 Smlouvy o fungování Evropské unie přenesena pravomoc přijímat akty, pokud jde o společný soubor norem v oblasti propojení a bezpečnostních norem pro bezpečný systém pro sdílení informací a další upřesnění skutečností, jež mají být spouštěčem včasného varování. |
Pozměňovací návrh 35 Návrh směrnice Bod odůvodnění 36 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(36) Za účelem zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o spolupráci odpovědných orgánů a Komise v rámci sítě pro spolupráci, přístup k bezpečnému systému pro sdílení informací, evropský plán spolupráce v oblasti bezpečnosti sítí a informací, formu a postupy platné pro informování veřejnosti o incidentech a normy a/nebo technické specifikace týkající se bezpečnosti sítí a informací. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí. |
(36) Za účelem zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o spolupráci jednotných kontaktních míst a Komise v rámci sítě pro spolupráci, aniž by tím byly dotčeny stávající mechanismy spolupráce na vnitrostátní úrovni, o evropský plán spolupráce v oblasti bezpečnosti sítí a informací a o formu a postupy platné pro oznamování incidentů, které mají významný dopad. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí. |
Odůvodnění | |
Tento pozměňovací návrh nahrazuje PN 20. Jeho cílem je opravit chybu v návrhu Komise s ohledem na obsah plánovaného prováděcího aktu, přičemž odráží nový pozměňovací návrh k čl. 9 odst. 3. | |
Pozměňovací návrh 36 Návrh směrnice Bod odůvodnění 37 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(37) Při uplatňování této směrnice by Komise měla vhodným způsobem úzce spolupracovat s příslušnými odvětvovými výbory a orgány zřízenými na úrovni EU, zejména v oblasti energetiky, dopravy, bankovnictví a zdravotnictví. |
(37) Při uplatňování této směrnice by Komise měla vhodným způsobem úzce spolupracovat s příslušnými odvětvovými výbory a orgány zřízenými na úrovni Unie, zejména v oblasti elektronické veřejné správy, energetiky, dopravy, bankovnictví, zdravotnictví a obrany. |
Pozměňovací návrh 37 Návrh směrnice Bod odůvodnění 38 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(38) Informace, které odpovědný orgán v souladu s právními předpisy Unie a vnitrostátními právními předpisy o obchodním tajemství považuje za důvěrné, by měly být vyměňovány s Komisí a jinými odpovědnými orgány pouze tehdy, pokud je taková výměna nezbytně nutná pro použití ustanovení této směrnice. Vyměňované informace by se měly omezovat na informace, které jsou relevantní a přiměřené účelu takové výměny. |
(38) Informace, které odpovědný orgán nebo jednotné kontaktní místo v souladu s právními předpisy Unie a vnitrostátními právními předpisy o obchodním tajemství považuje za důvěrné, by měly být vyměňovány s Komisí, jejími příslušnými agenturami, jednotnými kontaktními místy a/nebo jinými vnitrostátními odpovědnými orgány pouze tehdy, pokud je taková výměna nezbytně nutná pro použití ustanovení této směrnice. Vyměňované informace by se měly omezovat na informace, které jsou relevantní, nezbytné a přiměřené účelu takové výměny a měly by splňovat předem stanovená kritéria pro důvěrnost a bezpečnost, v souladu s rozhodnutí Rady ze dne 31. března 2011 o bezpečnostních pravidlech na ochranu utajovaných informací EU (2011/292/EU), pro informace podléhající dohodám o zachování důvěrnosti nebo neformálním dohodám o zachování důvěrnosti, jako je například tzv. Traffic Light Protocol. |
Pozměňovací návrh 38 Návrh směrnice Bod odůvodnění 39 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům může být potřeba zpracovat osobní údaje. Toto zpracování osobních údajů je nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, a je proto v souladu s článkem 7 směrnice 95/46/ES oprávněné. Ve vztahu k těmto oprávněným cílům nepředstavuje nepřiměřený ani nepřípustný zásah do samé podstaty práva na ochranu osobních údajů zaručovaného článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům nebo jednotným kontaktním místům může být potřeba zpracovat osobní údaje. Toto zpracování osobních údajů je nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, a je proto v souladu s článkem 7 směrnice 95/46/ES oprávněné. Ve vztahu k těmto oprávněným cílům nepředstavuje nepřiměřený ani nepřípustný zásah do samé podstaty práva na ochranu osobních údajů zaručovaného článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
Pozměňovací návrh 39 Návrh směrnice Bod odůvodnění 41 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(41a) Členské státy se v souladu se společným politickým prohlášením členských států a Komise o informativních dokumentech ze dne 28. září 2011 zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních nástrojů přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje zákonodárce předložení těchto dokumentů za odůvodněné. |
Pozměňovací návrh 40 Návrh směrnice Čl. 1 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované a účinné řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně; |
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované, účinné a efektivní řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně za účasti příslušných zúčastněných stran; |
Pozměňovací návrh 41 Návrh směrnice Čl. 1 – odst. 2 – písm. c | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
c) stanoví bezpečnostní požadavky pro hospodářské subjekty a orgány veřejné správy. |
c) stanoví bezpečnostní požadavky pro hospodářské subjekty. |
Pozměňovací návrh 42 Návrh směrnice Čl. 1 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Touto směrnicí rovněž není dotčena směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ani nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
5. Touto směrnicí rovněž není dotčena směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ani nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. Jakékoli používání osobních údajů je omezeno na naprosté minimum nezbytné pro účely této směrnice a tyto údaje jsou co nejanonymnější, ne-li zcela anonymní. |
Pozměňovací návrh 43 Návrh směrnice Článek 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Článek 1a |
|
|
Ochrana a zpracování osobních údajů |
|
|
1. Jakékoli zpracování osobních údajů v členských státech podle této směrnice se provádí v souladu se směrnicí 95/46/ES a směrnicí 2002/58/ES. |
|
|
2. Jakékoli zpracování osobních údajů, které provádí Komise a agentura ENISA podle této směrnice se provádí v souladu s nařízením (ES) č. 45/2001. |
|
|
3. Jakékoli zpracování osobních údajů, které pro účely této směrnice provádí Evropské centrum pro boj proti kyberkriminalitě zřízené v rámci Europolu, se provádí v souladu s rozhodnutím 2009/371/SVV. |
|
|
4. Zpracování osobních údajů probíhá poctivě a v souladu se zákonem a je striktně omezeno na minimální údaje potřebné pro účely, k nimž jsou zpracovávány. Osobní údaje jsou uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účel, k němuž jsou zpracovávány. |
|
|
5. Oznamováním incidentů podle článku 14 nejsou dotčena ustanovení a povinnosti týkající se oznamování narušení ochrany osobních údajů, jak je uvedeno v článku 4 směrnice 2002/58/ES a v nařízení (EU) č. 611/2013. |
Pozměňovací návrh 44 Návrh směrnice Čl. 3 – bod 1 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) jakýkoli přístroj nebo skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování počítačových dat, jakož i |
b) jakýkoli přístroj nebo skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování digitálních dat, jakož i |
Pozměňovací návrh 45 Návrh směrnice Čl. 3 – bod 1 – písm. c | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
c) počítačová data prvky uvedenými pod písmeny a) a b) uložená, zpracovaná, opětovně vyhledaná nebo přenesená za účelem jejich provozu, použití, ochrany a údržby; |
c) digitální data prvky uvedenými pod písmeny a) a b) uložená, zpracovaná, opětovně vyhledaná nebo přenesená za účelem jejich provozu, použití, ochrany a údržby; |
Pozměňovací návrh 46 Návrh směrnice Čl. 3 – bod 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2) „bezpečností“ schopnost sítě a informačního systému odolávat na určitém stupni spolehlivosti náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; |
2) „bezpečností“ schopnost sítě a informačního systému odolávat na určitém stupni spolehlivosti náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; „bezpečnost“ zahrnuje vhodná technická zařízení, řešení a operační postupy, které zajišťují plnění bezpečnostních požadavků stanovených v této směrnici; |
Pozměňovací návrh 47 Návrh směrnice Čl. 3 – bod 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3) „rizikem“ jakákoliv okolnost nebo událost, která by mohla mít negativní dopad na bezpečnost; |
3) „rizikem“ jakákoliv přiměřeně rozpoznatelná okolnost nebo událost, která by mohla mít negativní dopad na bezpečnost; |
Pozměňovací návrh 48 Návrh směrnice Čl. 3 – bod 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4) „incidentem“ jakákoliv okolnost nebo událost, která má reálný negativní dopad na bezpečnost; |
4) „incidentem“ jakákoliv událost, která má reálný negativní dopad na bezpečnost; |
Pozměňovací návrh 49 Návrh směrnice Čl. 3 – bod 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5) „službou informační společnosti“ služba ve smyslu čl. 1 bodu 2 směrnice 98/34/ES; |
vypouští se |
Pozměňovací návrh 50 Návrh směrnice Čl. 3 – bod 7 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
7) „řešením bezpečnostního incidentu“ veškeré postupy, které pomáhají incident, resp. narušení bezpečnosti, analyzovat, zamezit jeho šíření a reagovat na něj; |
7) „řešením bezpečnostního incidentu“ veškeré postupy, které pomáhají incident, resp. narušení bezpečnosti, odhalit, předcházet mu, analyzovat jej, zamezit jeho šíření a reagovat na něj; |
Pozměňovací návrh 51 Návrh směrnice Čl. 3 – bod 8 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) poskytovatel služeb informační společnosti, na nichž závisí poskytování dalších služeb informační společnosti, jejichž demonstrativní výčet je uveden v příloze II; |
vypouští se |
Pozměňovací návrh 52 Návrh směrnice Čl. 3 – bod 8 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví, jejichž demonstrativní výčet je uveden v příloze II. |
b) provozovatel infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, výměnných uzlů internetu, potravinového dodavatelského řetězce a zdravotnictví, jejichž narušení nebo zničení by mělo v členském státě v důsledku neschopnosti zachovat tyto funkce významný dopad a jejichž demonstrativní výčet je uveden v příloze II, pokud jsou dotčená síť a dotčené informační systémy spojeny s jeho základními službami; |
Pozměňovací návrh 53 Návrh směrnice Čl. 3 – bod 8 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
8a) „incidentem, který má významný dopad,“ incident, který ovlivní bezpečnost a kontinuitu informační sítě nebo systému a vede k závažnému narušení životně důležitých ekonomických nebo společenských funkcí; |
Pozměňovací návrh 54 Návrh směrnice Čl. 3 – bod 11 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11a) „regulovaným trhem“ regulovaný trh ve smyslu čl. 4 bodu 14 směrnice Evropského parlamentu a Rady 2004/39/ES1a; |
|
|
________________ |
|
|
1a Směrnice Evropského parlamentu a Rady 2004/39/ES ze dne 21. dubna 2004 o trzích finančních nástrojů (Úř. věst. L 45, 16.2.2005, s. 18). |
Odůvodnění | |
Sladění definice s nařízením Evropského parlamentu a Rady o trzích finančních nástrojů a o změně nařízení [nařízení o infrastruktuře evropských trhů] o OTC derivátech, ústředních protistranách a registrech obchodních údajů, jež ještě nebylo přijato. | |
Pozměňovací návrh 55 Návrh směrnice Čl. 3 – bod 11 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11b) „mnohostranným systémem obchodování (multilateral trading facility – MTF)“ mnohostranný systém obchodování ve smyslu čl. 4 bodu 15 směrnice 2004/39/ES; |
Odůvodnění | |
Sladění definice s nařízením Evropského parlamentu a Rady o trzích finančních nástrojů a o změně nařízení [nařízení o infrastruktuře evropských trhů] o OTC derivátech, ústředních protistranách a registrech obchodních údajů, jež ještě nebylo přijato. | |
Pozměňovací návrh 56 Návrh směrnice Čl. 3 – bod 11 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11c) „organizovaným obchodním systémem“ mnohostranný systém nebo zařízení, které není regulovaným trhem ani mnohostranným systémem obchodování nebo ústřední protistranou, které je provozováno investičním podnikem nebo hospodářským subjektem a v němž mohou uvnitř systému vzájemně reagovat početné zájmy třetích stran na nákupu či prodeji dluhopisů, strukturovaných finančních produktů, emisních povolenek či derivátů způsobem, který vede k uzavření smlouvy v souladu s hlavou II směrnice 2004/39/EU; |
Odůvodnění | |
Definice byla vložena v souladu s výsledným zněním nařízení Evropského parlamentu a Rady o trzích finančních nástrojů a o změně nařízení [nařízení o infrastruktuře evropských trhů] o OTC derivátech, ústředních protistranách a registrech obchodních údajů, jež ještě nebylo přijato a jehož výslednému znění tato definice podléhá. | |
Pozměňovací návrh 57 Návrh směrnice Čl. 5 – odst. 1 – písm. e a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
ea) Členské státy mohou při vývoji svých národních strategií a plánů spolupráce pro bezpečnost sítí a informací založených na společné minimální strategii pro bezpečnost sítí a informací požádat o pomoc agenturu ENISA. |
Pozměňovací návrh 58 Návrh směrnice Čl. 5 – odst. 2 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) Plán posouzení rizik pro odhalení rizik a posouzení dopadů možných incidentů; |
a) Rámec pro řízení rizik, kterým se zavede metodika pro odhalení, stanovení pořadí důležitosti, hodnocení a řízení rizik, pro posouzení dopadů možných incidentů, preventivní a kontrolní opatření, a který vymezí kritérií pro volbu možných protiopatření; |
Odůvodnění | |
Tento pozměňovací návrh nahrazuje PN 29. Návrh Komise by měl příliš dalekosáhlé dopady, pokud jde o otázky národní bezpečnosti členských států, a v jeho důsledku by byl plán spolupráce neproveditelný a příliš složitý na to, aby mohl být účinný. | |
Pozměňovací návrh 59 Návrh směrnice Čl. 5 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) Vymezení pravomocí a odpovědnosti různých stran zapojených do realizace plánu; |
b) Vymezení pravomocí a odpovědnosti různých orgánů a dalších stran zapojených do realizace rámce; |
Pozměňovací návrh 60 Návrh směrnice Čl. 5 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Národní strategie a národní plán spolupráce pro bezpečnost sítí a informací budou sděleny Komisi do jednoho měsíce od přijetí. |
3. Národní strategie a národní plán spolupráce pro bezpečnost sítí a informací budou sděleny Komisi do tří měsíců od přijetí. |
Pozměňovací návrh 61 Návrh směrnice Čl. 6 – název | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů |
Odpovědné vnitrostátní orgány a jednotná kontaktní místa pro bezpečnost sítí a informačních systémů |
Pozměňovací návrh 62 Návrh směrnice Čl. 6 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát jmenuje vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
1. Každý členský stát jmenuje jeden či více civilních vnitrostátních orgánů odpovědných za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán / odpovědné orgány“). |
Odůvodnění | |
Tento pozměňovací návrh nahrazuje PN 32 a jeho cílem je blíže specifikovat druh instituce, která by měla plnit úlohu vnitrostátního odpovědného orgánu. | |
Pozměňovací návrh 63 Návrh směrnice Čl. 6 – odst. 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2a. Jmenuje-li členský stát více než jeden odpovědný orgán, určí jeden civilní vnitrostátní orgán, například některý odpovědný orgán, jako vnitrostátní jednotné kontaktní místo pro bezpečnost sítí a informačních systémů (dále jen „jednotné kontaktní místo“). Jmenuje-li členský stát pouze jeden odpovědný orgán, je tento orgán rovněž jednotným kontaktním místem. |
Odůvodnění | |
Tento pozměňovací návrh nahrazuje PN 33 a je upraven podle pozměňovacího návrhu k čl. 6 odst. 1 podaného zpravodajem. Jeho cílem je blíže specifikovat druh instituce, která by měla plnit úlohu jednotného kontaktního místa. | |
Pozměňovací návrh 64 Návrh směrnice Čl. 6 – odst. 2 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2b. Odpovědné orgány a jednotné kontaktní místo stejného členského státu úzce spolupracují při plnění povinností stanovených touto směrnicí. |
Pozměňovací návrh 65 Návrh směrnice Článek 6 – odst. 2 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2c. Jednotné kontaktní místo zajišťuje přeshraniční spolupráci s jinými jednotnými kontaktními místy. |
Pozměňovací návrh 66 Návrh směrnice Čl. 6 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Členské státy zajistí, aby tyto orgány měly k dispozici odpovídající technické, finanční a lidské zdroje k účinnému plnění svěřených úkolů a tím k naplnění cílů této směrnice. Členské státy zajistí, aby odpovědné orgány vzájemně účinně a bezpečně spolupracovaly prostřednictvím sítě uvedené v článku 8. |
3. Členské státy zajistí, aby tyto orgány a jednotná kontaktní místa měly k dispozici odpovídající technické, finanční a lidské zdroje k účinnému plnění svěřených úkolů a tím k naplnění cílů této směrnice. Členské státy zajistí, aby jednotná kontaktní místa vzájemně účinně a bezpečně spolupracovala prostřednictvím sítě uvedené v článku 8. |
Pozměňovací návrh 67 Návrh směrnice Čl. 6 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Členské státy zajistí, aby odpovědné orgány dostávaly od orgánů veřejné správy a hospodářských subjektů oznámení o incidentech, jak je uvedeno v čl. 14 odst. 2, a aby jim byly uděleny prováděcí a donucovací pravomoci uvedené v článku 15. |
4. Členské státy zajistí, aby odpovědné orgány a případně jednotná kontaktní místa v souladu s odstavcem 2a tohoto článku dostávaly od hospodářských subjektů oznámení o incidentech, jak je uvedeno v čl. 14 odst. 2, a aby jim byly uděleny prováděcí a donucovací pravomoci uvedené v článku 15. |
Odůvodnění | |
Tento pozměňovací návrh nahrazuje PN 37. Jeho cílem je vyjasnit úlohu jednotlivých orgánů s cílem vyhnout se dvojímu oznamování jak odpovědným orgánům, tak jednotným kontaktním místům. Vzhledem k tomu, že v některých odvětvích jsou již incidenty oznamovány subjektům Unie, bylo by záhodno zdvojování předejít. | |
Pozměňovací návrh 68 Návrh směrnice Čl. 6 – odst. 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
4a. Pokud právní předpisy Unie stanoví existenci kontrolního nebo regulačního orgánu Unie pro určité odvětví, například v oblasti bezpečnosti sítí a informačních systémů, obdrží tento orgán od hospodářských subjektů v tomto odvětví oznámení o incidentech podle čl. 14 odst. 2 a získá příslušné prováděcí a prosazovací pravomoci uvedené v článku 15. Tento orgán Unie spolupracuje úzce při plnění těchto povinností s odpovědnými orgány a jednotným kontaktním místem hostitelského členského státu. Jednotné kontaktní místo hostitelského členského státu zastupuje orgán Unie v souvislosti s povinnostmi stanovenými v kapitole III. |
Pozměňovací návrh 69 Návrh směrnice Čl. 6 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
5. Odpovědné orgány a jednotná kontaktní místa budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
Pozměňovací návrh 70 Návrh směrnice Čl. 6 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Každý členský stát Komisi neprodleně oznámí jmenování odpovědného orgánu, jeho úkoly a jakékoliv změny s ním související. Každý členský stát zveřejní jmenování příslušného odpovědného orgánu. |
6. Každý členský stát Komisi neprodleně oznámí jmenování odpovědných orgánů a jednotného kontaktního místa, jejich úkoly a jakékoliv změny s nimi související. Každý členský stát zveřejní jmenování příslušných odpovědných orgánů. |
Pozměňovací návrh 71 Návrh směrnice Čl. 7 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát zřídí skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
1. Každý členský stát zřídí pro každé odvětví uvedené v příloze II alespoň jednu skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
Pozměňovací návrh 72 Návrh směrnice Čl. 7 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Skupiny CERT budou podřízené odpovědným orgánům, které budou pravidelně přezkoumávat přiměřenost jejich zdrojů, jejich pravomoci a účinnost postupu pro řešení incidentů. |
5. Skupiny CERT budou podřízené odpovědným orgánům nebo jednotným kontaktním místům, která budou pravidelně přezkoumávat přiměřenost jejich zdrojů, jejich pravomoci a účinnost jejich postupu pro řešení incidentů. |
Pozměňovací návrh 73 Návrh směrnice Čl. 7 – odst. 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Členské státy zajistí, aby měly skupiny CERT k dispozici dostatečné finanční a lidské zdroje k aktivní účasti v mezinárodních, a zejména unijních, sítích pro spolupráci. |
Pozměňovací návrh 74 Návrh směrnice Čl. 7 – odst. 5 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5b. Skupiny CERT by měly být oprávněny a vybízeny k tomu, aby iniciovaly a účastnily se společných cvičení s jinými skupinami CERT, se skupinami CERT ze všech členských států a s příslušnými institucemi třetích zemí, jakož i se skupinami CERT z nadnárodních a mezinárodních institucí, jako jsou NATO a OSN. |
Pozměňovací návrh 75 Návrh směrnice Článek 7 – odst. 5 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5c. Členské státy mohou při vytváření svých vnitrostátních skupin CERT požádat o pomoc agenturu ENISA nebo jiné členské státy. |
Pozměňovací návrh 76 Návrh směrnice Čl. 8 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Odpovědné orgány a Komise zřídí síť pro spolupráci na ochranu proti rizikům a incidentům narušujícím bezpečnost sítí a informačních systémů (dále jen „síť pro spolupráci“. |
1. Jednotná kontaktní místa a Komise a agentura ENISA zřídí síť pro spolupráci na ochranu proti rizikům a incidentům narušujícím bezpečnost sítí a informačních systémů (dále jen „síť pro spolupráci“). |
Pozměňovací návrh 77 Návrh směrnice Čl. 8 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a odpovědnými orgány. Evropská agentura pro bezpečnost sítí a informací (ENISA) na žádost poskytne síti pro spolupráci své odborné znalosti a doporučení. |
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a jednotnými kontaktními místy. Agentura ENISA na žádost poskytne síti pro spolupráci své odborné znalosti a doporučení. K účasti na činnostech sítě pro spolupráci uvedených v odst. 3 písm. g) a i) lze případně přizvat i hospodářské subjekty a dodavatele řešení v oblasti kybernetické bezpečnosti. |
|
|
V případě potřeby spolupracuje síť pro spolupráci s úřady pro ochranu údajů. |
|
|
Komise pravidelně informuje síť pro spolupráci o výzkumu v oblasti bezpečnosti a jiných relevantních programech v rámci iniciativy Horizont 2020. |
Pozměňovací návrh 78 Návrh směrnice Čl. 8 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Odpovědné orgány budou v rámci sítě pro spolupráci: |
3. Jednotná kontaktní místa budou v rámci sítě pro spolupráci: |
|
a) šířit včasná varování týkající se rizik a incidentů v souladu s článkem 10; |
a) šířit včasná varování týkající se rizik a incidentů v souladu s článkem 10; |
|
b) zajišťovat koordinovanou reakci v souladu s článkem 11; |
b) zajišťovat koordinovanou reakci v souladu s článkem 11; |
|
c) pravidelně zveřejňovat na společných internetových stránkách informace o aktuálních včasných varováních a koordinovaných reakcích, které nemají důvěrný charakter; |
c) pravidelně zveřejňovat na společných internetových stránkách informace o aktuálních včasných varováních a koordinovaných reakcích, které nemají důvěrný charakter; |
|
d) v rámci působnosti této směrnice na žádost členského státu nebo Komise společně projednávat a posuzovat jednu či více národních strategií a národních plánů spolupráce pro bezpečnost sítí a informací, jež jsou uvedeny v článku 5; |
d) v rámci působnosti této směrnice společně projednávat a posuzovat jednu či více národních strategií a národních plánů spolupráce pro bezpečnost sítí a informací, jež jsou uvedeny v článku 5; |
|
e) na žádost členského státu nebo Komise společně projednávat a posuzovat účinnost skupin CERT, zejména pokud činnosti týkající se bezpečnosti sítí a informací probíhají na úrovni Unie; |
e) společně projednávat a posuzovat účinnost skupin CERT, zejména pokud činnosti týkající se bezpečnosti sítí a informací probíhají na úrovni Unie; |
|
f) spolupracovat s Evropským centrem pro boj proti kyberkriminalitě zřízeným v rámci Europolu a dalšími příslušnými evropskými orgány zejména v oblastech energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví a vzájemně si s nimi vyměňovat informace o všech významných záležitostech; |
f) spolupracovat a vzájemně si vyměňovat odborné znalosti o významných záležitostech v oblasti bezpečnosti sítí a informací, zejména v oblastech ochrany údajů, energetiky, dopravy, bankovnictví, finančních trhů a zdravotnictví, s Evropským centrem pro boj proti kyberkriminalitě zřízeným v rámci Europolu a dalšími příslušnými evropskými orgány; |
|
|
fa) případně informovat prostřednictvím podávání zpráv protiteroristického koordinátora EU, přičemž mohou rovněž požádat o pomoc při analýze, přípravných pracích a činnostech sítě pro spolupráci; |
|
g) vyměňovat si informace a osvědčené postupy mezi sebou a s Komisí a poskytovat si vzájemnou součinnost při budování kapacit pro bezpečnost sítí a informací; |
g) vyměňovat si informace a osvědčené postupy mezi sebou a s Komisí a poskytovat si vzájemnou součinnost při budování kapacit pro bezpečnost sítí a informací; |
|
h) organizovat pravidelná vzájemná hodnocení svých kapacit a připravenosti; |
|
|
i) pořádat cvičení bezpečnosti sítí a informací na úrovni Unie a účastnit se dle potřeby mezinárodních cvičení bezpečnosti sítí a informací. |
i) pořádat cvičení bezpečnosti sítí a informací na úrovni Unie a účastnit se dle potřeby mezinárodních cvičení bezpečnosti sítí a informací. |
|
|
ia) případně zapojovat a konzultovat hospodářské subjekty nebo si s nimi vyměňovat informace, pokud jde o rizika a incidenty postihující jejich síť a informační systémy; |
|
|
ib) vyvíjet ve spolupráci s agenturou ENISA pokyny pro konkrétní kritéria pro jednotlivá odvětví, pokud jde o oznamování významných incidentů nad rámec parametrů stanovených v čl. 14 odst. 2, s cílem dosáhnout společného výkladu, důsledného uplatňování a harmonického provádění v Unii. |
Pozměňovací návrh 79 Návrh směrnice Čl. 8 – odst. 3 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3a. Síť pro spolupráci jednou ročně zveřejní zprávu o svém působení v posledních 12 měsících vycházející z jejích činností a ze souhrnné zprávy předložené podle čl. 14 odst. 4 této směrnice. |
Pozměňovací návrh 80 Návrh směrnice Čl. 8 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Komise prostřednictvím prováděcích aktů určí způsoby nezbytné pro usnadnění spolupráce mezi odpovědnými orgány a Komisí uvedené v odstavcích 2 a 3. Tyto prováděcí akty se přijímají konzultačním postupem podle čl. 19 odst. 2. |
4. Komise prostřednictvím prováděcích aktů určí způsoby nezbytné pro usnadnění spolupráce mezi jednotnými kontaktními místy, Komisí a agenturou ENISA uvedené v odstavcích 2 a 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
Pozměňovací návrh 81 Návrh směrnice Čl. 9 – odst. 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
1a. Účastníci bezpečnostní infrastruktury dodržují mimo jiné ve všech fázích zpracování vhodná opatření k zachování důvěrného charakteru informací a bezpečnostní opatření v souladu se směrnicí 95/46/ES a nařízením (ES) č. 45/2001. |
Pozměňovací návrh 82 Návrh směrnice Čl. 9 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 18 týkající se formulace kritérií, jež by měly členské státy splňovat, aby byly oprávněny používat bezpečný systém pro sdílení informací, pokud jde o: |
vypouští se |
|
a) dostupnost bezpečné a odolné vnitrostátní komunikační a informační infrastruktury, která bude kompatibilní a interoperabilní s bezpečnou infrastrukturou sítě pro spolupráci podle čl. 7 odst. 3, a |
|
|
b) existenci odpovídajících technických, finančních a lidských zdrojů a postupů umožňujících odpovědnému orgánu a skupině CERT daného členského státu účinné a bezpečné zapojení do bezpečného systému pro sdílení informací podle čl. 6 odst. 3 a čl. 7 odst. 2 a 3. |
|
Pozměňovací návrh 83 Návrh směrnice Čl. 9 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Komise formou prováděcích aktů a na základě kritérií uvedených v odstavcích 2 a 3 rozhodne o přístupu členských států do této bezpečné infrastruktury. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
3. Komise přijme formou aktů v přenesené pravomoci společný soubor propojovacích a bezpečnostních norem, které musí jednotná kontaktní místa splňovat před výměnou citlivých a důvěrných informací v rámci sítě pro spolupráci. |
Pozměňovací návrh 84 Návrh směrnice Čl. 10 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Odpovědné orgány, případně Komise, vydají prostřednictvím sítě pro spolupráci včasná varování ohledně rizik a incidentů, jež splňují alespoň jednu z následujících podmínek: |
1. Jednotná kontaktní místa, případně Komise, vydají prostřednictvím sítě pro spolupráci včasná varování ohledně rizik a incidentů, jež splňují alespoň jednu z následujících podmínek: |
|
a) jejich rozsah rychle roste nebo by mohl rychle růst; |
|
|
b) překračují nebo by mohly překročit národní reakční kapacitu; |
b) jednotné kontaktní místo vyhodnotí, že riziko nebo incident potenciálně překračuje národní reakční kapacitu; |
|
c) postihují nebo by mohly postihnout více než jeden členský stát. |
c) jednotná kontaktní místa nebo Komise vyhodnotí, že riziko nebo incident postihuje více než jeden členský stát. |
Pozměňovací návrh 85 Návrh směrnice Čl. 10 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. V rámci včasného varování odpovědné orgány, případně Komise, sdělí veškeré relevantní informace, které mají k dispozici a které by mohly být užitečné při posuzování daného rizika či incidentu. |
2. V rámci včasného varování jednotná kontaktní místa a Komise sdělí bez zbytečného prodlení veškeré relevantní informace, které mají k dispozici a které by mohly být užitečné při posuzování daného rizika či incidentu. |
Pozměňovací návrh 86 Návrh směrnice Čl. 10 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Komise může na žádost členského státu nebo z vlastní iniciativy vyzvat členský stát, aby poskytl veškeré relevantní informace o určitém riziku nebo incidentu. |
vypouští se |
Pozměňovací návrh 87 Návrh směrnice Čl. 10 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má povahu trestného činu, odpovědné orgány, případně Komise, uvědomí Evropské centrum pro boj proti kyberkriminalitě v rámci Europolu. |
4. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má povahu trestného činu a pokud dotčený hospodářský subjekt oznámil incidenty, u nichž panuje podezření, že mají povahu závažného trestného činu podle čl. 15 odst. 4, zajistí členské státy, aby bylo případně informováno Evropské centrum pro boj proti kyberkriminalitě v rámci Europolu. |
Pozměňovací návrh 88 Návrh směrnice Čl. 10 – odst. 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
4a. Členové sítě pro spolupráci nezveřejní bez předchozího souhlasu oznamujícího jednotného kontaktního místa žádné informace, jež obdržely o rizicích a incidentech uvedených v odstavci 1. |
|
|
Kromě toho informuje před sdílením informace v síti pro spolupráci oznamující jednotné kontaktní místo o svém úmyslu hospodářský subjekt, jehož se informace týká, a pokud to považuje za vhodné, dotyčnou informaci anonymizuje. |
Pozměňovací návrh 89 Návrh směrnice Čl. 10 – odst. 4 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
4b. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má významný přeshraniční technický rozměr, uvědomí jednotná kontaktní místa nebo Komise agenturu ENISA. |
Pozměňovací návrh 90 Návrh směrnice Čl. 11 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Po vydání včasného varování podle článku 10 odpovědné orgány posoudí relevantní informace a následně se dohodnou na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací uvedeným v článku 12. |
1. Po vydání včasného varování podle článku 10 posoudí jednotná kontaktní místa relevantní informace a následně se bez zbytečného prodlení dohodnou na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací uvedeným v článku 12. |
Pozměňovací návrh 91 Návrh směrnice Čl. 12 – odst. 2 – písm. a – odrážka 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
– definici formy a postupů odpovědných orgánů pro sběr a sdílení kompatibilních a srovnatelných informací o rizicích a incidentech, |
– definici formy a postupů jednotných kontaktních míst pro sběr a sdílení kompatibilních a srovnatelných informací o rizicích a incidentech, |
Pozměňovací návrh 92 Návrh směrnice Čl. 12 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Unijní plán spolupráce v oblasti bezpečnosti sítí a informací bude přijat nejpozději do jednoho roku od data, kdy tato směrnice vstoupí v platnost, a bude pravidelně přezkoumáván. |
3. Unijní plán spolupráce v oblasti bezpečnosti sítí a informací bude přijat nejpozději do jednoho roku od data, kdy tato směrnice vstoupí v platnost, a bude pravidelně přezkoumáván. Výsledky každého přezkumu se oznamují Evropskému parlamentu. |
Pozměňovací návrh 93 Návrh směrnice Čl. 12 – odst. 3 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3a. Je zajištěna soudržnost mezi unijním plánem spolupráce v oblasti bezpečnosti sítí a informací a národními strategiemi a plány spolupráce pro bezpečnost sítí a informací, jak stanoví článek 5 této směrnice. |
Pozměňovací návrh 94 Návrh směrnice Čl. 13 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. Takové dohody budou zohledňovat nutnost zajistit odpovídající ochranu osobních údajů šířených v síti pro spolupráci. |
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. Takové dohody budou zohledňovat nutnost zajistit odpovídající ochranu osobních údajů šířených v síti pro spolupráci a stanoví postup monitorování, který je nutné dodržovat, aby se zajistila ochrana těchto osobních údajů. O sjednávání dohod je informován Evropský parlament. Jakékoli předávání osobních údajů příjemcům v zemích mimo Unii probíhá v souladu s články 25 a 26 směrnice 95/46/ES a článkem 9 nařízení (ES) č. 45/2001. |
Pozměňovací návrh 95 Návrh směrnice Článek 13 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Článek 13a |
|
|
Úroveň kritičnosti hospodářských subjektů |
|
|
Členské státy mohou stanovit úroveň kritičnosti hospodářských subjektů a zohlednit přitom specifika jednotlivých odvětví, parametry včetně významu konkrétního hospodářského subjektu pro zachování dostatečné úrovně služeb v daném odvětví, počet stran zásobovaných hospodářským subjektem a časové období, po jehož uplynutí má výpadek základních služeb hospodářského subjektu negativní dopad na udržení nepostradatelných hospodářských a společenských aktivit. |
Odůvodnění | |
Tento pozměňovací návrh je součástí kapitoly IV a měl by předcházet článku 14, jenž je v ní uveden. Cílem tohoto článku je umožnit odstupňovanější klasifikaci přílohy II, a v důsledku toho povinností stanovených v kapitole IV. Oznámení o incidentu provádějí všechny hospodářské subjekty bez ohledu na úroveň jejich kritičnosti, avšak podoba bezpečnostních auditů může být přizpůsobena konkrétní úrovni kritičnosti hospodářského subjektu. | |
Pozměňovací návrh 96 Návrh směrnice Čl. 14 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby jejich orgány veřejné správy a hospodářské subjekty přijaly vhodná technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na současné technické možnosti zaručí tato opatření takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku bezpečnostních incidentů v jejich sítích a informačních systémech, jež by poškodily jimi poskytované základní služby, případně minimalizují dopad takových incidentů, a zajistí tak kontinuitu služeb podporovaných těmito sítěmi a informačními systémy. |
1. Členské státy zajistí, aby hospodářské subjekty přijaly vhodná a úměrná technická a organizační opatření k odhalení a účinnému řízení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na současné technické možnosti zajistí tato opatření takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku incidentů, jež by poškozovaly bezpečnost jejich sítí a informačních systémů, pokud jde o jimi poskytované základní služby, případně dopad takových incidentů minimalizují, a zajistí tak kontinuitu služeb podporovaných těmito sítěmi a informačními systémy. |
Pozměňovací návrh 97 Návrh směrnice Čl. 14 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Členské státy zajistí, aby orgány veřejné správy a hospodářské subjekty oznamovaly odpovědným orgánům incidenty, které mají významný dopad na bezpečnost jimi poskytovaných základních služeb. |
2. Členské státy zajistí, aby hospodářské subjekty bez zbytečného prodlení oznamovaly odpovědným orgánům nebo jednotným kontaktním místům incidenty, které mají významný dopad na kontinuitu jimi poskytovaných základních služeb. Toto oznámení nevystavuje oznamující stranu větší odpovědnosti. |
|
|
Pro určení závažnosti dopadu incidentu se zohlední mimo jiné tyto parametry: |
Pozměňovací návrh 98 Návrh směrnice Čl. 14 – odst. 2 – písm. a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
a) počet uživatelů, jejichž základní služba byla narušena; |
Pozměňovací návrh 99 Návrh směrnice Čl. 14 – odst. 2 – písm. b (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
b) délka trvání incidentu; |
Pozměňovací návrh 100 Návrh směrnice Čl. 14 – odst. 2 – písm. c (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
c) zeměpisný rozsah oblasti dotčené incidentem. |
Pozměňovací návrh 101 Návrh směrnice Čl. 14. – odst. 2 – pododstavec 1a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Tyto parametry jsou blíže specifikovány v souladu s čl. 8 odst. 3 písm. ib). |
Pozměňovací návrh 102 Návrh směrnice Čl. 14 – odst. 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2a. Hospodářské subjekty oznámí incidenty uvedené v odstavcích 1 a 2 odpovědnému orgánu nebo jednotnému kontaktnímu místu členského státu, v němž byla základní služba narušena. Pokud byly základní služby narušeny ve více než jednom členském státě, jednotné kontaktní místo, jež oznámení obdrželo, uvědomí na základě informací od hospodářského subjektu ostatní dotčená jednotná kontaktní místa. Daný hospodářský subjekt je co nejdříve informován o tom, která další jednotná kontaktní místa byla o incidentu informována, a také o veškerých přijatých opatřeních, výsledcích a jakýchkoli jiných skutečnostech, které se daného incidentu týkají. |
Pozměňovací návrh 103 Návrh směrnice Čl. 14 – odst. 2 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2b. Pokud oznámení obsahuje osobní údaje, zpřístupní se pouze příjemcům v rámci oznámeného odpovědného orgánu nebo jednotného kontaktního místa, kteří tyto údaje potřebují zpracovávat kvůli plnění svých úkolů v souladu s předpisy o ochraně údajů. Rozsah zveřejněných údajů je omezen na to, co je k plnění jejich úkolů nezbytné. |
Pozměňovací návrh 104 Návrh směrnice Článek 14 – odst. 2 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2c. Hospodářské subjekty, na něž se nevztahuje příloha II, mohou incidenty uvedené v čl. 14 odst. 2 ohlašovat dobrovolně. |
Pozměňovací návrh 105 Návrh směrnice Čl. 14 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. V případě, že odpovědný orgán rozhodne, že je ve veřejném zájmu, aby byl daný incident zveřejněn, je oprávněn o něm informovat veřejnost, případně vyzvat orgány veřejné správy a hospodářské subjekty, aby tak učinily. Jednou ročně předloží odpovědný orgán síti pro spolupráci souhrnnou zprávu o obdržených oznámeních a o opatřeních přijatých v souladu s tímto odstavcem. |
4. Po konzultaci s oznámeným odpovědným orgánem a dotčeným hospodářským subjektem je jednotné kontaktní místo oprávněno informovat veřejnost o jednotlivých incidentech, pokud dospěje k závěru, že je k zamezení incidentu nebo k vyřešení trvajícího incidentu zapotřebí, aby o něm měla veřejnost povědomí, nebo pokud daný hospodářský subjekt, který je předmětem incidentu, odmítl bez zbytečného prodlení řešit závažnou strukturální slabinu spojenou s tímto incidentem. |
|
|
Před jakýmkoli zveřejněním zajistí oznámený odpovědný orgán, aby měl dotčený hospodářský subjekt možnost se k věci vyjádřit a rozhodnutí o zveřejnění bylo řádně vyváženo veřejným zájmem. |
|
|
Pokud jsou informace o jednotlivých incidentech zveřejněny, zajistí oznámený odpovědný subjekt nebo jednotné kontaktní místo, aby byly co nejvíce anonymizovány. |
|
|
Odpovědný orgán nebo jednotné kontaktní místo poskytnou dle možností dotčenému hospodářskému subjektu informace, které napomůžou účinnému vyřešení oznámeného incidentu. |
|
Jednou ročně předloží odpovědný orgán síti pro spolupráci souhrnnou zprávu o obdržených oznámeních a o opatřeních přijatých v souladu s tímto odstavcem. |
Jednou ročně předloží jednotné kontaktní místo síti pro spolupráci souhrnnou zprávu o obdržených oznámeních, včetně informací o počtu oznámení a parametrech incidentů podle odstavce 2 tohoto článku, a o opatřeních přijatých v souladu s tímto odstavcem. |
Pozměňovací návrh 106 Návrh směrnice Čl. 14 – odst. 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
4a. Členské státy povzbudí hospodářské subjekty k tomu, aby ve svých finančních zprávách dobrovolně zveřejňovaly incidenty související s jejich podnikáním. |
Pozměňovací návrh 107 Návrh směrnice Čl. 14 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 18 týkající se určení okolností, za nichž jsou orgány veřejné správy a hospodářské subjekty povinny oznamovat incidenty. |
vypouští se |
Pozměňovací návrh 108 Návrh směrnice Čl. 14 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Na základě aktu v přenesené pravomoci přijatého v souladu s odstavcem 5 jsou odpovědné orgány oprávněny přijmout obecné zásady a v případě potřeby vydat pokyny týkající se okolností, za nichž jsou orgány veřejné správy a hospodářské subjekty povinny oznamovat incidenty. |
6. Odpovědné orgány nebo jednotná kontaktní místa jsou oprávněny přijmout obecné zásady týkající se okolností, za nichž jsou hospodářské subjekty povinny oznamovat incidenty. |
Pozměňovací návrh 109 Návrh směrnice Čl. 14 – odst. 8 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
8. Ustanovení odstavců 1 a 2 se nevztahují na mikropodniky, jak jsou definovány v doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků35. |
8. Ustanovení odstavců 1 a 2 se nevztahují na mikropodniky, jak jsou definovány v doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků35, pokud daný mikropodnik nejedná jako dceřiná společnost hospodářského subjektu definovaného v čl. 3 odst. 8 písm. b). |
|
_____________ |
_____________ |
|
35 Úř. věst. L 124, 20.5.2003, s. 36. |
35 Úř. věst. L 124, 20.5.2003, s. 36. |
Pozměňovací návrh 110 Návrh směrnice Čl. 14 – odst. 8 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
8a. Členské státy se mohou rozhodnout, že tento článek a článek 15 obdobně uplatní na orgány veřejné správy . |
Pozměňovací návrh 111 Návrh směrnice Čl. 15 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby odpovědné orgány měly všechny nezbytné pravomoci pro vyšetřování případů porušení povinností podle článku 14 ze strany orgánů veřejné správy či hospodářských subjektů a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
1. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa měly nezbytné pravomoci k zajištění dodržování povinností podle článku 14 ze strany hospodářských subjektů a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
Pozměňovací návrh 112 Návrh směrnice Čl. 15 – odst. 2 – návětí | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Členské státy zajistí, aby odpovědné orgány byly oprávněny požadovat od orgánů veřejné správy a hospodářských subjektů, aby: |
2. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa byly oprávněny požadovat od hospodářských subjektů, aby: |
Pozměňovací návrh 113 Návrh směrnice Čl. 15 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) se podrobily bezpečnostnímu auditu, který provede kvalifikovaný nezávislý subjekt nebo vnitrostátní orgán, a jeho výsledky zpřístupnily odpovědnému orgánu. |
b) doložily účinné provádění bezpečnostní politiky, např. předložením výsledků bezpečnostního auditu, který provede kvalifikovaný nezávislý subjekt nebo vnitrostátní orgán, a tyto důkazy zpřístupnily odpovědnému orgánu nebo jednotnému kontaktnímu místu. |
Pozměňovací návrh 114 Návrh směrnice Čl. 15 – odst. 2 – pododstavec 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Odpovědné orgány a jednotná kontaktní místa v žádosti uvedou její účel a dostatečně přesně vymezí informace, které jsou požadovány. |
Pozměňovací návrh 115 Návrh směrnice Čl. 15 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Členské státy zajistí, aby odpovědné orgány byly oprávněny dávat orgánům veřejné správy a hospodářským subjektům závazné pokyny. |
3. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa byly oprávněny dávat hospodářským subjektům závazné pokyny. |
Pozměňovací návrh 116 Návrh směrnice Čl. 15 – odstavce 3 a a 3 b (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3a. Odchylně od odstavce 2 písm. b) tohoto článku mohou členské státy rozhodnout, že odpovědné orgány či případně jednotná kontaktní místa mají uplatňovat na určité hospodářské subjekty odlišné postupy v závislosti na jejich úrovni kritičnosti stanovené v souladu s článkem 13a. Pokud se tak členské státy rozhodnou: |
|
|
a) mají odpovědné orgány nebo případně jednotná kontaktní místa pravomoc předkládat dostatečně konkrétní požadavky na hospodářské subjekty, na základě kterých jsou povinni předložit důkazy o tom, že účinně uplatňují bezpečnostní politiky, jako např. výsledky bezpečnostních auditů provedených kvalifikovaným interním auditorem, a tyto důkazy odpovědnému orgánu nebo jednotnému kontaktnímu místu poskytnout; |
|
|
b) v případě potřeby poté, co hospodářský subjekt předloží žádost podle písm. a), si může odpovědný orgán nebo jednotné kontaktní místo vyžádat další důkazy nebo provedení dalšího auditu kvalifikovaným nezávislým subjektem nebo vnitrostátním orgánem. |
|
|
3b. Členské státy mohou rozhodnout o snížení počtu a intenzity auditů u dotčeného hospodářského subjektu, pokud jeho bezpečnostní audit konzistentně vykazuje dodržování kapitoly IV. |
Pozměňovací návrh 117 Návrh směrnice Čl. 15 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Odpovědné orgány oznámí jakýkoliv incident, u nějž panuje podezření, že má povahu závažného trestného činu, donucovacím orgánům. |
4. Odpovědné orgány a jednotná kontaktní místa informují dotčené hospodářské subjekty o možnosti oznámit incidenty, u nichž panuje podezření, že mají povahu závažného trestného činu, donucovacím orgánům. |
Pozměňovací návrh 118 Návrh směrnice Čl. 15 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů. |
5. Aniž by byly dotčeny platné předpisy o ochraně údajů, budou odpovědné orgány a jednotná kontaktní místa při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů. Jednotná kontaktní místa a orgány pro ochranu údajů vyvinou ve spolupráci s agenturou ENISA mechanismy na výměnu informací a jednotný vzor užívaný pro oznamování podle čl. 14 odst. 2 této směrnice i podle jiných právních předpisů Unie na ochranu údajů. |
Pozměňovací návrh 119 Návrh směrnice Čl. 15 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Členské státy zajistí, aby bylo možné všechny povinnosti uložené na základě této kapitoly orgánům veřejné správy a hospodářským subjektům podrobit soudnímu přezkumu. |
6. Členské státy zajistí, aby bylo možné všechny povinnosti uložené na základě této kapitoly hospodářským subjektům podrobit soudnímu přezkumu. |
Pozměňovací návrh 120 Návrh směrnice Čl. 15 – odst. 6 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
6a. Členské státy mohou rozhodnout o obdobném uplatnění článku 14 a tohoto článku na orgány veřejné správy. |
Pozměňovací návrh 121 Návrh směrnice Čl. 16 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. V zájmu jednotného provádění čl. 14 odst. 1 budou členské státy podporovat používání norem a/nebo specifikací týkajících se bezpečnosti sítí a informací. |
1. V zájmu jednotného provádění čl. 14 odst. 1 budou členské státy podporovat používání evropských nebo mezinárodních interoperabilních norem a/nebo specifikací týkajících se bezpečnosti sítí a informací, aniž by předepisovaly používání jakékoli konkrétní technologie. |
Pozměňovací návrh 122 Návrh směrnice Čl. 16 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Komise formou prováděcích aktů vypracuje seznam norem uvedených v odstavci 1. Seznam bude zveřejněn v Úředním věstníku Evropské unie. |
2. Komise pověří příslušný evropský normalizační orgán, aby po konzultaci s příslušnými zúčastněnými stranami vypracoval seznam norem a/nebo specifikací uvedených v odstavci 1. Seznam bude zveřejněn v Úředním věstníku Evropské unie. |
Pozměňovací návrh 123 Návrh směrnice Čl. 17 – odst. 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
1a. Členské státy zajistí, aby sankce uvedené v odstavci 1 tohoto článku byly ukládány pouze v případě, že hospodářský subjekt nesplnil své povinnosti uvedené v kapitole IV záměrně či v důsledku hrubé nedbalosti. |
Pozměňovací návrh 124 Návrh směrnice Čl. 18 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 9 odst. 2, v čl. 10 odst. 5 a v čl. 14 odst. 5 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí uvedených v daném rozhodnutí. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci. |
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 9 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí uvedených v daném rozhodnutí. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci. |
Pozměňovací návrh 125 Návrh směrnice Čl. 18 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Akt v přenesené pravomoci přijatý podle čl. 9 odst. 2, čl. 10 odst. 5, a čl. 14 odst. 5 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce. |
5. Akt v přenesené pravomoci přijatý podle čl. 9 odst. 2 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce. |
Pozměňovací návrh 126 Návrh směrnice Čl. 20 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Komise pravidelně přezkoumává uplatňování této směrnice a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do tří let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Komise pravidelně přezkoumává fungování této směrnice, zejména seznamu uvedeného v příloze II, a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do tří let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Pozměňovací návrh 127 Návrh směrnice Příloha I – název 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Povinnosti a úkoly skupiny pro reakci na počítačové hrozby (CERT) |
Povinnosti a úkoly skupin pro reakci na počítačové hrozby (CERT) |
Pozměňovací návrh 128 Návrh směrnice Příloha I – odst. 1 – bod 1 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) Skupina CERT zajistí, aby v jejích komunikačních službách nebyla žádná kritická místa (tzv. single points of failure) a služby tak byly co nejlépe dostupné, a bude mít několik způsobů, jimiž bude kontaktovat ostatní a jimiž bude možné kontaktovat ji. Komunikační kanály budou navíc jasně specifikované a spolupracujícím partnerům a podporovatelům skupiny dobře známé. |
a) Skupiny CERT zajistí, aby v jejich komunikačních službách nebyla žádná kritická místa (tzv. single points of failure) a služby tak byly co nejlépe dostupné, a budou mít několik způsobů, jimiž budou kontaktovat ostatní a jimiž bude možné kontaktovat je, a to kdykoliv. Komunikační kanály budou navíc jasně specifikované a spolupracujícím partnerům a podporovatelům skupin dobře známé. |
Pozměňovací návrh 129 Návrh směrnice Příloha I – odst. 1 – bod 1 – písm. c | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
c) Pracoviště skupiny a její podpůrné informační systémy se budou nacházet na bezpečném místě. |
c) Pracoviště skupin CERT a jejich podpůrné informační systémy se budou nacházet na bezpečném místě a jejich sítě a informační systémy budou řádně zabezpečeny. |
Pozměňovací návrh 130 Návrh směrnice Příloha I – odst. 1 – bod 2 – písm. a – odrážka 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
– monitoring incidentů na vnitrostátní úrovni, |
– odhalování a monitoring incidentů na vnitrostátní úrovni, |
Pozměňovací návrh 131 Návrh směrnice Příloha 1 – odst. 1 – bod 2 – písm. a – odrážka 5 a (nová) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
– aktivní účast v unijních a mezinárodních sítích pro spolupráci skupin CERT, |
Pozměňovací návrh 132 Návrh směrnice Příloha II – návětí | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Seznam hospodářských subjektů |
Seznam hospodářských subjektů |
|
Pro účely čl. 3 odst. 8 písm. a): |
|
|
1. platformy pro elektronické obchodování |
|
|
2. internetové platební brány |
|
|
3. sociální sítě |
|
|
4. vyhledávače |
|
|
5. služby cloud computingu |
|
|
6. obchody s aplikacemi |
|
|
Pro účely čl. 3 odst. 8 písm. b): |
|
Pozměňovací návrh 133 Návrh směrnice Příloha II – bod 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Seznam hospodářských subjektů |
Seznam hospodářských subjektů |
|
1. Energetika |
1. Energetika |
|
|
a) elektřina |
|
– dodavatelé elektřiny a plynu |
– dodavatelé |
|
– provozovatelé distribuční soustavy elektřiny a/nebo plynu a dodavatelé elektřiny a plynu konečnému spotřebiteli |
– provozovatelé distribuční soustavy a dodavatelé konečnému spotřebiteli |
|
– provozovatelé přenosové soustavy zemního plynu, provozovatelé skladovacích zařízení a LNG zařízení |
|
|
– provozovatelé přenosové soustavy elektřiny |
– provozovatelé přenosové soustavy elektřiny |
|
|
b) ropa |
|
– ropovody a zařízení pro skladování ropy |
– ropovody a zařízení pro skladování ropy |
|
|
– provozovatelé zařízení na zpracování, rafinaci a úpravu ropy a skladovacích a přenosových zařízení |
|
|
c) zemní plyn |
|
– účastníci trhu s elektřinou a zemním plynem |
– dodavatelé |
|
|
– provozovatelé distribuční soustavy a dodavatelé konečnému spotřebiteli |
|
|
– provozovatelé přenosové soustavy zemního plynu, provozovatelé skladovacích zařízení a LNG zařízení |
|
– provozovatelé zařízení na zpracování, rafinaci a úpravu ropy a zemního plynu |
– provozovatelé zařízení na zpracování, rafinaci a úpravu zemního plynu a skladovacích a přenosových zařízení |
|
|
– účastníci trhu se zemním plynem |
Pozměňovací návrh 134 Návrh směrnice Příloha II – bod 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Doprava |
2. Doprava |
|
– letečtí přepravci (osobní a nákladní letecká doprava) |
a) silniční doprava |
|
– námořní dopravci (podniky námořní a pobřežní osobní dopravy a námořní a pobřežní nákladní dopravy) |
i) provozovatelé kontroly řízení provozu |
|
– železnice (správci infrastruktury, integrované podniky a provozovatelé železniční dopravy) |
ii) pomocné logistické služby: |
|
– letiště |
– skladování |
|
– přístavy |
– manipulace s nákladem a |
|
– provozovatelé kontroly řízení provozu |
– další podpůrné činnosti v oblasti dopravy |
|
– pomocné logistické služby (a) skladování, b) manipulace s nákladem a c) další podpůrné činnosti v oblasti dopravy) |
b) železniční doprava |
|
|
i) železnice (správci infrastruktury, integrované podniky a provozovatelé železniční dopravy) |
|
|
ii) provozovatelé kontroly řízení provozu |
|
|
iii) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem a |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
c) letecká doprava |
|
|
i) letečtí přepravci (osobní a nákladní letecká doprava) |
|
|
ii) letiště |
|
|
iii) provozovatelé kontroly řízení provozu |
|
|
iv) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem a |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
d) námořní doprava |
|
|
i) námořní dopravci (podniky vnitrozemské, námořní a pobřežní osobní vodní dopravy a vnitrozemské, námořní a pobřežní nákladní vodní dopravy) |
Pozměňovací návrh 135 Návrh směrnice Příloha II – bod 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Infrastruktura finančních trhů: burzy cenných papírů, ústřední protistrany a clearingová centra. |
4. Infrastruktura finančních trhů: regulované trhy, mnohostranné systémy obchodování, organizované obchodní systémy a ústřední protistrany a clearingová centra. |
Pozměňovací návrh 136 Návrh směrnice Příloha II – bod 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Výroba a dodávky vody |
Pozměňovací návrh 137 Návrh směrnice Příloha II – bod 5 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5b. Potravinový dodavatelský řetězec |
Pozměňovací návrh 138 Návrh směrnice Příloha II – bod 5 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5c. Výměnné uzly internetu |
- [1] Úř. věst. C 0, 0.0.0000, s.0. / Dosud nezveřejněno v úředním věstníku.
- [2] Přijaté texty, P7_TA(2013)0376.
VYSVĚTLUJÍCÍ PROHLÁŠENÍ
1. Souvislosti
V rámci Digitální agendy pro Evropu byl již v roce 2010 předložen požadavek na vytvoření legislativních nástrojů, jejichž cílem by bylo dosáhnout politiky k zajištění vysoké úrovně bezpečnosti sítí a informací. Vzhledem k tomu, že sítě a informační systémy jsou vzájemně propojeny, může se jejich výrazné narušení v jednom členském státě dotknout dalších členských států i Unie jako celku. Odolnost a stabilita sítí a informačních systémů a rovněž kontinuita základních služeb jsou proto základním předpokladem pro hladké fungování vnitřního trhu, a zejména pak pro další vývoj jednotného digitálního trhu.
Vzhledem k rozdílným úrovním kapacit a roztříštěnosti různých přístupů v celé Unii je cílem stávajícího návrhu směrnice o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii, který předložila Evropská komise, zlepšit bezpečnost internetu a soukromých sítí a informačních systémů, na nichž je do značné míry postaveno fungování naší společnosti a hospodářství.
Za tím účelem Komise od členských států požaduje, aby zlepšily svou připravenost a vzájemnou spolupráci. Provozovatelé klíčových infrastruktur, jako je energetika a doprava, a klíčoví poskytovatelé služeb informační společnosti, jakož i orgány veřejné správy by proto měli přijmout odpovídající opatření k řízení bezpečnostních rizik a oznamování případů závažných narušení bezpečnosti odpovědným vnitrostátním orgánům.
2. Návrh zprávy
Zpravodaj podporuje hlavní cíl navrhované směrnice, tj. zajištění vysoké společné úrovně bezpečnosti sítí a informací. Zpravodaj se domnívá, že tato směrnice by se jakožto základní akt měla omezit jen na některé provozovatele, zabezpečit provedené investice do bezpečnosti sítí a informací a zamezit zdvojování institucionálních struktur a povinností ukládaných hospodářským subjektům, aby se tak zintenzivnila účinnost navrhovaných opatření. Zpravodaj se také domnívá, že tato směrnice by měla podporovat rozvíjení důvěryhodných vztahů a výměny mezi veřejnými a soukromými subjekty a že je třeba vyvarovat se nežádoucím účinkům v podobě pouhé „kultury dodržování pravidel“ místo žádoucí „kultury řízení rizik“. S ohledem na tyto úvahy zpravodaj doporučuje posílit dopad této směrnice těmito hlavními úpravami.
A. Oblast působnosti
Cílem návrhu směrnice je stanovit povinnosti orgánům veřejné správy a hospodářským subjektům, včetně kritických infrastruktur a služeb informační společnosti. Zpravodaj se domnívá, že v zájmu zajištění přiměřenosti směrnice a dosažení jejích rychlých výsledků by měla být povinná opatření stanovená v kapitole IV omezena na infrastruktury, jež jsou kritické v užším slova smyslu. Je toho názoru, že služby informační společnosti by proto neměly být začleněny do přílohy II této směrnice. Tato směrnice by se spíš měla zaměřit na hospodářské subjekty poskytující služby, mimo jiné v oblasti energetiky a dopravy, a rovněž infrastrukturu v oblasti zdravotnictví a infrastrukturu finančních trhů.
Orgány veřejné správy musí vzhledem k tomu, že jsou pověřeny výkonem veřejné služby, ke správě svých sítí a informačních systémů přistupovat s náležitou péčí. Podle zpravodaje proto není přiměřené uložit těmto orgánům tytéž povinnosti jako hospodářským subjektům.
Kromě změn v oblasti působnosti zpravodaj podporuje také demonstrativní výčet uvedený v příloze II a pravidelný přezkum směrnice prováděný s ohledem na technologický vývoj.
B. Vnitrostátní odpovědné orgány
Návrh směrnice předpokládá, že v každém členském státě bude jmenován jeden vnitrostátní odpovědný orgán, jenž bude pověřen sledováním provádění směrnice. Zpravodaj se domnívá, že tato skutečnost náležitě nezohledňuje stávající struktury.
Hospodářské subjekty působící v některých odvětvích zahrnutých do oblasti působnosti této směrnice již formálně či neformálně oznamují svým odvětvovým regulačním orgánům určité incidenty ohrožující bezpečnost sítí a informačních systémů. Tyto orgány mají vzhledem k přímé vazbě a blízkým vztahům s příslušným odvětvím rozsáhlé povědomí o rizicích pro dané odvětví a jeho slabých stránkách, a proto mají jedinečnou možnost posoudit dopad potenciálních nebo skutečných incidentů na dané odvětví.
Kromě stávajících investic do odvětví může být pro některé členské státy nezbytné jmenovat z důvodu svého ústavního uspořádání nebo jiných okolností více než jeden vnitrostátní odpovědný orgán. Zpravodaj proto navrhuje upravit směrnici tak, aby každý členský stát měl možnost jmenovat více než jeden odpovědný orgán. Každý členský stát by však měl jmenovat jedno jednotné kontaktní místo, jež by se mimo jiné podílelo na činnostech sítě pro spolupráci podle článku 8 a bylo by pověřeno vydáváním včasných varování podle článku 10, aby se v členském státě zajistilo jednotné uplatňování směrnice a umožnila se účinná a racionální spolupráce na úrovni Unie.
C. Síť pro spolupráci
Zpravodaj se domnívá, že síť by v zájmu posílení své činnosti v oblasti spolupráce měla zvážit, zda v případě potřeby vyzve k účasti i hospodářské subjekty. Cenné informace o pokroku dosaženém v oblasti výměny osvědčených postupů mezi členskými státy a vývoje oznamování incidentů v celé Unii by navíc zajistila výroční zpráva o činnostech této sítě.
D. Bezpečnostní požadavky a oznamování incidentů
Hlavní novinkou, kterou návrh směrnice přináší, je povinnost hospodářských subjektů oznamovat incidenty, jež mají významný dopad na bezpečnost základních služeb. V zájmu přesnějšího vymezení rozsahu povinností a jejich zakotvení v základním aktu zpravodaj navrhuje nahradit akty v přenesené pravomoci uvedené v čl. 14 odst. 5 jednoznačnými kritérii k určení závažnosti dopadu incidentů, které mají být oznamovány. S ohledem na zamýšlenou harmonizaci této směrnice se směrnicí 2009/140/ES by ukazatele podobné ukazatelům stanoveným v technických pokynech agentury ENISA pro oznamování incidentů podle směrnice 2009/140/ES přesněji vymezily rozsah i kritéria oznamování. Zpravodaj dále doporučuje, aby byly posíleny záruky ohledně zveřejňování informací týkajících se incidentů, a přesněji vymezuje uplatňování právní úpravy pro případ, že incident naruší základní služby v několika členských státech, aby nebyly ukládány hromadné či nejasné povinnosti týkající se oznamování.
E. Provádění a prosazování
Podle zpravodaje má podpora kultury řízení rizik a prosazování stávajícího úsilí hospodářských subjektů zcela zásadní význam. V této souvislosti se domnívá, že rozhodující význam má spíše celková spolupráce a konkrétní opatření přijímaná hospodářskými subjekty než způsob poskytování informací o konkrétních činnostech v oblasti řízení rizik.
S ohledem na článek 15 je proto nezbytné zajistit pro předkládání důkazních informací o plnění bezpečnostních požadavků ze strany hospodářských subjektů určitou flexibilitu. Mělo by být přípustné předkládat důkazní informace o jejich plnění i v jiné podobě než ve formě bezpečnostních auditů.
F. Sankce
I když si zpravodaj uvědomuje, že v zájmu posílení účinnosti této směrnice je zapotřebí stanovit sankce pro hospodářské subjekty, které neplní požadavky, domnívá se, že případné sankce by neměly odrazovat od oznamování incidentů a vyvolávat nepříznivé účinky. Je třeba vyvarovat se toho, aby riziko sankcí mimo jiné za pouhé nesplnění procesních požadavků omezovalo pohotové oznamování incidentů. Zpravodaj proto navrhuje jasně stanovit, aby sankce nebyly ukládány v případě, že nesplnění povinností uvedených v kapitole IV ze strany hospodářského subjektu nebylo způsobeno záměrně či hrubou nedbalostí.
STANOVISKO Výboru pro průmysl, výzkum a energetiku* (19. 12. 2013)
pro Výbor pro vnitřní trh a ochranu spotřebitelů
k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Navrhovatelka(*): Pilar del Castillo Vera
(*) Postup s přidruženými výbory – článek 50 jednacího řádu
STRUČNÉ ODŮVODNĚNÍ
V únoru 2013 předložila Evropská komise na výzvu Parlamentu, jež byla vyjádřena ve zprávě z vlastního podnětu o Digitální agendě pro Evropu, návrh směrnice týkající se opatření s cílem zajistit vysokou společnou úroveň bezpečnosti sítí a informací v celé Unii a první strategii pro kybernetickou bezpečnost v EU. Vzhledem k tomu, že na základě analýzy dostupných údajů lze odhadovat, že úmyslně způsobené incidenty v oblasti IKT mohou jen malým a středním podnikům způsobovat přímé škody ve výši více než 560 milionů EUR ročně, a že všechny typy incidentů (včetně předcházejících environmentálních a fyzických událostí, jako jsou přírodní katastrofy) mohou způsobovat přímé škody ve výši více než 2,3 miliardy EUR, navrhovatelka tento návrh vřele vítá.
Co se týče struktury návrhu, navrhovatelka souhlasí s řadou navrhovaných opatření, například s rozšířením ustanovení týkajících se ohlašování bezpečnostních incidentů, jež se v současnosti týkají jen poskytovatelů telekomunikačních služeb v souladu s čl. 13a rámcové směrnice z roku 2009, na další odvětví kritické infrastruktury. Stejně tak navrhovatelka vítá návrhy, jako je požadavek, aby všechny členské státy měly k dispozici řádně fungující skupiny pro reakci na počítačové hrozby a aby jmenovaly odpovědný orgán, který má být součástí zabezpečené celoevropské sítě pro výměnu elektronických údajů, jež umožní bezpečné sdílení a výměnu informací souvisejících s kybernetickou bezpečností. Tyto návrhy mohou významně přispět k plnění cíle směrnice, tedy k zajištění vysoké společné úrovně bezpečnosti sítí a informací v celé Unii.
Navrhovatelka se však domnívá, že v návrhu existuje prostor pro zlepšení, budeme-li na něj nahlížet prizmatem dvou hlavích zásad: účinnosti a důvěry.
První zásada – účinnost
Pokud jde o povinnost členských států jmenovat odpovědný orgán, který odpovídá za sledování uplatňování směrnice ve všech odvětvích uvedených v příloze II návrhu, navrhovatelka se domnívá, že každý členský stát musí mít nejen možnost vybrat si model správy kybernetické bezpečnosti, který považuje za nejvhodnější, ale že je nutné zamezit zdvojování institucionálních struktur, které by mohlo vést ke kompetenčním konfliktům a k narušení komunikace. Proto se navrhovatelka domnívá, že stávající vnitrostátní struktury, které již účinně fungují a odpovídají potřebám členských států a jejich ústavním předpisům, by se neměly narušovat. Je však přesvědčena, že má-li se zajistit výměna informací na úrovni Unie, oznamování hrozeb v rámci včasného varování a účinné zapojení do sítě pro spolupráci, musí každý členský stát jmenovat jednotné kontaktní místo.
Ve stejném duchu maximálního zvýšení účinnosti navrhované směrnice se navrhovatelka domnívá, že navrhované zřízení vnitrostátních skupin pro reakci na počítačové hrozby (CERT) možná není nejpřiměřenějším požadavkem, neboť ignoruje rozdílnou povahu a složení stávajících sítí CERT. Nejenže má většina členských států více než jednu skupinu CERT, ale tyto skupiny se také zabývají rozdílnými typy incidentů. Počet a kvalita činností se také liší v závislosti na tom, zda je pořádají a provozují akademické či výzkumné instituce, vlády, nebo soukromý sektor. Tento návrh by navíc narušil existující mezinárodní a evropské sítě pro spolupráci, k nimž skupiny CERT již patří a které prokázaly svou efektivitu při koordinaci mezinárodních a evropských reakcí na incidenty. Navrhovatelka proto zastává názor, že namísto odkazování na jednu vnitrostátní skupinu CERT by se směrnice měla zaměřit na ty skupiny CERT, které poskytují své služby odvětvím uvedeným v příloze II, což umožňuje například, aby jedna skupina CERT poskytovala služby všem odvětvím v příloze II nebo aby více skupin CERT poskytovalo služby jednomu odvětví. Navrhovatelka je nicméně toho názoru, že členské státy musí zaručit, že jejich skupiny CERT budou vždy plně fungovat a že budou mít dostatečné technické, finanční a lidské zdroje, aby mohly řádně působit v mezinárodních a unijních sítích pro spolupráci a podílet se na nich.
Zásada účinnosti dále vyžaduje změny navrhované směrnice, pokud jde o její oblast působnosti. Navrhovatelka sice souhlasí s tím, že je třeba rozšířit povinnosti systému oznamování na odvětví energetiky, dopravy, zdravotnictví a finanční odvětví, avšak návrh na rozšíření povinných opatření stanovených v kapitole IV na všechny hospodářské subjekty v „internetovém hospodářství“ považuje za nepřiměřený a neproveditelný. Nepřiměřený proto, že plošné uložení nových povinností otevřené a nevymezené kategorii, jako „poskytovatelům služeb informační společnosti, na nichž závisí poskytování dalších služeb informační společnosti“ je nejen nesrozumitelné, a rovněž není řádně odůvodněno s ohledem na možné škody v důsledku bezpečnostního incidentu, a mohlo by vést k dalšímu rozšíření byrokracie pro odvětví průmyslu a zejména pro malé a střední podniky. Neproveditelný proto, že vyvstávají závažné pochybnosti o tom, zda by odpovědné orgány byly schopny zvládat veškerá potenciální oznámení aktivním způsobem, který by podnítil oboustranný dialog s hospodářskými subjekty s cílem řešit bezpečnostní hrozby.
Pokud jde o veřejnou správu, měla by směrnice sladit potřebu dalšího rozvoje služeb elektronické správy s již existující povinností náležité péče veřejné správy týkající se řízení a ochrany jejích sítí a informačních systémů. Proto je navrhovatelka toho názoru, že požadavky na výměnu informací stanovené v článku 14 by měly být na veřejnou správu plně uplatňovány, neměly by se však na ni vztahovat povinnosti stanovené článkem 15.
Druhá zásada – důvěra
Navrhovatelka je toho názoru, že velká část úspěchu této směrnice spočívá v její schopnosti motivovat k účasti hospodářské subjekty a vytvořit tak důvěryhodné prostředí v oblasti bezpečnosti sítí a informací, v němž budou zúčastněné strany ochotny aktivně spolupracovat. Pokud toho tato směrnice nedosáhne, nebude úspěšná. Navrhovatelka v této souvislosti navrhuje, aby bylo hospodářským subjektům zaručeno, že na jejich účast a oznamování incidentů nebude mít negativní dopad nepotřebné zveřejňování jimi oznámených bezpečnostních incidentů nebo možnost, že by mohly být odpovědnými orgány nebo jednotnými kontaktními místy pohnány k odpovědnosti za ztrátu informací. Kromě toho musí mezi hospodářskými subjekty a odpovědnými orgány probíhat oboustranný dialog a zapojení hospodářských subjektů se musí podporovat na všech fórech, včetně sítě pro spolupráci.
Navrhovatelka je rovněž přesvědčena, že důvěra by měla být pilířem účasti odpovědných orgánů a jednotných kontaktních míst, zejména pokud jde o výměnu informací. Aby toto bylo zajištěno, měla by směrnice obsahovat ustanovení týkající se požadavků důvěrnosti a bezpečnosti sítě.
POZMĚŇOVACÍ NÁVRHY
Výbor pro průmysl, výzkum a energetiku vyzývá Výbor pro vnitřní trh a ochranu spotřebitelů jako věcně příslušný výbor, aby do své zprávy začlenil tyto pozměňovací návrhy:
Pozměňovací návrh 1 Návrh směrnice Bod odůvodnění 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro svobodu a všeobecnou bezpečnost občanů EU, jakož i pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
Pozměňovací návrh 2 Návrh směrnice Bod odůvodnění 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie. |
(2) Rozsah, četnost výskytu a dopad úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto systémy se rovněž mohou stát snadným cílem úmyslných škodlivých akcí, jejichž cílem je poškodit nebo narušit provoz systémů. Tyto incidenty mohou ohrozit zdraví a bezpečnost obyvatelstva, bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a investorů a způsobovat značnou újmu hospodářství Unie. |
Odůvodnění | |
Kybernetické útoky na společnosti kótované na burze jsou rozšířené a zahrnují odcizení majetku, včetně duševního vlastnictví, nebo narušení činností zákazníků nebo jejich obchodních partnerů a mohou mít dopad na vztahy s akcionáři i na rozhodnutí potenciálních investorů. | |
Pozměňovací návrh 3 Návrh směrnice Bod odůvodnění 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(3) Jakožto komunikační nástroj bez hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu. |
(3) Jakožto komunikační nástroj bez tradičních hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb, myšlenek a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu a rovněž fungování vnějších trhů. |
Odůvodnění | |
Odolnost a stabilita sítí a informačních systémů vnitřního trhu jsou zásadní pro vzájemnou interakci s globálními a regionálními trhy jako jsou trhy Severní Ameriky a Asie atd. | |
Pozměňovací návrh 4 Návrh směrnice Bod odůvodnění 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(4) Na úrovni Unie by měl být zřízen mechanismus spolupráce, který by umožnil výměnu informací a koordinované odhalování a reakci v záležitostech týkajících se bezpečnosti sítí a informací. Aby byl tento mechanismus účinný a všeobecně přístupný, musí mít všechny členské státy alespoň minimální kapacity a strategii, které zajistí vysoký stupeň bezpečnosti sítí a informací na jejich území. Minimální požadavky na bezpečnost by se měly vztahovat rovněž na orgány veřejné správy a provozovatele kritické informační infrastruktury, aby byla podpořena kultura řízení rizik a zaručeno oznamování nejzávažnějších incidentů. |
(4) Na úrovni Unie by měl být zřízen mechanismus spolupráce, který by umožnil výměnu informací a koordinovanou prevenci, odhalování a reakci v záležitostech týkajících se bezpečnosti sítí a informací. Aby byl tento mechanismus účinný a všeobecně přístupný, musí mít všechny členské státy alespoň minimální kapacity a strategii, které zajistí vysoký stupeň bezpečnosti sítí a informací na jejich území. Minimální požadavky na bezpečnost by se měly vztahovat rovněž na veřejné a soukromé provozovatele informační infrastruktury a společnosti kótované na burze, aby byla podpořena kultura řízení rizik a zaručeno oznamování nejzávažnějších incidentů. Právní rámec by měl vycházet z potřeby chránit soukromí a integritu občanů. Výstražná informační síť kritické infrastruktury (CIWIN) by se měla rozšířit i na tyto provozovatele. |
Odůvodnění | |
Narušení bezpečnosti společností kótovaných na burze by podstatně ovlivnilo produkty dotčené společnosti, vztahy se zákazníky nebo dodavateli a celkové konkurenční prostředí, a proto by mohlo mít velký dopad na fungování vnitřního (i vnějšího) trhu. V působnosti této směrnice by tedy měly být i společnosti kótované na burze. | |
Pozměňovací návrh 5 Návrh směrnice Bod odůvodnění 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4a) Tato směrnice by se měla soustřeďovat na kritickou infrastrukturu nezbytnou pro zachování životně důležitých hospodářských a společenských činností v oblasti energetiky, dopravy, bankovnictví, infrastruktury finančních trhů a zdravotnictví. |
Pozměňovací návrh 6 Návrh směrnice Bod odůvodnění 4 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4b) Pro zajištění toho, aby vlády nepřekračovaly nebo nezneužívaly své pravomoci, je klíčové, aby informační a bezpečnostní systémy orgánů veřejné správy byly transparentní, legitimní, jasně stanovené a aby byly přijímány transparentním způsobem demokratickými postupy. |
Pozměňovací návrh 7 Návrh směrnice Bod odůvodnění 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(6) Stávající kapacity nejsou pro zajištění vysokého stupně bezpečnosti sítí a informací v Unii dostačující. Míra připravenosti jednotlivých členských států se velmi liší, což vede v rámci Unie k roztříštěnosti přístupů. Důsledkem je různá úroveň ochrany spotřebitelů a podniků a zhoršená celková úroveň bezpečnosti sítí a informací v Unii. Kvůli neexistenci společných minimálních požadavků, jež by byly stanoveny pro veřejnou správu a hospodářské subjekty, je pak nemožné nastavit komplexní a účinný mechanismus spolupráce na úrovni Unie. |
(6) Stávající kapacity nejsou pro zajištění vysokého stupně bezpečnosti sítí a informací v Unii dostačující. Míra připravenosti jednotlivých členských států se velmi liší, což vede v rámci Unie k roztříštěnosti přístupů. Důsledkem je různá úroveň ochrany spotřebitelů a podniků a zhoršená celková úroveň bezpečnosti sítí a informací v Unii. Kvůli neexistenci společných minimálních požadavků, jež by byly stanoveny pro hospodářské subjekty, je pak nemožné nastavit komplexní a účinný mechanismus spolupráce na úrovni Unie, což navíc poškozuje účinnost mezinárodní spolupráce a v důsledku toho i boj proti celosvětovým bezpečnostním problémům a podkopává na mezinárodní úrovni vedoucí úlohu Unie v zajišťování a podpoře otevřeného, účinného a bezpečného internetu. |
Pozměňovací návrh 8 Návrh směrnice Bod odůvodnění 7 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(7) Účinná odezva na výzvy, jež přináší bezpečnost sítí a informačních systémů, proto vyžaduje komplexní přístup na úrovni Unie, jenž se vztahuje na společné minimální požadavky, pokud jde o plánování a budování kapacit, výměnu informací a koordinaci opatření, jakož i společné minimální bezpečnostní požadavky, jež se týkají všech dotčených hospodářských subjektů a orgánů veřejné správy. |
(7) Účinná odezva na výzvy, jež přináší bezpečnost sítí a informačních systémů, proto vyžaduje komplexní přístup na úrovni Unie, jenž se vztahuje na společné minimální požadavky, pokud jde o plánování a budování kapacit, rozvíjení dostatečných dovedností v oblasti kybernetické bezpečnosti, výměnu informací a koordinaci opatření, jakož i společné minimální bezpečnostní požadavky. Minimální společné standardy by měly být uplatňovány v souladu s příslušnými doporučeními koordinačních skupin pro kybernetickou bezpečnost. |
Pozměňovací návrh 9 Návrh směrnice Bod odůvodnění 9 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie. |
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba na základě minimálních požadavků uvedených v této směrnici vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie. Každý členský stát by proto měl být povinen splňovat společné standardy v oblasti formátu a vzájemné vyměnitelnosti údajů, které se mají sdílet a posuzovat. Členské státy mohou při vyvíjení svých vnitrostátních strategií pro bezpečnost sítí a informací vycházejících ze společného minimálního plánu pro vypracovávání strategií pro bezpečnost sítí a informací požádat o pomoc Evropskou agenturu pro bezpečnost sítí a informací (ENISA). |
Odůvodnění | |
ENISA je již příslušnými zúčastněnými stranami uznána jako velmi kompetentní špičkové středisko a spolehlivý nástroj pro prosazování kybernetické bezpečnosti v EU. EU by proto neměla zdvojovat úsilí a struktury, měla by stavět na know-how agentury ENISA a vyžadovat od ní, aby nabízela poradenské služby těm členským státům, které nemají instituce a odborníky v oblasti bezpečnosti sítí a informací a požádají o takovou podporu. | |
Pozměňovací návrh 10 Návrh směrnice Bod odůvodnění 10 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(10) Za účelem účinného provedení předpisů přijatých na základě této směrnice by měl být v každém členském státě zřízen nebo určen orgán, který bude odpovídat za koordinaci v oblasti bezpečnosti sítí a informací a fungovat jako ústřední bod přeshraniční spolupráce na úrovni EU. Tyto orgány by měly disponovat odpovídajícími technickými, finančními a lidskými zdroji, které zaručí, že budou moci účinně plnit úkoly jim svěřené a naplnit tak cíle této směrnice. |
(10) Za účelem účinného provedení předpisů přijatých na základě této směrnice by měl být v každém členském státě zřízen nebo určen orgán, který bude odpovídat za koordinaci v oblasti bezpečnosti sítí a informací a fungovat jako jednotný ústřední bod pro vnitřní koordinaci i přeshraniční spolupráci na úrovni EU. Tato jednotná vnitrostátní kontaktní místa by měla být určena, aniž by to mělo vliv na možnost každého členského státu určit více než jeden odpovědný vnitrostátní orgán pověřený zajišťováním bezpečnosti sítí a informací, a to podle příslušných ústavních, jurisdikčních nebo administrativních požadavků, přičemž by se jim však měla přiznat koordinační úloha na vnitrostátní úrovni i na úrovni Unie. Tyto orgány by měly disponovat odpovídajícími technickými, finančními a lidskými zdroji, které zaručí, že budou moci trvale, skutečně a účinně plnit úkoly jim svěřené a naplnit tak cíle této směrnice. |
Pozměňovací návrh 11 Návrh směrnice Bod odůvodnění 10 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(10a) Vzhledem k odlišnostem vnitrostátních správních struktur a v zájmu zachování již existujících odvětvových opatření a zamezení zdvojování činností by členské státy měly mít možnost určit více než jeden vnitrostátní orgán odpovědný za plnění úkolů týkajících se bezpečnosti sítí a informačních systémů hospodářských subjektů v souladu s touto směrnicí. V zájmu zajištění bezproblémové přeshraniční spolupráce a komunikace je však nezbytné, aby každý členský stát jmenoval pouze jedno vnitrostátní jednotné kontaktní místo pověřené přeshraniční spoluprací na úrovni Unie. Vyžaduje-li to jeho ústavní struktura nebo jiné uspořádání, měl by mít členský stát možnost jmenovat pouze jeden orgán pro výkon úkolů odpovědného orgánu a jednotného kontaktního místa. |
Pozměňovací návrh 12 Návrh směrnice Bod odůvodnění 11 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(11) Všechny členské státy by měly být náležitě vybaveny jak technicky, tak organizačně, aby mohly předcházet vzniku incidentů a rizik spojených se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Ve všech členských státech by proto měly být zřízeny dobře fungující skupiny pro reakci na počítačové hrozby splňující základní požadavky, aby byly zaručeny efektivní a kompatibilní kapacity pro řešení incidentů a rizik a zajištěna účinná spolupráce na úrovni Unie. |
(11) Všechny členské státy a hospodářské subjekty by měly být náležitě vybaveny jak technicky, tak organizačně, aby mohly kdykoli předcházet vzniku incidentů a rizik spojených se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Bezpečnostní systémy orgánů veřejné správy musí být bezpečné a musí podléhat demokratické kontrole a dohledu. Běžně požadované vybavení a kapacity by měly splňovat obecně dohodnuté technické předpisy a standardní postupy provozu. Ve všech členských státech by proto měly být zřízeny dobře fungující skupiny pro reakci na počítačové hrozby (CERT) splňující základní požadavky, aby byly zaručeny efektivní a kompatibilní kapacity pro řešení incidentů a rizik a zajištěna účinná spolupráce na úrovni Unie. Skupiny CERT by měly mít možnost vzájemné spolupráce na základě společných technických předpisů a standardních postupů provozu. S ohledem na různé charakteristiky stávajících skupin CERT, což odpovídá různým potřebám příslušných subjektů a různým aktérům, by členské státy měly zaručit, aby každému z odvětví podle přílohy II poskytovala služby alespoň jedna skupina CERT. Pokud jde o přeshraniční spolupráci CERT, měly by členské státy zajistit, aby tyto skupiny měly dostatek prostředků na to, aby se zapojily do stávajících mezinárodních a evropských sítí spolupráce. |
Odůvodnění | |
Je nutné zajistit interoperabilitu. | |
Pozměňovací návrh 13 Návrh směrnice Bod odůvodnění 12 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(12) Členské státy a Komise by měly využít značného pokroku, kterého dosáhlo Evropské fórum členských států (EFMS) v podporování diskuzí a výměny informací o osvědčených postupech v této oblasti politiky, včetně vypracování zásad spolupráce v případě evropské počítačové krize, a vytvořit síť na podporu vzájemné spolupráce a stálé komunikace. Tento mechanismus pro bezpečnou a efektivní spolupráci by měl umožnit strukturovanou a koordinovanou výměnu informací a odhalování a reakci na úrovni Unie. |
(12) Členské státy a Komise by měly využít značného pokroku, kterého dosáhlo Evropské fórum členských států („EFMS“) v podporování diskuzí a výměny informací o osvědčených postupech v této oblasti politiky, včetně vypracování zásad spolupráce v případě evropské počítačové krize, a vytvořit síť na podporu vzájemné spolupráce a stálé komunikace. Tento mechanismus pro bezpečnou a efektivní spolupráci se zajištěnou účastí hospodářských subjektů by měl umožnit strukturovanou a koordinovanou výměnu informací a odhalování a reakci na úrovni Unie. |
Pozměňovací návrh 14 Návrh směrnice Bod odůvodnění 13 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(13) Evropská agentura pro bezpečnost sítí a informací (ENISA) by měla členským státům a Komisi pomoci poskytnutím svých odborných znalostí a doporučení a umožněním vzájemné výměny osvědčených postupů. Především Komise by při uplatňování této směrnice měla agenturu ENISA konzultovat. V zájmu účinného a včasného poskytování informací členským státům a Komisi by v rámci sítě pro spolupráci měla být vydávána včasná varování o vzniku incidentů a rizik. Síť pro spolupráci by rovněž měla sloužit jako nástroj pro vzájemnou výměnu osvědčených postupů, pomáhat svým členům při budování kapacit, řídit organizaci vzájemných hodnocení a plnění úkolů souvisejících s bezpečností sítí a informací, aby se v členských státech vybudovaly kapacity a příslušná znalostní základna. |
(13) Evropská agentura pro bezpečnost sítí a informací (ENISA) by měla členským státům a Komisi pomoci poskytnutím svých odborných znalostí a doporučení a umožněním vzájemné výměny osvědčených postupů. Především Komise a členské státy by při uplatňování této směrnice měly agenturu ENISA konzultovat. V zájmu účinného a včasného poskytování informací členským státům a Komisi by v rámci sítě pro spolupráci měla být vydávána včasná varování o vzniku incidentů a rizik. Síť pro spolupráci by rovněž měla sloužit jako nástroj pro vzájemnou výměnu osvědčených postupů, pomáhat svým členům při budování kapacit, řídit organizaci vzájemných hodnocení a plnění úkolů souvisejících s bezpečností sítí a informací, aby se v členských státech vybudovaly kapacity a příslušná znalostní základna. |
Pozměňovací návrh 15 Návrh směrnice Bod odůvodnění 14 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(14) Měla by být vytvořena infrastruktura pro bezpečné sdílení informací, která umožní výměnu citlivých a důvěrných informací v rámci sítě pro spolupráci. Přístup k důvěrným informacím z jiného členského státu by měl být členskému státu poskytnut, pouze pokud prokáže, že jeho technické, finanční a lidské zdroje a postupy, jakož i komunikační infrastruktura, zaručují jeho účinné a bezpečné zapojení do sítě, aniž by tím byla dotčena jeho povinnost ohlašovat uvnitř sítě pro spolupráci incidenty a rizika unijních rozměrů. |
(14) Pod dohledem agentury ENISA by měla být vytvořena infrastruktura pro bezpečné sdílení informací, která umožní výměnu citlivých a důvěrných informací v rámci sítě pro spolupráci. Přístup k důvěrným informacím z jiného členského státu by měl být členskému státu poskytnut, pouze pokud prokáže, že jeho technické, finanční a lidské zdroje a postupy, jakož i komunikační infrastruktura, zaručují jeho účinné a bezpečné zapojení do sítě, aniž by tím byla dotčena jeho povinnost ohlašovat uvnitř sítě pro spolupráci incidenty a rizika unijních rozměrů. Aby mohla síť pro spolupráci účinně plnit své úkoly, měla by pro ni Komise vytvořit rozpočtovou položku. |
Pozměňovací návrh 16 Návrh směrnice Bod odůvodnění 14 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(14a) Ve vhodných případech lze k zapojení do činností sítě pro spolupráci přizvat i hospodářské subjekty. |
Pozměňovací návrh 17 Návrh směrnice Bod odůvodnění 15 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a sdílet informace a osvědčené postupy výměnou za provozní podporu v případě vzniku incidentu. |
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a vzájemně sdílet informace a osvědčené postupy, včetně vzájemné výměny relevantních informací a provozní podpory a strategicky analyzovaných informací v případě vzniku incidentu. V zájmu účinné podpory sdílení informací a osvědčených postupů je zásadně důležité zajistit, aby hospodářské subjekty, které se na této výměně podílejí, nebyly v důsledku své spolupráce znevýhodněny. Je nutné poskytnout přiměřené záruky k zajištění toho, aby z důvodu této spolupráce nebyly tyto subjekty vystaveny vyššímu riziku v souvislosti s dodržováním předpisů ani novým povinnostem vyplývajícím mimo jiné z právní úpravy v oblasti hospodářské soutěže, duševního vlastnictví, ochrany údajů nebo kyberkriminality, a aby nebyly vystaveny ani zvýšenému provoznímu nebo bezpečnostnímu riziku. |
Pozměňovací návrh 18 Návrh směrnice Bod odůvodnění 16 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by zveřejňovaly informace o incidentech a rizicích, které nemají důvěrný charakter. |
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by jednotná kontaktní místa měla zřídit společné internetové stránky pro celou Unii, na nichž by se zveřejňovaly informace o incidentech, rizicích a způsobech snižování rizik, které nemají důvěrný charakter, a na kterých by se případně poskytovalo poradenství ohledně vhodných údržbových opatření. |
Pozměňovací návrh 19 Návrh směrnice Bod odůvodnění 17 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(17) Pokud se v souladu s unijními a vnitrostátními předpisy o obchodním tajemství jedná o důvěrné informace, musí být jejich důvěrnost při provádění činností a plnění cílů stanovených touto směrnicí zachována. |
(17) Politika v oblasti klasifikace informací uvedená v bodu odůvodnění 14 by se měla řídit protokolem o společném sdílení informací doporučeným agenturou ENISA (tzv. Traffic Light Protocol). Jakékoli vyměňované informace musí být klasifikované podle stupně citlivosti určeného zdrojem informací a v souladu s ním se s nimi musí zacházet. Pokud se v souladu s unijními a vnitrostátními předpisy o obchodním tajemství jedná o důvěrné informace, musí být jejich důvěrnost při provádění činností a plnění cílů stanovených touto směrnicí zachována. |
Pozměňovací návrh 20 Návrh směrnice Bod odůvodnění 18 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(18) Na základě především vnitrostátních zkušeností s řešením krizí a ve spolupráci s agenturou ENISA by členské státy měly vypracovat evropský plán spolupráce v oblasti bezpečnosti sítí a informací, který by vymezil mechanismy spolupráce pro potírání rizik a incidentů. Tento plán by měl být řádně zohledněn při práci s včasnými varováními v síti pro spolupráci. |
(18) Na základě především vnitrostátních zkušeností s řešením krizí a ve spolupráci s agenturou ENISA by členské státy měly vypracovat evropský plán spolupráce v oblasti bezpečnosti sítí a informací, který by vymezil mechanismy spolupráce, osvědčené postupy a operační schémata pro prevenci, zjišťování a potírání rizik a incidentů a podávání zpráv o nich. Tento plán by měl být řádně zohledněn při práci s včasnými varováními v síti pro spolupráci. |
Pozměňovací návrh 21 Návrh směrnice Bod odůvodnění 19 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(19) Oznámení o vydání včasného varování v této síti by mělo být vyžadováno pouze v případě, že rozsah a závažnost daného incidentu nebo rizika jsou nebo by se mohly stát natolik významnými, že je nutné informovat nebo koordinovaně zareagovat na úrovni Unie. Včasná varování by se proto měla omezit na skutečné nebo hrozící incidenty či rizika, jež rychle rostou, přesahují národní reakční kapacitu nebo postihují více než jeden členský stát. Pro účely řádného vyhodnocení daného rizika nebo incidentu by měly být všechny informace, které jsou relevantní pro jeho posouzení, sděleny prostřednictvím sítě pro spolupráci. |
(19) Oznámení o vydání včasného varování v této síti by mělo být vyžadováno pouze v případě, že rozsah a závažnost daného incidentu nebo rizika jsou nebo by se mohly stát natolik významnými, že je nutné informovat nebo koordinovaně zareagovat na úrovni Unie. Včasná varování by se proto měla omezit na incidenty či rizika, jež rychle rostou, přesahují národní reakční kapacitu nebo postihují více než jeden členský stát. Pro účely řádného vyhodnocení daného rizika nebo incidentu by měly být všechny informace, které jsou relevantní pro jeho posouzení, sděleny prostřednictvím sítě pro spolupráci. |
Pozměňovací návrh 22 Návrh směrnice Bod odůvodnění 20 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(20) Jakmile obdrží a vyhodnotí včasné varování, měly by se odpovědné orgány dohodnout na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací. Odpovědné orgány a Komise by měly být informovány o tom, jaká opatření byla na základě koordinované reakce na vnitrostátní úrovni přijata. |
(20) Jakmile obdrží a vyhodnotí včasné varování, měla by se jednotná kontaktní místa dohodnout na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací. Jednotná kontaktní místa, ENISA a Komise by měly být informovány o tom, jaká opatření byla na základě koordinované reakce na vnitrostátní úrovni přijata. |
Pozměňovací návrh 23 Návrh směrnice Bod odůvodnění 22 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na orgánech veřejné správy a hospodářských subjektech. Stanovením vhodných právních povinností a pomocí dobrovolných postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, včetně posuzování rizik a zavádění bezpečnostních opatření úměrných hrozícím rizikům. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření rovných podmínek. |
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na orgánech veřejné správy a hospodářských subjektech. Stanovením vhodných právních povinností a pomocí dobrovolných postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, úzké spolupráce a důvěry, včetně posuzování rizik a zavádění bezpečnostních opatření úměrných hrozícím rizikům. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření důvěryhodných rovných podmínek. |
Pozměňovací návrh 24 Návrh směrnice Bod odůvodnění 24 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(24) Uvedené povinnosti by měly platit i mimo odvětví elektronických komunikací a vztahovat se na klíčové poskytovatele služeb informační společnosti, jak je stanoveno ve směrnici Evropského Parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti27, jež podporují následné služby informační společnosti či online aktivity, jako jsou například platformy elektronického obchodu, internetové platební brány, sociální sítě, vyhledavače, služby cloud computingu a obchody s aplikacemi. Narušení těchto služeb vytvářejících informační společnost brání poskytování dalších služeb informační společnosti, které jsou na nich jakožto na klíčových vstupech závislé. Vývojáři softwaru a výrobci hardwaru nejsou poskytovateli služeb informační společnosti, a jsou proto z této povinnosti vyňati. Uvedené povinnosti by se rovněž měly vztahovat na orgány veřejné správy a provozovatele kritických infrastruktur, které jsou silně závislé na informačních a komunikačních technologiích a mají zásadní význam pro zachování životně důležitých ekonomických a společenských funkcí, jako elektřina a plyn, doprava, úvěrové instituce, burzy cenných papírů a zdravotnictví. Narušení těchto sítí a informačních systémů by zasáhlo vnitřní trh. |
(24) Uvedené povinnosti by měly platit i mimo odvětví elektronických komunikací a vztahovat se na provozovatele infrastruktur, které jsou silně závislé na informačních a komunikačních technologiích a mají zásadní význam pro zachování životně důležitých ekonomických či společenských funkcí, jako elektřina a plyn, doprava, úvěrové instituce, infrastruktura finančních trhů a zdravotnictví. Narušení těchto sítí a informačních systémů by zasáhlo vnitřní trh. Ačkoli se povinnosti stanovené v této směrnici nevztahují na klíčové poskytovatele služeb informační společnosti, jak je stanoveno ve směrnici Evropského parlamentu a Rady 98/34/ES ze dne 22. června 1998 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti27, jež podporují následné služby informační společnosti či online aktivity, jako jsou například platformy elektronického obchodu, internetové platební brány, sociální sítě, vyhledavače, služby cloud computingu obecně nebo obchody s aplikacemi, mohou tito poskytovatelé dle uvážení dobrovolně informovat odpovědný orgán nebo jednotné kontaktní místo o incidentech souvisejících s bezpečností sítě a odpovědný orgán nebo jednotné kontaktní místo by měly dle možností hospodářským subjektům, které incident ohlásily, poskytnout strategicky analyzované informace, které přispějí ke zvládnutí bezpečnostní hrozby. |
|
__________________ |
__________________ |
|
27 Úř. věst. L 204, 21.7.1998, s. 37. |
27 Úř. věst. L 204, 21.7.1998, s. 37. |
Pozměňovací návrh 25 Návrh směrnice Bod odůvodnění 25 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(25) Technická a organizační opatření, jež by měly přijímat orgány veřejné správy a hospodářské subjekty, by neměla vyžadovat, aby byla konkrétní komerční informační a komunikační technologie navržena, vyvinuta nebo vyrobena určitým konkrétním způsobem. |
(25) Technická a organizační opatření, jež by měly přijímat hospodářské subjekty, by neměla vyžadovat, aby byla konkrétní komerční informační a komunikační technologie navržena, vyvinuta nebo vyrobena určitým konkrétním způsobem. Na druhou stranu by se mělo vyžadovat používání mezinárodních standardů v oblasti kybernetické bezpečnosti. |
Pozměňovací návrh 26 Návrh směrnice Bod odůvodnění 28 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(28) Odpovědné orgány by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Zveřejňování incidentů oznámených odpovědným orgánům by mělo být přiměřené zájmu veřejnosti na informacích o hrozbách, jež by mohly poškodit dobrou pověst či obchodní zájmy orgánů veřejné správy a hospodářských subjektů, které incidenty ohlašují. Při zavádění ohlašovací povinnosti by odpovědné orgány měly věnovat pozornost především skutečnosti, že informace o zranitelnosti produktu musí až do zjednání odpovídající nápravy v oblasti bezpečnosti zůstat přísně důvěrné. |
(28) Odpovědné orgány a jednotná kontaktní místa by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Je třeba, aby byli o dříve neznámých zranitelných místech nebo incidentech oznámených odpovědným orgánům informováni výrobci dotčených produktů a poskytovatelé dotčených služeb informačních a komunikačních technologií. Zveřejňování incidentů oznámených odpovědným orgánům a jednotným kontaktním místům by mělo být přiměřené zájmu veřejnosti na informacích o hrozbách, jež by mohly poškodit dobrou pověst či obchodní zájmy hospodářských subjektů, které incidenty ohlašují. V zájmu zajištění důvěry a účinnosti se incidenty zveřejňují jen po konzultaci se subjekty, které incident ohlásily, a pouze tehdy, je-li to nezbytně nutné pro dosažení cílů této směrnice. Při zavádění ohlašovací povinnosti by odpovědné orgány a jednotná kontaktní místa měly věnovat pozornost především skutečnosti, že informace o zranitelnosti produktu musí až do zjednání odpovídající nápravy v oblasti bezpečnosti zůstat přísně důvěrné, i když žádné ohlášení by se nemělo zdržovat více, než je nezbytně nutné. Jednotná kontaktní místa by obecně neměla zveřejňovat osobní údaje jednotlivců zapojených do incidentů. Osobní údaje by měla zveřejňovat pouze tehdy, je-li jejich zveřejnění nezbytné a přiměřené sledovanému cíli. |
Odůvodnění | |
Pokud orgány ví o zranitelných místech některých produktů nebo služeb informačních a komunikačních technologií, měly by o nich informovat výrobce a poskytovatele služeb, aby tito mohli své produkty a služby včas přizpůsobit. | |
Pozměňovací návrh 27 Návrh směrnice Bod odůvodnění 29 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(29) Odpovědné orgány by měly mít k dispozici potřebné prostředky k výkonu svých povinností, včetně pravomoci získat od hospodářských subjektů a orgánů veřejné správy dostatek informací, aby mohly posoudit míru bezpečnosti sítí a informačních systémů, jakož i spolehlivých a úplných dat týkajících se skutečných bezpečnostních incidentů, jež měly dopad na provoz sítí a informačních systémů. |
(29) Odpovědné orgány a jednotná kontaktní místa by měly mít k dispozici potřebné prostředky k výkonu svých povinností, včetně pravomoci získat od hospodářských subjektů dostatek informací, aby mohly posoudit míru bezpečnosti sítí a informačních systémů, zjistit počet, velikost a rozsah incidentů, jakož i spolehlivých a úplných dat týkajících se skutečných bezpečnostních incidentů, jež měly dopad na provoz sítí a informačních systémů. |
Pozměňovací návrh 28 Návrh směrnice Bod odůvodnění 30 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(30) Na pozadí mnoha bezpečnostních incidentů je často trestná činnost. Trestněprávní povahu incidentů lze usuzovat, i pokud důkazy o ní nejsou od začátku dostatečně jasné. V tomto kontextu by měla být součástí účinné a komplexní reakce na hrozbu bezpečnostního incidentu odpovídající spolupráce mezi odpovědnými a donucovacími orgány. Prosazování zabezpečeného, bezpečného a odolnějšího prostředí pak vyžaduje především systematické oznamování incidentů, u nichž panuje podezření, že mají povahu závažného trestného činu, donucovacím orgánům. To, zda mají incidenty povahu závažného trestného činu, by mělo být posuzováno ve světle předpisů EU o kyberkriminalitě. |
(30) Na pozadí mnoha bezpečnostních incidentů je často trestná činnost nebo kybernetická válka. Trestněprávní povahu incidentů lze usuzovat, i pokud důkazy o ní nejsou od začátku dostatečně jasné. V tomto kontextu by měla být součástí účinné a komplexní reakce na hrozbu bezpečnostního incidentu odpovídající spolupráce mezi odpovědnými orgány, jednotnými kontaktními místy a donucovacími orgány a také spolupráce s Centrem Europolu pro boj proti kyberkriminalitě (EC3) a agenturou ENISA. Prosazování zabezpečeného, bezpečného a odolnějšího prostředí pak vyžaduje především systematické oznamování incidentů, u nichž panuje podezření, že mají povahu závažného trestného činu, donucovacím orgánům. To, zda mají incidenty povahu závažného trestného činu, by mělo být posuzováno ve světle předpisů EU o kyberkriminalitě. |
Pozměňovací návrh 29 Návrh směrnice Bod odůvodnění 31 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(31) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. V tomto ohledu by odpovědné orgány a úřady pro ochranu údajů měly spolupracovat a vyměňovat si informace o všech významných skutečnostech, aby zabránily porušení ochrany osobních údajů, k němuž v důsledku incidentů dochází. Členské státy by měly povinnost oznamovat bezpečnostní incidenty zavádět tak, aby v případě, že je incident zároveň porušením ochrany osobních údajů podle nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů28, byla administrativní zátěž minimální. Agentura ENISA, ve spolupráci s odpovědnými orgány a úřady pro ochranu údajů, by mohla přispět vytvořením mechanismů a vzorových formulářů pro výměnu informací, aby se pro oznamování nemusely používat dva formuláře. Tento jednotný oznamovací formulář by usnadnil oznamování incidentů, kterými zároveň dochází k porušení ochrany osobních údajů, a zmírnil tak administrativní zátěž pro podniky a orgány veřejné správy. |
(31) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. Členské státy a hospodářské subjekty by měly chránit ukládané, zpracovávané nebo přenášené osobní údaje před náhodným nebo nezákonným zničením, náhodnou ztrátou nebo změnou a před neoprávněným nebo nezákonným ukládáním, zpřístupněním, zveřejněním či šířením, a měly by zajistit provádění bezpečnostní politiky týkající se zpracování osobních údajů. V tomto ohledu by odpovědné orgány, jednotná kontaktní místa a úřady pro ochranu údajů měly spolupracovat a vyměňovat si informace o všech významných skutečnostech, aby zabránily porušení ochrany osobních údajů, k němuž v důsledku incidentů dochází. Povinnost oznamovat bezpečnostní incidenty by měla být plněna tak, aby v případě, že je incident zároveň porušením ochrany osobních údajů, jež musí být podle platných právních předpisů oznámeno, byla administrativní zátěž minimální. Agentura ENISA by měla přispět vytvořením mechanismů pro výměnu informací a jednotného oznamovacího formuláře, jenž by usnadnil oznamování incidentů, kterými zároveň dochází k porušení ochrany osobních údajů, a zmírnil tak administrativní zátěž pro podniky a orgány veřejné správy. |
|
__________________ |
|
|
28 SEC(2012) 72 v konečném znění. |
|
Odůvodnění | |
Sladěno s návrhem směrnice o ochraně údajů. | |
Pozměňovací návrh 30 Návrh směrnice Bod odůvodnění 32 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(32) Standardizace bezpečnostních požadavků vychází z potřeb trhu. V zájmu zajištění jednotného uplatňování bezpečnostních norem by členské státy měly podporovat dodržování či soulad s určitými normami, tak aby byla zaručena vysoká míra bezpečnosti na úrovni Unie. Za tímto účelem může být nutné vypracovat jednotné normy, které by měly být v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES29. |
(32) Standardizace bezpečnostních požadavků je dobrovolným procesem vycházejícím z potřeb trhu, který by měl umožnit hospodářským subjektům používat alternativní prostředky k dosažení alespoň podobných výsledků. V zájmu zajištění jednotného uplatňování bezpečnostních norem by členské státy měly podporovat dodržování či soulad s určitými interoperabilními normami, tak aby byla zaručena vysoká míra bezpečnosti na úrovni Unie. Za tímto účelem je třeba zvážit uplatňování otevřených mezinárodních norem v oblasti bezpečnosti sítí a informací nebo navržení takových nástrojů. Dále může být nutné vypracovat jednotné normy, které by měly být v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES. Zejména je třeba pověřit organizace ETSI, CEN a CENELEC, aby navrhly účinné a účelné otevřené bezpečnostní normy EU, které se budou maximálně vyhýbat technologickým preferencím a se kterými by mohly snadno pracovat malé a střední hospodářské subjekty. Je třeba důkladně prověřit mezinárodní normy v oblasti kybernetické bezpečnosti a ujistit se, že nedošlo k jejich narušení a poskytují adekvátní úroveň bezpečnosti. Tak se zaručí, aby požadované splňování norem v oblasti kybernetické bezpečnosti posilovalo celkovou úroveň kybernetické bezpečnosti Unie, namísto aby ji oslabovalo. |
|
__________________ |
__________________ |
|
29 Úř. věst. L 316, 14.11.2012, s. 12. |
29 Úř. věst. L 316, 14.11.2012, s. 12. |
Pozměňovací návrh 31 Návrh směrnice Bod odůvodnění 33 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(33) Komise by ustanovení této směrnice měla pravidelně přezkoumávat, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se technologické nebo tržní podmínky. |
(33) Komise by měla ustanovení této směrnice v konzultaci se všemi zúčastněnými stranami pravidelně přezkoumávat, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se společenské, politické, technologické nebo tržní podmínky. |
Pozměňovací návrh 32 Návrh směrnice Bod odůvodnění 34 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(34) Aby mohla síť pro spolupráci řádně fungovat, měla by být na Komisi v souladu s článkem 290 Smlouvy o fungování Evropské unie přenesena pravomoc přijímat akty, pokud jde o stanovení kritérií, jež by měly členské státy splňovat, aby byly oprávněny používat bezpečný systém pro sdílení informací, o další upřesnění skutečností, jež mají být spouštěčem včasného varování, a o vymezení okolností, za nichž jsou hospodářské subjekty a orgány veřejné správy povinny oznámit, že došlo k bezpečnostnímu incidentu. |
vypouští se |
Pozměňovací návrh 33 Návrh směrnice Bod odůvodnění 35 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(35) Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracování aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předávány současně, včas a vhodným způsobem Evropskému parlamentu a Radě. |
(35) Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to se všemi zúčastněnými stranami, a zejména na odborné úrovni. Komise by měla zajistit, aby byly příslušné dokumenty předávány současně, včas a vhodným způsobem Evropskému parlamentu a Radě. |
Pozměňovací návrh 34 Návrh směrnice Bod odůvodnění 36 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(36) Za účelem zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o spolupráci odpovědných orgánů a Komise v rámci sítě pro spolupráci, přístup k bezpečnému systému pro sdílení informací, evropský plán spolupráce v oblasti bezpečnosti sítí a informací, formu a postupy platné pro informování veřejnosti o incidentech a normy a/nebo technické specifikace týkající se bezpečnosti sítí a informací. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí30. |
(36) Za účelem zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o spolupráci jednotných kontaktních míst a Komise v rámci sítě pro spolupráci, aniž by tím byly dotčeny stávající mechanismy spolupráce na vnitrostátní úrovni, společný soubor norem v oblasti propojení a bezpečnosti pro zajištění bezpečného systému pro sdílení informací, evropský plán spolupráce v oblasti bezpečnosti sítí a informací a forma a postupy platné pro oznamování závažných incidentů. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí30. |
|
__________________ |
__________________ |
|
30 Úř. věst. L 55, 28.2.2011, s. 13. |
30 Úř. věst. L 55, 28.2.2011, s. 13. |
Pozměňovací návrh 35 Návrh směrnice Bod odůvodnění 37 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(37) Při uplatňování této směrnice by Komise měla vhodným způsobem úzce spolupracovat s příslušnými odvětvovými výbory a orgány zřízenými na úrovni EU, zejména v oblasti energetiky, dopravy, bankovnictví a zdravotnictví. |
(37) Při uplatňování této směrnice by Komise měla vhodným způsobem úzce spolupracovat s příslušnými odvětvovými výbory a orgány zřízenými na úrovni EU, zejména v oblasti elektronické veřejné správy, energetiky, dopravy, bankovnictví a zdravotnictví. |
Pozměňovací návrh 36 Návrh směrnice Bod odůvodnění 38 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(38) Informace, které odpovědný orgán v souladu s právními předpisy Unie a vnitrostátními právními předpisy o obchodním tajemství považuje za důvěrné, by měly být vyměňovány s Komisí a jinými odpovědnými orgány pouze tehdy, pokud je taková výměna nezbytně nutná pro použití ustanovení této směrnice. Vyměňované informace by se měly omezovat na informace, které jsou relevantní a přiměřené účelu takové výměny. |
(38) Informace, které odpovědný orgán nebo jednotné kontaktní místo v souladu s právními předpisy Unie a vnitrostátními právními předpisy o obchodním tajemství považuje za důvěrné, by měly být vyměňovány s Komisí, jejími příslušnými agenturami,jednotnými kontaktními místy nebo jinými vnitrostátními odpovědnými orgány pouze tehdy, pokud je taková výměna nezbytně nutná pro použití ustanovení této směrnice. Vyměňované informace by se měly omezovat na informace, které jsou relevantní, nezbytné a přiměřené účelu takové výměny, a současně by měla být dodržena předem stanovená kritéria důvěrnosti a bezpečnostní a klasifikační protokoly, kterými se řídí postup sdílení informací. |
Pozměňovací návrh 37 Návrh směrnice Bod odůvodnění 39 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům může být potřeba zpracovat osobní údaje. Toto zpracování osobních údajů je nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, a je proto v souladu s článkem 7 směrnice 95/46/ES oprávněné. Ve vztahu k těmto oprávněným cílům nepředstavuje nepřiměřený ani nepřípustný zásah do samé podstaty práva na ochranu osobních údajů zaručovaného článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise31. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům nebo jednotným kontaktním místům může být potřeba zpracovat osobní údaje. Toto zpracování osobních údajů je nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, a je proto v souladu s článkem 7 směrnice 95/46/ES oprávněné. Ve vztahu k těmto oprávněným cílům nepředstavuje nepřiměřený ani nepřípustný zásah do samé podstaty práva na ochranu osobních údajů zaručovaného článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise31. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
|
__________________ |
__________________ |
|
31 Úř. věst. L 145, 31.5.2001, s. 43. |
31 Úř. věst. L 145, 31.5.2001, s. 43. |
Pozměňovací návrh 38 Návrh směrnice Bod odůvodnění 41 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(41a) Členské státy se v souladu se Společným politickým prohlášením členských států a Komise o informativních dokumentech ze dne 28. září 2011 zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice do vnitrostátního práva o jeden či více dokumentů, které objasní vztah mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních prováděcích nástrojů. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné. |
Pozměňovací návrh 39 Návrh směrnice Čl. 1 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované a účinné řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně; |
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované a účinné řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně, se zapojením příslušných zúčastněných stran; |
Pozměňovací návrh 40 Návrh směrnice Čl. 1 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Při sdílení informací v rámci sítě pro spolupráci podle kapitoly III a oznamování bezpečnostních incidentů týkajících se sítí a informací podle článku 14 může být nutné zpracování osobních údajů. Toto zpracování osobních údajů, jež je nutné ke splnění cílů obecného zájmu, které sleduje tato směrnice, musí v souladu s článkem 7 směrnice 95/46/ES a směrnicí 2002/58/ES, jak jsou provedeny do vnitrostátního práva, schválit příslušný členský stát. |
6. Při sdílení informací v rámci sítě pro spolupráci podle kapitoly III a oznamování bezpečnostních incidentů týkajících se sítí a informací podle článku 14 může být nutné zpracování osobních údajů a jejich sdělování důvěryhodným třetím stranám. Toto zpracování osobních údajů, jež je nutné ke splnění cílů obecného zájmu, které sleduje tato směrnice, musí v souladu s článkem 7 směrnice 95/46/ES a směrnicí 2002/58/ES, jak jsou provedeny do vnitrostátního práva, schválit příslušný členský stát. Členské státy přijmou v souladu s článkem 13 směrnice 95/46/ES legislativní opatření, která zajistí, aby orgány veřejné správy, hospodářské subjekty a odpovědné orgány nenesly odpovědnost za zpracování osobních údajů nezbytných pro sdílení informací v rámci sítě pro spolupráci a oznamování incidentů. |
Pozměňovací návrh 41 Návrh směrnice Čl. 2 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Členské státy mohou přijmout či zachovat v platnosti ustanovení zajišťující vyšší míru bezpečnosti, aniž by tím byly dotčeny jejich povinnosti stanovené právními předpisy Unie. |
Členské státy mohou přijmout či zachovat v platnosti ustanovení zajišťující vyšší míru bezpečnosti, která jsou v souladu s Listinou základních práv Evropské unie, aniž by tím byly dotčeny jejich povinnosti stanovené právními předpisy Unie. |
Odůvodnění | |
Volnost, kterou mají členské státy ve věcech bezpečnosti, musí být podmíněna dodržováním zásad stanovených v Listině základních práv Evropské unie, včetně např. práva na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání a práva na účinnou právní ochranu. | |
Pozměňovací návrh 42 Návrh směrnice Čl. 3 – odst. 1 – bod 1 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) jakýkoli přístroj nebo skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování počítačových dat, jakož i |
b) jakýkoli přístroj nebo skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování digitálních dat, jakož i |
Pozměňovací návrh 43 Návrh směrnice Čl. 3 – odst. 1 – bod 1 – písm. c | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
c) počítačová data prvky uvedenými pod písmeny a) a b) uložená, zpracovaná, opětovně vyhledaná nebo přenesená za účelem jejich provozu, použití, ochrany a údržby; |
c) digitální data prvky uvedenými pod písmeny a) a b) uložená, zpracovaná, opětovně vyhledaná nebo přenesená za účelem jejich provozu, použití, ochrany a údržby; |
Pozměňovací návrh 44 Návrh směrnice Čl. 3 – odst. 1 – bod 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2) „bezpečností“ schopnost sítě a informačního systému odolávat na určitém stupni spolehlivosti náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; |
2) „bezpečností“ schopnost sítě a informačního systému odolávat na určitém stupni spolehlivosti náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; „bezpečnost“, jak je zde definována, zahrnuje vhodná technická zařízení, řešení a operační postupy, které zajišťují plnění bezpečnostních požadavků stanovených v této směrnici; |
Pozměňovací návrh 45 Návrh směrnice Čl. 3 – odst. 1 – bod 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4) „incidentem“ jakákoliv okolnost nebo událost, která má reálný negativní dopad na bezpečnost; |
4) „incidentem“ jakákoliv přiměřeně rozpoznatelná okolnost nebo událost, která má reálný negativní dopad na bezpečnost; |
Odůvodnění | |
Původní znění bylo příliš široké a definice by byla obtížně použitelná. | |
Pozměňovací návrh 46 Návrh směrnice Čl. 3 – odst. 1 – bod 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5) „službou informační společnosti“ služba ve smyslu čl. 1 bodu 2 směrnice 98/34/ES; |
vypouští se |
Pozměňovací návrh 47 Návrh směrnice Čl. 3 – odst. 1 – bod 8 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) poskytovatel služeb informační společnosti, na nichž závisí poskytování dalších služeb informační společnosti, jejichž demonstrativní výčet je uveden v příloze II; |
vypouští se |
Pozměňovací návrh 48 Návrh směrnice Čl. 3 – odst. 1 – bod 7 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
7) „řešením bezpečnostního incidentu“ veškeré postupy, které pomáhají incident, resp. narušení bezpečnosti, analyzovat, zamezit jeho šíření a reagovat na něj; |
7) „řešením bezpečnostního incidentu“ veškeré postupy, které pomáhají incident, resp. narušení bezpečnosti, odhalit, předcházet mu, analyzovat jej, zamezit jeho šíření a reagovat na něj; |
Pozměňovací návrh 49 Návrh směrnice Čl. 3 – odst. 1 – bod 8 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) poskytovatel služeb informační společnosti, na nichž závisí poskytování dalších služeb informační společnosti, jejichž demonstrativní výčet je uveden v příloze II; |
|
|
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví, jejichž demonstrativní výčet je uveden v příloze II. |
b) veřejný či soukromý provozovatel infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, finančních trhů a zdravotnictví a jejíž narušení nebo zničení by mělo v členském státě v důsledku neschopnosti zachovat tyto funkce významný negativní dopad; výčet je uveden v příloze II. |
Pozměňovací návrh 50 Návrh směrnice Čl. 3 – odst. 1 – bod 8 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
8a) „incidentem, který má významný dopad,“ incident, který ovlivní bezpečnost a kontinuitu informační sítě nebo systému a vede k závažnému narušení životně důležitých ekonomických nebo společenských funkcí; |
Pozměňovací návrh 51 Návrh směrnice Čl. 3 – odst. 1 – bod 8 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
8b) „službou“ služba poskytovaná hospodářským subjektem, s vyloučením jakýchkoli dalších služeb téhož subjektu; |
Pozměňovací návrh 52 Návrh směrnice Čl. 3 – odst. 1 – bod 11 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11a) „regulovaným trhem“ regulovaný trh ve smyslu čl. 4 bodu 14 směrnice Evropského parlamentu a Rady 2004/39/ES28a; |
|
|
__________________ |
|
|
28a Směrnice Evropského parlamentu a Rady 2004/39/ES ze dne 21. dubna 2004 o trzích finančních nástrojů (Úř. věst. L 45, 16.2.2005, s. 18). |
Pozměňovací návrh 53 Návrh směrnice Čl. 3 – odst. 1 – bod 11 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11b) „mnohostranným systémem obchodování“ mnohostranný systém obchodování ve smyslu čl. 4 bodu 15 směrnice 2004/39/ES; |
Pozměňovací návrh 54 Návrh směrnice Čl. 3 – odst. 1 – bod 11 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
11c) „organizovaným obchodním systémem“ mnohostranný systém nebo zařízení, které není regulovaným trhem ani mnohostranným systémem obchodování nebo ústřední protistranou, které je provozováno investičním podnikem nebo hospodářským subjektem a v němž mohou uvnitř systému vzájemně reagovat vícečetné zájmy třetích stran na nákupu či prodeji dluhopisů, strukturovaných finančních produktů, emisních povolenek či derivátů způsobem, který vede k uzavření smlouvy v souladu s hlavou II směrnice 2004/39/EU; |
Pozměňovací návrh 55 Návrh směrnice Čl. 4 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Členské státy v souladu s touto směrnicí zajistí vysokou míru bezpečnosti sítě a informačních systémů na svých územích. |
Členské státy v souladu s Listinou základních práv Evropské unie a touto směrnicí zajistí trvalou a nepřetržitou vysokou míru bezpečnosti sítě a informačních systémů na svých územích. |
Odůvodnění | |
Volnost, kterou mají členské státy ve věcech bezpečnosti, musí být podmíněna dodržováním zásad stanovených v Listině základních práv Evropské unie, včetně např. práva na respektování soukromého života a komunikace, ochranu osobních údajů, svobodu podnikání a práva na účinnou právní ochranu. | |
Pozměňovací návrh 56 Návrh směrnice Čl. 5 – odst. 1 – písm. e a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
ea) Členské státy mohou při vývoji svých národních strategií a plánů spolupráce pro bezpečnost sítí a informací založených na společné minimální strategii a plánu spolupráce pro bezpečnost sítí a informací požádat o pomoc Evropskou agenturu pro bezpečnost sítí a informací (ENISA). |
Pozměňovací návrh 57 Návrh směrnice Čl. 5 – odst. 2 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) Plán posouzení rizik pro odhalení rizik a posouzení dopadů možných incidentů; |
a) Rámec pro řízení rizik, včetně odhalení rizik, stanovení pořadí jejich důležitosti, jejich hodnocení a nakládání s nimi, posouzení dopadů možných incidentů, možná preventivní a kontrolní opatření a kritéria pro volbu možných protiopatření; |
Pozměňovací návrh 58 Návrh směrnice Čl. 5 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) Vymezení pravomocí a odpovědnosti různých stran zapojených do realizace plánu; |
b) Vymezení pravomocí a odpovědnosti různých orgánů a jiných stran zapojených do realizace tohoto rámce; |
Pozměňovací návrh 59 Návrh směrnice Čl. 6 – nadpis | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů |
Odpovědné vnitrostátní orgány a jednotná kontaktní místa pro bezpečnost sítí a informačních systémů |
Pozměňovací návrh 60 Návrh směrnice Čl. 6 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát jmenuje vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
1. Každý členský stát jmenuje jeden či více vnitrostátních orgánů odpovědných za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
Pozměňovací návrh 61 Návrh směrnice Čl. 6 – odst. 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2a. Pokud členský stát jmenuje více než jeden odpovědný orgán, pak jmenuje jeden vnitrostátní orgán, například odpovědný orgán, jednotným vnitrostátním kontaktním místem pro bezpečnost sítí a informačních systémů (dále jen „jednotné kontaktní místo“). Pokud členský stát jmenuje pouze jeden odpovědný orgán, je tento orgán rovněž jednotným kontaktním místem. |
Pozměňovací návrh 62 Návrh směrnice Čl. 6 – odst. 2 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2b. Odpovědné orgány a jednotné kontaktní místo stejného členského státu úzce spolupracují při plnění povinností stanovených touto směrnicí. |
Pozměňovací návrh 63 Návrh směrnice Čl. 6 – odst. 2 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
2c. Jednotné kontaktní místo zajišťuje přeshraniční spolupráci s jinými jednotnými kontaktními místy. |
Pozměňovací návrh 64 Návrh směrnice Čl. 6 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Členské státy zajistí, aby tyto orgány měly k dispozici odpovídající technické, finanční a lidské zdroje k účinnému plnění svěřených úkolů a tím k naplnění cílů této směrnice. Členské státy zajistí, aby odpovědné orgány vzájemně účinně a bezpečně spolupracovaly prostřednictvím sítě uvedené v článku 8. |
3. Členské státy zajistí, aby tyto orgány a jednotná kontaktní místa měly k dispozici odpovídající technické, finanční a lidské zdroje k účinnému plnění svěřených úkolů a tím k naplnění cílů této směrnice. Členské státy zajistí, aby jednotná kontaktní místa vzájemně účinně a bezpečně spolupracovala prostřednictvím sítě uvedené v článku 8. |
Pozměňovací návrh 65 Návrh směrnice Čl. 6 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
4. Členské státy zajistí, aby odpovědné orgány dostávaly od orgánů veřejné správy a hospodářských subjektů oznámení o incidentech, jak je uvedeno v čl. 14 odst. 2, a aby jim byly uděleny prováděcí a donucovací pravomoci uvedené v článku 15. |
4. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa dostávaly od hospodářských subjektů oznámení o incidentech, jak je uvedeno v čl. 14 odst. 2, a aby jim byly uděleny prováděcí a donucovací pravomoci uvedené v článku 15. |
Pozměňovací návrh 66 Návrh směrnice Čl. 6 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
5. Odpovědné orgány budou průběžně konzultovat úřady pro ochranu údajů a podle potřeby spolupracovat s příslušnými vnitrostátními donucovacími orgány. |
Odůvodnění | |
Rovnováha mezi snahou zajistit bezpečnost a ochranou svobod by byla narušena, pokud by byl výkon kontrolní pravomoci na vnitrostátní úrovni svěřen pouze jedinému orgánu bez spolupráce s jiným vyvažujícím subjektem. | |
Pozměňovací návrh 67 Návrh směrnice Čl. 6 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
5. Odpovědné orgány a jednotná kontaktní místa budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
Pozměňovací návrh 68 Návrh směrnice Čl. 6 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Každý členský stát Komisi neprodleně oznámí jmenování odpovědného orgánu, jeho úkoly a jakékoliv změny s ním související. Každý členský stát zveřejní jmenování příslušného odpovědného orgánu. |
6. Každý členský stát Komisi neprodleně oznámí jmenování odpovědných orgánů a jednotných kontaktních míst, jejich úkoly a jakékoliv změny s nimi související. Každý členský stát zveřejní jmenování příslušných odpovědných orgánů. |
Pozměňovací návrh 69 Návrh směrnice Čl. 7 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát zřídí skupinu pro reakci na počítačové hrozby (dále jen: „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
1. Každý členský stát zřídí pro každé odvětví uvedené v příloze II alespoň jednu skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
Pozměňovací návrh 70 Návrh směrnice Čl. 7 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Skupiny CERT budou podřízené odpovědným orgánům, které budou pravidelně přezkoumávat přiměřenost jejich zdrojů, jejich pravomoci a účinnost postupu pro řešení incidentů. |
5. Skupiny CERT budou podřízené odpovědným orgánům nebo jednotným kontaktním místům, která budou pravidelně přezkoumávat přiměřenost jejich zdrojů, jejich pravomoci a účinnost jejich postupu pro řešení incidentů. |
Pozměňovací návrh 71 Návrh směrnice Čl. 7 – odst. 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Členské státy zajistí, aby měly skupiny CERT k dispozici dostatečné finanční a lidské zdroje k aktivní účasti v mezinárodních, a zejména unijních, sítích pro spolupráci. |
Pozměňovací návrh 72 Návrh směrnice Čl. 7 – odst. 5 – bod 1 (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(1) Skupiny CERT by měly mít možnost a měly by být podporovány v tom, aby zahájily a účastnily se společných cvičení s jinými skupinami CERT, se všemi skupinami CERT ze všech členských států a s příslušnými institucemi třetích zemí, jakož i se skupinami CERT z nadnárodních a mezinárodních institucí, jako jsou NATO a OSN. |
Pozměňovací návrh 73 Návrh směrnice Čl. 7 – odst. 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Členské státy mohou při vytváření svých vnitrostátních skupin CERT požádat o pomoc Evropskou agenturu pro bezpečnost sítí a informací (ENISA) nebo jiné členské státy. |
Pozměňovací návrh 74 Návrh směrnice Článek 8 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Odpovědné orgány a Komise zřídí síť pro spolupráci na ochranu proti rizikům a incidentům narušujícím bezpečnost sítí a informačních systémů (dále jen „síť pro spolupráci“. |
1. Jednotná kontaktní místa, Evropská agentura pro bezpečnost sítí a informací (ENISA) a Komise zřídí síť, v rámci níž budou spolupracovat na ochranu proti rizikům a incidentům narušujícím bezpečnost sítí a informačních systémů (dále jen „síť pro spolupráci“). |
|
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a odpovědnými orgány. Evropská agentura pro bezpečnost sítí a informací (ENISA) na žádost poskytne síti pro spolupráci své odborné znalosti a doporučení. |
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a jednotnými kontaktními místy. Evropská agentura pro bezpečnost sítí a informací (ENISA) poskytne síti pro spolupráci své odborné znalosti a doporučení. V případě potřeby spolupracuje síť pro spolupráci s úřady pro ochranu údajů. |
|
3. Odpovědné orgány budou v rámci sítě pro spolupráci: |
3. Jednotná kontaktní místa budou v rámci sítě pro spolupráci: |
|
a) šířit včasná varování týkající se rizik a incidentů v souladu s článkem 10; |
a) šířit včasná varování týkající se rizik a incidentů v souladu s článkem 10; |
|
b) zajišťovat koordinovanou reakci v souladu s článkem 11; |
b) zajišťovat koordinovanou reakci v souladu s článkem 11; |
|
c) pravidelně zveřejňovat na společných internetových stránkách informace o aktuálních včasných varováních a koordinovaných reakcích, které nemají důvěrný charakter; |
c) pravidelně zveřejňovat na společných internetových stránkách informace o aktuálních včasných varováních a koordinovaných reakcích, které nemají důvěrný charakter; |
|
|
ca) společně projednávat, domlouvat se na společném výkladu a důsledném uplatňování a koordinovat opatření v oblasti bezpečnostních požadavků a oznamování incidentů podle článku 14 a v oblasti provádění a prosazování podle článku 15; |
|
d) v rámci působnosti této směrnice na žádost členského státu nebo Komise společně projednávat a posuzovat jednu či více národních strategií a národních plánů spolupráce pro bezpečnost sítí a informací, jež jsou uvedeny v článku 5; |
d) v rámci působnosti této směrnice společně projednávat a posuzovat jednu či více národních strategií a národních plánů spolupráce pro bezpečnost sítí a informací, jež jsou uvedeny v článku 5; |
|
e) na žádost členského státu nebo Komise společně projednávat a posuzovat účinnost skupin CERT, zejména pokud činnosti týkající se bezpečnosti sítí a informací probíhají na úrovni Unie; |
e) na žádost agentury ENISA, členského státu nebo Komise společně projednávat a posuzovat účinnost skupin CERT, zejména pokud činnosti týkající se bezpečnosti sítí a informací probíhají na úrovni Unie, a bez zbytečného prodlení zavádět opatření zaměřená na odstranění zjištěných nedostatků; |
|
f) spolupracovat s Evropským centrem pro boj proti kyberkriminalitě zřízeným v rámci Europolu a dalšími příslušnými evropskými orgány zejména v oblastech energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví a vzájemně si s nimi vyměňovat informace o všech významných záležitostech; |
f) spolupracovat s dalšími příslušnými evropskými orgány zejména v oblastech energetiky, dopravy, bankovnictví, finančních trhů a zdravotnictví a vzájemně si s nimi vyměňovat informace o všech významných záležitostech týkajících se bezpečnosti sítí a informací; |
|
|
fa) společně vést diskuse směřující k dohodě o společném výkladu, důsledném uplatňování a harmonickém provádění ustanovení kapitoly IV v Unii; |
|
g) vyměňovat si informace a osvědčené postupy mezi sebou a s Komisí a poskytovat si vzájemnou součinnost při budování kapacit pro bezpečnost sítí a informací; |
g) vyměňovat si informace a osvědčené postupy mezi sebou a s Komisí a poskytovat si vzájemnou součinnost při budování kapacit pro bezpečnost sítí a informací; |
|
h) organizovat pravidelná vzájemná hodnocení svých kapacit a připravenosti; |
h) organizovat pravidelná vzájemná hodnocení svých kapacit a připravenosti; |
|
i) pořádat cvičení bezpečnosti sítí a informací na úrovni Unie a účastnit se dle potřeby mezinárodních cvičení bezpečnosti sítí a informací. |
i) pořádat cvičení bezpečnosti sítí a informací na úrovni Unie a účastnit se dle potřeby mezinárodních cvičení bezpečnosti sítí a informací. |
|
|
ia) aktivně prosazovat zapojení hospodářských subjektů, konzultace a výměnu informací s nimi. |
|
|
Komise pravidelně informuje síť pro spolupráci o výzkumu v oblasti bezpečnosti a jiných relevantních programech v rámci iniciativy Horizont 2020. |
|
|
3a. K účasti na činnostech sítě pro spolupráci uvedených v odst. 3 písm. c), g), h) a i) lze případně vyzvat i příslušné orgány veřejné správy a hospodářské subjekty. |
|
|
3b. V případě, že se v rámci sítě pro spolupráci sdílejí nebo jejím prostřednictvím zveřejňují informace, včasná varování nebo osvědčené postupy pocházející od hospodářských subjektů nebo orgánů veřejné správy, musí být taková výměna či zveřejňování v souladu s klasifikací informací stanovenou původním zdrojem ve smyslu čl. 9 odst. 1. |
|
|
3c. Komise každoročně zveřejní zprávu za předchozích 12 měsíců vycházející z činností sítě a ze souhrnné zprávy předložené podle čl. 14 odst. 4 této směrnice. Při zveřejňování jednotlivých incidentů oznámených odpovědným orgánům a jednotným kontaktním místům by měla být nalezena přiměřená rovnováha mezi zájmem veřejnosti na tom, aby byla informována o hrozbách, a možným poškozením dobré pověsti či obchodních zájmů hospodářských subjektů, které incidenty ohlásily, a může být tedy provedeno pouze po předchozí konzultaci. |
|
4. Komise prostřednictvím prováděcích aktů určí způsoby nezbytné pro usnadnění spolupráce mezi odpovědnými orgány a Komisí uvedené v odstavcích 2 a 3. Tyto prováděcí akty se přijímají konzultačním postupem podle čl. 19 odst. 2. |
4. Komise prostřednictvím prováděcích aktů určí způsoby nezbytné pro usnadnění spolupráce mezi jednotnými kontaktními místy, agenturou ENISA a Komisí uvedené v odstavcích 2 a 3. Tyto prováděcí akty se přijímají konzultačním postupem podle čl. 19 odst. 2. |
Pozměňovací návrh 75 Návrh směrnice Čl. 9 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Výměna citlivých a důvěrných informací uvnitř sítě pro spolupráci bude probíhat s pomocí bezpečné infrastruktury. |
1. Výměna citlivých a důvěrných informací uvnitř sítě pro spolupráci bude probíhat s pomocí bezpečné infrastruktury fungující pod dohledem agentury ENISA. Členské státy zajistí, aby se zpřístupněné citlivé či tajné informace z jiných států nebo Komise neposkytovaly třetím zemím, ani nebyly použity pro nevhodné účely, například pro tajné operace nebo finanční rozhodování. |
Pozměňovací návrh 76 Návrh směrnice Čl. 9 – odst. 2 – návětí | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 18 týkající se formulace kritérií, jež by měly členské státy splňovat, aby byly oprávněny používat bezpečný systém pro sdílení informací, pokud jde o: |
2. Komise je zmocněna přijímat prováděcí akty v souladu s článkem 19 týkající se formulace kritérií, jež by měla jednotná kontaktní místa splňovat, aby byla oprávněna používat bezpečný systém pro sdílení informací, pokud jde o: |
Pozměňovací návrh 77 Návrh směrnice Čl. 9 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Komise formou prováděcích aktů a na základě kritérií uvedených v odstavcích 2 a 3 rozhodne o přístupu členských států do této bezpečné infrastruktury. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
3. Komise formou prováděcích aktů přijme společný soubor norem týkajících se propojení a bezpečnosti, které jednotná kontaktní místa musí pro účely výměny informací splňovat. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
Pozměňovací návrh 78 Návrh směrnice Článek 10 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Odpovědné orgány, případně Komise, vydají prostřednictvím sítě pro spolupráci včasná varování ohledně rizik a incidentů, jež splňují alespoň jednu z následujících podmínek: |
1. Jednotná kontaktní místa, případně Komise, vydají prostřednictvím sítě pro spolupráci včasná varování ohledně rizik a incidentů, jež splňují alespoň jednu z následujících podmínek: |
|
a) jejich rozsah rychle roste nebo by mohl rychle růst; |
|
|
b) překračují nebo by mohly překročit národní reakční kapacitu; |
b) jednotné kontaktní místo usoudí, že rozsah rizika nebo incidentu rychle roste nebo může rychle růst a potenciálně překračuje národní reakční kapacitu; |
|
c) postihují nebo by mohly postihnout více než jeden členský stát. |
c) jednotná kontaktní místa nebo Komise usoudí, že riziko nebo incident postihuje více než jeden členský stát. |
|
2. V rámci včasného varování odpovědné orgány, případně Komise, sdělí veškeré relevantní informace, které mají k dispozici a které by mohly být užitečné při posuzování daného rizika či incidentu. |
2. V rámci včasného varování jednotná kontaktní místa a Komise sdělí bez zbytečného prodlení veškeré relevantní informace, které mají k dispozici a které by mohly být užitečné při posuzování daného rizika či incidentu. Informace, které příslušný hospodářský subjekt považuje za utajené nebo důvěrné, a totožnost tohoto hospodářského subjektu se poskytují pouze v rozsahu nezbytném k posouzení rizika či incidentu. |
|
3. Komise může na žádost členského státu nebo z vlastní iniciativy vyzvat členský stát, aby poskytl veškeré relevantní informace o určitém riziku nebo incidentu. |
3. Komise může na žádost členského státu nebo z vlastní iniciativy vyzvat členský stát, aby poskytl veškeré relevantní neutajené informace o určitém riziku nebo incidentu. |
|
4. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má povahu trestného činu, odpovědné orgány, případně Komise, uvědomí Evropské centrum pro boj proti kyberkriminalitě v rámci Europolu. |
4. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má povahu závažného trestného činu, kontaktují jednotná kontaktní místa nebo Komise případně vnitrostátní orgány pro boj proti kyberkriminalitě, a umožní jim tak bez zbytečného prodlení spolupracovat a vyměňovat si informace s Evropským centrem pro boj proti kyberkriminalitě v rámci Europolu. |
|
|
4 a. Členové sítě pro spolupráci nezveřejní bez předchozího souhlasu jednotného kontaktního místa pro oznámení žádné informace, jež obdržely o rizicích a incidentech podle odstavce 1. |
|
|
4b. Pokud panuje podezření, že riziko nebo incident, který je předmětem včasného varování, má významný přeshraniční technický rozměr, jednotná kontaktní místa nebo Komise uvědomí agenturu ENISA. |
|
5. Komise je zmocněna přijímat akty v přenesené pravomoci podle článku 18 týkající se specifikace rizik a incidentů, na jejichž základě se vydává včasné varování podle odstavce 1. |
5. Komise je zmocněna přijímat prováděcí akty podle článku 19 týkající se specifikace rizik a incidentů, na jejichž základě se vydává včasné varování podle odstavce 1, jakož i postupů pro sdílení citlivých informací pro hospodářské subjekty. |
Pozměňovací návrh 79 Návrh směrnice Čl. 11 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Po vydání včasného varování podle článku 10 odpovědné orgány posoudí relevantní informace a následně se dohodnou na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací uvedeným v článku 12. |
1. Po vydání včasného varování podle článku 10 posoudí jednotná kontaktní místa relevantní informace a následně se bez zbytečného prodlení dohodnou na koordinované reakci v souladu s evropským plánem spolupráce v oblasti bezpečnosti sítí a informací uvedeným v článku 12. |
Pozměňovací návrh 80 Návrh směrnice Čl. 12 – odst. 2 – písm. a – odrážka 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
– definici formy a postupů odpovědných orgánů pro sběr a sdílení kompatibilních a srovnatelných informací o rizicích a incidentech, |
– definici formy a postupů jednotných kontaktních míst pro sběr a sdílení kompatibilních a srovnatelných informací o rizicích a incidentech, |
Pozměňovací návrh 81 Návrh směrnice Čl. 12 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Unijní plán spolupráce v oblasti bezpečnosti sítí a informací bude přijat nejpozději do jednoho roku od data, kdy tato směrnice vstoupí v platnost, a bude pravidelně přezkoumáván. |
3. Unijní plán spolupráce v oblasti bezpečnosti sítí a informací bude přijat nejpozději do jednoho roku od data, kdy tato směrnice vstoupí v platnost, a bude pravidelně přezkoumáván. Výsledky každého přezkumu se sdělí Evropskému parlamentu. |
Pozměňovací návrh 82 Návrh směrnice Čl. 12 – odst. 3 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3a. Komise poskytne rozpočtové prostředky na vypracování evropského plánu spolupráce v oblasti bezpečnosti sítí a informací. |
Pozměňovací návrh 83 Návrh směrnice Čl. 13 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. Takové dohody budou zohledňovat nutnost zajistit odpovídající ochranu osobních údajů šířených v síti pro spolupráci. |
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. V těchto dohodách se stanoví postup monitorování, který je nutné dodržovat, aby se zajistila ochrana osobních údajů šířených v síti pro spolupráci. Evropský parlament je o vyjednávání těchto dohod informován, přičemž je zaručena jejich transparentnost. Jakékoli předávání osobních údajů příjemcům v zemích mimo Unii probíhá v souladu s články 25 a 26 směrnice 95/46/ES a článkem 9 nařízení (ES) č. 45/2001. |
Odůvodnění | |
Mezinárodní dohody uzavřené s jinými zeměmi či bezpečnostními orgány musí zahrnovat postup monitorování, který zajistí dodržování občanských práv. Evropský parlament musí nad těmito dohodami rovněž vykonávat účinný demokratický dohled a být řádně informován o obsahu jednání o dohodách. | |
Pozměňovací návrh 84 Návrh směrnice Článek 14 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby jejich orgány veřejné správy a hospodářské subjekty přijaly vhodná technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na současné technické možnosti zaručí tato opatření takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku bezpečnostních incidentů v jejich sítích a informačních systémech, jež by poškodily jimi poskytované základní služby, případně minimalizují dopad takových incidentů, a zajistí tak kontinuitu služeb podporovaných těmito sítěmi a informačními systémy. |
1. Členské státy zajistí, aby hospodářské subjekty přijaly vhodná technická a organizační opatření k odhalení a účinnému řízení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na technologický vývoj zaručí tato příslušná opatření takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku incidentů ohrožujících bezpečnost sítí a informačních systémů a minimalizují dopad takových incidentů na jimi poskytované základní služby, a zajistí tak kontinuitu služeb podporovaných těmito sítěmi a informačními systémy. |
|
2. Členské státy zajistí, aby orgány veřejné správy a hospodářské subjekty oznamovaly odpovědným orgánům incidenty, které mají významný dopad na bezpečnost jimi poskytovaných základních služeb. |
2. Členské státy zavedou opatření, kterými zajistí, aby hospodářské subjekty bez zbytečného prodlení oznamovaly odpovědným orgánům nebo jednotným kontaktním místům incidenty, které mají dopad na bezpečnost nebo kontinuitu jimi poskytovaných základních služeb. Toto oznámení nevystavuje oznamující stranu větší odpovědnosti. Pro určení závažnosti dopadu incidentu se zohlední mimo jiné tato kritéria: |
|
|
a) počet uživatelů, jejichž základní služba byla narušena; |
|
|
b) délka trvání incidentu; |
|
|
c) zeměpisný rozsah oblasti dotčené incidentem. |
|
|
Tato kritéria jsou dále upřesněna v souladu s čl. 8 odst. 3 bodem ca) (nový). |
|
|
2a. Subjekty, kterých se příloha II netýká, mohou incidenty ohlašovat v souladu s čl. 14 odst. 2 dobrovolně. |
|
|
2b. Příjemce oznámení o incidentu informuje co nejdříve subjekt, který incident oznámil, o učiněných opatřeních, rozhodnutích či doporučeních, i o tom, jaké třetí strany byly o incidentu informovány, a o protokolech zajišťujících bezpečnost a důvěrnost, kterými se postup sdílení informací řídí. |
|
3. Povinnosti uvedené v odstavcích 1a 2 se týkají všech hospodářských subjektů poskytujících služby v Evropské unii. |
3. Povinnosti uvedené v odstavcích 1a 2 se týkají všech hospodářských subjektů poskytujících služby v Evropské unii. Hospodářské subjekty, které neposkytují služby v Evropské unii, mohou incidenty oznamovat dobrovolně. |
|
|
3a. Členské státy zajistí, aby hospodářské subjekty oznámily incidenty uvedené v odstavcích 1 a 2 odpovědnému orgánu nebo jednotnému kontaktnímu místu členského státu, v němž byla základní služba narušena. Pokud byly základní služby narušeny ve více než jednom členském státě, jednotné kontaktní místo, jež oznámení obdrželo, uvědomí na základě informací od hospodářského subjektu ostatní dotčená jednotná kontaktní místa. Daný hospodářský subjekt je co nejdříve informován o tom, která další jednotná kontaktní místa byla o incidentu informována, a také o veškerých opatřeních, výsledcích a jakýchkoli jiných skutečnostech, které se daného incidentu týkají. |
|
4. V případě, že odpovědný orgán rozhodne, že je ve veřejném zájmu, aby byl daný incident zveřejněn, je oprávněn o něm informovat veřejnost, případně vyzvat orgány veřejné správy a hospodářské subjekty, aby tak učinily. Jednou ročně předloží odpovědný orgán síti pro spolupráci souhrnnou zprávu o obdržených oznámeních a o opatřeních přijatých v souladu s tímto odstavcem. |
4. Po konzultaci s odpovědným orgánem a dotčeným hospodářským subjektem informuje jednotné kontaktní místo veřejnost o jednotlivých incidentech, pokud je k zamezení incidentu nebo vyřešení trvajícího incidentu nebo k tomu, aby veřejnost minimalizovala rizika, která pro ni z incidentu vyplývají, zapotřebí, aby o něm měla veřejnost povědomí, nebo pokud hospodářský subjekt, který je předmětem incidentu, odmítl neprodleně řešit závažnou strukturální slabinu spojenou s tímto incidentem. Jednotné kontaktní místo takové rozhodnutí řádně odůvodní. Odpovědný orgán nebo jednotné kontaktní místo podle možností poskytnou hospodářským subjektům, které incident ohlásily, strategické analyzované informace, které přispějí ke zvládnutí bezpečnostní hrozby. Dvakrát ročně předloží jednotné kontaktní místo síti pro spolupráci souhrnnou zprávu o obdržených oznámeních a o opatřeních přijatých v souladu s tímto odstavcem. Při zveřejňování jednotlivých incidentů oznámených odpovědným orgánům a jednotným kontaktním místům by měla být nalezena přiměřená rovnováha mezi zájmem veřejnosti na tom, aby byla informována o hrozbách, a možným poškozením dobré pověsti či obchodních zájmů hospodářských subjektů, které incidenty ohlásily, a může být tedy provedeno pouze po předchozí konzultaci. |
|
|
V případě incidentů oznámených síti pro spolupráci uvedené v článku 8 zveřejní další odpovědné vnitrostátní orgány obdržené informace o rizicích nebo incidentech pouze poté, co zveřejnění schválí oznamující odpovědný orgán. |
|
5. Komise je zmocněna přijímat akty v přenesené pravomoci v souladu s článkem 18 týkající se určení okolností, za nichž jsou orgány veřejné správy a hospodářské subjekty povinny oznamovat incidenty. |
|
|
6. Na základě aktu v přenesené pravomoci přijatého v souladu s odstavcem 5 jsou odpovědné orgány oprávněny přijmout obecné zásady a v případě potřeby vydat pokyny týkající se okolností, za nichž jsou orgány veřejné správy a hospodářské subjekty povinny oznamovat incidenty. |
6. Odpovědné orgány nebo jednotná kontaktní místa přijmou obecné zásady týkající se okolností, za nichž jsou hospodářské subjekty povinny oznamovat incidenty. |
|
7. Komise je zmocněna prostřednictvím prováděcích aktů stanovit formu a postupy platné pro účely odstavce 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
7. Komise je zmocněna prostřednictvím prováděcích aktů stanovit formu a postupy platné pro účely odstavce 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
|
8. Ustanovení odstavců 1 a 2 se nevztahují na mikropodniky, jak jsou definovány v doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků35. |
8. Ustanovení odstavců 1 a 2 se nevztahují na mikropodniky, jak jsou definovány v doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků35. |
|
_______________ |
______________ |
|
35 Úř. věst. L 124, 20.5.2003, s. 36. |
35 Úř. věst. L 124, 20.5.2003, s. 36. |
Pozměňovací návrh 85 Návrh směrnice Čl. 14 – odst. 4 – pododstavec 1 (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Hospodářské subjekty se podporují nejen v tom, aby incidenty oznamovaly odpovědným orgánům, ale také aby incidenty týkající se jejich společnosti dobrovolně uváděly i ve finančních výkazech. |
Odůvodnění | |
Kybernetické incidenty mohou znamenat významné finanční ztráty a náklady. Akcionáři a investoři by měli být o důsledcích těchto incidentů informováni. Vybízením společností k dobrovolnému zveřejňování jejich kybernetických incidentů lze vyvolat diskusi napříč odvětvími o pravděpodobnosti dalších incidentů, rozsahu rizik a vhodnosti preventivních zásahů učiněných v zájmu omezení míry narušování kybernetické bezpečnosti. | |
Pozměňovací návrh 86 Návrh směrnice Článek 15 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby odpovědné orgány měly všechny nezbytné pravomoci pro vyšetřování případů porušení povinností podle článku 14 ze strany orgánů veřejné správy či hospodářských subjektů a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
1. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa měly nezbytné pravomoci k tomu, aby zajistily dodržování povinností podle článku 14 a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
|
2. Členské státy zajistí, aby odpovědné orgány byly oprávněny požadovat od orgánů veřejné správy a hospodářských subjektů, aby: |
2. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa byly oprávněny požadovat od hospodářských subjektů, aby: |
|
a) poskytly informace potřebné k posouzení bezpečnosti jejich sítí a informačních systémů, včetně dokladů o bezpečnostní politice; |
a) poskytly informace potřebné k posouzení bezpečnosti jejich sítí a informačních systémů, včetně dokladů o bezpečnostní politice; |
|
b) se podrobily bezpečnostnímu auditu, který provede kvalifikovaný nezávislý subjekt nebo vnitrostátní orgán, a jeho výsledky zpřístupnily odpovědnému orgánu. |
b) doložily účinné provádění bezpečnostní politiky, např. předložením výsledků bezpečnostního auditu, který provedou interní auditoři, kvalifikovaný nezávislý subjekt nebo vnitrostátní orgán, a tyto důkazy zpřístupnily odpovědnému orgánu nebo jednotnému kontaktnímu místu. V případě potřeby jsou odpovědný orgán nebo jednotné kontaktní místo oprávněny požadovat předložení dalších důkazů nebo ve výjimečných případech a na základě řádného odůvodnění provést další audit. |
|
|
Odpovědné orgány a jednotná kontaktní místa v žádosti uvedou její účel a dostatečně přesně vymezí informace, které jsou požadovány. |
|
3. Členské státy zajistí, aby odpovědné orgány byly oprávněny dávat orgánům veřejné správy a hospodářským subjektům závazné pokyny. |
3. Členské státy zajistí, aby odpovědné orgány a jednotná kontaktní místa byly oprávněny dávat všem hospodářským subjektům uvedeným v příloze II závazné pokyny. |
|
4. Odpovědné orgány oznámí jakýkoliv incident, u nějž panuje podezření, že má povahu závažného trestného činu, donucovacím orgánům. |
4. Odpovědné orgány a jednotné kontaktní místo informují dotčené hospodářské subjekty o možnosti zahájení trestního řízení u donucovacích orgánů v případě incidentů, u nichž existuje podezření na závažný trestný čin. |
|
5. Odpovědné orgány budou při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů. |
5. Aniž by byly dotčeny platné právní předpisy o ochraně údajů, budou odpovědné orgány a jednotná kontaktní místa při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů. Jednotná kontaktní místa a úřady pro ochranu údajů ve spolupráci s agenturou ENISA vypracují mechanismy pro výměnu informací a jednotný formulář, jenž bude využíván k oznamování podle čl. 14 odst. 2 této směrnice i podle směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. |
|
|
Komise může prostřednictvím prováděcích aktů a s přihlédnutím k jakýmkoliv mechanismům pro výměnu informací a jednotnému formuláři vypracovanému jednotnými kontaktními místy a úřady pro ochranu údajů, ve spolupráci s agenturou ENISA, přijmout postupy pro mechanismy pro výměnu informací a formát jednotného formuláře. |
|
6. Členské státy zajistí, aby bylo možné všechny povinnosti uložené na základě této kapitoly orgánům veřejné správy a hospodářským subjektům podrobit soudnímu přezkumu. |
6. Členské státy zajistí, aby bylo možné všechny povinnosti uložené na základě této kapitoly hospodářským subjektům podrobit soudnímu přezkumu. |
Pozměňovací návrh 87 Návrh směrnice Článek 16 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. V zájmu jednotného provádění čl. 14 odst. 1 budou členské státy podporovat používání norem a/nebo specifikací týkajících se bezpečnosti sítí a informací. |
1. V zájmu jednotného provádění čl. 14 odst. 1 budou členské státy, aniž by předepisovaly použití jakékoli konkrétní technologie, podporovat používání otevřených a interoperabilních mezinárodních či evropských norem nebo specifikací týkajících se bezpečnosti sítí a informací, které jsou v souladu s právními předpisy EU. |
|
2. Komise formou prováděcích aktů vypracuje seznam norem uvedených v odstavci 1. Seznam bude zveřejněn v Úředním věstníku Evropské unie. |
2. Komise pověří příslušný evropský normalizační orgán, aby po konzultaci s příslušnými zúčastněnými stranami vypracoval seznam norem nebo specifikací uvedených v odstavci 1. Seznam bude zveřejněn v Úředním věstníku Evropské unie. |
Pozměňovací návrh 88 Návrh směrnice Čl. 17 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy stanoví pravidla pro sankce za porušení vnitrostátních právních předpisů přijatých podle této směrnice a přijmou veškerá nezbytná opatření k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy uvědomí o takových předpisech Komisi nejpozději do data provedení této směrnice a neprodleně ji informují také o jakýchkoliv pozdějších změnách těchto předpisů. |
1. Členské státy stanoví pravidla pro sankce za nedbalostní a záměrné porušení vnitrostátních právních předpisů přijatých podle této směrnice a přijmou veškerá nezbytná opatření k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující. Členské státy uvědomí o takových předpisech Komisi nejpozději do data provedení této směrnice a neprodleně ji informují také o jakýchkoliv pozdějších změnách těchto předpisů. |
Odůvodnění | |
Je třeba jasně stanovit, že sankce lze uvalit pouze za takové porušení předpisů, kdy hospodářské subjekty neučinily veškerá opatření, která od nich byla racionálně vyžadována. V opačné situaci by totiž hospodářské subjekty mohly být motivovány k tomu, aby incidenty neoznamovaly. | |
Pozměňovací návrh 89 Návrh směrnice Čl. 17 – odst. 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
1a. Členské státy zajistí, aby sankce uvedené v odstavci 1 tohoto článku byly ukládány pouze v případě, že hospodářský subjekt nesplnil své povinnosti podle kapitoly IV, ať záměrně či v důsledku hrubé nedbalosti. |
Pozměňovací návrh 90 Návrh směrnice Článek 18 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Článek 18 |
vypouští se |
|
Výkon přenesené pravomoci |
|
|
1. Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku. |
|
|
2. Komisi se svěřuje pravomoc přijímat akty v přenesené pravomoci uvedené v čl. 9 odst. 2, čl. 10 odst. 5 a čl. 14 odst. 5. Komise vypracuje zprávu o přenesené pravomoci nejpozději devět měsíců před koncem příslušného pětiletého období. Přenesení pravomocí se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament nebo Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období. |
|
|
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 9 odst. 2, v čl. 10 odst. 5 a v čl. 14 odst. 5 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomocí uvedených v daném rozhodnutí. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci. |
|
|
4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě. |
|
|
5. Akt v přenesené pravomoci přijatý podle čl. 9 odst. 2, čl. 10 odst. 5, a čl. 14 odst. 5 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce. |
|
Pozměňovací návrh 91 Návrh směrnice Čl. 20 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Komise pravidelně přezkoumává uplatňování této směrnice a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do tří let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Komise každé tři roky přezkoumává uplatňování této směrnice a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do dvou let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Odůvodnění | |
Má-li se udržet krok s měnícími se hrozbami a podmínkami v oblasti kybernetické bezpečnosti, je nutno přílohu II pravidelně revidovat a upravovat. | |
Pozměňovací návrh 92 Návrh směrnice Příloha 1 – nadpis 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Povinnosti a úkoly skupiny pro reakci na počítačové hrozby (CERT) |
Povinnosti a úkoly skupin pro reakci na počítačové hrozby (CERT) |
Pozměňovací návrh 93 Návrh směrnice Příloha 1 – odst. 1 – návětí | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Povinnosti a úkoly skupiny CERT jasně a odpovídajícím způsobem stanoví a upraví vnitrostátní politika nebo právní předpis. Budou zahrnovat tyto povinnosti a úkoly: |
Povinnosti a úkoly skupin CERT jasně a odpovídajícím způsobem stanoví a upraví vnitrostátní politika nebo právní předpis. Budou zahrnovat tyto povinnosti a úkoly: |
|
|
(Tento pozměňovací návrh se týká celého textu přílohy 1.) |
Pozměňovací návrh 94 Návrh směrnice Příloha 1 – odst. 1 – bod 1 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) Skupina CERT zajistí, aby v jejích komunikačních službách nebyla žádná kritická místa (tzv. single points of failure) a služby tak byly co nejlépe dostupné, a bude mít několik způsobů, jimiž bude kontaktovat ostatní a jimiž bude možné kontaktovat ji. Komunikační kanály budou navíc jasně specifikované a spolupracujícím partnerům a podporovatelům skupiny dobře známé. |
a) Skupiny CERT zajistí, aby v jejich komunikačních službách nebyla žádná kritická místa (tzv. single points of failure) a služby tak byly co nejlépe dostupné, a budou mít několik způsobů, jimiž budou kontaktovat ostatní a jimiž bude možné kontaktovat je, a to kdykoliv. Komunikační kanály budou navíc jasně specifikované a spolupracujícím partnerům a podporovatelům skupiny dobře známé. |
Pozměňovací návrh 95 Návrh směrnice Příloha 1 – odst. 1 – bod 1 – písm. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
c) Pracoviště skupiny a její podpůrné informační systémy se budou nacházet na bezpečném místě. |
c) Pracoviště skupin CERT a jejich podpůrné informační systémy se budou nacházet na bezpečném místě a jejich sítě a informační systémy budou řádně zabezpečeny. |
Pozměňovací návrh 96 Návrh směrnice Příloha 1 – odst. 1 – bod 2 – písm. a – odrážka 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
– monitoring incidentů na vnitrostátní úrovni, |
– odhalování a monitoring incidentů na vnitrostátní úrovni, |
Pozměňovací návrh 97 Návrh směrnice Příloha 1 – odst. 1 – bod 2 – písm. a – odrážka 5 a (nová) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
– aktivní účast v unijních a mezinárodních sítích pro spolupráci skupin CERT |
Pozměňovací návrh 98 Návrh směrnice Příloha II | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Seznam hospodářských subjektů |
Seznam hospodářských subjektů |
|
1. Energetika |
1. Energetika |
|
|
a) elektřina |
|
|
– dodavatelé |
|
|
– provozovatelé distribuční soustavy a dodavatelé konečnému spotřebiteli |
|
|
– provozovatelé přenosové soustavy elektřiny |
|
|
– účastníci trhu s elektřinou |
|
|
b) ropa |
|
|
– ropovody a zařízení pro skladování ropy |
|
|
– provozovatelé zařízení na zpracování, rafinaci a úpravu ropy, skladovacích a přenosových zařízení |
|
|
c) zemní plyn |
|
|
– dodavatelé |
|
|
– provozovatelé distribuční soustavy a dodavatelé konečnému spotřebiteli |
|
|
– provozovatelé přenosové soustavy zemního plynu, provozovatelé skladovacích zařízení a LNG zařízení |
|
|
– provozovatelé zařízení na zpracování, rafinaci a úpravu zemního plnu, skladovacích a přenosových zařízení |
|
|
– účastníci trhu se zemním plynem |
|
2. Doprava |
2. Doprava |
|
|
a) silniční doprava |
|
|
i) provozovatelé kontroly řízení provozu |
|
|
ii) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
b) železniční doprava |
|
|
i) železnice (správci infrastruktury, integrované podniky a provozovatelé železniční dopravy) |
|
|
ii) provozovatelé kontroly řízení provozu |
|
|
iii) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
c) letecká doprava |
|
|
i) letečtí přepravci (osobní a nákladní letecká doprava) |
|
|
ii) letiště |
|
|
iii) provozovatelé kontroly řízení provozu |
|
|
iv) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
d) námořní doprava |
|
|
i) námořní dopravci (podniky vnitrozemské, námořní a pobřežní osobní vodní dopravy a vnitrozemské, námořní a pobřežní nákladní vodní dopravy) |
|
|
ii) přístavy |
|
|
iii) provozovatelé kontroly řízení provozu |
|
|
iv) pomocné logistické služby: |
|
|
– skladování |
|
|
– manipulace s nákladem |
|
|
– další podpůrné činnosti v oblasti dopravy |
|
|
2a. Vodohospodářské služby |
|
3. Bankovnictví: úvěrové instituce podle čl. 4 odst. 1 směrnice 2006/48/ES |
3. Bankovnictví: úvěrové instituce podle čl. 4 odst. 1 směrnice 2006/48/ES |
|
4. Infrastruktura finančních trhů: burzy cenných papírů, ústřední protistrany a clearingová centra. |
4. Infrastruktura finančních trhů: regulované trhy, mnohostranné systémy obchodování, organizované obchodní systémy, internetové platební brány a ústřední protistrany a clearingová centra. |
|
5. Zdravotnictví: zdravotnická zařízení (včetně nemocnic a soukromých klinik) a další subjekty poskytující zdravotní péči. |
5. Zdravotnictví: zdravotnická zařízení (včetně nemocnic a soukromých klinik) a další subjekty poskytující zdravotní péči. |
|
|
6. Informační a komunikační technologie: služby cloud computingu využívané provozovatelem k poskytování kterékoliv ze služeb uvedených v bodech 1–5. |
|
|
Tento seznam se aktualizuje každé dva roky. |
POSTUP
|
Název |
Vysoká společná úroveň bezpečnosti sítí a informací v celé Unii |
||||
|
Referenční údaje |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
|
Věcně příslušný výbor Datum oznámení na zasedání |
IMCO 15.4.2013 |
|
|
|
|
|
Výbor, který vypracoval stanovisko Datum oznámení na zasedání |
ITRE 15.4.2013 |
||||
|
Přidružený(é) výbor(y) - datum oznámení na zasedání |
12.9.2013 |
||||
|
Navrhovatel(ka) Datum jmenování |
Pilar del Castillo Vera 23.5.2013 |
||||
|
Projednání ve výboru |
14.10.2013 |
4.11.2013 |
|
|
|
|
Datum přijetí |
16.12.2013 |
|
|
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
36 5 0 |
|||
|
Členové přítomní při konečném hlasování |
Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev |
||||
|
Náhradník(ci) přítomný(í) při konečném hlasování |
Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Lambert van Nistelrooij |
||||
|
Náhradník(ci) (čl. 187 odst. 2) přítomný(í) při konečném hlasování |
María Auxiliadora Correa Zamora |
||||
STANOVISKO Výboru pro občanské svobody, spravedlnost a vnitřní věci* (15. 1. 2014)
pro Výbor pro vnitřní trh a ochranu spotřebitelů
k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Navrhovatel: Carl Schlyter
(*) Přidružený výbor – článek 50 jednacího řádu
STRUČNÉ ODŮVODNĚNÍ
Cílem návrhu je dosáhnout vysoké společné úrovně bezpečnosti sítí a informací v EU. Navrhovatel podporuje cíle, jež návrh sleduje, přičemž navrhuje změny, které zlepší právní jistotu a posílí záruky pro jednotlivce a ochranu jejich soukromí, aby se zajistilo, že budou mít kontrolu nad svými osobními údaji a budou moci důvěřovat digitálnímu prostředí, a aby vznikla kultura řízení rizik a dokonalejšího sdílení informací mezi soukromými a veřejnými stranami.
Mezi navrhované změny patří jednak to, že by se mělo více odkazovat na právní předpisy o ochraně údajů, dále by bylo vhodné vyjasnit skutečnost, že „kritická infrastruktura“ by neměla zahrnovat sociální sítě a obchody s aplikacemi (viz pozměněný seznam v příloze II), a také by se mělo zajistit, aby byl brán ohled na přiměřenost, a to kladením důrazu na civilní aspekt – narušení a společné příčiny systémových selhání většinou nemají původ v záměrných kybernetických útocích teroristů, pachatelů trestné činnosti nebo zahraničních agentů, nýbrž v neúmyslných lidských chybách a přírodních okolnostech. Je naprosto zásadní, aby EU odlišila provedení navrženého právního předpisu od jakékoli militarizace tohoto tématu, vyloučila z něj záměry odvětví bezpečnosti a dohledu a vzala v úvahu kontext globalizovaného digitálního trhu.
Hlavní přetrvávající obavou je vztah mezi navrženým systémem a systémem ohlašování navrženým v rámci všeobecného nařízení o ochraně údajů a jejich účinná koexistence, která je jedním z důvodů, proč poukazujeme na skutečnost, že jakýkoli právní předpis týkající se kybernetické bezpečnosti v EU by měl následovat teprve po přijetí obecného nařízení o ochraně údajů, nikoli mu předcházet. Dále je třeba zvážit finanční a administrativní důsledky, včetně celkových společenských nákladů, a nikoli pouze náklady na ohlašování. Softwarové společnosti, které programování provádějí nedbale a vystavováním svých zákazníků riziku šetří peníze, nemohou být za všech okolností chráněny obvyklou standardní formulací uživatelských podmínek, jež je zbavuje jakékoli odpovědnosti za špatné fungování jejich softwaru. Musí existovat pobídky motivující je k tomu, aby zajistily, že bude přiměřeně bezpečný. Měly by také být vyjasněny klíčové koncepty (například „orgány veřejné správy“, „významný dopad“ a konkrétní definice „kyberkriminality“), aby jejich výklad nezůstal pro členské státy otevřený.
POZMĚŇOVACÍ NÁVRHY
Výbor pro občanské svobody, spravedlnost a vnitřní věci vyzývá Výbor pro vnitřní trh a ochranu spotřebitelů jako věcně příslušný výbor, aby do své zprávy začlenil tyto pozměňovací návrhy:
Pozměňovací návrh 1 Návrh směrnice Bod odůvodnění 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost, sociální blahobyt a komunikaci a výměny mezi lidmi, organizacemi občanské společnosti a podniky a také pro ochranu a respektování soukromého života a osobních údajů. |
Pozměňovací návrh 2 Návrh směrnice Bod odůvodnění 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie. |
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie. Postupně čím dál více zjišťujeme, že kontrolní systémy jsou náchylné ke kybernetickým útokům z mnoha zdrojů, ať už od znepřátelených vlád, teroristických skupin či jiných zákeřných narušitelů. Chytře provedené a koordinované útoky by mohly mít závažné dopady na stabilitu, výkonnost a ekonomické aspekty infrastruktury. |
Pozměňovací návrh 3 Návrh směrnice Bod odůvodnění 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(3) Jakožto komunikační nástroj bez hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu. |
(3) Jakožto komunikační nástroj bez hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu a pro komunikaci a výměny mezi lidmi, organizacemi občanské společnosti a podniky. |
Pozměňovací návrh 4 Návrh směrnice Bod odůvodnění 3 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(3a) Jelikož systémová selhání vznikají i nadále obvykle nezáměrně, například kvůli přírodním okolnostem nebo lidské chybě, infrastruktura by měla být odolná vůči úmyslným i neúmyslným narušením a provozovatelé kritické infrastruktury by měli navrhovat systémy založené na odolnosti, které zůstanou provozuschopné i tehdy, když jiné systémy mimo jejich kontrolu selžou. |
Pozměňovací návrh 5 Návrh směrnice Bod odůvodnění 6 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(6a) Je nezbytné uznat, že součástí složitých systémů, které nám pomáhají, je i nejistota. To vyžaduje lepší sdílené pochopení kritických momentů mezi těmi, kdo chrání organizaci a těmi, kdo určují její strategický směr. |
Pozměňovací návrh 6 Návrh směrnice Bod odůvodnění 8 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(8) Ustanoveními této směrnice by neměla být dotčena možnost jednotlivých členských států přijmout nezbytná opatření, aby tak zajistily ochranu svých zásadních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů. Podle článku 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění považuje za neslučitelné se svými základními bezpečnostními zájmy. |
(8) Ustanoveními této směrnice by neměla být dotčena možnost jednotlivých členských států přijmout nezbytná opatření, aby tak zajistily ochranu svých zásadních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů, za předpokladu, že toto nebudou brát jako záminku pro nedodržení svých obecnějších povinností, pokud jde o dodržování ochrany soukromého života a osobních údajů. Podle článku 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění považuje za neslučitelné se svými základními bezpečnostními zájmy. |
Pozměňovací návrh 7 Návrh směrnice Bod odůvodnění 9 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie. |
(9) V zájmu dosažení a udržení vysoké společné úrovně bezpečnosti sítí a informačních systémů by každý členský stát měl mít národní strategii pro bezpečnost sítí a informací, která by definovala strategické cíle a konkrétní opatření, jež je třeba v rámci této politiky přijmout. Na vnitrostátní úrovni je třeba vypracovat plány spolupráce v oblasti bezpečnosti sítí a informací, jež budou splňovat základní požadavky a umožní dosáhnout takové úrovně reakce daných kapacit, která zaručí efektivní spolupráci v případě, že dojde k bezpečnostnímu incidentu, a to jak na vnitrostátní úrovni, tak na úrovni Unie, za současného respektování a ochrany soukromého života a osobních údajů. |
Pozměňovací návrh 8 Návrh směrnice Bod odůvodnění 10 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(10) Za účelem účinného provedení předpisů přijatých na základě této směrnice by měl být v každém členském státě zřízen nebo určen orgán, který bude odpovídat za koordinaci v oblasti bezpečnosti sítí a informací a fungovat jako ústřední bod přeshraniční spolupráce na úrovni EU. Tyto orgány by měly disponovat odpovídajícími technickými, finančními a lidskými zdroji, které zaručí, že budou moci účinně plnit úkoly jim svěřené a naplnit tak cíle této směrnice. |
(10) Za účelem účinného provedení předpisů přijatých na základě této směrnice by měl být v každém členském státě zřízen nebo určen odpovědný vnitrostátní orgán pod kontrolou civilního sektoru s plně demokratickým dohledem a transparentními operacemi, který bude odpovídat za koordinaci v oblasti bezpečnosti sítí a informací a fungovat jako ústřední bod přeshraniční spolupráce na úrovni EU. Tyto orgány by měly disponovat odpovídajícími technickými, finančními a lidskými zdroji, které zaručí, že budou moci účinně plnit úkoly jim svěřené a naplnit tak cíle této směrnice. |
Pozměňovací návrh 9 Návrh směrnice Bod odůvodnění 14 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(14a) Mnoho odvětví, jako například služby informačních technologií provozující kritickou infrastrukturu, přechází ve svém computingovém prostředí na cloudové služby. Důvěrnost, úplnost a dostupnost údajů v cloudu musí být zajištěny dostatečným zabezpečením. Služby infrastruktury pro hosting a ukládání citlivých údajů v cloudovém prostředí s sebou přinášejí požadavky na bezpečnost a odolnost, jež stávající cloudové služby nedokáží zajistit. Proto je třeba zajistit, aby cloudové computingové prostředí dokázalo poskytnout důkladnou ochranu citlivých údajů kritické infrastruktury. |
Pozměňovací návrh 10 Návrh směrnice Bod odůvodnění 15 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a sdílet informace a osvědčené postupy výměnou za provozní podporu v případě vzniku incidentu. |
(15) Jelikož většinu sítí a informačních systémů provozují soukromé subjekty, je naprosto nezbytná spolupráce mezi soukromým a veřejným sektorem. Hospodářské subjekty by měly být podněcovány k vytváření svých vlastních neoficiálních mechanismů spolupráce k zajištění bezpečnosti sítí a informací. Měly by rovněž spolupracovat s veřejným sektorem a vzájemně sdílet informace a osvědčené postupy a také vzájemnou provozní podporu podle potřeby v případě vzniku incidentu. |
Pozměňovací návrh 11 Návrh směrnice Bod odůvodnění 15 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(15a) Stávající mechanismy vnitrostátní spolupráce mezi veřejnými a soukromými subjekty by měly být pokud možno plně respektovány a být v souladu se směrnicí 95/46/ES a ustanovení této směrnice by neměla tyto zavedené dohody o spolupráci nijak narušovat. |
Pozměňovací návrh 12 Návrh směrnice Bod odůvodnění 16 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by zveřejňovaly informace o incidentech a rizicích, které nemají důvěrný charakter. |
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by okamžitě zveřejňovaly kompletní informace o incidentech a rizicích, které nemají důvěrný charakter. |
Pozměňovací návrh 13 Návrh směrnice Bod odůvodnění 21 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(21) Vzhledem ke globální povaze problémů bezpečnosti sítí a informací je nutná užší mezinárodní spolupráce zaměřená na zdokonalení bezpečnostních norem a výměnu informací a prosazování společného a komplexního přístupu k otázkám bezpečnosti sítí a informací. |
(21) Vzhledem ke globální povaze problémů bezpečnosti sítí a informací je nutná užší mezinárodní spolupráce zaměřená na zdokonalení bezpečnostních norem a výměnu informací a prosazování společného a komplexního přístupu k otázkám bezpečnosti sítí a informací, za předpokladu, že státy, s nimiž je spolupráce v plánu, disponují nástroji na kontrolu a ochranu údajů, které zajišťují stejnou úroveň ochrany jako nástroje EU. |
Pozměňovací návrh 14 Návrh směrnice Bod odůvodnění 22 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na orgánech veřejné správy a hospodářských subjektech. Stanovením vhodných právních povinností a pomocí dobrovolných postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, včetně posuzování rizik a zavádění bezpečnostních opatření úměrných hrozícím rizikům. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření rovných podmínek. |
(22) Odpovědnost za zajištění bezpečnosti sítí a informací leží do značné míry na orgánech veřejné správy a podnicích. Stanovením vhodných právních povinností a pomocí postupů uplatňovaných v tomto odvětví by měla být prosazována a vytvářena kultura řízení rizik, včetně posuzování rizik a zavádění bezpečnostních opatření, jejichž cílem je předvídat bezpečnostní incidenty, ať už záměrné, či náhodné. Kde již tato kultura řízení rizik existuje a zejména kde spoléhá na dobrovolné postupy, měla by být podporována, posilována a sdílena. Pro účinné fungování sítě pro spolupráci a účinnou spolupráci všech členských států je zásadní rovněž vytvoření rovných podmínek. |
Pozměňovací návrh 15 Návrh směrnice Bod odůvodnění 22 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(22a) Orgány veřejné správy a soukromé podniky, včetně poskytovatelů síťových služeb a dodavatelů informací a softwaru by na ochranu svých informačních systémů a údajů, které tyto systémy obsahují, měly pohlížet jako na základní předmět své náležité péče. Měly by být zajištěny příslušné úrovně ochrany proti hrozbám a oblastem zranitelnosti na přiměřeně identifikovatelné úrovni. Zátěž této ochrany a náklady na ni by měly odrážet pravděpodobné škody, které by kybernetický útok způsobil poškozeným. |
Pozměňovací návrh 16 Návrh směrnice Bod odůvodnění 26 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(26a) Děti jsou vystavené internetu a jiným moderním technologiím již od útlého věku, stejně jako hrozbám, které s nimi souvisejí. Řádná správa online prostředí přátelského k dětem je klíčová pro zmírnění nebezpečí a zajištění toho, aby byla plně zaručena ochrana dětí a jejich práv. |
Pozměňovací návrh 17 Návrh směrnice Bod odůvodnění 28 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(28) Odpovědné orgány by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Zveřejňování incidentů oznámených odpovědným orgánům by mělo být přiměřené zájmu veřejnosti na informacích o hrozbách, jež by mohly poškodit dobrou pověst či obchodní zájmy orgánů veřejné správy a hospodářských subjektů, které incidenty ohlašují. Při zavádění ohlašovací povinnosti by odpovědné orgány měly věnovat pozornost především skutečnosti, že informace o zranitelnosti produktu musí až do zjednání odpovídající nápravy v oblasti bezpečnosti zůstat přísně důvěrné. |
(28) Odpovědné orgány by měly věnovat náležitou péči zachování neformálních a důvěryhodných informačních kanálů pro sdílení informací mezi hospodářskými subjekty a mezi soukromým a veřejným sektorem. Zveřejňování incidentů oznámených odpovědným orgánům by mělo před krátkodobými ekonomickými zájmy upřednostnit zájem veřejnosti na informacích o hrozbách. |
Pozměňovací návrh 18 Návrh směrnice Bod odůvodnění 29 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(29a) Podvodné využívání internetu umožňuje pachatelům organizovaného zločinu rozšiřovat své online aktivity za účelem praní špinavých peněz, padělání a vytváření produktů a služeb s cílem porušovat práva duševního vlastnictví a také za účelem experimentování s novými trestnými činnostmi, čímž vychází najevo jejich schopnost přizpůsobit se moderním technologiím, která vzbuzuje obavy. |
Pozměňovací návrh 19 Návrh směrnice Bod odůvodnění 30 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(30a) Kyberkriminalita způsobuje stále závažnější škody v hospodářské a sociální oblasti, kterými jsou zasaženy miliony spotřebitelů, a dochází tak k ročním ztrátám v odhadované výši 290 miliard EUR4a. |
|
|
__________________ |
|
|
4a Podle zprávy společnosti Norton o kyberkriminalitě z roku 2012. |
Pozměňovací návrh 20 Návrh směrnice Bod odůvodnění 33 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(33) Komise by ustanovení této směrnice měla pravidelně přezkoumávat, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se technologické nebo tržní podmínky. |
(33) Komise by ustanovení této směrnice měla pravidelně přezkoumávat, zejména s ohledem na stanovení nutnosti změn zohledňujících měnící se technologické nebo tržní podmínky a povinnosti zaměřené na nejvyšší úroveň bezpečnosti a integrity sítí a informací a ochranu soukromého života a osobních údajů. |
Pozměňovací návrh 21 Návrh směrnice Bod odůvodnění 39 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům může být potřeba zpracovat osobní údaje. Toto zpracování osobních údajů je nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, a je proto v souladu s článkem 7 směrnice 95/46/ES oprávněné. Ve vztahu k těmto oprávněným cílům nepředstavuje nepřiměřený ani nepřípustný zásah do samé podstaty práva na ochranu osobních údajů zaručovaného článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise31. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
(39) V rámci výměny informací o rizicích a incidentech prostřednictvím sítě pro spolupráci a dodržování povinnosti oznamovat incidenty odpovědným vnitrostátním orgánům může být potřeba zpracovat osobní údaje. V případě, že je toto zpracování osobních údajů nutné k tomu, aby byly splněny cíle obecného zájmu, které sleduje tato směrnice, může být v souladu s článkem 7 směrnice 95/46/ES oprávněné. Nezbavuje však odpovědné orgány povinnosti jednat přiměřeně, a to způsobem, který pravděpodobně neohrozí právo na ochranu osobních údajů zaručené článkem 8 Listiny základních práv. Při uplatňování této směrnice by se podle potřeby mělo použít nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise31. V případech, kdy osobní údaje zpracovávají orgány a instituce Unie, mělo by být takové zpracování pro účely provedení této směrnice v souladu s nařízením Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
|
__________________ |
__________________ |
|
31 Úř. věst. L 145 31.5.2001, s. 43 |
31 Úř. věst. L 145 31.5.2001, s. 43 |
Pozměňovací návrh 22 Návrh směrnice Bod odůvodnění 41 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(41a) Všechna opatření by měla chránit základní lidská práva, zejména ta, která jsou uvedena v Evropské úmluvě o lidských právech (článek 8, respektování soukromého života), a dodržovat zásadu proporcionality. |
Pozměňovací návrh 23 Návrh směrnice Čl. 1 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Touto směrnicí rovněž není dotčena směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací ani nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
5. Tato směrnice plně respektuje směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, směrnici Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů. |
Pozměňovací návrh 24 Návrh směrnice Článek 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Členské státy mohou přijmout či zachovat v platnosti ustanovení zajišťující vyšší míru bezpečnosti, aniž by tím byly dotčeny jejich povinnosti stanovené právními předpisy Unie. |
Členské státy mohou přijmout či zachovat v platnosti ustanovení zajišťující vyšší míru bezpečnosti, aniž by tím byly dotčeny jejich povinnosti stanovené právními předpisy Unie, avšak taková ustanovení musí být v souladu se společnými minimálními očekáváními použitelnými v tomto případě, jak jsou zakotvena v této směrnici. |
Pozměňovací návrh 25 Návrh směrnice Čl. 3 – bod 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2) „bezpečností“ schopnost sítě a informačního systému odolávat na určitém stupni spolehlivosti náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; |
2) „bezpečností“ schopnost sítě a informačního systému odolávat náhodným či svévolným zásahům, které narušují dostupnost, pravost, integritu a důvěrnost uložených nebo přenášených dat nebo souvisejících služeb, které tato síť nebo informační systém nabízí nebo které jsou jejich prostřednictvím přístupné; |
Pozměňovací návrh 26 Návrh směrnice Čl. 3 – odst. 2 – písm. a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
„kybernetickou odolností“ schopnost sítí a informačních systémů odolat incidentům, mimo jiné včetně technických poruch, výpadků elektřiny či bezpečnostních incidentů, a obnovit po nich svou plnou provozní kapacitu; |
Pozměňovací návrh 27 Návrh směrnice Čl. 3 – odst. 4 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
„incidentem“ jakákoliv okolnost nebo událost, která má reálný negativní dopad na bezpečnost; |
„incidentem“ jakákoliv okolnost nebo událost, která má reálný negativní dopad na bezpečnost a na poskytování základních služeb; |
Pozměňovací návrh 28 Návrh směrnice Čl. 3 – bod 8 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví, jejichž demonstrativní výčet je uveden v příloze II. |
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých společenských a ekonomických činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry, potravinového dodavatelského řetězce a zdravotnictví, jejichž demonstrativní výčet je uveden v příloze II. |
Pozměňovací návrh 29 Návrh směrnice Čl. 5 – odst. 2 – písm. a | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
a) Plán posouzení rizik pro odhalení rizik a posouzení dopadů možných incidentů; |
a) Rámec pro řízení rizik zahrnující minimálně pravidelné posouzení pro odhalení rizik a posouzení dopadů možných incidentů a opatření na zachování bezpečnosti a integrity informací, včetně včasného varování; |
Odůvodnění | |
Plán posouzení není dostačující a neobsahuje další opatření nezbytná pro řízení rizik síťové a informační bezpečnosti. Evropský inspektor ochrany údajů doporučuje zavést rámec pro řízení rizik, jehož součástí bude posouzení rizika. | |
Pozměňovací návrh 30 Návrh směrnice Čl. 5 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Národní strategie a národní plán spolupráce pro bezpečnost sítí a informací budou sděleny Komisi do jednoho měsíce od přijetí. |
3. Národní strategie a národní plán spolupráce pro bezpečnost sítí a informací budou sděleny Komisi, Evropskému parlamentu, Radě a evropskému inspektorovi ochrany údajů do jednoho měsíce od přijetí, přičemž se tak stane nejpozději do 12 měsíců po vstupu této směrnice v platnost. |
Pozměňovací návrh 31 Návrh směrnice Čl. 5 – odst. 3 a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3a. Komise shromáždí národní strategie pro bezpečnost sítí a informací všech členských států a předá je všem členským státům v organizované podobě. |
Odůvodnění | |
Bude užitečné, aby ostatní členské státy viděly navzájem své plány. Pomůže jim to určit své přístupy a mohou dokonce vzniknout příležitosti pro výměnu osvědčených postupů. | |
Pozměňovací návrh 32 Návrh směrnice Čl. 5 – odst. 3 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
3b. Do šesti měsíců od přijetí této směrnice sestaví Komise pokyny pro strukturu národní strategie pro bezpečnost sítí a informací. Jejich cílem bude pomoci členským státům vypracovat a přijmout dokumenty s přibližně stejnou strukturou. |
Odůvodnění | |
Organizační a shrnující práce na úrovni Společenství mohou být účinnější, pokud 28 dokumentů, jichž se týkají, vychází z určité obecné struktury. Přestože by pokyny Komise nebyly závazné, přiměly by členské státy, aby se při vypracovávání svých národních strategií držely tohoto doporučeného modelu / této struktury. | |
Pozměňovací návrh 33 Návrh směrnice Čl. 6 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát jmenuje vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
1. Každý členský stát jmenuje civilní vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
Pozměňovací návrh 34 Návrh směrnice Čl. 6 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou podle potřeby konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a spolupracovat s nimi. |
5. Odpovědné orgány budou podle potřeby a při zohlednění zásady proporcionality konzultovat příslušné vnitrostátní donucovací orgány a úřady pro ochranu údajů a úzce s nimi spolupracovat. |
Pozměňovací návrh 35 Návrh směrnice Čl. 6 – odst. 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Pokud jde o shromažďované, zpracovávané a vyměňované informace, odpovědné orgány se řídí požadavky na ochranu osobních údajů stanovenými v článku 17 směrnice 95/46/ES. |
Pozměňovací návrh 36 Návrh směrnice Čl. 7 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát zřídí skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
1. Každý členský stát zřídí skupiny pro reakci na počítačové hrozby (dále jen „CERT“), odpovědné za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež budou splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT se v případě potřeby zřídí v rámci odpovědného orgánu. |
Pozměňovací návrh 37 Návrh směrnice Čl. 8 – odst. 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a odpovědnými orgány. Evropská agentura pro bezpečnost sítí a informací (ENISA) na žádost poskytne síti pro spolupráci své odborné znalosti a doporučení. |
2. Sítí pro spolupráci bude vytvořeno stálé komunikační spojení mezí Komisí a odpovědnými orgány. Evropská agentura pro bezpečnost sítí a informací (ENISA) na žádost poskytne síti pro spolupráci technologicky neutrální pokyny obsahující vhodná opatření pro veřejný i soukromý sektor. |
Pozměňovací návrh 38 Návrh směrnice Čl. 9 – odst. 2 – písm. b a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
ba) kritéria účasti členských států v bezpečném systému sdílení informací, aby se zajistilo, že všichni účastníci ve všech fázích zpracovávání zaručí vysokou úroveň bezpečnosti a odolnosti, mj. vhodnými opatřeními k zachování důvěrného charakteru informací a bezpečnostními opatřeními v souladu s články 16 a 17 směrnice 95/46/ES a články 21 a 22 nařízení (ES) č. 45/2001. |
Pozměňovací návrh 39 Návrh směrnice Čl. 9 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Komise formou prováděcích aktů a na základě kritérií uvedených v odstavcích 2 a 3 rozhodne o přístupu členských států do této bezpečné infrastruktury. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 19 odst. 3. |
vypouští se |
Pozměňovací návrh 40 Návrh směrnice Čl. 12 – odst. 2 – písm. a – odrážka 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
– definici postupů a kritérií pro posouzení rizik a incidentů v rámci sítě pro spolupráci; |
– definici kritérií pro posouzení rizik a incidentů v rámci sítě pro spolupráci; |
Pozměňovací návrh 41 Návrh směrnice Článek 13 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. Takové dohody budou zohledňovat nutnost zajistit odpovídající ochranu osobních údajů šířených v síti pro spolupráci. |
Aniž by byla dotčena možnost sítě pro spolupráci provozovat mezinárodní spolupráci na neformální úrovni, může Unie uzavřít mezinárodní dohody o spolupráci se třetími zeměmi nebo s mezinárodními organizacemi, na jejichž základě bude možná a jimiž se bude řídit účast dané třetí země či mezinárodní organizace na určitých činnostech sítě pro spolupráci. Takové dohody se uzavřou pouze pod podmínkou, že lze zajistit odpovídající úroveň ochrany osobních údajů šířených v síti pro spolupráci srovnatelnou s úrovní zajištěnou v Unii. |
Pozměňovací návrh 42 Návrh směrnice Čl. 14 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby jejich orgány veřejné správy a hospodářské subjekty přijaly vhodná technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na současné technické možnosti zaručí tato opatření takovou úroveň bezpečnosti, která odpovídá míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku bezpečnostních incidentů v jejich sítích a informačních systémech, jež by poškodily jimi poskytované základní služby, případně minimalizují dopad takových incidentů, a zajistí tak kontinuitu služeb podporovaných těmito sítěmi a informačními systémy. |
1. Členské státy zajistí, aby jejich orgány veřejné správy a hospodářské subjekty přijaly vhodná technická a organizační opatření k odhalení, účinnému řízení a omezení bezpečnostních rizik, jimž čelí jimi kontrolované a používané sítě a informační systémy. S ohledem na současné technické možnosti zaručí tato opatření takovou úroveň bezpečnosti, která odpovídá a je přiměřená míře existujícího rizika. Zejména budou přijata taková opatření, která zabrání vzniku bezpečnostních incidentů v jejich sítích a informačních systémech, jež by poškodily jimi poskytované základní služby, případně minimalizují dopad takových incidentů, a zajistí tak kontinuitu služeb a bezpečnost údajů podporovaných těmito sítěmi a informačními systémy. |
Pozměňovací návrh 43 Návrh směrnice Čl. 14 – odst. 2 – písm. a (nové) | |
|
|
Pozměňovací návrh |
|
|
a) Komerční výrobci softwaru ponesou odpovědnost za hrubou nedbalost týkající se bezpečnosti a ochrany, a to navzdory doložkám o zřeknutí se odpovědnosti v uživatelských ujednáních. |
Odůvodnění | |
Komerční výrobci softwaru se v licenčních ujednáních zbavují veškeré odpovědnosti za potíže vzniklé nedostatečným zabezpečením a špatným programováním. Pro podporu investic výrobců do bezpečnostních opatření je zapotřebí jiného přístupu. Lze toho dosáhnout pouze za předpokladu, že výrobci softwaru ponesou odpovědnost za veškeré bezpečnostní nedostatky. | |
Pozměňovací návrh 44 Návrh směrnice Čl. 14 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Povinnosti uvedené v odstavcích 1a 2 se týkají všech hospodářských subjektů poskytujících služby v Evropské unii. |
3. Povinnosti uvedené v odstavcích 1 a 2 se týkají všech hospodářských subjektů a výrobců softwaru poskytujících služby v Evropské unii. |
Pozměňovací návrh 45 Návrh směrnice Čl. 14 – odst. 6 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
6. Na základě aktu v přenesené pravomoci přijatého v souladu s odstavcem 5 jsou odpovědné orgány oprávněny přijmout obecné zásady a v případě potřeby vydat pokyny týkající se okolností, za nichž jsou orgány veřejné správy a hospodářské subjekty povinny oznamovat incidenty. |
vypouští se |
Pozměňovací návrh 46 Návrh směrnice Čl. 15 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Členské státy zajistí, aby odpovědné orgány měly všechny nezbytné pravomoci pro vyšetřování případů porušení povinností podle článku 14 ze strany orgánů veřejné správy či hospodářských subjektů a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
1. Členské státy zajistí, aby odpovědné orgány měly nezbytné pravomoci pro vyšetřování případů porušení povinností podle článku 14 ze strany orgánů veřejné správy či hospodářských subjektů a dopadů takového porušení na bezpečnost sítí a informačních systémů. |
Pozměňovací návrh 47 Návrh směrnice Čl. 15 – odst. 5 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
5. Odpovědné orgány budou při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů. |
5. Aniž by byly dotčeny platné právní předpisy o ochraně údajů, budou odpovědné orgány a jednotná kontaktní místa při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, úzce spolupracovat s úřady pro ochranu osobních údajů a budou přitom v plné míře konzultovat příslušné správce a zpracovatele údajů. |
Pozměňovací návrh 48 Návrh směrnice Článek 19 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
Článek 19a |
|
|
Ochrana a zpracování osobních údajů |
|
|
1. Jakékoli zpracování osobních údajů v členských státech podle této směrnice se provádí v souladu se směrnicí 95/46/ES a směrnicí 2002/58/ES. |
|
|
2. Jakékoli zpracování osobních údajů, které provádí Komise a agentura ENISA podle této směrnice se provádí v souladu s nařízením (ES) č. 45/2001. |
|
|
3. Jakékoli zpracování osobních údajů Centrem pro boj proti kyberkriminalitě, zřízeným v rámci Europolu, pro účely této směrnice se provádí v souladu s rozhodnutím 2009/371/SVV. |
|
|
4. Zpracování osobních údajů probíhá poctivě a v souladu se zákonem a je striktně omezeno na minimální údaje potřebné pro účely, k nimž jsou zpracovávány. Osobní údaje jsou uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účel, k němuž jsou zpracovávány. |
|
|
5. Oznamováním incidentů podle článku 14 nejsou dotčena ustanovení a povinností týkající se oznamování narušení ochrany osobních údajů, jak je uvedeno v článku 4 směrnice 2002/58/ES a v nařízení (EU) č. 611/2013. |
|
|
6. Odkazy na směrnici 95/46/ES se považují za odkazy na nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), jakmile vstoupí v platnost. |
Pozměňovací návrh 49 Návrh směrnice Čl. 20 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Komise pravidelně přezkoumává uplatňování této směrnice a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do tří let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Komise pravidelně přezkoumává uplatňování této směrnice a podává zprávu Evropskému parlamentu a Radě. První zprávu předloží nejpozději do dvou let od data provedení podle článku 21. Za tím účelem je Komise oprávněna vyzvat členské státy, aby jí neprodleně poskytly informace. |
Pozměňovací návrh 50 Návrh směrnice Příloha 1 – odst. 1 – bod 1 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) Skupina CERT zavede a bude spravovat bezpečnostní opatření, aby zajistila důvěrnost, celistvost, dostupnost a pravost informací, jež získává a s nimiž nakládá. |
b) Skupina CERT zavede a bude spravovat bezpečnostní opatření, aby zajistila důvěrnost, celistvost, dostupnost a pravost informací, jež získává a s nimiž nakládá, a rovněž aby zajistila ochranu údajů. |
Pozměňovací návrh 51 Návrh směrnice Příloha 2 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Seznam hospodářských subjektů |
Seznam hospodářských subjektů |
|
Pro účely čl. 3 odst. 8 písm. a): |
Pro účely čl. 3 odst. 8 písm. a): |
|
1. platformy pro elektronické obchodování |
1. platformy pro elektronické obchodování |
|
2. internetové platební brány |
2. internetové platební brány |
|
3. sociální sítě |
|
|
4. vyhledávače |
3. vyhledávače |
|
5. služby cloud computingu |
4. služby cloud computingu, které uchovávají údaje kritické infrastruktury Evropské unie |
|
6. obchody s aplikacemi |
|
Pozměňovací návrh 52 Návrh směrnice Příloha 2 – odst. 2 – bod 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Potravinový dodavatelský řetězec |
POSTUP
|
Název |
Vysoká společná úroveň bezpečnosti sítí a informací v celé Unii |
||||
|
Referenční údaje |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
|
Věcně příslušný výbor Datum oznámení na zasedání |
IMCO 15.4.2013 |
|
|
|
|
|
Výbor, který vypracoval stanovisko Datum oznámení na zasedání |
LIBE 15.4.2013 |
||||
|
Přidružený(é) výbor(y) - datum oznámení na zasedání |
12.9.2013 |
||||
|
Navrhovatel(ka) Datum jmenování |
Carl Schlyter 7.3.2013 |
||||
|
Projednání ve výboru |
25.4.2013 |
18.9.2013 |
4.11.2013 |
13.1.2014 |
|
|
Datum přijetí |
13.1.2014 |
|
|
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
36 6 0 |
|||
|
Členové přítomní při konečném hlasování |
Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in ‘t Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
|
Náhradník(ci) přítomný(í) při konečném hlasování |
Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria |
||||
|
Náhradník(ci) (čl. 187 odst. 2) přítomný(í) při konečném hlasování |
Katarína Neveďalová |
||||
STANOVISKO Výboru pro zahraniční věci (6. 12. 2013)
pro Výbor pro vnitřní trh a ochranu spotřebitelů
k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Navrhovatelka: Ana Gomes
POZMĚŇOVACÍ NÁVRHY
Výbor pro zahraniční věci vyzývá Výbor pro vnitřní trh a ochranu spotřebitelů jako věcně příslušný výbor, aby do své zprávy začlenil tyto pozměňovací návrhy:
Pozměňovací návrh 1 Návrh směrnice Bod odůvodnění 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu. |
(1) Sítě a informační systémy a služby hrají ve společnosti zcela zásadní roli. Jejich spolehlivost a bezpečnost je nezbytná pro hospodářskou činnost a sociální blahobyt a především pro fungování vnitřního trhu, jakož i pro vnější bezpečnost EU. |
Pozměňovací návrh 2 Návrh směrnice Bod odůvodnění 2 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie. |
(2) Rozsah a četnost výskytu úmyslných či náhodných bezpečnostních incidentů roste a představuje velkou hrozbu pro fungování sítí a informačních systémů. Tyto incidenty mohou bránit ve výkonu hospodářské činnosti, způsobovat významné finanční ztráty, narušovat důvěru uživatelů a způsobovat značnou újmu hospodářství Unie a nakonec i ohrožovat kvalitní životní podmínky občanů EU a schopnost členských států EU chránit se a zajišťovat bezpečnost klíčové infrastruktury. |
Pozměňovací návrh 3 Návrh směrnice Bod odůvodnění 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(2a) Doložka solidarity zavedená článkem 222 SFEU představuje vhodný rámec pro podporu a společnou činnost členských států EU v případě teroristického útoku či trestné činnosti ohrožující bezpečnost sítí a informací. Stejně tak doložka o vzájemné obraně stanovená čl. 42 odst. 7 SEU představuje rámec pro opatření v rámci EU, pokud se členský stát stane cílem ozbrojeného napadení oslabujícího bezpečnost sítí a informací. V náležitých případech by článek 222 SFEU a čl. 42 odst. 7 SEU měly být prováděny tak, aby se navzájem doplňovaly. |
Pozměňovací návrh 4 Návrh směrnice Bod odůvodnění 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(2a) K řadě kybernetických útoků dochází z důvodu nedostatečné odolnosti soukromé a veřejné síťové infrastruktury, špatně chráněných či zabezpečených databází a dalších nedostatků v kritické informační infrastruktuře; vzhledem k tomu, že pouze malý počet členských států považuje ochranu svých sítí a informačních systémů a souvisejících údajů za součást své povinné péče, což vysvětluje nedostatek investic do nejmodernější zabezpečovací technologie, odborné přípravy a vypracovávání vhodných pokynů. |
Pozměňovací návrh 5 Návrh směrnice Bod odůvodnění 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(3) Jakožto komunikační nástroj bez hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu. |
(3) Jakožto komunikační nástroj bez hranic hrají digitální informační systémy a především internet zásadní roli při usnadňování přeshraničního pohybu zboží, služeb a osob. Vzhledem k tomuto nadnárodnímu rozměru se může narušení těchto systémů v jednom členském státě dotknout dalších členských států i celé EU. Odolnost a stabilita sítí a informačních systémů je proto základním předpokladem pro hladké fungování vnitřního trhu a je nezbytná pro vnitřní, jakož i vnější bezpečnost EU. Potřeba zlepšit bezpečnost sítí a informací by proto měla být náležitě zdůrazněna ve strategii vnitřní bezpečnosti EU a v evropské bezpečnostní strategii, zejména vzhledem k budoucímu přezkumu těchto dokumentů. |
Pozměňovací návrh 6 Návrh směrnice Bod odůvodnění 3 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(3a) Zvyšování povědomí a vzdělávání uživatelů informačních a komunikačních technologií o osvědčených postupech týkajících se zabezpečení osobních údajů a udržitelné správy komunikačních služeb by měly představovat základ každé komplexní strategie kybernetické bezpečnosti. |
Pozměňovací návrh 7 Návrh směrnice Bod odůvodnění 4 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4a) Ve všech případech, kdy se může jednat o rizika vnější a teroristické povahy, by měly být zajištěny spolupráce a koordinace mezi příslušnými evropskými orgány, vysokým představitelem/místopředsedou odpovědným za společnou zahraniční a bezpečností politiku a společnou bezpečnostní a obrannou politiku a protiteroristickým koordinátorem EU. |
Pozměňovací návrh 8 Návrh směrnice Bod odůvodnění 4 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4b) Sdílení zpravodajských a citlivých informací mezi jednotlivými členskými státy a mezi členskými státy a příslušnými evropskými orgány by mělo být posíleno a založeno na zásadě důvěry, solidarity a spolupráce. Jakýkoli akční plán mající za cíl zlepšení bezpečnosti sítí a systémů by měl tudíž plně využívat stávající struktury v EU, jako jsou situační centrum (SitCen) a středisko pro analýzu zpravodajských informací (IntCen), a zajišťovat koordinaci mezi všemi strukturami týkajícími se bezpečnosti informací, které jsou pro vnitřní a vnější bezpečnost EU citlivé. |
Pozměňovací návrh 9 Návrh směrnice Bod odůvodnění 4 c (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(4c) Vzhledem k nadnárodní povaze hrozeb je spolupráce a sdílení informací s příslušnými mezinárodními partnery na celosvětové úrovni zásadní pro účinnou strategii kybernetické bezpečnosti a pro přesvědčivá opatření ke zlepšení bezpečnosti sítí a informací v rámci EU. |
Pozměňovací návrh 10 Návrh směrnice Bod odůvodnění 8 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(8a) Bezpečnostní opatření musí respektovat základní práva, která v souladu s články 2, 6 a 21 SFEU platí v EU a jejích členských státech, jako je svoboda projevu, ochrana údajů a soukromí; vzhledem k tomu, že práva na soukromí a ochranu údajů jsou stanovena v Listině základních práv EU a článku 16 SFEU. |
Pozměňovací návrh 11 Návrh směrnice Bod odůvodnění 11 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(11a) Všechny členské státy se v rámci svých vnitrostátních strategií kybernetické bezpečnosti zaměří na ochranu informačních systémů a souvisejících údajů a považují ochranu této kritické infrastruktury za součást své povinné péče. Všechny členské státy přijmou a uplatňují strategie, pokyny a nástroje, jež zajistí přiměřenou úroveň ochrany před zjistitelnou úrovní ohrožení, přičemž náklady a zátěž v důsledku ochrany by měly být přiměřené možné újmě způsobené dotčeným stranám. Všechny členské státy rovněž přijmou přiměřené kroky a uloží právnickým osobám ve své jurisdikci, aby chránily osobní údaje, které mají k dispozici. |
Pozměňovací návrh 12 Návrh směrnice Bod odůvodnění 16 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by zveřejňovaly informace o incidentech a rizicích, které nemají důvěrný charakter. |
(16) V zájmu zajištění transparentnosti a řádného informování občanů a hospodářských subjektů v EU by odpovědné orgány měly zřídit společné internetové stránky, na nichž by zveřejňovaly informace o incidentech a rizicích, které nemají důvěrný charakter. Osobní údaje zveřejněné na těchto internetových stránkách by měly být omezeny na nezbytné minimum a měly by být co nejanonymnější. |
Pozměňovací návrh 13 Návrh směrnice Bod odůvodnění 30 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(30a) Touto směrnicí není dotčeno acquis Unie týkající se ochrany údajů. Jakékoli osobní údaje použité podle ustanovení této směrnice by se měly omezovat na minimální soubor nezbytně nutných osobních údajů, měly by být předávány pouze nezbytně nutným subjektům a být co nejanonymnější, ne-li zcela anonymní. |
Pozměňovací návrh 14 Návrh směrnice Bod odůvodnění 32 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(32a) Touto směrnicí (směrnice o bezpečnosti sítí a informací) není dotčena nutnost přijmout právní předpisy EU o obecné ochraně údajů. |
Pozměňovací návrh 15 Návrh směrnice Bod odůvodnění 34 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
(34a) Je třeba na úrovni EU regulovat prodej, dodávky, transfer a vývoz vybavení nebo softwaru, jehož primárním cílem je sledování nebo zachycení internetové a telefonní komunikace prostřednictvím mobilních či pevných sítí, do třetích zemí a poskytování pomoci při instalaci, provozování nebo modernizaci tohoto vybavení či softwaru. Komise musí co nejdříve vypracovat právní předpisy, které evropským společnostem zabrání ve vývozu takových položek, které umožňují dvojí využití, do nedemokratických, autoritativních a represivních režimů. |
Pozměňovací návrh 16 Návrh směrnice Čl. 1 – odst. 2 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované a účinné řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně; |
b) vytváří mechanismus spolupráce mezi členskými státy, který má zajistit jednotné uplatňování této směrnice v Unii a v případě potřeby koordinované, účinné a účelné řešení rizik a bezpečnostních incidentů postihujících sítě a informační systémy a reakci na ně; |
Pozměňovací návrh 17 Návrh směrnice Čl. 3 – odst. 1 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) jakýkoli přístroj nebo skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování počítačových dat, jakož i |
b) jakákoli skupina vzájemně propojených nebo přidružených přístrojů, z nichž jeden nebo více provádí na základě programu automatické zpracování počítačových dat, jakož i |
Pozměňovací návrh 18 Návrh směrnice Čl. 3 – odst. 2 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
a) „kybernetickou odolností“ schopnost sítí a informačních systémů odolat incidentům, mimo jiné včetně technických poruch, výpadků elektřiny či bezpečnostních incidentů, a obnovit po nich svou plnou provozní kapacitu; |
Pozměňovací návrh 19 Návrh směrnice Čl. 3 – odst. 8 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry a zdravotnictví, jejichž demonstrativní výčet je uveden v příloze II. |
b) provozovatel kritické infrastruktury, která má zásadní význam pro zachování životně důležitých ekonomických a společenských činností v oblasti energetiky, dopravy, bankovnictví, obchodování s cennými papíry, zdravotnictví, bezpečnosti a obrany, jejichž demonstrativní výčet je uveden v příloze II. |
Pozměňovací návrh 20 Návrh směrnice Čl. 3 – odst. 8 – písm. b a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
ba) poskytovatelé zařízení, sítí a informačních systémů stanovených v odstavci 1 nebo jejich součástí, které jsou zásadní pro vysokou společnou úroveň bezpečnosti sítí a informací. |
Pozměňovací návrh 21 Návrh směrnice Čl. 6 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát jmenuje vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
1. Každý členský stát jmenuje civilní vnitrostátní orgán odpovědný za bezpečnost sítí a informačních systémů (dále jen „odpovědný orgán“). |
Pozměňovací návrh 22 Návrh směrnice Čl. 7 – odst. 1 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
1. Každý členský stát zřídí skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
1. Každý členský stát zřídí alespoň jednu skupinu pro reakci na počítačové hrozby (dále jen „CERT“), odpovědnou za řešení incidentů a rizik v souladu s řádně vymezeným postupem, jež bude splňovat požadavky stanovené v bodě 1 přílohy I. Skupina CERT může být zřízena v rámci odpovědného orgánu. |
Pozměňovací návrh 23 Návrh směrnice Čl. 8 – odst. 3 – písm. f a (nové) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
fa) případně, vzhledem k povaze rizika či hrozby, by měl být prostřednictvím předložení zprávy informován protiteroristický koordinátor EU, který může být požádán, aby pomohl s analýzou přípravných prací a s činností sítě pro spolupráci; |
Pozměňovací návrh 24 Návrh směrnice Čl. 9 – odst. 1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
1a. Osobní údaje se zpřístupní pouze těm příjemcům, kteří tyto údaje potřebují zpracovávat kvůli plnění svých úkolů v souladu s odpovídajícím právním základem. Rozsah zveřejněných údajů je omezen na to, co je k plnění jejich úkolů nezbytné. Zajistí se dodržení zásady omezení účelu. Časová lhůta pro uchovávání těchto údajů se konkrétně stanoví pro účely uvedené v této směrnici. |
Pozměňovací návrh 25 Návrh směrnice Čl. 10 – odst. 3 | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
3. Komise může na žádost členského státu nebo z vlastní iniciativy vyzvat členský stát, aby poskytl veškeré relevantní informace o určitém riziku nebo incidentu. |
3. Komise může na žádost členského státu nebo z vlastní iniciativy vyzvat členský stát, aby v souladu s ustanoveními obecného nařízení o ochraně údajů poskytl veškeré relevantní informace o určitém riziku nebo incidentu. |
Pozměňovací návrh 26 Návrh směrnice Čl. 10 – odst. -1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
-1a. Úlohou funkce vysokého představitele/místopředsedy je začleňování aspektů kybernetické bezpečnosti do vnějších činností EU, zejména ve vztahu k třetím zemím. Cílem je posílit výměnu poznatků a spolupracovat na řešení otázek kybernetické bezpečnosti. |
Pozměňovací návrh 27 Návrh směrnice Čl. 10 – odst. -1 b (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
-1b. Rada a Komise trvají v rámci svých vztahů a dohod o spolupráci s třetími zeměmi, zejména s těmi, s nimiž spolupracují v oblasti technologií, na minimálních normách v oblasti bezpečnosti informačních systémů. |
Pozměňovací návrh 28 Návrh směrnice Čl. 20 – nadpis | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
Přezkum |
Podávání zpráv a přezkum |
Pozměňovací návrh 29 Návrh směrnice Čl. 20 – odst. -1 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
-1a. Komise předloží Evropskému parlamentu a Radě výroční zprávu o incidentech a opatřeních, o nichž byla podle této směrnice informována. |
Pozměňovací návrh 30 Návrh směrnice Příloha 1 – odst. 1 – písm. b | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
b) Skupina CERT zavede a bude spravovat bezpečnostní opatření, aby zajistila důvěrnost, celistvost, dostupnost a pravost informací, jež získává a s nimiž nakládá. |
b) Skupina CERT zavede a bude spravovat bezpečnostní opatření, aby zajistila důvěrnost, celistvost, dostupnost a pravost informací, jež získává a s nimiž nakládá, přičemž dodržuje požadavky na ochranu údajů. |
Pozměňovací návrh 31 Návrh směrnice PŘÍLOHA II – 2. podnadpis (Pro účely čl. 3 odst. 8 písm. b)) – odst. 5 a (nový) | |
|
Znění navržené Komisí |
Pozměňovací návrh |
|
|
5a. Bezpečnost a obrana: hospodářské subjekty pro činnosti a služby uvedené ve směrnici 2009/81/ES, zejména subjekty uvedené v článku 46 |
POSTUP
|
Název |
Vysoká společná úroveň bezpečnosti sítí a informací v celé Unii |
||||
|
Referenční údaje |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
|
Věcně příslušný výbor Datum oznámení na zasedání |
IMCO 15.4.2013 |
|
|
|
|
|
Výbor, který vypracoval stanovisko Datum oznámení na zasedání |
AFET 15.4.2013 |
||||
|
Navrhovatel(ka) Datum jmenování |
Ana Gomes 19.2.2013 |
||||
|
Projednání ve výboru |
18.9.2013 |
|
|
|
|
|
Datum přijetí |
5.12.2013 |
|
|
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
31 3 8 |
|||
|
Členové přítomní při konečném hlasování |
Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Paşcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala |
||||
|
Náhradník(ci) přítomný(í) při konečném hlasování |
Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski |
||||
|
Náhradník(ci) (čl. 187 odst. 2) přítomný(í) při konečném hlasování |
Hiltrud Breyer |
||||
POSTUP
|
Název |
Vysoká společná úroveň bezpečnosti sítí a informací v celé Unii |
||||
|
Referenční údaje |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
|
Datum předložení EP |
5.2.2013 |
|
|
|
|
|
Věcně příslušný výbor Datum oznámení na zasedání |
IMCO 15.4.2013 |
|
|
|
|
|
Výbor(y) požádaný(é) o stanovisko Datum oznámení na zasedání |
AFET 15.4.2013 |
INTA 15.4.2013 |
BUDG 15.4.2013 |
ECON 15.4.2013 |
|
|
|
ENVI 15.4.2013 |
ITRE 15.4.2013 |
TRAN 15.4.2013 |
JURI 15.4.2013 |
|
|
|
LIBE 15.4.2013 |
|
|
|
|
|
Nezaujetí stanoviska Datum rozhodnutí |
INTA 20.3.2013 |
BUDG 21.2.2013 |
ECON 18.6.2013 |
ENVI 19.2.2013 |
|
|
|
TRAN 18.3.2013 |
JURI 20.2.2013 |
|
|
|
|
Přidružený(é) výbor(y) Datum oznámení na zasedání |
ITRE 12.9.2013 |
LIBE 12.9.2013 |
|
|
|
|
Zpravodaj(ové) Datum jmenování |
Andreas Schwab 20.3.2013 |
|
|
|
|
|
Projednání ve výboru |
25.4.2013 |
18.6.2013 |
5.9.2013 |
4.11.2013 |
|
|
|
9.1.2014 |
|
|
|
|
|
Datum přijetí |
23.1.2014 |
|
|
|
|
|
Výsledek konečného hlasování |
+: –: 0: |
33 1 1 |
|||
|
Členové přítomní při konečném hlasování |
Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler |
||||
|
Náhradník(ci) přítomný(í) při konečném hlasování |
Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer |
||||
|
Náhradník(ci) (čl. 187 odst. 2) přítomný(í) při konečném hlasování |
Vital Moreira, Oreste Rossi |
||||
|
Datum předložení |
12.2.2014 |
||||