RAPORT referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

12.2.2014 - (COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD)) - ***I

Comisia pentru piața internă și protecția consumatorilor
Raportor: Andreas Schwab
Raportori pentru aviz (*):
Pilar del Castillo Vera, Comisia pentru industrie, cercetare și energie,
Carl Schlyter, Comisia pentru libertăți civile, justiție și afaceri interne
(*)         Procedura comisiilor asociate – articolul 50 din Regulamentul de procedură


Procedură : 2013/0027(COD)
Stadiile documentului în şedinţă
Stadii ale documentului :  
A7-0103/2014

PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN

referitoare la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–   având în vedere propunerea Comisiei înaintată Parlamentului și Consiliului (COM(2013)0048),

–   având în vedere articolul 294 alineatul (2) și articolul 114 din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7‑0035/2013),

–   având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–   având în vedere articolul 55 din Regulamentul său de procedură,

–   având în vedere avizul Comitetului Economic și Social European din 22 mai 2013[1],

–   având în vedere rezoluția sa din 12 septembrie 2013 referitoare la o strategie în materie de securitate cibernetică a Uniunii Europene: Un spațiu cibernetic deschis, protejat și sigur[2],

–   având în vedere raportul Comisiei pentru piața internă și protecția consumatorilor și avizele Comisiei pentru industrie, cercetare și energie, al Comisiei pentru libertăți civile, justiție și afaceri interne și al Comisiei pentru afaceri externe (A7-0103/2014),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

Amendamentul  1

Propunere de directivă

Considerentul 1

Textul propus de Comisie

Amendamentul

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru libertatea și securitatea generală ale cetățenilor Uniunii, precum și pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

Amendamentul  2

Propunere de directivă

Considerentul 2

Textul propus de Comisie

Amendamentul

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii.

(2) Amploarea, frecvența și impactul incidentelor de securitate este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Aceste sisteme pot să devină, de asemenea, o țintă ușoară pentru acțiunile dăunătoare deliberate menite să afecteze sau să întrerupă funcționarea sistemelor. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și a investitorilor și să provoace pagube majore economiei Uniunii, și, în cele din urmă, să pericliteze bunăstarea cetățenilor Uniunii și capacitatea statelor membre de a se proteja și de a garanta securitatea infrastructurilor critice.

Amendamentul  3

Propunere de directivă

Considerentul 3

Textul propus de Comisie

Amendamentul

 

(3a) Întrucât cauzele cele mai frecvente ale defectării sistemelor continuă să fie neintenționate, de exemplu, cauze naturale sau erori umane, infrastructura ar trebui să fie rezistentă atât în fața perturbărilor intenționate, cât și a celor neintenționate, iar operatorii infrastructurilor critice ar trebui să proiecteze sisteme axate pe rezistență.

Amendamentul  4

Propunere de directivă

Considerentul 4

Textul propus de Comisie

Amendamentul

(4) Trebuie stabilit un mecanism de cooperare la nivelul Uniunii, care să permită schimbul de informații, precum și detectarea și răspunsul coordonate în ceea ce privește securitatea rețelelor și a informației (network and information security - NIS). Pentru ca acest mecanism să fie eficace și să includă toate statele membre, este esențial ca acestea să dispună de capacitățile minime necesare și de o strategie care să asigure un nivel ridicat de NIS pe teritoriul lor. Administrațiile publice și operatorii infrastructurilor critice de informație trebuie să fie supuși, de asemenea, unor cerințe minime de securitate, pentru a promova o cultură a gestionării riscurilor și a asigura raportarea celor mai grave incidente.

(4) Ar trebui stabilit un mecanism de cooperare la nivelul Uniunii, care să permită schimbul de informații, precum și prevenirea, detectarea și răspunsul coordonate în ceea ce privește securitatea rețelelor și a informației (network and information security – NIS). Pentru ca acest mecanism să fie eficace și să includă toate statele membre, este esențial ca acestea să dispună de capacitățile minime necesare și de o strategie care să asigure un nivel ridicat de NIS pe teritoriul lor. Cel puțin anumiți operatori de pe piață de informație ar trebui să fie supuși, de asemenea, unor cerințe minime de securitate, pentru a promova o cultură a gestionării riscurilor și a asigura raportarea celor mai grave incidente. Societățile cotate la bursă ar trebui să fie încurajate să anunțe incidentele în rapoartele lor financiare, în mod voluntar. Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor. Rețeaua de alertă privind infrastructurile critice (CIWIN) ar trebui extinsă la operatorii de pe piață care intră sub incidența prezentei directive.

Amendamentul  5

Propunere de directivă

Considerentul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) Administrațiile publice, dată fiind vocația lor publică, ar trebui să exercite toată diligența în gestionarea și protejarea propriilor rețele și sisteme de informații, iar prezenta directivă ar trebui să se concentreze asupra infrastructurii critice esențială pentru menținerea activităților economice și sociale vitale, în domeniul energetic, al transporturilor, bancar, al piețelor financiare și al sănătății. Dezvoltatorii de programe informatice și producătorii de echipamente informatice nu ar trebui excluși din domeniul de aplicare a prezentei directive.

Amendamentul  6

Propunere de directivă

Considerentul 4 b (nou)

Textul propus de Comisie

Amendamentul

 

(4b) Cooperarea și coordonarea dintre autoritățile competente ale Uniunii și Înaltul Reprezentant/Vicepreședintele, cu responsabilitate pentru politica externă și de securitate comună și politica de securitate și apărare comună, precum și cu coordonatorul UE în materie de combatere a terorismului ar trebui să fie garantate în cazurile în care incidentele care au un impact semnificativ sunt percepute ca fiind de natură externă și teroristă.

Amendamentul  7

Propunere de directivă

Considerentul 6

Textul propus de Comisie

Amendamentul

(6) Capacitățile existente nu sunt suficiente pentru a asigura un nivel ridicat de securitate a rețelelor și a informației în Uniune. Statele membre au niveluri de pregătire foarte diferite care conduc la existența în Uniune a unor abordări fragmentate. Acest lucru determină un nivel inegal de protecție a consumatorilor și a întreprinderilor și subminează nivelul general de securitate a rețelelor și a informației în Uniune. La rândul său, lipsa unor cerințe minime comune pentru administrațiile publice și operatorii de piață face imposibilă instituirea unui mecanism global eficace de cooperare la nivelul Uniunii.

(6) Capacitățile existente nu sunt suficiente pentru a asigura un nivel ridicat de securitate a rețelelor și a informației în Uniune. Statele membre au niveluri de pregătire foarte diferite care conduc la existența în Uniune a unor abordări fragmentate. Acest lucru determină un nivel inegal de protecție a consumatorilor și a întreprinderilor și subminează nivelul general de securitate a rețelelor și a informației în Uniune. La rândul său, lipsa unor cerințe minime comune pentru operatorii de piață face imposibilă instituirea unui mecanism global eficace de cooperare la nivelul Uniunii. Universitățile și centrele de cercetare au un rol decisiv în stimularea cercetării, dezvoltării și inovării în aceste domenii și ar trebui să beneficieze de o finanțare adecvată.

Amendamentul  8

Propunere de directivă

Considerentul 7

Textul propus de Comisie

Amendamentul

(7) Prin urmare, pentru a răspunde cu eficacitate la provocările din domeniul securității rețelelor și a sistemelor informatice este necesară o abordare globală la nivelul Uniunii, care să includă crearea capacităților comune minime și cerințele de planificare, schimbul de informații și coordonarea acțiunilor, precum și cerințele minime comune de securitate pentru toți operatorii de piață în cauză și pentru administrațiile publice.

(7) Prin urmare, pentru a răspunde cu eficacitate la provocările din domeniul securității rețelelor și a sistemelor informatice este necesară o abordare globală la nivelul Uniunii, care să includă crearea capacităților comune minime și cerințele de planificare, dezvoltarea unor competențe suficiente în materie de securitate cibernetică, schimbul de informații și coordonarea acțiunilor, precum și cerințele minime comune de securitate. Ar trebui aplicate standarde comune minime în conformitate cu recomandările corespunzătoare ale grupurilor de coordonare a securității cibernetice (CSGC).

Amendamentul  9

Propunere de directivă

Considerentul 8

Textul propus de Comisie

Amendamentul

(8) Dispozițiile prezentei directive nu trebuie să aducă atingere posibilității de care dispune fiecare stat membru de a lua măsurile necesare pentru a asigura protecția intereselor sale de securitate esențiale, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare o consideră contrară intereselor esențiale ale siguranței sale.

(8) Dispozițiile prezentei directive nu trebuie să aducă atingere posibilității de care dispune fiecare stat membru de a lua măsurile necesare pentru a asigura protecția intereselor sale de securitate esențiale, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare o consideră contrară intereselor esențiale ale siguranței sale. Niciun stat membru nu este obligat să divulge informații clasificate ale UE, astfel cum sunt definite în Decizia Consiliului din 31 martie 2011 privind normele de securitate pentru protecția informațiilor UE clasificate (2011/292/UE), informații care fac obiectul unor acorduri de nedivulgare sau al unor acorduri de nedivulgare informale, cum ar fi Traffic Light Protocol.

Justificare

Acest amendament urmărește să clarifice tratarea informațiilor confidențiale în cadrul domeniului de aplicare al prezentei directive.

Amendamentul  10

Propunere de directivă

Considerentul 9

Textul propus de Comisie

Amendamentul

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și al Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale.

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și la nivelul Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale, asigurând respectarea și protecția vieții private și a datelor cu caracter personal, pe baza cerințelor minime prevăzute în prezenta directivă. Prin urmare, fiecare stat membru ar trebui să aibă obligația de a îndeplini standarde comune privind formatul și caracterul interschimbabil al datelor care urmează să fie partajate și evaluate. Statele membre ar trebui să poată solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) pentru elaborarea strategiilor lor în domeniul securității rețelelor și informației, pe baza unui proiect de strategie minimă comună în domeniul securității rețelelor și a informației.

Amendamentul  11

Propunere de directivă

Considerentul 10 a (nou)

Textul propus de Comisie

Amendamentul

 

(10a) Având în vedere diferențele dintre structurile naționale de guvernanță și pentru a menține mecanismele sectoriale deja existente sau organismele de supraveghere și de reglementare ale Uniunii și a evita suprapunerile, statele membre ar trebui să dispună de competența de a desemna mai multe autorități naționale competente responsabile cu îndeplinirea atribuțiilor legate de securitatea rețelelor și a sistemelor informatice ale operatorilor de piață vizați de prezenta directivă. Cu toate acestea, pentru a asigura o bună cooperare și comunicare transfrontalieră, este necesar ca fiecare stat membru să desemneze un singur punct unic de contact responsabil pentru cooperarea transfrontalieră la nivelul Uniunii, fără a aduce atingere mecanismelor de reglementare sectoriale. În cazul în care structura sa constituțională sau alte prevederi o impun, un stat membru ar trebui să fie în măsură să desemneze o singură autoritate care să îndeplinească atribuțiile autorității competente și ale punctului unic de contact. Autoritățile competente și punctele unice de contact ar trebui să fie organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor, al aplicării legii sau al apărării și nici să fie legate organizațional în vreun fel de organismele active în aceste domenii.

Amendamentul  12

Propunere de directivă

Considerentul 11

Textul propus de Comisie

Amendamentul

(11) Toate statele membre trebuie să fie echipate în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, în toate statele membre trebuie înființate echipe de intervenție în caz de urgență informatică funcționale și care să respecte cerințele esențiale, pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii.

(11) Toate statele membre și operatorii de piață ar trebui să fie echipați în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse în orice moment rețelele și sistemele informatice. Sistemele de securitate ale administrațiilor publice ar trebui să fie sigure și să fie supuse unui control și unei examinări democratice. Echipamentele și capacitățile necesare în mod normal ar trebui să respecte standardele tehnice convenite de comun acord, precum și procedurile standard de operare (PSO). Prin urmare, în toate statele membre ar trebui înființate echipe de intervenție în caz de urgență informatică (CERT) funcționale și care să respecte cerințele esențiale, pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Aceste CERT ar trebui să aibă capacitatea de a interacționa pe baza unor standarde tehnice comune și a unor proceduri standard de operare (PSO). Având în vedere caracteristicile diferite ale CERT existente, care corespund unor nevoi tematice diferite și unor actori diferiți, statele membre ar trebui să garanteze că fiecare dintre sectoarele menționate în lista cu operatorii de piață prevăzută de prezenta directivă beneficiază de servicii din partea cel puțin unei CERT. În ceea ce privește cooperarea transfrontalieră dintre CERT, statele membre ar trebui să garanteze faptul că CERT dispun de mijloace suficiente pentru a participa la rețelele de cooperare de la nivelul Uniunii și cel internațional deja existente.

Justificare

Trebuie să se asigure interoperabilitatea.

Amendamentul  13

Propunere de directivă

Considerentul 12

Textul propus de Comisie

Amendamentul

(12) Pe baza progreselor semnificative obținute în cadrul Forumului european al statelor membre (FESM) în încurajarea dezbaterilor și a schimburilor de bune practici, inclusiv a elaborării principiilor de cooperare în caz de criză informatică europeană, statele membre și Comisia trebuie să formeze o rețea prin intermediul căreia să comunice permanent și care să susțină cooperarea lor. Acest mecanism de cooperare sigur și eficace trebuie să permită schimbul de informații, detectarea și răspunsul structurate și coordonate la nivelul Uniunii.

(12) Pe baza progreselor semnificative obținute în cadrul Forumului european al statelor membre (FESM) în încurajarea dezbaterilor și a schimburilor de bune practici, inclusiv a elaborării principiilor de cooperare în caz de criză informatică europeană, statele membre și Comisia trebuie să formeze o rețea prin intermediul căreia să comunice permanent și care să susțină cooperarea lor. Acest mecanism de cooperare sigur și eficace, incluzând participarea operatorilor de piață, atunci când este cazul, ar trebui să permită schimbul de informații, detectarea și răspunsul structurate și coordonate la nivelul Uniunii.

Amendamentul  14

Propunere de directivă

Considerentul 13

Textul propus de Comisie

Amendamentul

(13) Este necesar ca Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) să asiste statele membre și Comisia, oferind experiența sa, asigurând consiliere și facilitând schimbul de bune practici. În special la aplicarea prezentei directive, Comisia trebuie să consulte ENISA. Pentru a asigura o informare eficace și în timp util a statelor membre și a Comisiei, în rețeaua de cooperare trebuie să poată fi transmise alerte rapide cu privire la incidente și riscuri. În vederea dezvoltării capacităților și a cunoștințelor statelor membre, rețeaua de cooperare trebuie să funcționeze, de asemenea, ca un instrument pentru schimbul de bune practici, asistând membrii săi la crearea capacităților și coordonând organizarea evaluărilor inter pares și a exercițiilor de NIS.

(13) Este necesar ca ENISA să asiste statele membre și Comisia, oferind experiența sa, asigurând consiliere și facilitând schimbul de bune practici. În special la aplicarea prezentei directive, Comisia și statele membre ar trebui să consulte ENISA. Pentru a asigura o informare eficace și în timp util a statelor membre și a Comisiei, în rețeaua de cooperare trebuie să poată fi transmise alerte rapide cu privire la incidente și riscuri. În vederea dezvoltării capacităților și a cunoștințelor statelor membre, rețeaua de cooperare trebuie să funcționeze, de asemenea, ca un instrument pentru schimbul de bune practici, asistând membrii săi la crearea capacităților și coordonând organizarea evaluărilor inter pares și a exercițiilor de NIS.

Amendamentul  15

Propunere de directivă

Considerentul 13 a (nou)

Textul propus de Comisie

Amendamentul

 

(13a) Dacă se consideră indicat, statele membre ar trebui să poată utiliza sau adapta structurile organizatorice sau strategiile existente atunci când aplică dispozițiile prezentei directive.

Amendamentul  16

Propunere de directivă

Considerentul 14

Textul propus de Comisie

Amendamentul

(14) Trebuie creată o infrastructură de schimb de informații securizată, care să permită schimbul de informații sensibile și confidențiale în rețeaua de cooperare. Fără a aduce atingere obligației de a notifica rețelei de cooperare incidentele și riscurile care ating o dimensiune europeană, accesul la informațiile confidențiale provenind de la alte state membre trebuie acordat numai statelor membre care demonstrează că procedurile și resursele lor tehnice, financiare și umane, precum și infrastructura lor de comunicații le garantează o participare în rețea eficace, eficientă și sigură.

(14) Trebuie creată o infrastructură de schimb de informații securizată, care să permită schimbul de informații sensibile și confidențiale în rețeaua de cooperare. Structurile existente în cadrul Uniunii ar trebui utilizate pe deplin în acest scop. Fără a aduce atingere obligației de a notifica rețelei de cooperare incidentele și riscurile care ating o dimensiune europeană, accesul la informațiile confidențiale provenind de la alte state membre ar trebui acordat numai statelor membre care demonstrează că procedurile și resursele lor tehnice, financiare și umane, precum și infrastructura lor de comunicații le garantează o participare în rețea eficace, eficientă și sigură, prin utilizarea unor metode transparente.

Amendamentul  17

Propunere de directivă

Considerentul 15

Textul propus de Comisie

Amendamentul

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia trebuie, de asemenea, să coopereze cu sectorul public și să facă schimb de informații și de bune practici, în schimbul sprijinului operațional în caz de incident.

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia ar trebui, de asemenea, să coopereze cu sectorul public și să facă schimb reciproc de informații și de bune practici, caracterul reciproc aplicându-se inclusiv schimbului de informații relevante, de sprijin operațional și de informații analizate din punct de vedere strategic, în caz de incidente. Pentru a încuraja în mod eficace schimbul de informații și de bune practici, este esențial să se asigure că operatorii de piață care participă la astfel de schimburi nu sunt dezavantajați ca urmare a cooperării lor. Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Amendamentul  18

Propunere de directivă

Considerentul 16

Textul propus de Comisie

Amendamentul

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie să creeze un site web comun, pe care să publice informații neconfidențiale despre incidente și riscuri.

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din Uniune, punctele unice de contact ar trebui să creeze un site internet comun, la nivelul Uniunii, pe care să publice informații neconfidențiale despre incidente, riscuri și modalități de atenuare a acestora și unde să ofere, atunci când este necesar, consiliere cu privire la măsurile adecvate de întreținere. Informațiile de pe site-ul internet ar trebui să fie accesibile indiferent de dispozitivul utilizat. Toate datele cu caracter personal publicate pe acest site internet ar trebui să se limiteze doar la ceea ce este necesar și să fie cât mai anonime posibil.

Amendamentul  19

Propunere de directivă

Considerentul 18

Textul propus de Comisie

Amendamentul

(18) În special pe baza experiențelor naționale în materie de gestionare a crizelor și în cooperare cu ENISA, Comisia și statele membre elaborează un plan al Uniunii de cooperare în domeniul securității rețelelor și a informației, care definește mecanismele de cooperare pentru contracararea riscurilor și a incidentelor. La administrarea avertismentelor rapide în cadrul rețelei de cooperare, trebuie să se țină seama în mod corespunzător de acest plan.

(18) În special pe baza experiențelor naționale în materie de gestionare a crizelor și în cooperare cu ENISA, Comisia și statele membre elaborează un plan al Uniunii de cooperare în domeniul securității rețelelor și a informației, care definește mecanismele de cooperare, bunele practici și modelele de funcționare pentru prevenirea, depistarea, raportarea și contracararea riscurilor și a incidentelor. La administrarea avertismentelor rapide în cadrul rețelei de cooperare, trebuie să se țină seama în mod corespunzător de acest plan.

Amendamentul  20

Propunere de directivă

Considerentul 19

Textul propus de Comisie

Amendamentul

(19) Transmiterea în rețea a unei alerte rapide trebuie impusă numai dacă amploarea și gravitatea incidentului sau a riscului în cauză ating sau pot atinge un nivel la care este necesară o informare sau o coordonare a răspunsului la nivelul Uniunii. Prin urmare, alertele rapide trebuie să se limiteze la incidentele sau la riscurile reale sau potențiale care se extind rapid, depășesc capacitatea națională de răspuns sau afectează mai multe state membre. Pentru a permite o evaluare corectă, toate informațiile relevante pentru evaluarea riscului sau a incidentului trebuie comunicate rețelei de cooperare.

(19) Transmiterea în rețea a unei alerte rapide trebuie impusă numai dacă amploarea și gravitatea incidentului sau a riscului în cauză ating sau pot atinge un nivel la care este necesară o informare sau o coordonare a răspunsului la nivelul Uniunii. Prin urmare, alertele rapide trebuie să se limiteze la incidentele sau la riscurile care se extind rapid, depășesc capacitatea națională de răspuns sau afectează mai multe state membre. Pentru a permite o evaluare corectă, toate informațiile relevante pentru evaluarea riscului sau a incidentului trebuie comunicate rețelei de cooperare.

Amendamentul  21

Propunere de directivă

Considerentul 20

Textul propus de Comisie

Amendamentul

(20) După primirea și evaluarea unei alerte rapide, autoritățile competente trebuie să convină asupra unui răspuns coordonat, în conformitate cu planul Uniunii de cooperare în domeniul securității rețelelor și a informației. Autoritățile competente și Comisia trebuie informate cu privire la măsurile adoptate la nivel național ca urmare a răspunsului coordonat.

(20) După primirea și evaluarea unei alerte rapide, punctele unice de contact ar trebui să convină asupra unui răspuns coordonat, în conformitate cu planul Uniunii de cooperare în domeniul securității rețelelor și a informației. Punctele unice de contact, ENISA și Comisia ar trebui informate cu privire la măsurile adoptate la nivel național ca urmare a răspunsului coordonat.

Amendamentul  22

Propunere de directivă

Considerentul 21

Textul propus de Comisie

Amendamentul

(21) Având în vedere dimensiunea mondială a problemelor de securitate a rețelelor și a informației, este nevoie de o cooperare internațională mai strânsă pentru a îmbunătăți standardele de securitate și schimbul de informații și pentru a promova o abordare internațională comună a acestor probleme.

(21) Având în vedere dimensiunea mondială a problemelor de securitate a rețelelor și a informației, este nevoie de o cooperare internațională mai strânsă pentru a îmbunătăți standardele de securitate și schimbul de informații și pentru a promova o abordare internațională comună a acestor probleme. Orice cadru pentru o astfel de cooperare internațională ar trebui să facă obiectul dispozițiilor Directivei 95/46/CE și ale Regulamentului (CE) nr. 45/2001.

Amendamentul  23

Propunere de directivă

Considerentul 22

Textul propus de Comisie

Amendamentul

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură administrațiilor publice și operatorilor de piață. Trebuie promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor întâmpinate. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme care să asigure o cooperare eficientă între toate statele membre.

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură operatorilor de piață. Ar trebui promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, a cooperării strânse și a încrederii, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor și incidentelor, provocate în mod deliberat sau întâmplător. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme și de încredere care să asigure o cooperare eficace între toate statele membre.

Amendamentul  24

Propunere de directivă

Considerentul 24

Textul propus de Comisie

Amendamentul

(24) Aceste obligații trebuie extinse dincolo de sectorul comunicațiilor electronice la principalii furnizori de servicii ale societății informaționale, definite în Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 referitoare la procedura de furnizare de informații în domeniul standardelor, reglementărilor tehnice și al normelor privind serviciile societății informaționale4, pe care se bazează serviciile din aval ale societății informaționale sau activitățile online, cum ar fi platformele de comerț electronic, serviciile de procesare a plăților online, rețelele de socializare, motoarele de căutare, serviciile de cloud computing sau vânzarea de aplicații. Perturbarea acestor servicii suport ale societății informaționale împiedică furnizarea altor servicii ale societății informaționale care se bazează pe primele ca elemente-cheie. Dezvoltatorii de programe informatice și producătorii de echipamente informatice nu sunt furnizori de servicii ale societății informaționale și, prin urmare, se exclud. Aceste obligații trebuie extinse, de asemenea, la administrațiile publice și la operatorii de infrastructură critică, ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, bursele și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă.

(24) Aceste obligații ar trebui extinse dincolo de sectorul comunicațiilor electronice la operatorii de infrastructură ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, infrastructurile piețelor financiare și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă. Deși obligațiile prevăzute în prezenta directivă nu ar trebui extinse dincolo de sectorul comunicațiilor electronice la principalii furnizori de servicii ale societății informaționale, definite în Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 referitoare la procedura de furnizare de informații în domeniul standardelor, reglementărilor tehnice și al normelor privind serviciile societății informaționale4, pe care se bazează serviciile din aval ale societății informaționale sau activitățile online, cum ar fi platformele de comerț electronic, serviciile de procesare a plăților online, rețelele de socializare, motoarele de căutare, serviciile de cloud computing în general sau vânzarea de aplicații, aceștia ar putea informa în mod voluntar autoritățile competente sau punctele unice de contact cu privire la incidentele legate de securitatea rețelelor despre care consideră că este necesar să fie comunicate. Autoritatea competentă sau punctul unic de contact ar trebui să prezinte, dacă acest lucru este posibil, operatorilor de piață care au comunicat incidentul informații analizate din punct de vedere strategic care vor contribui la eliminarea amenințării la adresa securității.

Amendamentul  25

Propunere de directivă

Considerentul 24 a (nou)

Textul propus de Comisie

Amendamentul

 

(24a) Deși furnizorii de echipamente și programe informatice nu sunt operatori de piață comparabili cu cei care intră sub incidența prezentei directive, produsele lor facilitează securitatea rețelelor și a sistemelor informatice. Prin urmare, aceștia au un rol important în a le permite operatorilor de piață să asigure securitatea rețelelor și a sistemelor lor informatice. Dat fiind faptul că produsele din domeniul echipamentelor și programelor informatice fac deja obiectul normelor existente în materie de răspundere pentru produsele cu defect, statele membre ar trebui să garanteze aplicarea normelor respective.

Amendamentul  26

Propunere de directivă

Considerentul 25

Textul propus de Comisie

Amendamentul

(25) Măsurile tehnice și organizatorice impuse administrațiilor publice și operatorilor de piață nu trebuie să implice proiectarea, dezvoltarea sau fabricarea într-un anumit mod a unui anumit produs comercial al tehnologiei informației și comunicațiilor.

(25) Măsurile tehnice și organizatorice impuse operatorilor de piață nu trebuie să implice proiectarea, dezvoltarea sau fabricarea într-un anumit mod a unui anumit produs comercial al tehnologiei informației și comunicațiilor.

Amendamentul  27

Propunere de directivă

Considerentul 26

Textul propus de Comisie

Amendamentul

(26) Administrațiile publice și operatorii de piață trebuie să asigure securitatea rețelelor și a sistemelor aflate sub controlul lor. Acestea sunt în principal rețele și sisteme private, gestionarea securității lor fiind fie efectuată de către personalul IT intern, fie externalizată. Obligațiile în materie de securitate și notificare trebuie să se aplice operatorilor de piață relevanți și administrațiilor publice, indiferent dacă aceștia asigură ei înșiși întreținerea propriilor rețele și sisteme informatice sau externalizează această activitate.

(26) Operatorii de piață trebuie să asigure securitatea rețelelor și a sistemelor aflate sub controlul lor. Acestea sunt în principal rețele și sisteme private, gestionarea securității lor fiind fie efectuată de către personalul IT intern, fie externalizată. Obligațiile în materie de securitate și notificare trebuie să se aplice operatorilor de piață relevanți, indiferent dacă aceștia asigură ei înșiși întreținerea propriilor rețele și sisteme informatice sau externalizează această activitate.

Amendamentul  28

Propunere de directivă

Considerentul 28

Textul propus de Comisie

Amendamentul

(28) Autoritățile competente trebuie să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Anunțarea publică a incidentelor raportate autorităților competente trebuie să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi administrațiile publice și operatorii de piață care raportează incidentele. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente trebuie să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de apariția unor soluții de securitate adecvate.

(28) Autoritățile competente și punctele unice de contact ar trebui să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Autoritățile competente și punctele unice de contact ar trebui să informeze producătorii și furnizorii de servicii ale căror produse și servicii TIC sunt afectate cu privire la incidentele care au un impact semnificativ și care le-au fost notificate. Anunțarea publică a incidentelor raportate autorităților competente și punctelor unice de contact ar trebui să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi operatorii de piață care raportează incidentele. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente și punctele unice de contact ar trebui să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de aplicarea unor soluții de securitate adecvate. Ca principiu general, punctele unice de contact nu ar trebui să comunice datele cu caracter personal ale persoanelor implicate în incidente. Punctele unice de contact ar trebui să comunice astfel de date doar în cazurile imperioase și proporțional cu obiectivul urmărit.

Amendamentul  29

Propunere de directivă

Considerentul 29

Textul propus de Comisie

Amendamentul

(29) Autoritățile competente trebuie să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, inclusiv de împuternicirea de a solicita operatorilor de piață și administrațiilor publice suficiente informații pentru a putea evalua nivelul de securitate al rețelelor și al sistemelor informatice, precum și date credibile și cuprinzătoare privind incidentele reale care au avut impact asupra funcționării rețelelor și a sistemelor informatice.

(29) Autoritățile competente ar trebui să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, inclusiv de împuternicirea de a solicita operatorilor de piață suficiente informații pentru a putea evalua nivelul de securitate al rețelelor și al sistemelor informatice, pentru a putea măsura numărul, scara și sfera incidentelor, precum și date credibile și cuprinzătoare privind incidentele reale care au avut impact asupra funcționării rețelelor și a sistemelor informatice.

Amendamentul  30

Propunere de directivă

Considerentul 30

Textul propus de Comisie

Amendamentul

(30) În multe cazuri, incidentele sunt rezultatul activităților infracționale. Caracterul penal al incidentelor poate fi presupus, chiar dacă dovezile care îl atestă nu sunt suficient de clare de la început. În acest context, cooperarea adecvată dintre autoritățile competente și autoritățile de aplicare a legii trebuie să facă parte din răspunsul global eficace dat amenințării pe care o reprezintă incidentele de securitate. Pentru promovarea unui mediu sigur, securizat și mai rezilient este nevoie, în special, de raportarea în mod sistematic către autoritățile de aplicare a legii a incidentelor cu presupus caracter penal grav. Caracterul penal grav al incidentelor trebuie evaluat în lumina legislației UE privind criminalitatea informatică.

(30) În multe cazuri, incidentele sunt rezultatul activităților infracționale. Caracterul penal al incidentelor poate fi presupus, chiar dacă dovezile care îl atestă nu sunt suficient de clare de la început. În acest context, cooperarea adecvată dintre autoritățile competente, punctele unice de contact și autoritățile de aplicare a legii, precum și cooperarea cu EC3 (Centrul Europol de combatere a criminalității informatice) și cu ENISA ar trebui să facă parte din răspunsul global eficace dat amenințării pe care o reprezintă incidentele de securitate. Pentru promovarea unui mediu sigur, securizat și mai rezilient este nevoie, în special, de raportarea în mod sistematic către autoritățile de aplicare a legii a incidentelor cu presupus caracter penal grav. Caracterul penal grav al incidentelor trebuie evaluat în lumina legislației UE privind criminalitatea informatică.

Amendamentul  31

Propunere de directivă

Considerentul 31

Textul propus de Comisie

Amendamentul

(31) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. În acest context, autoritățile competente și autoritățile de protecție a datelor trebuie să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru abordarea cazurilor de încălcare a securității datelor cu caracter personal în urma unor incidente. Statele membre trebuie să pună în aplicare obligația de a notifica incidentele de securitate într-un mod care reduce la minimum sarcina administrativă în cazurile în care incidentul de securitate este și o încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date. Colaborând cu autoritățile competente și cu autoritățile de protecție a datelor, ENISA poate contribui la elaborarea unor mecanisme și formulare de schimb de informații, care să evite necesitatea de a utiliza două formulare de notificare. Formularul unic de notificare facilitează raportarea incidentelor care compromit datele cu caracter personal, reducând astfel sarcina administrativă impusă întreprinderilor și administrațiilor publice.

(31) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. Statele membre și operatorii de piață ar trebui să asigure protecția datelor cu caracter personal stocate, prelucrate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau modificării accidentale și a stocării, accesării, divulgării sau diseminării neautorizate sau ilegale; și asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal. În acest context, autoritățile competente, punctele unice de contact și autoritățile de protecție a datelor ar trebui să coopereze și să facă schimb de informații, inclusiv, atunci când este cazul, cu operatorii de piață pentru abordarea cazurilor de încălcare a securității datelor cu caracter personal în urma unor incidente, în conformitate cu normele aplicabile privind protecția datelor. Obligația de a notifica incidentele de securitate ar trebui îndeplinită într-un mod care reduce la minimum sarcina administrativă în cazurile în care incidentul de securitate este și o încălcare a securității datelor cu caracter personal ce trebuie notificată în conformitate cu legislația Uniunii privind protecția datelor. ENISA ar trebui să contribuie prin elaborarea unor mecanisme de schimb de informații și a unui formular unic de notificare care să faciliteze raportarea incidentelor care compromit datele cu caracter personal, reducând astfel sarcina administrativă impusă întreprinderilor și administrațiilor publice.

Amendamentul  32

Propunere de directivă

Considerentul 32

Textul propus de Comisie

Amendamentul

(32) Standardizarea cerințelor de securitate este un proces impulsionat de piață. Pentru a asigura o aplicare convergentă a standardelor de securitate, statele membre trebuie să încurajeze respectarea standardelor indicate sau conformitatea cu acestea, în vederea garantării unui nivel ridicat de securitate la nivelul Uniunii. În acest scop, ar putea fi necesară elaborarea unor standarde armonizate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului6.

(32) Standardizarea cerințelor de securitate este un proces impulsionat de piață, de natură voluntară, care ar trebui să permită participanților pe piață să recurgă la mijloace alternative pentru a obține rezultate cel puțin similare. Pentru a asigura o aplicare convergentă a standardelor de securitate, statele membre ar trebui să încurajeze respectarea standardelor indicate cu caracter interoperabil sau conformitatea cu acestea, în vederea garantării unui nivel ridicat de securitate la nivelul Uniunii. În acest scop, este necesar să se ia în considerare aplicarea unor standarde internaționale deschise privind securitatea rețelelor și a informațiilor sau proiectarea unor astfel de instrumente. Un alt pas înainte necesar ar putea fi elaborarea unor standarde armonizate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului6. În special, ETSI, CEN și CENELEC ar trebui să fie abilitate să sugereze standarde de securitate deschise ale Uniunii eficace și eficiente, în care să fie evitate pe cât posibil preferințele tehnologice și care ar trebui să fie concepute astfel încât să fie ușor de gestionat de către participanții mici și mijlocii de pe piață. Standardele internaționale din domeniul securității cibernetice ar trebui verificate cu atenție pentru a se asigura că nu au fost compromise și că oferă niveluri adecvate de securitate, garantându-se astfel că obiectivul propus vizând respectarea standardelor de securitate sporește nivelul general de securitate cibernetică al Uniunii și nu acționează în mod contrar.

__________________

__________________

6 JO L 316, 14.11.2012, p. 12.

6 JO L 316, 14.11.2012, p. 12.

Amendamentul  33

Propunere de directivă

Considerentul 33

Textul propus de Comisie

Amendamentul

(33) Comisia trebuie să revizuiască periodic prezenta directivă, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției tehnologiei sau a condițiilor de piață.

(33) Comisia ar trebui să revizuiască periodic prezenta directivă, consultându-se cu toate părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor sociale, politice, tehnologice sau de piață.

Amendamentul  34

Propunere de directivă

Considerentul 34

Textul propus de Comisie

Amendamentul

(34) Pentru a permite buna funcționare a rețelei de cooperare, Comisiei trebuie să i se delege competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene referitoare la definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, specificarea mai detaliată a evenimentelor care declanșează alerta rapidă și definirea circumstanțelor în care operatorii de piață și administrațiile publice au obligația de a notifica incidentele.

(34) Pentru a permite buna funcționare a rețelei de cooperare, Comisiei ar trebui să i se delege competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene referitoare la setul comun de standarde în materie de securitate și de interconectare pentru infrastructura securizată de schimb de informații și specificarea mai detaliată a evenimentelor care declanșează alerta rapidă.

Amendamentul  35

Propunere de directivă

Considerentul 36

Textul propus de Comisie

Amendamentul

(36) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentei directive, Comisiei trebuie să i se confere competențe de executare în ceea ce privește cooperarea dintre autoritățile competente și Comisie în cadrul rețelei de cooperare, accesul la infrastructura securizată de schimb de informații, planul Uniunii de cooperare în domeniul securității rețelelor și a informației, formularele și procedurile aplicabile pentru informarea publicului cu privire la incidente și standardele și/sau specificațiile tehnice relevante pentru securitatea rețelelor și a informației. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie.

(36) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentei directive, Comisiei ar trebui să i se confere competențe de executare în ceea ce privește cooperarea dintre punctele unice de contact și Comisie în cadrul rețelei de cooperare, fără a aduce atingere mecanismelor de cooperare existente la nivel național, planul Uniunii de cooperare în domeniul securității rețelelor și a informației și formularele și procedurile aplicabile pentru notificarea incidentelor care au un impact semnificativ. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie.

Justificare

Acest amendament înlocuiește amendamentul 20. Amendamentul își propune să corecteze o eroare din propunerea Comisiei cu privire la conținutul actului planificat de punere în aplicare și care reflectă noul amendament propus la articolul 9 alineatul (3).

Amendamentul  36

Propunere de directivă

Considerentul 37

Textul propus de Comisie

Amendamentul

(37) În ceea ce privește aplicarea prezentei directive, Comisia trebuie să colaboreze, după caz, cu comitetele sectoriale relevante și cu organismele relevante instituite la nivelul UE în special în domeniile energiei, transporturilor și sănătății.

(37) În ceea ce privește aplicarea prezentei directive, Comisia ar trebui să colaboreze, după caz, cu comitetele sectoriale relevante și cu organismele relevante instituite la nivelul Uniunii în special în domeniile guvernării electronice, energiei, transporturilor, sănătății și apărării.

Amendamentul  37

Propunere de directivă

Considerentul 38

Textul propus de Comisie

Amendamentul

(38) Informațiile considerate confidențiale de către o autoritate competentă în conformitate cu normele Uniunii și cele naționale privind secretul comercial trebuie să facă obiectul schimbului de informații cu Comisia și cu alte autorități competente, numai dacă acest lucru este strict necesar pentru aplicarea prezentei directive. Schimbul de informații trebuie să se limiteze la informațiile relevante și să fie proporțional cu scopul urmărit.

(38) Informațiile considerate confidențiale de către o autoritate competentă sau un punct unic de contact în conformitate cu normele Uniunii și cele naționale privind secretul comercial ar trebui să facă obiectul schimbului de informații cu Comisia și cu agențiile relevante ale acesteia, cu punctele unice de contact și/sau cu alte autorități naționale competente, numai dacă acest schimb este strict necesar pentru aplicarea prezentei directive. Schimbul de informații ar trebui să se limiteze la ceea ce este relevant, necesar și proporțional cu scopul urmărit și să respecte criterii de confidențialitate și securitate prestabilite, în conformitate cu Decizia Consiliului din 31 martie 2011 privind normele de securitate pentru protecția informațiilor UE clasificate (2011/292/UE), informații care fac obiectul unor acorduri de nedivulgare și al unor acorduri de nedivulgare informale, cum ar fi Traffic Light Protocol.

Amendamentul  38

Propunere de directivă

Considerentul 39

Textul propus de Comisie

Amendamentul

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente sau punctele unice de contact pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

Amendamentul  39

Propunere de directivă

Considerentul 41 a (nou)

Textul propus de Comisie

Amendamentul

 

(41a) În conformitate cu Declarația politică comună a statelor membre și a Comisiei privind documentele explicative din 28 septembrie 2011, statele membre s-au angajat să însoțească, în cazurile justificate, notificarea măsurilor lor de transpunere cu unul sau mai multe documente care să explice relația dintre componentele unei directive și părțile corespunzătoare din instrumentele naționale de transpunere. În cazul prezentei directive, legislatorul consideră că transmiterea unor astfel de documente este justificată.

Amendamentul  40

Propunere de directivă

Articolul 1 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate și eficiente în caz de riscuri și incidente care afectează rețelele și sistemele informatice;

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate, eficiente și efective în caz de riscuri și incidente care afectează rețelele și sistemele informatice, cu participarea părților interesate vizate;

Amendamentul  41

Propunere de directivă

Articolul 1 – alineatul 2 – litera c

Textul propus de Comisie

Amendamentul

(c) stabilește cerințele de securitate pentru operatorii de piață și administrațiile publice.

(c) stabilește cerințele de securitate pentru operatorii de piață.

Amendamentul  42

Propunere de directivă

Articolul 1 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și nici Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice sau Regulamentului Parlamentului European și Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

(5) De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și nici Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice sau Regulamentului (CE) nr. 45/2001 al Parlamentului European și Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date. Orice utilizare a datelor cu caracter personal se limitează la ceea ce este strict necesar în sensul prezentei directive, iar aceste date sunt cât mai anonime posibil, dacă nu complet anonime.

Amendamentul  43

Propunere de directivă

Articolul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 1a

 

Protejarea și prelucrarea datelor cu caracter personal

 

(1) Orice prelucrare a datelor cu caracter personal în statele membre în temeiul prezentei directive are loc în conformitate cu Directiva 95/46/CE și Directiva 2002/58/CE.

 

(2) Orice prelucrare a datelor cu caracter personal efectuată de Comisie și ENISA în temeiul prezentei directive are loc în conformitate cu Regulamentul (CE) nr. 45/2001.

 

(3) Orice prelucrare a datelor cu caracter personal efectuată de Centrul european de combatere a criminalității informatice în cadrul Europol în sensul obiectivelor prezentei directive are lor în conformitate cu Decizia 2009/371/JAI.

 

(4) Prelucrarea datelor cu caracter personal se face cu onestitate și cu respectarea legilor, fiind limitată în mod strict la datele minime necesare pentru scopul în care sunt prelucrate. Ele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal.

 

(5) Notificările incidentelor menționate la articolul 14 nu aduc atingere dispozițiilor și obligațiilor aferente notificărilor privind încălcarea regimului datelor cu caracter personal stabilite la articolul 4 din Directiva 2002/58/CE și în Regulamentul (UE) nr. 611/2013.

Amendamentul  44

Propunere de directivă

Articolul 3 – punctul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor electronice, precum și

(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor digitale, precum și

Amendamentul  45

Propunere de directivă

Articolul 3 – punctul 1 – litera c

Textul propus de Comisie

Amendamentul

(c) datele electronice stocate, prelucrate, recuperate sau transmise de elementele prevăzute la literele (a) și (b) în vederea funcționării, utilizării, protejării și întreținerii lor.

(c) datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la literele (a) și (b) în vederea funcționării, utilizării, protejării și întreținerii lor.

Amendamentul  46

Propunere de directivă

Articolul 3 – punctul 2

Textul propus de Comisie

Amendamentul

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora; „securitatea” include dispozitive tehnice, soluții și proceduri de funcționare corespunzătoare care asigură cerințele de securitate prevăzute în prezenta directivă.

Amendamentul  47

Propunere de directivă

Articolul 3 – punctul 3

Textul propus de Comisie

Amendamentul

3. „risc” înseamnă orice circumstanță sau eveniment care are un efect negativ potențial asupra securității;

3. „risc” înseamnă orice circumstanță sau eveniment ce poate fi identificat în mod rezonabil care are un efect negativ potențial asupra securității;

Amendamentul  48

Propunere de directivă

Articolul 3 – punctul 4

Textul propus de Comisie

Amendamentul

4. „incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității;

4. „incident” înseamnă orice eveniment care are un efect negativ real asupra securității;

Amendamentul  49

Propunere de directivă

Articolul 3 – punctul 5

Textul propus de Comisie

Amendamentul

5. „serviciu al societății informaționale” înseamnă un serviciu în sensul articolului 1 punctul 2 din Directiva 98/34/CE;

eliminat

Amendamentul  50

Propunere de directivă

Articolul 3 – punctul 7

Textul propus de Comisie

Amendamentul

7. „administrarea incidentului” înseamnă toate procedurile utilizate pentru analiză, limitare și răspuns în cazul unui incident;

7. „administrarea incidentului” înseamnă toate procedurile utilizate pentru detectare, prevenire, analiză, limitare și răspuns în cazul unui incident;

Amendamentul  51

Propunere de directivă

Articolul 3 – punctul 8 – litera a

Textul propus de Comisie

Amendamentul

(a) un furnizor de servicii ale societății informaționale care permit furnizarea altor servicii ale societății informaționale; o listă neexhaustivă a acestor furnizori este prevăzută în anexa II;

eliminat

Amendamentul  52

Propunere de directivă

Articolul 3 – punctul 8 – litera b

Textul propus de Comisie

Amendamentul

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor și sănătății; o listă neexhaustivă a acestor operatori este prevăzută în anexa II.

(b) un operator al unei infrastructuri care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, piețelor financiare, IXP (Internet Exchange points), lanțurilor de aprovizionare alimentară și sănătății, activități a căror denaturare sau distrugere ar avea un impact important într-un stat membru; o listă neexhaustivă a acestor operatori este prevăzută în anexa II, în măsura în care rețeaua și sistemele informatice vizate sunt legate de serviciile esențiale;

Amendamentul  53

Propunere de directivă

Articolul 3 – punctul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

8a. „incident cu impact semnificativ” înseamnă un incident care afectează securitatea și continuitatea unei rețele informatice sau ale unui sistem informatic care duce la o perturbare majoră a activităților economice și societale vitale;

Amendamentul  54

Propunere de directivă

Articolul 3 – punctul 11 a (nou)

Textul propus de Comisie

Amendamentul

 

11a. „piață reglementată” înseamnă o piață reglementată în sensul definiției de la articolul 4 punctul 14 din Directiva 2004/39/CE a Parlamentului European și a Consiliului1a;

 

________________

 

1aDirectiva 2004/39/CE a Parlamentului European și a Consiliului din 21 aprilie 2004 privind piețele instrumentelor financiare (JO L 45, 16.2.2005, p. 18).

Justificare

Alinierea cu definiția din regulamentul Parlamentului European și al Consiliului privind piețele instrumentelor financiare și de modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contrapărțile centrale și registrele de tranzacții (încă neadoptat).

Amendamentul  55

Propunere de directivă

Articolul 3 – punctul 11 b (nou)

Textul propus de Comisie

Amendamentul

 

11b. „sistem multilateral de tranzacționare (MTF)” înseamnă un sistem multilateral de tranzacționare, astfel cum este definit la articolul 4 punctul 15 din Directiva 2004/39/CE;

Justificare

Alinierea cu definiția din regulamentul Parlamentului European și al Consiliului privind piețele instrumentelor financiare și de modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contrapărțile centrale și registrele de tranzacții (încă neadoptat).

Amendamentul  56

Propunere de directivă

Articolul 3 – punctul 11 c (nou)

Textul propus de Comisie

Amendamentul

 

11c. „sistem organizat de tranzacționare” înseamnă un sistem sau un mecanism multilateral care nu este o piață reglementată, un sistem multilateral de tranzacționare sau o contraparte centrală, exploatat de o societate de investiții sau de un operator de piață, în cadrul căruia pot interacționa multiple interese ale unor părți terțe în ceea ce privește vânzarea și cumpărarea de obligațiuni, produse financiare structurate, certificate de emisii sau instrumente derivate, într-un mod care conduce la încheierea de contracte în conformitate cu titlul II din Directiva 2004/39/CE;

Justificare

Introduce definiția conformă cu viitorul regulament al Parlamentului European și al Consiliului privind piețele instrumentelor financiare și de modificare a Regulamentului [EMIR] privind instrumentele derivate extrabursiere, contrapărțile centrale și registrele de tranzacții (încă neadoptat).

Amendamentul  57

Propunere de directivă

Articolul 5 – alineatul 1 – litera ea (nouă)

Textul propus de Comisie

Amendamentul

 

(ea) statele membre pot solicita asistența ENISA în elaborarea propriilor strategii NIS sau planuri naționale de cooperare în domeniul NIS, pe baza unei minime strategii comune în domeniul NIS.

Amendamentul  58

Propunere de directivă

Articolul 5 – alineatul 2 – litera a

Textul propus de Comisie

Amendamentul

(a) un plan de evaluare a riscurilor pentru a identifica riscurile și a evalua impactul unor incidente potențiale;

(a) un cadru de gestionare a riscurilor, pentru a stabili metodologia privind identificarea, clasificarea, evaluarea și tratarea riscurilor, evaluarea impactului unor incidente potențiale, opțiunile de prevenire și control, și în vederea definirii criteriilor pentru selectarea eventualelor contramăsuri;

Justificare

Acest amendament înlocuiește amendamentul 29. Propunerea Comisiei ar fi mers prea departe în ceea ce privește aspecte de securitate națională a statelor membre și ar fi făcut ca planul de cooperare să fie impracticabil și prea complex pentru a fi eficient.

Amendamentul  59

Propunere de directivă

Articolul 5 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) definirea rolurilor și a responsabilităților diferiților actori implicați în punerea în aplicare a planului;

(b) definirea rolurilor și a responsabilităților diferitelor autorități și ale altor actori implicați în punerea în aplicare a cadrului;

Amendamentul  60

Propunere de directivă

Articolul 5 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Strategia națională privind NIS și planul național de cooperare în domeniul NIS sunt comunicate Comisiei în termen de o lună de la adoptarea lor.

(3) Strategia națională privind NIS și planul național de cooperare în domeniul NIS sunt comunicate Comisiei în termen de trei luni de la adoptarea lor.

Amendamentul  61

Propunere de directivă

Articolul 6 – titlu

Textul propus de Comisie

Amendamentul

Autoritatea națională competentă în domeniul securității rețelelor și a sistemelor informatice

Autoritățile naționale și punctele unice de contact competente în domeniul securității rețelelor și a sistemelor informatice

Amendamentul  62

Propunere de directivă

Articolul 6 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

(1) Fiecare stat membru desemnează una sau mai multe autorități naționale civile competente în domeniul securității rețelelor și a sistemelor informatice (denumită/denumite în continuare „autoritatea competentă/autoritățile competente”).

Justificare

Acest amendament înlocuiește amendamentul 32 și urmărește să ofere mai multe precizări cu privire la tipul de instituție care ar trebui să îndeplinească rolul de autoritate națională competentă.

Amendamentul  63

Propunere de directivă

Articolul 6 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) În cazul în care un stat membru desemnează una sau mai multe autorități competente, acesta desemnează o autoritate națională civilă, de exemplu o autoritate competentă, drept punct unic de contact național în domeniul securității rețelelor și al sistemelor informatice (denumită în continuare „punctul unic de contact”). În cazul desemnării unei singure autorități competente, aceasta servește, de asemenea, ca punct unic de contact.

Justificare

Acest amendament înlocuiește amendamentul 33 și se aliniază cu noul amendament privind articolul 6 alineatul (1). El urmărește să ofere mai multe precizări cu privire la tipul de instituție care ar trebui să îndeplinească rolul de punct unic de contact.

Amendamentul  64

Propunere de directivă

Articolul 6 – alineatul 2 b (nou)

Textul propus de Comisie

Amendamentul

 

(2b) Autoritățile competente și punctul unic de contact ale aceluiași stat membru cooperează îndeaproape cu privire la obligațiile ce le revin în temeiul prezentei directive.

Amendamentul  65

Propunere de directivă

Articolul 6 – alineatul 2 c (nou)

Textul propus de Comisie

Amendamentul

 

(2c) Punctul unic de contact asigură cooperarea la nivel transfrontalier cu celelalte puncte de contact naționale.

Amendamentul  66

Propunere de directivă

Articolul 6 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Statele membre se asigură că autoritățile competente dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive. Statele membre asigură cooperarea eficace, eficientă și sigură a autorităților competente prin intermediul rețelei menționate la articolul 8.

(3) Statele membre se asigură că autoritățile competente și punctele unice de contact dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive. Statele membre asigură cooperarea eficace, eficientă și sigură a punctelor unice de contact prin intermediul rețelei menționate la articolul 8.

Amendamentul  67

Propunere de directivă

Articolul 6 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Statele membre se asigură că autoritățile competente primesc de la administrațiile publice și de la operatorii de piață notificările incidentelor, astfel cum prevede articolul 14 alineatul (2), și că le sunt conferite competențele de punere în aplicare și de executare menționate la articolul 15.

(4) Statele membre se asigură că autoritățile competente și punctele unice de contact, după caz, conform alineatului (2) de la prezentul articol, primesc de la administrațiile publice și de la operatorii de piață notificările incidentelor, astfel cum prevede articolul 14 alineatul (2), și că le sunt conferite competențele de punere în aplicare și de executare menționate la articolul 15.

Justificare

Acest amendament înlocuiește amendamentul 37. El urmărește să clarifice rolul diferitelor autorități în vederea evitării duplicării notificărilor: către autoritățile competente și către punctele unice de contact. Având în vedere faptul că, în unele sectoare, se furnizează deja organismelor Uniunii notificări ale incidentelor, duplicarea ar trebui evitată.

Amendamentul  68

Propunere de directivă

Articolul 6 – alineatul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) În cazul în care legislația Uniunii prevede un organism de supraveghere sau de reglementare sectorială al Uniunii, printre altele pentru securitatea rețelelor și a sistemelor informatice, acest organism primește notificările incidentelor în conformitate cu articolul 14 alineatul (2) din partea operatorilor de piață implicați în acest sector și i se acordă competențele de punere în aplicare și de executare menționate la articolul 15. Acest organism al Uniunii cooperează strâns cu autoritățile competente și cu punctul unic de contact din statul membru gazdă în ceea ce privește aceste obligații. Punctul unic de contact din statul membru gazdă reprezintă organismul Uniunii în ceea ce privește obligațiile prevăzute la capitolul III.

Amendamentul  69

Propunere de directivă

Articolul 6 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

(5) Autoritățile competente și punctele unice de contact se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

Amendamentul  70

Propunere de directivă

Articolul 6 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Fiecare stat membru notifică fără întârziere Comisiei autoritatea competentă desemnată și sarcinile sale, precum și orice modificări ulterioare ale acestora. Fiecare stat membru comunică publicului autoritatea competentă desemnată.

(6) Fiecare stat membru notifică fără întârziere Comisiei autoritățile competente desemnate și punctul unic de contact și sarcinile lor, precum și orice modificări ulterioare ale acestora. Fiecare stat membru comunică publicului autoritățile competente desemnate.

Amendamentul  71

Propunere de directivă

Articolul 7 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru înființează o Echipă de intervenție în caz de urgență informatică (denumită în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

(1) Fiecare stat membru înființează, pentru fiecare dintre domeniile stabilite în anexa II, cel puțin un Centru de răspuns la incidente de securitate cibernetică (denumit în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

Amendamentul  72

Propunere de directivă

Articolul 7 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) CERT acționează sub supravegherea autorității competente, care reexaminează cu regularitate caracterul adecvat al resurselor și al mandatului, precum și eficacitatea procedurii de administrare a incidentelor.

(5) Centrele CERT acționează sub supravegherea autorității competente sau a punctului unic de contact, care reexaminează cu regularitate caracterul adecvat al resurselor și al mandatelor lor, precum și eficacitatea procedurii de administrare a incidentelor.

Amendamentul  73

Propunere de directivă

Articolul 7 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a) Statele membre se asigură că centrele CERT au la dispoziție resurse umane și financiare adecvate pentru a participa activ la rețele de cooperare internaționale și, mai ales, la cele de la nivelul Uniunii.

Amendamentul  74

Propunere de directivă

Articolul 7 – alineatul 5 b (nou)

Textul propus de Comisie

Amendamentul

 

(5b)Centrele CERT au capacitatea și sunt încurajate să inițieze și să participe la exerciții comune cu alte centre CERT, cu centrele CERT din toate statele membre și cu instituții adecvate din state terțe, precum și cu centrele CERT ale instituțiilor multinaționale și internaționale, precum NATO și ONU.

Amendamentul  75

Propunere de directivă

Articolul 7 – alineatul 5 c (nou)

Textul propus de Comisie

Amendamentul

 

(5c) Statele membre pot solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) sau a altor state membre pentru dezvoltarea de centre CERT naționale.

Amendamentul  76

Propunere de directivă

Articolul 8 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Autoritățile competente și Comisia formează o rețea („rețeaua de cooperare”) pentru a coopera în domeniul combaterii riscurilor și incidentelor care afectează rețelele și sistemele informatice.

(1) Punctele unice de contact și Comisia și ENISA formează o rețea ( denumită în continuare „rețeaua de cooperare”) pentru a coopera în domeniul combaterii riscurilor și incidentelor care afectează rețelele și sistemele informatice.

Amendamentul 77

Propunere de directivă

Articolul 8 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Prin intermediul rețelei de cooperare, Comisia și autoritățile competente se află în contact permanent. La cerere, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) asistă rețeaua de cooperare, oferind experiență și consiliere.

(2) Prin intermediul rețelei de cooperare, Comisia și punctele unice de contact se află în contact permanent. La cerere, ENISA asistă rețeaua de cooperare, oferind experiență și consiliere. Acolo unde este necesar, operatorii de piață și furnizorii de soluții de securitate cibernetică pot fi, de asemenea, invitați să participe la activitățile rețelei de cooperare menționate la alineatul (3) literele (g) și (i).

 

Atunci când este cazul, rețeaua de cooperare cooperează cu autoritățile de protecție a datelor cu caracter personal.

 

Comisia informează în mod regulat rețeaua de cooperare cu privire la cercetarea în materie de securitate și la alte programe relevante din cadrul Orizont 2020.

Amendamentul  78

Propunere de directivă

Articolul 8 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) În cadrul rețelei de cooperare, autoritățile competente:

(3) În cadrul rețelei de cooperare, punctele unice de contact:

(a) transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(a) transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(b) asigură un răspuns coordonat în conformitate cu articolul 11;

(b) asigură un răspuns coordonat în conformitate cu articolul 11;

(c) publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

(c) publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

(d) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(d) discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(e) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;

(e) discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;

(f) cooperează și fac schimb de informații cu privire la toate aspectele relevante cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, burselor și sănătății;

(f) cooperează și fac schimb de experiență cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante cu privire la toate aspectele relevante în materie de securitate a rețelelor informatice și a datelor, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, piețelor financiare și sănătății;

 

(fa) după caz, informează printr-un raport coordonatorul UE în materie de combatere a terorismului și poate solicita asistență pentru analiza, activitățile pregătitoare și acțiunile rețelei de cooperare;

(g) fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(g) fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(h) organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;

 

(i) organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS.

(i) organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS.

 

(ia) implică, consultă și schimbă informații, după caz, cu operatorii de pe piață cu privire la riscurile și incidentele ce le afectează rețelele și sistemele informatice;

 

(ib) în cooperare cu ENISA, elaborează orientări privind criterii specifice fiecărui sector pentru notificarea incidentelor semnificative, pe lângă parametrii enunțați la articolul 14 alineatul (2), pentru a asigura interpretarea comună, aplicarea consecventă și armonizarea punerii în aplicare în cadrul Uniunii.

Amendamentul  79

Propunere de directivă

Articolul 8 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Rețeaua de cooperare publică anual un raport, detaliind activitățile rețelei și rezumatul raportului prezentat în conformitate cu articolul 14 alineatul (4) din prezenta directivă, pentru cele 12 luni anterioare.

Amendamentul  80

Propunere de directivă

Articolul 8 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Comisia stabilește, prin acte de punere în aplicare, măsurile necesare pentru a facilita cooperarea dintre autoritățile competente și Comisie menționată la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de consultare menționată la articolul 19 alineatul (2).

(4) Comisia stabilește, prin acte de punere în aplicare, măsurile necesare pentru a facilita cooperarea dintre punctele unice de contact, Comisie și ENISA menționată la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

Amendamentul  81

Propunere de directivă

Articolul 9 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

(1a) Participanții la infrastructura securizată respectă, printre altele, măsurile de securitate și confidențialitate adecvate, în conformitate cu Directiva 95/46/CE și Regulamentul (CE) nr. 45/2001 în toate etapele prelucrării.

Amendamentul  82

Propunere de directivă

Articolul 9 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, referitoare la:

eliminat

(a) disponibilitatea unei infrastructuri securizate și reziliente de comunicare și informare la nivel național, compatibilă și interoperabilă cu infrastructura securizată a rețelei de cooperare în conformitate cu articolul 7 alineatul (3) și

 

(b) existența unor resurse tehnice, financiare și umane și a unor proceduri adecvate pentru participarea eficace, eficientă și sigură a autorităților competente și a CERT la sistemul securizat de schimb de informații în temeiul articolului 6 alineatul (3), al articolului 7 alineatul (2) și al articolului 7 alineatul (3).

 

Amendamentul  83

Propunere de directivă

Articolul 9 – alineatul 3

Textul propus de Comisie

Amendamentul

(3). Comisia adoptă, prin acte de punere în aplicare, decizii privind accesul statelor membre la această infrastructură securizată, în conformitate cu criteriile menționate la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

(3) Înainte de a efectua schimburi de informații sensibile și confidențiale în cadrul rețelei de cooperare, Comisia adoptă, prin acte delegate, un set comun de standarde în materie de securitate și de interconectare pe care punctele unice de contact le respectă.

Amendamentul  84

Propunere de directivă

Articolul 10 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Autoritățile competente sau Comisia transmit alerte rapide în cadrul rețelei de cooperare cu privire la riscurile și incidentele care îndeplinesc cel puțin una dintre următoarele condiții:

(1) Punctele unice de contact sau Comisia transmit alerte rapide în cadrul rețelei de cooperare cu privire la riscurile și incidentele care îndeplinesc cel puțin una dintre următoarele condiții:

(a) cresc rapid sau pot crește rapid în amploare;

 

(b) depășesc sau pot depăși capacitatea națională de răspuns;

(b) punctul unic de contact apreciază că riscul sau incidentul poate depăși capacitatea națională de răspuns;

(c) afectează sau pot afecta mai multe state membre.

(c) punctele unice de contact sau Comisia apreciază că riscul sau incidentul afectează mai multe state membre;

Amendamentul  85

Propunere de directivă

Articolul 10 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) În cadrul alertelor rapide, autoritățile competente și Comisia comunică orice informațiile relevante aflate în posesia lor și care pot fi utile pentru evaluarea riscului sau a incidentului.

(2) În cadrul alertelor rapide, punctele unice de contact și Comisia comunică fără întârzieri nejustificate informațiile relevante aflate în posesia lor și care pot fi utile pentru evaluarea riscului sau a incidentului.

Amendamentul  86

Propunere de directivă

Articolul 10 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze orice informații relevante cu privire la un risc sau la un incident specific.

eliminat

Amendamentul  87

Propunere de directivă

Articolul 10 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Dacă riscul sau incidentul care face obiectul alertei rapide are un presupus caracter penal, autoritățile competente sau Comisia informează Centrul european de combatere a criminalității informatice din cadrul Europol.

(4) Dacă riscul sau incidentul care face obiectul alertei rapide are un presupus caracter penal și dacă operatorul de piață în cauză a raportat incidente cu presupus caracter penal grav, astfel cum se menționează la articolul 15 alineatul (4), statele membre se asigură că Centrul european de combatere a criminalității informatice din cadrul Europol este informat, după caz.

Amendamentul  88

Propunere de directivă

Articolul 10 – alineatul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) Membrii rețelei de cooperare nu dezvăluie publicului nicio informație primită cu privire la riscuri și incidentele enunțate la alineatul (1), fără aprobarea prealabilă a punctului unic de contact care a transmis informațiile.

 

Totodată, înaintea schimburilor de informații în rețeaua de cooperare, punctul unic de contact notificator informează operatorul de piață la care se referă informațiile privind intenția sa și, dacă consideră indicat, dispune ca informația respectivă să devină anonimă.

Amendamentul  89

Propunere de directivă

Articolul 10 – alineatul 4 b (nou)

Textul propus de Comisie

Amendamentul

 

(4b) Dacă riscul sau incidentul care face obiectul unei alerte rapide are un presupus caracter tehnic transfrontalier grav, punctele unice de contact sau Comisia informează ENISA.

Amendamentul  90

Propunere de directivă

Articolul 11 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) După transmiterea alertei rapide menționate la articolul 10, autoritățile competente convin, în urma evaluării informațiilor relevante, asupra unui răspuns coordonat în conformitate cu planul Uniunii de cooperare în domeniul NIS menționat la articolul 12.

(1) După transmiterea alertei rapide menționate la articolul 10, punctele unice de contact convin, în urma evaluării informațiilor relevante și fără întârzieri nejustificate, asupra unui răspuns coordonat în conformitate cu planul Uniunii de cooperare în domeniul NIS menționat la articolul 12.

Amendamentul  91

Propunere de directivă

Articolul 12 – alineatul 2 – litera a – liniuța 1

Textul propus de Comisie

Amendamentul

– definirea formatului și a procedurilor pentru colectarea și schimbul de informații compatibile și comparabile cu privire la riscuri și incidente de către autoritățile competente,

– definirea formatului și a procedurilor pentru colectarea și schimbul de informații compatibile și comparabile cu privire la riscuri și incidente de către punctele unice de contact,

Amendamentul  92

Propunere de directivă

Articolul 12 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Planul Uniunii de cooperare în domeniul NIS se adoptă în termen de cel mult un an de la intrarea în vigoare a prezentei directive și se revizuiește cu regularitate.

(3) Planul Uniunii de cooperare în domeniul NIS se adoptă în termen de cel mult un an de la intrarea în vigoare a prezentei directive și se revizuiește cu regularitate. Rezultatele fiecărei revizuiri sunt raportate Parlamentului European.

Amendamentul  93

Propunere de directivă

Articolul 12 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Planul UE de cooperare în domeniul NIS este conceput astfel încât să fie coerent cu strategiile și planurile naționale de cooperare privind NIS, astfel cum se prevede la articolul 5 din prezenta directivă.

Amendamentul  94

Propunere de directivă

Articolul 13 – paragraful 1

Textul propus de Comisie

Amendamentul

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri trebuie să țină seama de necesitatea de a asigura o protecție adecvată a datelor cu caracter personal diseminate în rețeaua de cooperare.

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri trebuie să țină seama de necesitatea de a asigura o protecție adecvată a datelor cu caracter personal diseminate în rețeaua de cooperare și specifică procedura de control care trebuie realizată pentru a garanta protecția datelor cu caracter personal. Parlamentul European este informat cu privire la procesul negocierii acestor acorduri. Orice transfer de date personale către destinatari din țări din afara Uniunii are loc în conformitate cu articolele 25 și 26 din Directiva 95/46/CE și articolul 9 din Regulamentul (CE) nr. 45/2001.

Amendamentul  95

Propunere de directivă

Articolul 13 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 13a

 

Nivelul de criticitate al operatorilor de piață

 

Statele membre pot determina nivelul de criticitate al operatorilor de piață ținând seama de particularitățile sectoarelor, de parametrii precum importanța unui anumit operator de piață pentru menținerea unui nivel suficient al serviciului sectorial, de numărul părților deservite de către operatorul de piață și de perioada de timp până la care întreruperea serviciilor esențiale ale operatorului de piață are un impact negativ asupra menținerii unor activități economice și sociale vitale.

Justificare

Acest amendament face parte din capitolul IV și ar trebui să preceadă articolul 14 de mai jos. Acest articol permite o clasificare mai diferențiată a anexei II și, ca urmare, a obligațiilor prevăzute la capitolul IV. Notificarea incidentelor este efectuată de către toți operatorii de piață indiferent de nivelul lor de criticitate, în timp ce forma auditurilor de securitate poate fi adaptată la nivelul specific de criticitate a operatorului de piață.

Amendamentul  96

Propunere de directivă

Articolul 14 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

(1) Statele membre se asigură că operatorii de piață iau măsurile tehnice și organizatorice adecvate și proporționale pentru a identifica și gestiona eficient riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de progresele științifice de la momentul respectiv din domeniu, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează securitatea rețelei sau a sistemului informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

Amendamentul  97

Propunere de directivă

Articolul 14 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Statele membre se asigură că administrațiile publice și operatorii de piață notifică autorității competente incidentele care au un impact semnificativ asupra securității serviciilor esențiale pe care le furnizează.

(2) Statele membre se asigură că operatorii de piață notifică, fără întârzieri nejustificate, autorității competente sau punctului unic de contact incidentele care au un impact semnificativ asupra continuității serviciilor esențiale pe care le furnizează. Notificarea nu expune unei răspunderi sporite partea care notifică.

 

Pentru a determina importanța impactului unui incident, se ține cont și de următorii parametrii:

Amendamentul  98

Propunere de directivă

Articolul 14 – alineatul 2 – litera a (nouă)

Textul propus de Comisie

Amendamentul

 

(a) numărul de utilizatori al căror serviciu esențial este afectat;

Amendamentul  99

Propunere de directivă

Articolul 14 – alineatul 2 – litera b (nouă)

Textul propus de Comisie

Amendamentul

 

(b) durata incidentului;

Amendamentul  100

Propunere de directivă

Articolul 14 – alineatul 2 – litera c (nouă)

Textul propus de Comisie

Amendamentul

 

(c) distribuția geografică – zona afectată de incident.

Amendamentul  101

Propunere de directivă

Articolul 14 – alineatul 2 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

Parametrii respectivi sunt specificați în continuare conform articolului 8 alineatul (3) litera (ib).

Amendamentul  102

Propunere de directivă

Articolul 14 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) Operatorii de piață notifică incidentele prevăzute la alineatele (1) și (2) autorității competente sau punctului unic de contact din statul membru în care serviciile esențiale sunt afectate. În cazul în care sunt afectate serviciile esențiale din mai multe state membre, punctul unic de contact ce a primit notificarea alertează celelalte puncte de contact implicate, în funcție de informațiile transmise de operatorul de piață. Operatorul de piață este informat, cât mai curând posibil, cu privire la celelalte puncte unice de contact care au fost informate despre incident, precum și cu privire la orice demers întreprins, orice rezultat și la orice alte informații relevante pentru incident.

Amendamentul  103

Propunere de directivă

Articolul 14 – alineatul 2 b (nou)

Textul propus de Comisie

Amendamentul

 

(2b) În cazurile în care notificările conțin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autorităților competente notificate sau punctelor unice de contact care trebuie să prelucreze aceste date pentru a-și îndeplini sarcinile în conformitate cu un temei juridic adecvat. Datele comunicate se limitează la ceea ce este necesar pentru îndeplinirea sarcinilor acestor destinatari.

Amendamentul  104

Propunere de directivă

Articolul 14 – alineatul 2 c (nou)

Textul propus de Comisie

Amendamentul

 

(2c) Operatorii de pe piață care nu fac obiectul anexei II pot raporta în mod voluntar incidentele, astfel cum se prevede la articolul 14 alineatul (2).

Amendamentul  105

Propunere de directivă

Articolul 14 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Autoritatea competentă poate informa publicul ea însăși sau poate solicita acest lucru administrațiilor publice și operatorilor de piață, în cazul în care consideră că divulgarea incidentului servește interesului public. O dată pe an autoritatea competentă transmite rețelei de cooperare un raport de sinteză privind notificările primite și măsurile luate în conformitate cu prezentul alineat.

(4) După consultarea autorității competente notificate și a operatorului de piață vizat, punctul unic de contact poate informa opinia publică cu privire la incidente individuale, dacă consideră că acest lucru este necesar pentru a preveni un incident sau a rezolva un incident deja în desfășurare sau în cazul în care un operator de piață, implicat într-un incident, a refuzat să ia măsurile de remediere a unei vulnerabilități structurale grave relativă la incident și fără întârziere.

 

Înaintea oricărei divulgări publice, autoritatea competentă notificată se asigură că operatorul de piață în cauză are posibilitatea de a fi audiat și că decizia privind divulgarea publică corespunde interesului public.

 

În cazul în care se fac publice informații privind anumite persoane, autoritatea competentă notificată sau punctul unic de contact se asigură că acest lucru se face cu respectarea anonimatului.

 

Autoritatea competentă sau punctul unic de contact furnizează, în măsura posibilului, operatorului de pe piață respectiv informații în sprijinul gestionării eficiente a incidentului notificat.

O dată pe an autoritatea competentă transmite rețelei de cooperare un raport de sinteză privind notificările primite și măsurile luate în conformitate cu prezentul alineat.

O dată pe an, punctul unic de contact transmite rețelei de cooperare un raport de sinteză privind notificările primite, inclusiv numărul notificărilor și referitor la parametrii incidentului astfel cum sunt prevăzuți la alineatul (2) de la prezentul articol și măsurile luate în conformitate cu prezentul alineat.

Amendamentul  106

Propunere de directivă

Articolul 14 – alineatul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) Statele membre încurajează operatorii de pe piață să introducă în rapoartele lor financiare, în mod voluntar, incidentele în care sunt implicați.

Amendamentul  107

Propunere de directivă

Articolul 14 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea circumstanțelor în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele.

eliminat

Amendamentul  108

Propunere de directivă

Articolul 14 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Cu respectarea actelor delegate adoptate în temeiul alineatului (5), autoritățile competente pot emite orientări și, dacă este necesar, instrucțiuni privind circumstanțele în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele.

(6) Autoritățile competente sau punctele unice de contact pot emite orientări privind circumstanțele în care operatorii de piață au obligația de a notifica incidentele.

Amendamentul  109

Propunere de directivă

Articolul 14 – alineatul 8

Textul propus de Comisie

Amendamentul

(8) Alineatele (1) și (2) nu se aplică microîntreprinderilor definite în Recomandarea 2003/361/CE Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii12.

(8) Alineatele (1) și (2) nu se aplică microîntreprinderilor definite în Recomandarea 2003/361/CE Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii35, cu excepția cazului în care microîntreprinderea acționează în calitate de filială a unui operator de piață astfel cum se prevede la articolul 3 alineatul (8) litera (b).

_____________

_____________

12 JO L 124, 20.5.2003, p. 36.

35 JO L 124, 20.5.2003, p. 36.

Amendamentul  110

Propunere de directivă

Articolul 14 – alineatul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

(8a) Statele membre pot decide să aplice prezentul articol și articolul 15 administrațiilor publice mutatis mutandis.

Amendamentul  111

Propunere de directivă

Articolul 15 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că autoritățile competente sunt împuternicite să investigheze cazurile în care administrațiile publice sau operatorii de piață nu se conformează obligațiilor care le revin în temeiul articolului 14, precum și efectele acestei neconformări asupra securității rețelelor și a sistemelor informatice.

(1) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să asigure conformitatea operatorilor de piață cu obligațiile care le revin în temeiul articolului 14, precum și cu efectele acestora asupra securității rețelelor și a sistemelor informatice.

Amendamentul  112

Propunere de directivă

Articolul 15 – alineatul 2 – partea introductivă

Textul propus de Comisie

Amendamentul

(2) Statele membre se asigură că autoritățile competente sunt împuternicite să solicite operatorilor de piață și administrațiilor publice:

(2) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să solicite operatorilor de piață:

Amendamentul  113

Propunere de directivă

Articolul 15 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) se supună unui audit de securitate efectuat de un organism calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

(b) furnizeze dovezi privind aplicarea efectivă a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate națională, și să transmită dovezile autorității competente sau punctului unic de contact.

Amendamentul  114

Propunere de directivă

Articolul 15 – alineatul 2 – paragraful 1 a (nou)

Textul propus de Comisie

Amendamentul

 

La trimiterea solicitării, autoritățile competente și punctele unice de contact menționează scopul solicitării și dau detalii suficiente cu privire la informațiile necesare.

Amendamentul  115

Propunere de directivă

Articolul 15 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Statele membre se asigură că autoritățile competente sunt împuternicite să emită instrucțiuni obligatorii pentru operatorii de piață și pentru administrațiile publice.

(3) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să emită instrucțiuni obligatorii pentru operatorii de piață.

Amendamentul  116

Propunere de directivă

Articolul 15 – alineatele 3 a și 3 b (noi)

Textul propus de Comisie

Amendamentul

 

(3a) Prin derogare de la alineatul (2) litera (b) a prezentului articol, statele membre pot decide ca autoritățile competente sau punctele unice de contact, după caz, să aplice o procedură diferită unor anumiți operatori de piață, pe baza nivelului lor de criticitate stabilit în conformitate cu articolul 13a. În cazul în care statele membre decid astfel:

 

(a) autoritățile competente sau punctele unice de contact, după caz, sunt abilitate să adreseze operatorilor de piață o cerere suficient de specifică în care solicită acestora să prezinte dovada implementării efective a politicilor de securitate, cum ar fi rezultatele unui audit de securitate efectuat de un auditor intern calificat, și să o pună la dispoziția autorității competente sau a punctului unic de contact;

 

(b) după caz, după transmiterea de către operatorul de piață a cererii menționate la litera (a), autoritatea competentă sau punctul unic de contact poate solicita dovezi suplimentare sau efectuarea unui audit suplimentar de către un organism independent calificat sau de către autoritatea națională.

 

(3b) Statele membre pot decide să reducă numărul și intensitatea auditurilor în cazul unui anumit operator de piață, dacă auditul său de securitate indică respectarea cerințelor de la capitolul IV de o manieră coerentă.

Amendamentul  117

Propunere de directivă

Articolul 15 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Autoritățile competente notifică autorităților de aplicare a legii incidentele cu presupus caracter penal grav.

(4) Autoritățile competente și punctele unice de contact informează operatorii de piață în cauză cu privire la posibilitatea raportării incidentelor cu presupus caracter penal grav către autoritățile de aplicare a legii.

Amendamentul  118

Propunere de directivă

Articolul 15 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal.

(5) Fără a aduce atingere normelor aplicabile privind protecția datelor, autoritățile competente și punctele unice de contact lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. Punctele unice de contact și autoritățile de protecție a datelor dezvoltă, în cooperare cu ENISA, mecanisme de schimburi de informații și un formular unic de notificare care urmează a fi utilizat în cazul notificărilor prevăzute la articolul 14 alineatul (2) din prezenta directivă, cât și al celor prevăzute de restul legislației Uniunii în domeniul protecției datelor.

Amendamentul  119

Propunere de directivă

Articolul 15 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Statele membre se asigură că orice obligații impuse administrațiilor publice și operatorilor de piață în temeiul prezentului capitol pot fi supuse unui control jurisdicțional.

(6) Statele membre se asigură că orice obligații impuse operatorilor de piață în temeiul prezentului capitol pot fi supuse unui control jurisdicțional.

Amendamentul  120

Propunere de directivă

Articolul 15 – alineatul 6 a (nou)

Textul propus de Comisie

Amendamentul

 

(6a) Statele membre pot decide să aplice articolul 14 și prezentul articol administrațiilor publice mutatis mutandis.

Amendamentul  121

Propunere de directivă

Articolul 16 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Pentru a asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea standardelor și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației.

(1) Pentru a asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea de standarde europene sau internaționale interoperabile și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației, fără a impune utilizarea unei anumite tehnologii.

Amendamentul  122

Propunere de directivă

Articolul 16 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Comisia stabilește, prin acte de punere în aplicare, o listă a standardelor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene.

(2) Comisia împuternicește un organism de standardizare european competent ca, în urma consultării cu părțile interesate relevante, să stabilească o listă a standardelor și/sau a specificațiilor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene.

Amendamentul  123

Propunere de directivă

Articolul 17 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

(1a) Statele membre se asigură că, în cazul în care operatorul de piață nu și-a îndeplinit obligațiile ce îi revin în temeiul capitolului 4 din alte motive decât în mod intenționat sau din neglijență gravă, sancțiunile prevăzute la alineatul (1) al prezentului articol nu se aplică.

Amendamentul  124

Propunere de directivă

Articolul 18 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Delegarea de competențe menționată la articolul 9 alineatul (2), la articolul 10 alineatul (5) și la articolul 14 alineatul (5) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Prin decizia de revocare ia sfârșit delegarea competențelor specificată în decizia respectivă. Decizia intră în vigoare în ziua următoare publicării sale în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară, pe care o specifică. Decizia nu afectează validitatea actelor delegate care sunt deja în vigoare.

(3) Delegarea de competențe menționată la articolul 9 alineatul (2) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Prin decizia de revocare ia sfârșit delegarea competențelor specificată în decizia respectivă. Decizia intră în vigoare în ziua următoare publicării sale în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară, pe care o specifică. Decizia nu afectează validitatea actelor delegate care sunt deja în vigoare.

Amendamentul  125

Propunere de directivă

Articolul 18 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Un act delegat adoptat în temeiul articolului 9 alineatul (2), al articolului 10 alineatul (5) și al articolului 14 alineatul (5) intră în vigoare numai dacă nici Parlamentul European și nici Consiliul nu formulează obiecții în termen de două luni de la data la care li s-a notificat actul respectiv sau dacă, înainte de expirarea acestui termen, atât Parlamentul European, cât și Consiliul informează Comisia că nu vor prezenta obiecții. Termenul respectiv se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.

(5) Un act delegat adoptat în temeiul articolului 9 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecțiuni în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni. Termenul respectiv se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.

Amendamentul  126

Propunere de directivă

Articolul 20 – paragraful 1

Textul propus de Comisie

Amendamentul

Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult trei ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Comisia revizuiește periodic funcționarea prezentei directive, îndeosebi lista de la anexa II, și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult trei ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Amendamentul  127

Propunere de directivă

Anexa I – subtitlul 1

Textul propus de Comisie

Amendamentul

Obligații și sarcini ale Echipei de intervenție în caz urgență informatică (CERT)

Obligații și sarcini ale Centrelor de răspuns la incidente de securitate cibernetică (CERT)

Amendamentul  128

Propunere de directivă

Anexa I – paragraful 1 – punctul 1 – litera a

Textul propus de Comisie

Amendamentul

(a) CERT asigură o disponibilitate înaltă a serviciilor sale de comunicații, evitând punctele unice de defecțiune și dispunând de mai multe mijloace pentru a fi contactată și pentru a contacta alte entități. În plus, canalele de comunicare trebuie să fie clar specificate și bine cunoscute bazei sale de utilizatori și partenerilor de cooperare.

(a) Centrele CERT asigură o disponibilitate înaltă a serviciilor lor de comunicații, evitând punctele unice de defecțiune și dispunând de mai multe mijloace pentru a fi contactate și pentru a contacta alte entități în orice moment. În plus, canalele de comunicare trebuie să fie clar specificate și bine cunoscute bazei sale de utilizatori și partenerilor de cooperare.

Amendamentul  129

Propunere de directivă

Anexa I – paragraful 1 – punctul 1 – litera c

Textul propus de Comisie

Amendamentul

(c) Birourile CERT și sistemele informatice de suport sunt situate pe amplasamente securizate.

(c) Birourile centrelor CERT și sistemele informatice de suport sunt situate pe amplasamente securizate, cu rețele și sisteme informatice securizate.

Amendamentul  130

Propunere de directivă

Anexa I – paragraful 1 – punctul 2 – litera a – liniuța 1

Textul propus de Comisie

Amendamentul

– monitorizarea incidentelor la nivel național,

detectarea și monitorizarea incidentelor la nivel național,

Amendamentul  131

Propunere de directivă

Anexa I – paragraful 1 – punctul 2 – litera a – liniuța 5 a (nouă)

Textul propus de Comisie

Amendamentul

 

- participarea activă la rețelele de cooperare CERT de la nivelul Uniunii și de la nivel internațional;

Amendamentul  132

Propunere de directivă

Anexa II – partea introductivă

Textul propus de Comisie

Amendamentul

Lista operatorilor de piață

Lista operatorilor de piață

menționați la articolul 3 alineatul (8) litera (a):

 

1. platforme de comerț electronic

 

2. procesatori de plăți online

 

3. rețele de socializare

 

4. motoare de căutare

 

5. servicii de cloud computing

 

6. magazine de aplicații online

 

menționați la articolul 3 alineatul (8) litera (b):

 

Amendamentul  133

Propunere de directivă

Anexa II – punctul 1

Textul propus de Comisie

Amendamentul

Lista operatorilor de piață

Lista operatorilor de piață

1. Energie

1. Energie

 

(a) Electricitate

– furnizori de energie electrică și gaz

- furnizori

– operatori de sisteme de distribuție a energiei electrice și/sau a gazelor și comercianți cu amănuntul către consumatorii finali

- operatori de sisteme de distribuție și comercianți cu amănuntul către consumatorii finali

– operatori de sisteme de transport al gazelor naturale, operatori de depozite și operatori de GNL

 

– operatori de sisteme de transport al energiei electrice

- operatori de sisteme de transport al energiei electrice

 

(b) Petrol

– conducte de transport al petrolului și depozite de petrol

- conducte de transport al petrolului și depozite de petrol

 

- operatori ai instalațiilor de producție, de rafinare și de tratare a petrolului, de depozitare și de transport

 

(c) Gaze naturale

– operatori de pe piața energiei electrice și a gazelor naturale

- furnizori

 

- operatori de sisteme de distribuție și comercianți cu amănuntul către consumatorii finali

 

- operatori de sisteme de transport al gazelor naturale, operatori de sisteme de depozitare și operatori de sisteme GNL

– operatori ai instalațiilor de producție a petrolului și gazelor naturale și ai instalațiilor de rafinare și de tratare

- operatori ai instalațiilor de producție, de rafinare, de tratare, de depozitare și de transport al gazelor naturale

 

- operatori de pe piața gazelor naturale

Amendamentul  134

Propunere de directivă

Anexa II – punctul 2

Textul propus de Comisie

Amendamentul

2. Transporturi

2. Transporturi

– transportatori aerieni (transport aerian de marfă și de pasageri)

(a) Transportul rutier

– transportatori maritimi (societăți de transport maritim și costier de pasageri și societăți de transport maritim și costier de mărfuri)

(i) operatori de control al gestionării traficului

– căi ferate (gestionari de infrastructură, întreprinderi integrate și operatori de transport feroviar)

(ii) servicii logistice auxiliare:

– aeroporturi

- antrepozitare și depozitare,

– porturi

- manipularea mărfurilor și

– operatori de control al gestionării traficului

- alte servicii auxiliare de transport

– servicii logistice auxiliare: (a) depozitare și stocare, (b) manipularea mărfurilor și c) alte servicii auxiliare de transport

(b) Transportul feroviar

 

(i) căi ferate (gestionari de infrastructură, întreprinderi integrate și operatori de transport feroviar)

 

(ii) operatori de control al gestionării traficului

 

(iii) servicii logistice auxiliare:

 

- antrepozitare și depozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(c) Transportul aerian

 

(i) transportatori aerieni (transport aerian de marfă și de pasageri)

 

(ii) aeroporturi

 

(iii) operatori de control al gestionării traficului

 

(iv) servicii logistice auxiliare:

 

- antrepozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(d) transporturi maritime

 

(i) transportatori maritimi (societăți de transport maritim și costier de pasageri și societăți de transport maritim și costier de mărfuri)

Amendamentul  135

Propunere de directivă

Anexa II – punctul 4

Textul propus de Comisie

Amendamentul

4. Infrastructuri ale pieței financiare: burse de valori și contrapartide centrale/case de compensare

4. Infrastructuri ale pieței financiare: piețele reglementate, sisteme multilaterale de tranzacționare, sisteme organizate de tranzacționare, contrapărți centrale/case de compensare

Amendamentul  136

Propunere de directivă

Anexa II – punctul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a. Producția și aprovizionarea cu apă

Amendamentul  137

Propunere de directivă

Anexa II – punctul 5 b (nou)

Textul propus de Comisie

Amendamentul

 

5b. Lanțul distribuției de alimente

Amendamentul  138

Propunere de directivă

Anexa II – punctul 5 c (nou)

Textul propus de Comisie

Amendamentul

 

5c. IXP (internet exchange points)

  • [1]  JO C 0, 0.0.000, p. 0 /Nepublicat încă în Jurnalul Oficial.
  • [2]  Texte adoptate, P7_TA(2013)0376.

EXPUNERE DE MOTIVE

1. Context

Încă din 2010, Agenda digitală pentru Europa a solicitat introducerea unor instrumente legislative care să urmărească un nivel ridicat al politicilor de securitate a rețelelor și a informațiilor. Dată fiind interconectarea rețelelor și a sistemelor informatice, perturbările semnificative ale acestora într-un stat membru pot afecta alte state membre și Uniunea în ansamblul său. Reziliența și stabilitatea rețelelor și a sistemelor de informații precum și continuitatea serviciilor esențiale sunt vitale pentru buna funcționare a pieței interne, în special pentru dezvoltarea în continuare a pieței unice digitale.

Având în vedere diferențele dintre nivelurile de capacități și abordările fragmentate în întreaga Uniune, în prezenta sa propunere de directivă privind măsuri de asigurare a unui nivel ridicat de securitate a rețelelor și a informației în Uniune, Comisia Europeană vizează îmbunătățirea securității internetului și a rețelelor private și sistemelor informatice care sprijină funcționarea societăților și economiilor noastre

În acest scop, Comisia solicită statelor membre să își sporească gradul de pregătire și să îmbunătățească cooperarea dintre ele. În acest scop, operatorii de infrastructuri critice, cum ar fi energia, transporturile și principalii furnizori de servicii informatice, precum și administrațiile publice ar trebui să adopte măsuri corespunzătoare pentru a gestiona riscurile de securitate și să raporteze incidentele grave la autoritățile naționale competente.

2. Proiect de raport

Raportorul sprijină obiectivul general al directivei propuse, și anume acela de a garanta un nivel ridicat de securitate a rețelelor și a informațiilor. Pentru a consolida eficiența măsurilor propuse, raportorul consideră că prezenta directivă, ca punct de plecare, ar trebui să fie limitată la anumiți operatori, să protejeze investițiile deja făcute în domeniul securității rețelelor și al informațiilor și să evite suprapunerea unor structuri instituționale și a obligațiilor impuse operatorilor de piață. De asemenea, raportorul este de părere că prezenta directivă ar trebui să sprijine dezvoltarea unor relații de încredere și a schimburilor între actorii din sectorul public și privat, și că ar trebui evitate reacțiile adverse sub forma unei simple „culturi a respectării reglementărilor” în locul doritei „culturi a gestionării riscului”. Având în vedere aceste considerații, raportorul propune să se consolideze impactul prezentei directive cu următoarele modificări.

A. Domeniul de aplicare

Proiectul de directivă vizează impunerea de obligații administrațiilor publice și operatorilor de piață, inclusiv pentru infrastructurile critice și serviciile societății informaționale. În scopul asigurării proporționalității și a rezultatelor rapide ale directivei, raportorul consideră că măsurile obligatorii prevăzute în capitolul IV ar trebui să se limiteze la infrastructurile care sunt esențiale stricto sensu. Acesta consideră că serviciile societății informaționale nu trebuie, prin urmare, să fie incluse în anexa II la prezenta directivă. În schimb, prezenta directivă ar trebui să se concentreze pe operatorii de piață care furnizează servicii, printre altele, în sectorul energetic și sectorul transporturilor, precum și servicii legate de sănătate și infrastructurile piețelor financiare.

Având în vedere misiunea lor publică, administrațiile publice trebuie să exercite diligența necesară în gestionarea rețelelor și sistemelor lor de informații. Prin urmare, raportorul consideră că nu este proporțional să li se impună acestora aceleași obligații ca și operatorilor de piață.

Pe lângă modificările la domeniul de aplicare, raportorul sprijină natura neexhaustivă a anexei II și este de acord cu o revizuire periodică a prezentei directive, având în vedere, de asemenea, noile evoluții tehnologice.

B. Autoritățile naționale competente

Propunerea de directivă prevede desemnarea unei autorități naționale competente în fiecare stat membru, responsabilă cu monitorizarea punerii în aplicare a directivei. Raportorul consideră că aceasta nu ia suficient în considerare structurile deja existente.

În anumite sectoare care intră în domeniul de aplicare al prezentei directive, operatorii de piață deja notifică în mod oficial sau neoficial autoritatea de reglementare aferentă sectorului lor cu privire la anumite incidente de securitate a rețelelor și a informațiilor. Date fiind legătura directă și relațiile strânse cu sectoarele lor respective, aceste autorități au cunoștințe amănunțite cu privire la amenințările și vulnerabilitățile specifice pentru sectorul lor, și, prin urmare, se află în poziția deosebită de a putea evalua impactul incidentelor potențiale sau deja intervenite pentru sectorul lor.

Pe lângă investițiile sectoriale existente, unele state membre ar putea fi nevoite să desemneze mai mult de o autoritate națională competentă, din cauza structurii lor constituționale sau din alte considerații. Prin urmare, raportorul propune modificarea directivei astfel încât să permită desemnarea mai multor autorități competente pentru fiecare stat membru. Cu toate acestea, pentru a asigura o aplicare consecventă în statul membru în cauză și pentru a permite o cooperare eficientă și simplificată la nivelul Uniunii, fiecare stat membru ar trebui să desemneze un punct unic de contact responsabil cu, printre altele, participarea în rețeaua de cooperare de la art.8 și transmiterea alertei rapide în conformitate cu art.10.

C. Rețeaua de cooperare

Pentru a consolida activitățile rețelei de cooperare, raportorul consideră că rețeaua ar trebui să ia în considerare invitarea operatorilor de piață să participe, după caz. Totodată, un raport anual privind activitățile rețelei ar oferi informații valoroase cu privire la progresele realizate în ceea ce privește schimbul de bune practici între statele membre și evoluția notificărilor de incidente în întreaga Uniune.

D. Cerințe de securitate și notificarea incidentelor

Ca principală noutate, propunerea de directivă introduce obligativitatea notificării de către operatorii de piață a incidentelor care au un impact semnificativ asupra securității serviciilor esențiale. În scopul clarificării domeniului de aplicare a obligațiilor și al integrării acestora în actul de bază, raportorul propune înlocuirea actelor delegate de la articolul 14 alineatul (5), cu criterii clare pentru a determina importanța unor incidente care trebuie raportate. Având în vedere alinierea dorită cu Directiva 2009/140/CE, indicatorii similari cu cei stabiliți în orientările tehnice ENISA privind raportarea incidentelor pentru Directiva 2009/140/CE ar clarifica domeniul de aplicare și criteriile de notificare. De asemenea, raportorul recomandă consolidarea garanțiilor privind publicarea informațiilor legate de incidentele și clarifică legislația aplicabilă, în cazul în care un incident afectează serviciile esențiale în mai multe state membre, pentru a nu impune obligații multiple de notificare sau obligații neclare.

E. Punere în aplicare și executare

Raportorul consideră că este esențial să se încurajeze o cultură de gestionare a riscurilor existente, bazată pe eforturile depuse de operatorii de piață. În acest sens, raportorul consideră că nu atât furnizarea de informații privind activitățile concrete de gestionare a riscului este esențială, cât cooperarea generală și măsurile concrete luate de operatorii de piață.

Prin urmare, în contextul articolului 15, este necesar să se permită o anumită flexibilitate în ceea ce privește dovezile de respectare a cerințelor de securitate impuse operatorilor de piață. Ar trebui acceptate și dovezile de respectare a obligațiilor, altele decât auditurile de securitate.

F. Sancțiuni

Deși raportorul constată că este necesar să se prevadă sancțiuni pentru operatorii de piață care nu respectă legislația, pentru a consolida eficiența prezentei directive, acesta consideră că sancțiunile potențiale nu ar trebui să descurajeze notificarea incidentelor și să creeze efecte adverse. Ar trebui să se evite situațiile în care notificarea rapidă a incidentelor este descurajată de existența unui risc de sancțiune în caz de simplă nerespectare a cerințelor procedurale. Prin urmare, raportorul propune să se precizeze că, în cazul în care operatorul nu a respectat obligațiile ce-i revin în temeiul capitolului IV, dar nu a acționat cu intenție sau din neglijență gravă, nici o sancțiune ar trebui să-i fie impusă.

AVIZ al Comisiei pentru industrie, cercetare și energie (19.12.2013)

destinat Comisiei pentru piața internă și protecția consumatorilor

referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Raportoare pentru aviz (*): del Pilar del Castillo Vera

(*) Procedura comisiilor asociate – articolul 50 din Regulamentul de procedură

JUSTIFICARE SUCCINTĂ

În februarie 2013, în urma solicitării Parlamentului European din raportul său din proprie inițiativă referitor la o agendă digitală pentru Europa, Comisia Europeană a prezentat o propunere de directivă privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune, alături de prima strategie de la nivelul UE în materie de securitate informatică. Conform unor analize ale datelor disponibile, se estimează că incidentele legate de domeniul TIC, care reprezintă acțiuni premeditate, pot genera, numai pentru IMM-uri, costuri directe de peste 560 de milioane EUR pe an, iar dacă sunt luate în considerare toate tipurile de incidente (inclusiv problemele de mediu sau cele fizice din amonte, cum ar fi catastrofele naturale), costurile directe generate se pot ridica la peste 2,3 miliarde EUR. Având în vedere aceste date, raportoarea pentru aviz salută călduros propunerea Comisiei.

În ceea ce privește structura propunerii, raportoarea pentru aviz susține unele dintre măsurile propuse, cum ar fi extinderea la alte sectoare de infrastructură de importanță critică a dispozițiilor privind raportarea incidentelor de securitate, care sunt limitate în prezent, potrivit articolului 13a din Directiva-cadru din 2009, la prestatorii de servicii de telecomunicații. Așadar, propunerile precum obligația impusă tuturor statelor membre de a avea echipe funcționale de reacție la situații de urgență în domeniul informatic și de a desemna o autoritate competentă care să participe la o rețea pan-europeană de schimb electronic securizat de date pentru partajarea și schimbul securizat de informații legate de securitatea informatică sunt binevenite și pot contribui în mod semnificativ la realizarea obiectivului urmărit de propunerea de directivă, mai exact la asigurarea unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune.

Cu toate acestea, raportoarea pentru aviz consideră că propunerea poate fi îmbunătățită prin aplicarea a două principii importante: eficiența și încrederea.

Primul principiu - eficiența

În ceea ce privește obligația statelor membre de a desemna o autoritate competentă responsabilă pentru monitorizarea punerii în aplicare a directivei în toate sectoarele menționate în anexa II la propunere, raportoarea pentru aviz consideră nu numai că fiecare stat membru trebuie să aibă libertatea de a alege modelul de reglementare a securității informatice pe care îl consideră cel mai adecvat, ci și că este extrem de important să se evite suprapunerea structurilor instituționale, ceea ce ar putea duce eventual la conflicte de competențe și la disfuncționalități în comunicare. Prin urmare, raportoarea pentru aviz consideră că structurile naționale existente, care își îndeplinesc deja eficient funcția și corespund nevoilor statelor membre și mecanismelor constituționale ale acestora, nu ar trebui compromise. Raportoarea pentru aviz consideră însă că, pentru a se garanta schimbul de informații la nivelul Uniunii, notificarea pericolelor prin mecanisme de alertă timpurie și participarea eficientă la rețeaua de cooperare, fiecare stat membru trebuie să desemneze un punct unic de contact.

Urmărind același obiectiv de maximizare a eficienței directivei propuse, raportoarea pentru aviz consideră că măsurile propuse privind crearea unui centru de răspuns la incidente de securitate cibernetică (CERT) la nivel național ar putea să nu reprezinte soluția optimă, având în vedere că acesta nu ține seama de diferențele dintre natura și componența centrelor CERT existente. Majoritatea statelor membre au mai multe centre CERT, iar acestea tratează, în plus, mai multe tipuri de incidente. Diferă, de asemenea, numărul și calitatea activităților, în funcție de tipul instituției care le găzduiește și le administrează: instituții academice sau de cercetare, guverne sau sectorul privat. În plus, propunerea sub forma sa actuală ar afecta funcționarea rețelelor de cooperare existente la nivel internațional și european, din care fac parte deja centrele CERT existente și care și-au dovedit eficiența în coordonarea reacțiilor internaționale și europene la incidente. Prin urmare, raportoarea pentru aviz consideră că, în loc să opereze cu un singur centru CERT la nivel național, directiva ar trebui să vizeze centrele CERT care își oferă serviciile sectoarelor menționate în anexa II, permițând astfel, de exemplu, unui centru CERT să ofere servicii în toate sectoarele din anexa II sau mai multor centre CERT să ofere servicii într-un singur sector. Cu toate acestea, raportoarea pentru aviz consideră că statele membre trebuie să garanteze că centrele lor CERT sunt pe deplin funcționale în orice moment și că dispun de resurse tehnice, financiare și umane suficiente pentru a putea administra în mod adecvat rețelele de cooperare de la nivelul Uniuni și de la nivel internațional și pentru a putea participa la acestea.

De asemenea, principiul eficienței impune modificarea propunerii de directivă și în ceea ce privește domeniul său de aplicare. Deși raportoarea pentru aviz este de acord că se impune extinderea obligațiilor aferente sistemului de raportare la sectoarele energiei, transporturilor, sănătății și la cel financiar, propunerea de a se extinde măsurile obligatorii prevăzute în capitolul IV la toți operatorii de piață activi în „economia internetului” este disproporțională și imposibil de realizat. Această propunere este disproporțională pentru că aplicarea fără discernământ a unor obligații noi unei categorii deschise și nedefinite, cum ar fi fiecare „furnizor de servicii ale societății informaționale care permit furnizarea altor servicii ale societății informaționale”, nu este numai greu de înțeles, ci nici nu se justifică în raport cu posibilele daune ce pot fi provocate de un incident de securitate, având potențialul de a crea un nou nivel de birocrație pentru sectorul industrial din UE, în special pentru IMM-uri. Propunerea este imposibil de realizat pentru că trezește îndoieli serioase cu privire la capacitatea autorităților competente de a răspunde în mod proactiv tuturor notificărilor eventuale și de a încuraja astfel un dialog cu operatorii de piață în vederea eliminării amenințării la adresa securității.

În ceea ce privește administrațiile publice, directiva ar trebui să găsească un echilibru între necesitatea de a dezvolta și mai mult serviciile de e-guvernare și obligațiile de diligență necesară ce le revin administrațiilor publice în legătură cu gestionarea și protecția rețelelor și a sistemelor lor de informare. Prin urmare, raportoarea pentru aviz consideră că, deși cerințele privind schimbul de informații prevăzute la articolul 14 ar trebui să se aplice administrațiilor publice în totalitate, acestea din urmă nu ar trebui să facă obiectul obligațiilor de la articolul 15.

Al doilea principiu - încrederea

Raportoarea pentru aviz consideră că o parte importantă a succesului directivei depinde de capacitatea sa de a stimula participarea operatorilor de piață, ceea ce va duce la crearea unui mediu de încredere în ceea ce privește securitatea rețelelor și a informației, în cadrul căruia factorii de pe teren vor dori să participe în mod activ. Dacă nu atinge acest obiectiv, directiva va eșua. În acest sens, raportoarea pentru aviz propune să se garanteze faptul că participarea și notificarea de către operatorii de piață nu este afectată negativ de publicarea inutilă a incidentelor de securitate consemnate de aceștia și că operatorii pot fi trași la răspundere pentru informațiile pierdute de autoritățile competente sau de punctele unice de contact. În plus, trebuie inițiat un dialog între operatori și autoritățile competente și trebuie încurajată participarea operatorilor de piață în toate forurile, inclusiv în rețeaua de cooperare.

Raportoarea pentru aviz consideră, de asemenea, că participarea autorităților competente și/sau a punctelor unice de contact trebuie să se bazeze în principal pe încredere, în special în ceea ce privește schimbul de informații. Pentru a garanta acest lucru, directiva ar trebui să includă dispoziții privind cerințele în materie de confidențialitate și de securitate ale rețelelor.

AMENDAMENTE

Comisia pentru industrie, cercetare și energie recomandă Comisiei pentru piața internă și protecția consumatorilor, competentă în fond, să includă în raportul său următoarele amendamente:

Amendamentul  1

Propunere de directivă

Considerentul 1

Textul propus de Comisie

Amendamentul

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru libertatea și securitatea generală ale cetățenilor UE, precum și pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

Amendamentul  2

Propunere de directivă

Considerentul 2

Textul propus de Comisie

Amendamentul

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii.

(2) Amploarea, frecvența și impactul incidentelor de securitate este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Aceste sisteme pot să devină, de asemenea, o țintă ușoară pentru acțiunile dăunătoare deliberate menite să afecteze sau să întrerupă funcționarea sistemelor. Astfel de incidente pot să amenințe sănătatea și siguranța populației, să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și a investitorilor și să provoace pagube majore economiei Uniunii.

Justificare

Atacurile cibernetice asupra societăților cotate la bursă sunt răspândite pe scară largă și includ furtul de active financiare și de proprietate intelectuală sau perturbarea operațiunilor clienților sau partenerilor de afaceri ai acestora și ar putea avea un impact asupra relațiilor cu acționarii, precum și asupra deciziei potențialilor investitori.

Amendamentul  3

Propunere de directivă

Considerentul 3

Textul propus de Comisie

Amendamentul

(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne.

(3) Ca instrumente de comunicare fără frontiere tradiționale, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor, ideilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne și, de asemenea, pentru funcționarea piețelor externe.

Justificare

Reziliența și stabilitatea rețelelor și a sistemelor informatice de pe piața internă sunt, de asemenea, esențiale pentru interacțiunea cu piețele de la nivel mondial și regional, cum sunt cele din America de Nord sau Asia etc.

Amendamentul  4

Propunere de directivă

Considerentul 4

Textul propus de Comisie

Amendamentul

(4) Trebuie stabilit un mecanism de cooperare la nivelul Uniunii, care să permită schimbul de informații, precum și detectarea și răspunsul coordonate în ceea ce privește securitatea rețelelor și a informației (network and information security - NIS). Pentru ca acest mecanism să fie eficace și să includă toate statele membre, este esențial ca acestea să dispună de capacitățile minime necesare și de o strategie care să asigure un nivel ridicat de NIS pe teritoriul lor. Administrațiile publice și operatorii infrastructurilor critice de informație trebuie să fie supuși, de asemenea, unor cerințe minime de securitate, pentru a promova o cultură a gestionării riscurilor și a asigura raportarea celor mai grave incidente.

(4) Ar trebui stabilit un mecanism de cooperare la nivelul Uniunii, care să permită schimbul de informații, precum și prevenirea, detectarea și răspunsul coordonate în ceea ce privește securitatea rețelelor și a informației (network and information security NIS). Pentru ca acest mecanism să fie eficace și să includă toate statele membre, este esențial ca acestea să dispună de capacitățile minime necesare și de o strategie care să asigure un nivel ridicat de NIS pe teritoriul lor. Operatorii publici și privați ai infrastructurilor de informație și societățile cotate la bursă ar trebui să fie supuși, de asemenea, unor cerințe minime de securitate, pentru a promova o cultură a gestionării riscurilor și a asigura raportarea celor mai grave incidente. Cadrul juridic ar trebui să se întemeieze pe nevoia de a garanta viața privată și integritatea cetățenilor. Rețeaua de alertă privind infrastructurile critice (CIWIN) ar trebui extinsă la acești operatori specifici.

Justificare

Încălcările securității societăților cotate la bursă ar putea afecta în mod grav produsele și serviciile societății, relațiile sale cu clienții sau furnizorii și condițiile generale de concurență și, prin urmare, ar putea avea un impact major asupra funcționării pieței interne (și externe). Prin urmare, societățile cotate la bursă ar trebui să intre, de asemenea, sub incidența prezentei directive.

Amendamentul  5

Propunere de directivă

Considerentul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) Prezenta directivă ar trebui să se axeze pe infrastructura critică esențială pentru menținerea activităților economice și sociale vitale din domeniul energetic, al transporturilor, bancar, al infrastructurii piețelor financiare și al sănătății.

Amendamentul  6

Propunere de directivă

Considerentul 4 b (nou)

Textul propus de Comisie

Amendamentul

 

(4b) Pentru a garanta că guvernele nu își depășesc competențele și nu fac abuz de acestea, este foarte important ca sistemele informatice și de securitate ale autorităților publice să fie transparente, legitime, bine definite și adoptate în mod transparent prin intermediul unui proces democratic.

Amendamentul  7

Propunere de directivă

Considerentul 6

Textul propus de Comisie

Amendamentul

(6) Capacitățile existente nu sunt suficiente pentru a asigura un nivel ridicat de securitate a rețelelor și a informației în Uniune. Statele membre au niveluri de pregătire foarte diferite care conduc la existența în Uniune a unor abordări fragmentate. Acest lucru determină un nivel inegal de protecție a consumatorilor și a întreprinderilor și subminează nivelul general de securitate a rețelelor și a informației în Uniune. La rândul său, lipsa unor cerințe minime comune pentru administrațiile publice și operatorii de piață face imposibilă instituirea unui mecanism global eficace de cooperare la nivelul Uniunii.

(6) Capacitățile existente nu sunt suficiente pentru a asigura un nivel ridicat de securitate a rețelelor și a informației în Uniune. Statele membre au niveluri de pregătire foarte diferite care conduc la existența în Uniune a unor abordări fragmentate. Acest lucru determină un nivel inegal de protecție a consumatorilor și a întreprinderilor și subminează nivelul general de securitate a rețelelor și a informației în Uniune. La rândul său, lipsa unor cerințe minime comune pentru operatorii de piață face imposibilă instituirea unui mecanism global eficace de cooperare la nivelul Uniunii, ceea ce prejudiciază, în plus, eficacitatea cooperării internaționale și, prin urmare, lupta împotriva provocărilor de securitate de la nivel mondial și subminează poziția de lider mondial a Uniunii în ceea ce privește apărarea și promovarea unui internet deschis, eficient și sigur.

Amendamentul  8

Propunere de directivă

Considerentul 7

Textul propus de Comisie

Amendamentul

(7) Prin urmare, pentru a răspunde cu eficacitate la provocările din domeniul securității rețelelor și a sistemelor informatice este necesară o abordare globală la nivelul Uniunii, care să includă crearea capacităților comune minime și cerințele de planificare, schimbul de informații și coordonarea acțiunilor, precum și cerințele minime comune de securitate pentru toți operatorii de piață în cauză și pentru administrațiile publice.

(7) Prin urmare, pentru a răspunde cu eficacitate la provocările din domeniul securității rețelelor și a sistemelor informatice este necesară o abordare globală la nivelul Uniunii, care să includă crearea capacităților comune minime și cerințele de planificare, dezvoltarea unor competențe suficiente în materie de securitate cibernetică, schimbul de informații și coordonarea acțiunilor, precum și cerințele minime comune de securitate. Ar trebui aplicate standarde comune minime în conformitate cu recomandările corespunzătoare ale grupurilor de coordonare a securității cibernetice (CSGC).

Amendamentul  9

Propunere de directivă

Considerentul 9

Textul propus de Comisie

Amendamentul

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și al Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale.

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru ar trebui să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și la nivelul Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale, pe baza cerințelor minime prevăzute în prezenta directivă. Prin urmare, fiecare stat membru ar trebui să aibă obligația de a îndeplini standarde comune privind formatul și caracterul reciproc compatibil al datelor care urmează să fie partajate și evaluate. Statele membre pot solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor („ENISA”) la elaborarea strategiilor lor naționale în domeniul securității rețelelor și informației, pe baza unui proiect de strategie minimă comună în domeniul securității rețelelor și a informației.

Justificare

ENISA este deja recunoscută de părțile interesate relevante ca fiind un centru de excelență cu înalte competențe și un instrument de încredere pentru promovarea securității cibernetice în UE. Prin urmare, UE ar trebui să evite suprapunerea eforturilor și a structurilor, bazându-se pe know-how-ul deținut de ENISA și să solicite acesteia să ofere servicii de consiliere acelor state membre care nu dispun de instituții și de competențe de specialitate în domeniul securității rețelelor și a informației și care solicită un astfel de sprijin.

Amendamentul  10

Propunere de directivă

Considerentul 10

Textul propus de Comisie

Amendamentul

(10) Pentru a asigura aplicarea eficace a dispozițiilor adoptate în temeiul prezentei directive, trebuie înființat sau identificat în fiecare stat membru un organism responsabil cu coordonarea problemelor de securitate a rețelelor și a informației, care să constituie punctul focal al cooperării transfrontaliere la nivelul Uniunii. Aceste organisme trebuie să dispună de resurse tehnice, financiare și umane adecvate, pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive.

(10) Pentru a asigura aplicarea eficace a dispozițiilor adoptate în temeiul prezentei directive, ar trebui înființat sau identificat în fiecare stat membru un organism responsabil cu coordonarea problemelor de securitate a rețelelor și a informației, care să constituie punctul focal unic atât al coordonării interne, cât și al cooperării transfrontaliere la nivelul Uniunii. Aceste puncte de contact naționale unice ar trebui desemnate fără a împiedica statele membre să își desemneze mai mult de o autoritate competentă națională responsabilă cu securitatea rețelelor și a informației, în conformitate cu cerințele lor constituționale, jurisdicționale sau administrative, dar totuși ar trebui să li se acorde un mandat de coordonare la nivel național și la nivelul Uniunii. Aceste organisme ar trebui să dispună de resurse tehnice, financiare și umane adecvate, pentru a-și îndeplini în mod continuu, eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive.

Amendamentul  11

Propunere de directivă

Considerentul 10 a (nou)

Textul propus de Comisie

Amendamentul

 

(10a) Având în vedere diferențele dintre diversele structuri administrative naționale și pentru a menține mecanismele sectoriale deja existente, evitând suprapunerile, statele membre ar trebui să aibă posibilitatea de a desemna la nivel național mai multe autorități competente responsabile cu îndeplinirea sarcinilor legate de securitatea rețelelor și a sistemelor informatice ale operatorilor de piață care fac obiectul prezentei directive. Însă pentru a asigura o bună cooperare și comunicare transfrontaliere, este necesar ca fiecare stat membru să desemneze un singur punct unic de contact național pentru cooperarea transfrontalieră la nivel european. În cazul în care prevederile constituționale sau alte prevederi impun acest lucru, un stat membru ar trebui să aibă posibilitatea să desemneze o singură autoritate care să îndeplinească sarcinile autorității competente și ale punctului unic de contact.

Amendamentul  12

Propunere de directivă

Considerentul 11

Textul propus de Comisie

Amendamentul

(11) Toate statele membre trebuie să fie echipate în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse rețelele și sistemele informatice. Prin urmare, în toate statele membre trebuie înființate echipe de intervenție în caz de urgență informatică funcționale și care să respecte cerințele esențiale, pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii.

(11) Toate statele membre și operatorii de piață ar trebui să fie echipați în mod adecvat, din punctul de vedere al capacității atât tehnice, cât și organizatorice, pentru a preveni, a detecta, a combate și a atenua incidentele și riscurile la care sunt supuse în orice moment rețelele și sistemele informatice. Sistemele de securitate ale administrațiilor publice trebuie să fie sigure și să fie supuse unui control și unei examinări democratice. Echipamentele și capacitățile necesare în mod normal ar trebui să respecte standardele tehnice convenite de comun acord, precum și procedurile standard de operare (PSO). Prin urmare, în toate statele membre ar trebui înființate centre de răspuns la incidente de securitate cibernetică (CERT) funcționale care să respecte cerințele esențiale, pentru a garanta existența capacităților eficace și compatibile care să administreze incidentele și riscurile și să asigure o cooperare eficientă la nivelul Uniunii. Aceste CERT ar trebui să aibă capacitatea de a interacționa pe baza unor standarde tehnice comune și a unor proceduri standard de operare (PSO). Având în vedere caracteristicile diferite ale centrelor de răspuns la incidente de securitate cibernetică (CERT) existente, care corespund unor nevoi tematice și actori diferiți, statele membre ar trebui să garanteze că fiecare dintre sectoarele vizate de anexa II beneficiază de servicii din partea cel puțin unui centru CERT. În ceea ce privește cooperarea transfrontalieră dintre centrele CERT, statele membre ar trebui să garanteze faptul că centrele CERT dispun de mijloace suficiente pentru a participa la rețelele de cooperare de la nivel european și internațional deja existente.

Justificare

Trebuie să se asigure interoperabilitatea.

Amendamentul  13

Propunere de directivă

Considerentul 12

Textul propus de Comisie

Amendamentul

(12) Pe baza progreselor semnificative obținute în cadrul Forumului european al statelor membre (FESM) în încurajarea dezbaterilor și a schimburilor de bune practici, inclusiv a elaborării principiilor de cooperare în caz de criză informatică europeană, statele membre și Comisia trebuie să formeze o rețea prin intermediul căreia să comunice permanent și care să susțină cooperarea lor. Acest mecanism de cooperare sigur și eficace trebuie să permită schimbul de informații, detectarea și răspunsul structurate și coordonate la nivelul Uniunii.

(12) Pe baza progreselor semnificative obținute în cadrul Forumului european al statelor membre (FESM) în încurajarea dezbaterilor și a schimburilor de bune practici, inclusiv a elaborării principiilor de cooperare în caz de criză informatică europeană, statele membre și Comisia ar trebui să formeze o rețea prin intermediul căreia să comunice permanent și care să susțină cooperarea lor. Acest mecanism de cooperare sigur și eficace, la care este asigurată participarea operatorilor de piață, ar trebui să permită schimbul de informații, detectarea și răspunsul structurate și coordonate la nivelul Uniunii.

Amendamentul  14

Propunere de directivă

Considerentul 13

Textul propus de Comisie

Amendamentul

(13) Este necesar ca Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) să asiste statele membre și Comisia, oferind experiența sa, asigurând consiliere și facilitând schimbul de bune practici. În special la aplicarea prezentei directive, Comisia trebuie să consulte ENISA. Pentru a asigura o informare eficace și în timp util a statelor membre și a Comisiei, în rețeaua de cooperare trebuie să poată fi transmise alerte rapide cu privire la incidente și riscuri. În vederea dezvoltării capacităților și a cunoștințelor statelor membre, rețeaua de cooperare trebuie să funcționeze, de asemenea, ca un instrument pentru schimbul de bune practici, asistând membrii săi la crearea capacităților și coordonând organizarea evaluărilor inter pares și a exercițiilor de NIS.

(13) Este necesar ca Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) să asiste statele membre și Comisia, oferind experiența sa, asigurând consiliere și facilitând schimbul de bune practici. În special la aplicarea prezentei directive, Comisia și statele membre trebuie să consulte ENISA. Pentru a asigura o informare eficace și în timp util a statelor membre și a Comisiei, în rețeaua de cooperare trebuie să poată fi transmise alerte rapide cu privire la incidente și riscuri. În vederea dezvoltării capacităților și a cunoștințelor statelor membre, rețeaua de cooperare trebuie să funcționeze, de asemenea, ca un instrument pentru schimbul de bune practici, asistând membrii săi la crearea capacităților și coordonând organizarea evaluărilor inter pares și a exercițiilor de NIS.

Amendamentul  15

Propunere de directivă

Considerentul 14

Textul propus de Comisie

Amendamentul

(14) Trebuie creată o infrastructură de schimb de informații securizată, care să permită schimbul de informații sensibile și confidențiale în rețeaua de cooperare. Fără a aduce atingere obligației de a notifica rețelei de cooperare incidentele și riscurile care ating o dimensiune europeană, accesul la informațiile confidențiale provenind de la alte state membre trebuie acordat numai statelor membre care demonstrează că procedurile și resursele lor tehnice, financiare și umane, precum și infrastructura lor de comunicații le garantează o participare în rețea eficace, eficientă și sigură.

(14) Ar trebui creată o infrastructură de schimb de informații securizată, sub supravegherea ENISA, care să permită schimbul de informații sensibile și confidențiale în rețeaua de cooperare. Fără a aduce atingere obligației de a notifica rețelei de cooperare incidentele și riscurile care ating o dimensiune europeană, accesul la informațiile confidențiale provenind de la alte state membre ar trebui acordat numai statelor membre care demonstrează că procedurile și resursele lor tehnice, financiare și umane, precum și infrastructura lor de comunicații le garantează o participare în rețea eficace, eficientă și sigură. Pentru a permite rețelei de cooperare să își îndeplinească în mod eficient misiunea, Comisia ar trebui să creeze o linie bugetară destinată rețelei.

Amendamentul  16

Propunere de directivă

Considerentul 14 a (nou)

Textul propus de Comisie

Amendamentul

 

(14a) Dacă este cazul, operatorii de piață pot fi, de asemenea, invitați să participe la activitățile rețelei de cooperare.

Amendamentul  17

Propunere de directivă

Considerentul 15

Textul propus de Comisie

Amendamentul

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia trebuie, de asemenea, să coopereze cu sectorul public și să facă schimb de informații și de bune practici, în schimbul sprijinului operațional în caz de incident.

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață ar trebui încurajați să își creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia ar trebui, de asemenea, să coopereze cu sectorul public și să facă schimb reciproc de informații și de bune practici, caracterul reciproc aplicându-se inclusiv schimbului de informații relevante, de sprijin operațional și de informații analizate din punct de vedere strategic, în caz de incidente. Pentru a încuraja în mod eficace schimbul de informații și de bune practici, este esențial să se asigure că operatorii de piață care participă la astfel de schimburi nu sunt dezavantajați ca urmare a cooperării lor. Sunt necesare garanții adecvate pentru a se asigura că o astfel de cooperare nu va expune operatorii în cauză la un risc de conformitate mai mare sau la noi obligații în temeiul legislației privind concurența, proprietatea intelectuală, protecția datelor sau criminalitatea informatică, printre altele, nici nu îi va expune la riscuri operaționale sau de securitate mai mari.

Amendamentul  18

Propunere de directivă

Considerentul 16

Textul propus de Comisie

Amendamentul

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie să creeze un site web comun, pe care să publice informații neconfidențiale despre incidente și riscuri.

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, punctele unice de contact ar trebui să creeze un site web comun, la nivelul Uniunii, unde să publice informații neconfidențiale despre incidente, riscuri și modalități de atenuare a acestora și unde să ofere, ulterior, consiliere cu privire la măsurile adecvate de întreținere.

Amendamentul  19

Propunere de directivă

Considerentul 17

Textul propus de Comisie

Amendamentul

(17) Dacă informațiile sunt considerate confidențiale în conformitate cu normele Uniunii și cele naționale privind secretul comercial, această confidențialitate trebuie asigurată atunci când se efectuează activitățile și se îndeplinesc obiectivele stabilite de prezenta directivă.

(17) Politica de clasificare a informațiilor menționată la considerentul 14 ar trebui să respecte Protocolul TLP (Traffic Light Protocol) privind schimbul de informații recomandat de ENISA. Toate schimburile de informații se clasifică și se gestionează în funcție de nivelul lor de sensibilitate, astfel cum este stabilit de sursa informațiilor. Dacă informațiile sunt considerate confidențiale în conformitate cu normele Uniunii și cele naționale privind secretul comercial, această confidențialitate trebuie asigurată atunci când se efectuează activitățile și se îndeplinesc obiectivele stabilite de prezenta directivă.

Amendamentul  20

Propunere de directivă

Considerentul 18

Textul propus de Comisie

Amendamentul

(18) În special pe baza experiențelor naționale în materie de gestionare a crizelor și în cooperare cu ENISA, Comisia și statele membre elaborează un plan al Uniunii de cooperare în domeniul securității rețelelor și a informației, care definește mecanismele de cooperare pentru contracararea riscurilor și a incidentelor. La administrarea avertismentelor rapide în cadrul rețelei de cooperare, trebuie să se țină seama în mod corespunzător de acest plan.

(18) În special pe baza experiențelor naționale în materie de gestionare a crizelor și în cooperare cu ENISA, Comisia și statele membre elaborează un plan al Uniunii de cooperare în domeniul securității rețelelor și a informației, care definește mecanismele de cooperare, bunele practici și modelele de funcționare pentru prevenirea, depistarea, raportarea și contracararea riscurilor și a incidentelor. La administrarea avertismentelor rapide în cadrul rețelei de cooperare, ar trebui să se țină seama în mod corespunzător de acest plan.

Amendamentul  21

Propunere de directivă

Considerentul 19

Textul propus de Comisie

Amendamentul

(19) Transmiterea în rețea a unei alerte rapide trebuie impusă numai dacă amploarea și gravitatea incidentului sau a riscului în cauză ating sau pot atinge un nivel la care este necesară o informare sau o coordonare a răspunsului la nivelul Uniunii. Prin urmare, alertele rapide trebuie să se limiteze la incidentele sau la riscurile reale sau potențiale care se extind rapid, depășesc capacitatea națională de răspuns sau afectează mai multe state membre. Pentru a permite o evaluare corectă, toate informațiile relevante pentru evaluarea riscului sau a incidentului trebuie comunicate rețelei de cooperare.

(19) Transmiterea în rețea a unei alerte rapide ar trebui impusă numai dacă amploarea și gravitatea incidentului sau a riscului în cauză ating sau pot atinge un nivel la care este necesară o informare sau o coordonare a răspunsului la nivelul Uniunii. Prin urmare, alertele rapide ar trebui să se limiteze la incidentele sau la riscurile care se extind rapid, depășesc capacitatea națională de răspuns sau afectează mai multe state membre. Pentru a permite o evaluare corectă, toate informațiile relevante pentru evaluarea riscului sau a incidentului ar trebui comunicate rețelei de cooperare.

Amendamentul  22

Propunere de directivă

Considerentul 20

Textul propus de Comisie

Amendamentul

(20) După primirea și evaluarea unei alerte rapide, autoritățile competente trebuie să convină asupra unui răspuns coordonat, în conformitate cu planul Uniunii de cooperare în domeniul securității rețelelor și a informației. Autoritățile competente și Comisia trebuie informate cu privire la măsurile adoptate la nivel național ca urmare a răspunsului coordonat.

(20) După primirea și evaluarea unei alerte rapide, punctele unice de contact ar trebui să convină asupra unui răspuns coordonat, în conformitate cu planul Uniunii de cooperare în domeniul securității rețelelor și a informației. Punctele unice de contact, ENISA și Comisia ar trebui informate cu privire la măsurile adoptate la nivel național ca urmare a răspunsului coordonat.

Amendamentul  23

Propunere de directivă

Considerentul 22

Textul propus de Comisie

Amendamentul

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură administrațiilor publice și operatorilor de piață. Trebuie promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor întâmpinate. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme care să asigure o cooperare eficientă între toate statele membre.

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură administrațiilor publice și operatorilor de piață. Ar trebui promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, a cooperării strânse și a încrederii, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor întâmpinate. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme și de încredere care să asigure o cooperare eficace între toate statele membre.

Amendamentul  24

Propunere de directivă

Considerentul 24

Textul propus de Comisie

Amendamentul

(24) Aceste obligații trebuie extinse dincolo de sectorul comunicațiilor electronice la principalii furnizori de servicii ale societății informaționale, definite în Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 referitoare la procedura de furnizare de informații în domeniul standardelor, reglementărilor tehnice și al normelor privind serviciile27 societății informaționale, pe care se bazează serviciile din aval ale societății informaționale sau activitățile online, cum ar fi platformele de comerț electronic, serviciile de procesare a plăților online, rețelele de socializare, motoarele de căutare, serviciile de cloud computing sau vânzarea de aplicații. Perturbarea acestor servicii suport ale societății informaționale împiedică furnizarea altor servicii ale societății informaționale care se bazează pe primele ca elemente-cheie. Dezvoltatorii de programe informatice și producătorii de echipamente informatice nu sunt furnizori de servicii ale societății informaționale și, prin urmare, se exclud. Aceste obligații trebuie extinse, de asemenea, la administrațiile publice și la operatorii de infrastructură critică, ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, bursele și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă.

(24) Aceste obligații ar trebui extinse dincolo de sectorul comunicațiilor electronice la operatorii de infrastructură ce utilizează intens tehnologia informației și comunicațiilor și sunt esențiali pentru funcționarea sectoarelor vitale ale economiei sau societății, cum ar fi energia electrică și gazele naturale, transporturile, instituțiile de credit, infrastructurile piețelor financiare și sănătatea. Perturbarea acestor rețele și sisteme informatice ar afecta piața internă. Deși obligațiile prevăzute în prezenta directivă nu se aplică principalilor furnizori de servicii ale societății informaționale, definiți în Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de informații în domeniul standardelor și reglementărilor tehnice și al normelor privind serviciile societății informaționale27, pe care se bazează serviciile din aval ale societății informaționale sau activitățile online, cum ar fi platformele de comerț electronic, serviciile de procesare a plăților online, rețelele de socializare, motoarele de căutare, serviciile de cloud computing în general sau vânzarea de aplicații, aceștia pot informa în mod voluntar autoritatea competentă sau punctul unic de contact cu privire la incidentele legate de securitatea rețelelor pe care le consideră pertinente, iar autoritatea competentă sau punctul unic de contact ar trebui să prezinte, dacă acest lucru este posibil în mod rezonabil, operatorilor de piață care au comunicat incidentul informații analizate din punct de vedere strategic care vor fi utile pentru eliminarea amenințării la adresa securității.

__________________

__________________

27 JO L 204, 21.7.1998, p. 37.

27 JO L 204, 21.7.1998, p. 37.

Amendamentul  25

Propunere de directivă

Considerentul 25

Textul propus de Comisie

Amendamentul

(25) Măsurile tehnice și organizatorice impuse administrațiilor publice și operatorilor de piață nu trebuie să implice proiectarea, dezvoltarea sau fabricarea într-un anumit mod a unui anumit produs comercial al tehnologiei informației și comunicațiilor.

(25) Măsurile tehnice și organizatorice impuse operatorilor de piață nu ar trebui să implice proiectarea, dezvoltarea sau fabricarea într-un anumit mod a unui anumit produs comercial al tehnologiei informației și comunicațiilor. Pe de altă parte, ar trebui impusă utilizarea standardelor internaționale în materie de securitate cibernetică.

Amendamentul  26

Propunere de directivă

Considerentul 28

Textul propus de Comisie

Amendamentul

(28) Autoritățile competente trebuie să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Anunțarea publică a incidentelor raportate autorităților competente trebuie să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi administrațiile publice și operatorii de piață care raportează incidentele. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente trebuie să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de apariția unor soluții de securitate adecvate.

(28) Autoritățile competente și punctele unice de contact ar trebui să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Vulnerabilitățile sau incidentele necunoscute anterior raportate autorităților competente ar trebui notificate producătorilor și furnizorilor de servicii ale căror produse și servicii TIC sunt afectate. Anunțarea publică a incidentelor raportate autorităților competente și punctelor unice de contact ar trebui să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi administrațiile publice și operatorii de piață care raportează incidentele. Pentru a asigura încrederea și eficiența, anunțarea publică a incidentelor se va face numai după consultarea persoanelor care au raportat incidentul și numai atunci când acest lucru este strict necesar pentru realizarea obiectivelor prezentei directive. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente și punctele unice de contact ar trebui să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de implementarea unor soluții de securitate adecvate, fără a întârzia însă nicio notificare mai mult decât este necesar în mod obligatoriu. Ca regulă generală, punctele unice de contact nu ar trebui să comunice datele personale ale persoanelor implicate în incidente. Punctele unice de contact ar trebui să comunice astfel de date doar în cazurile în care acest lucru este necesar și proporțional cu obiectivul urmărit.

Justificare

În cazul în care autoritățile au cunoștință de vulnerabilitățile anumitor produse sau servicii TIC, acestea ar trebui să notifice producătorii și furnizorii de servicii pentru a le permite să își adapteze în timp util produsele și serviciile.

Amendamentul  27

Propunere de directivă

Considerentul 29

Textul propus de Comisie

Amendamentul

(29) Autoritățile competente trebuie să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, inclusiv de împuternicirea de a solicita operatorilor de piață și administrațiilor publice suficiente informații pentru a putea evalua nivelul de securitate al rețelelor și al sistemelor informatice, precum și date credibile și cuprinzătoare privind incidentele reale care au avut impact asupra funcționării rețelelor și a sistemelor informatice.

(29) Autoritățile competente și punctele unice de contact ar trebui să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, inclusiv de împuternicirea de a solicita operatorilor de piață și administrațiilor publice suficiente informații pentru a putea evalua nivelul de securitate al rețelelor și al sistemelor informatice, a măsura numărul, amploarea și sfera incidentelor, precum și date credibile și cuprinzătoare privind incidentele reale care au avut un impact asupra funcționării rețelelor și a sistemelor informatice.

Amendamentul  28

Propunere de directivă

Considerentul 30

Textul propus de Comisie

Amendamentul

(30) În multe cazuri, incidentele sunt rezultatul activităților infracționale. Caracterul penal al incidentelor poate fi presupus, chiar dacă dovezile care îl atestă nu sunt suficient de clare de la început. În acest context, cooperarea adecvată dintre autoritățile competente și autoritățile de aplicare a legii trebuie să facă parte din răspunsul global eficace dat amenințării pe care o reprezintă incidentele de securitate. Pentru promovarea unui mediu sigur, securizat și mai rezilient este nevoie, în special, de raportarea în mod sistematic către autoritățile de aplicare a legii a incidentelor cu presupus caracter penal grav. Caracterul penal grav al incidentelor trebuie evaluat în lumina legislației UE privind criminalitatea informatică.

(30) În multe cazuri, incidentele sunt rezultatul activităților infracționale sau al războiului cibernetic. Caracterul penal al incidentelor poate fi presupus, chiar dacă dovezile care îl atestă s-ar putea să nu fie suficient de clare de la început. În acest context, cooperarea adecvată dintre autoritățile competente, punctele unice de contact și autoritățile de aplicare a legii, precum și cooperarea cu EC3 (Centrul Europol de combatere a criminalității informatice) și cu ENISA ar trebui să facă parte din răspunsul global eficace dat amenințării pe care o reprezintă incidentele de securitate. Pentru promovarea unui mediu sigur, securizat și mai rezilient este nevoie, în special, de raportarea în mod sistematic către autoritățile de aplicare a legii a incidentelor cu presupus caracter penal grav. Caracterul penal grav al incidentelor ar trebui evaluat în lumina legislației UE privind criminalitatea informatică.

Amendamentul  29

Propunere de directivă

Considerentul 31

Textul propus de Comisie

Amendamentul

(31) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. În acest context, autoritățile competente și autoritățile de protecție a datelor trebuie să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru abordarea cazurilor de încălcare a securității datelor cu caracter personal în urma unor incidente. Statele membre trebuie să pună în aplicare obligația de a notifica incidentele de securitate într-un mod care reduce la minimum sarcina administrativă în cazurile în care incidentul de securitate este și o încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date28. Colaborând cu autoritățile competente și cu autoritățile de protecție a datelor, ENISA poate contribui la elaborarea unor mecanisme și formulare de schimb de informații, care să evite necesitatea de a utiliza două formulare de notificare. Formularul unic de notificare facilitează raportarea incidentelor care compromit datele cu caracter personal, reducând astfel sarcina administrativă impusă întreprinderilor și administrațiilor publice.

(31) În multe cazuri, datele cu caracter personal sunt compromise în urma unor incidente. Statele membre și operatorii de piață ar trebui să asigure protecția datelor cu caracter personal stocate, prelucrate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau modificării accidentale și a stocării, accesării, divulgării sau diseminării neautorizate sau ilegale și să asigure punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal. În acest context, autoritățile competente, punctele unice de contact și autoritățile de protecție a datelor ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante pentru abordarea cazurilor de încălcare a securității datelor cu caracter personal în urma unor incidente. Obligația de a notifica incidentele de securitate ar trebui îndeplinită într-un mod care reduce la minimum sarcina administrativă în cazurile în care incidentul de securitate este și o încălcare a securității datelor cu caracter personal ce trebuie notificată în conformitate cu legislația aplicabilă. ENISA ar trebui să contribuie prin elaborarea unor mecanisme de schimb de informații și a unui formular unic de notificare pentru facilitarea raportării incidentelor care compromit datele cu caracter personal, reducând astfel sarcina administrativă impusă întreprinderilor și administrațiilor publice.

__________________

 

28 SEC(2012) 72 final

 

Justificare

Aliniere la proiectul de directivă privind protecția datelor.

Amendamentul  30

Propunere de directivă

Considerentul 32

Textul propus de Comisie

Amendamentul

(32) Standardizarea cerințelor de securitate este un proces impulsionat de piață. Pentru a asigura o aplicare convergentă a standardelor de securitate, statele membre trebuie să încurajeze respectarea standardelor indicate sau conformitatea cu acestea, în vederea garantării unui nivel ridicat de securitate la nivelul Uniunii. În acest scop, ar putea fi necesară elaborarea unor standarde armonizate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului29.

(32) Standardizarea cerințelor de securitate este un proces impulsionat de piață, de natură voluntară, care ar trebui să permită participanților pe piață să recurgă la mijloace alternative pentru a obține rezultate cel puțin similare. Pentru a asigura o aplicare convergentă a standardelor de securitate, statele membre ar trebui să încurajeze respectarea standardelor indicate cu caracter interoperabil specificat sau conformitatea cu acestea, în vederea garantării unui nivel ridicat de securitate la nivelul Uniunii. În acest scop, este necesar să se ia în considerare aplicarea unor standarde internaționale deschise privind securitatea rețelelor și a informațiilor sau conceperea unor astfel de instrumente. Un alt pas înainte necesar ar putea fi elaborarea unor standarde armonizate în conformitate cu Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului29. În special, ETSI, CEN și CENELEC ar trebui să fie abilitate să sugereze standarde de securitate deschise ale UE eficace și eficiente, în care să fie evitate pe cât posibil preferințele tehnologice și care ar trebui să fie concepute astfel încât să fie ușor de gestionat de către participanții mici și mijlocii de pe piață. Standardele internaționale din domeniul securității cibernetice ar trebui verificate cu atenție pentru a se asigura că nu au fost compromise și că oferă niveluri adecvate de securitate, garantându-se astfel că obiectivul propus vizând respectarea standardelor de securitate sporește nivelul general de securitate cibernetică al Uniunii și nu acționează în mod contrar.

__________________

__________________

29 JO L 316, 14.11.2012, p. 12.

29 JO L 316, 14.11.2012, p. 12.

Amendamentul  31

Propunere de directivă

Considerentul 33

Textul propus de Comisie

Amendamentul

(33) Comisia trebuie să revizuiască periodic prezenta directivă, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției tehnologiei sau a condițiilor de piață.

(33) Comisia ar trebui să reexamineze periodic prezenta directivă, consultându-se cu toate părțile interesate, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției condițiilor sociale, politice, tehnologice sau de piață.

Amendamentul  32

Propunere de directivă

Considerentul 34

Textul propus de Comisie

Amendamentul

(34) Pentru a permite buna funcționare a rețelei de cooperare, Comisiei trebuie să i se delege competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene referitoare la definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, specificarea mai detaliată a evenimentelor care declanșează alerta rapidă și definirea circumstanțelor în care operatorii de piață și administrațiile publice au obligația de a notifica incidentele.

eliminat

Amendamentul  33

Propunere de directivă

Considerentul 35

Textul propus de Comisie

Amendamentul

(35) Este deosebit de important ca, în cursul activităților sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și redactează acte delegate, Comisia trebuie să asigure transmiterea simultană, în timp util și în mod adecvat a documentelor relevante către Parlamentul European și Consiliu.

(35) Este deosebit de important ca, în cursul activităților sale pregătitoare, Comisia să organizeze consultări adecvate, incluzând toate părțile interesate, în special la nivel de experți. Comisia ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și Consiliu.

Amendamentul  34

Propunere de directivă

Considerentul 36

Textul propus de Comisie

Amendamentul

(36) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentei directive, Comisiei trebuie să i se confere competențe de executare în ceea ce privește cooperarea dintre autoritățile competente și Comisie în cadrul rețelei de cooperare, accesul la infrastructura securizată de schimb de informații, planul Uniunii de cooperare în domeniul securității rețelelor și a informației, formularele și procedurile aplicabile pentru informarea publicului cu privire la incidente și standardele și/sau specificațiile tehnice relevante pentru securitatea rețelelor și a informației. Aceste competențe trebuie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie30.

(36) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentei directive, Comisiei ar trebui să i se confere competențe de executare în ceea ce privește cooperarea dintre punctele unice de contact și Comisie în cadrul rețelei de cooperare, fără a aduce atingere mecanismelor de cooperare existente la nivel național, setului comun de standarde de interconectare și securitate pentru infrastructura securizată de schimb de informații, planului Uniunii de cooperare în domeniul securității rețelelor și a informației și formatelor și procedurilor aplicabile pentru notificarea incidentelor semnificative. Aceste competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie30.

__________________

__________________

30 JO L 55, 28.2.2011, p.13.

30 JO L 55, 28.2.2011, p.13.

Amendamentul  35

Propunere de directivă

Considerentul 37

Textul propus de Comisie

Amendamentul

(37) În ceea ce privește aplicarea prezentei directive, Comisia trebuie să colaboreze, după caz, cu comitetele sectoriale relevante și cu organismele relevante instituite la nivelul UE în special în domeniile energiei, transporturilor și sănătății.

(37) În ceea ce privește aplicarea prezentei directive, Comisia ar trebui să colaboreze, după caz, cu comitetele sectoriale relevante și cu organismele relevante instituite la nivelul UE, în special în domeniile guvernării electronice, energiei, transporturilor și sănătății.

Amendamentul  36

Propunere de directivă

Considerentul 38

Textul propus de Comisie

Amendamentul

(38) Informațiile considerate confidențiale de către o autoritate competentă în conformitate cu normele Uniunii și cele naționale privind secretul comercial trebuie să facă obiectul schimbului de informații cu Comisia și cu alte autorități competente, numai dacă acest lucru este strict necesar pentru aplicarea prezentei directive. Schimbul de informații trebuie să se limiteze la informațiile relevante și să fie proporțional cu scopul urmărit.

(38) Informațiile considerate confidențiale de către o autoritate competentă sau un punct unic de contact în conformitate cu normele Uniunii și cu normele naționale privind confidențialitatea în afaceri ar trebui să facă obiectul schimbului de informații cu Comisia și cu agențiile relevante ale acesteia, cu punctele unice de contact și/sau cu alte autorități naționale competente, numai dacă acest schimb este strict necesar pentru aplicarea prezentei directive. Schimbul de informații ar trebui să se limiteze la informațiile relevante, necesare și proporționale cu scopul acestuia, respectând în același timp criterii de confidențialitate și securitate prestabilite și protocoale de clasificare care reglementează procedura de schimb de informații.

Amendamentul  37

Propunere de directivă

Considerentul 39

Textul propus de Comisie

Amendamentul

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele31 Parlamentului European, ale Consiliului și ale Comisiei se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente sau punctele unice de contact pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei31 se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare ar trebui să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

__________________

__________________

31 JO L 145, 31.5.2001, p. 43.

31 JO L 145, 31.5.2001, p. 43.

Amendamentul  38

Propunere de directivă

Considerentul 41 a (nou)

Textul propus de Comisie

Amendamentul

 

(41a) În conformitate cu Declarația politică comună a statelor membre și a Comisiei din 28 septembrie 2011 privind documentele explicative, statele membre s-au angajat să anexeze, în cazuri justificate, la notificarea măsurilor lor de transpunere unul sau mai multe documente care explică relația dintre componentele unei directive și părțile corespunzătoare din instrumentele naționale de transpunere. În cazul prezentei directive, legislatorul consideră justificată transmiterea unor astfel de documente.

Amendamentul  39

Propunere de directivă

Articolul 1 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate și eficiente în caz de riscuri și incidente care afectează rețelele și sistemele informatice;

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate și eficiente în caz de riscuri și incidente care afectează rețelele și sistemele informatice, cu participarea părților interesate relevante;

Amendamentul  40

Propunere de directivă

Articolul 1 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Schimbul de informații în cadrul rețelei de cooperare prevăzut la capitol III și notificarea incidentelor de securitate a rețelelor și a informației prevăzută la articolul 14 pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare, care este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, trebuie autorizată de statul membru în temeiul articolului 7 din Directiva 95/46/CE și al Directivei 2002/58/CE, astfel cum au fost transpuse în legislația națională.

(6) Schimbul de informații în cadrul rețelei de cooperare prevăzute la capitolul III și notificarea incidentelor de securitate a rețelelor și a informației prevăzute la articolul 14 pot necesita comunicarea către terțe părți de încredere și prelucrarea datelor cu caracter personal. O astfel de prelucrare, care este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, trebuie autorizată de statul membru în temeiul articolului 7 din Directiva 95/46/CE și al Directivei 2002/58/CE, astfel cum au fost transpuse în legislația națională. Statele membre adoptă măsuri legislative în conformitate cu articolul 13 din Directiva 95/46/CE pentru a se asigura că administrațiile publice, operatorii de piață și autoritățile competente nu sunt trase la răspundere pentru prelucrarea datelor cu caracter personal, necesară pentru schimbul de informații în cadrul rețelei de cooperare și al notificării incidentelor..

Amendamentul  41

Propunere de directivă

Articolul 2 – paragraful 1

Textul propus de Comisie

Amendamentul

Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții care asigură un nivel de securitate mai ridicat și nu aduc atingere obligațiilor lor prevăzute de legislația Uniunii.

Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții care asigură un nivel de securitate mai ridicat, în conformitate cu Carta drepturilor fundamentale a UE, fără a aduce atingere obligațiilor lor prevăzute de legislația Uniunii.

Justificare

Marja de manevră de care se bucură statele membre în materie de securitate trebuie să fie condiționată de respectarea principiilor enunțate în Carta drepturilor fundamentale a Uniunii Europene, care includ, de exemplu, dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, dreptul la libertatea de a desfășura o activitate comercială și dreptul la o cale de atac eficientă în fața unei instanțe judecătorești.

Amendamentul  42

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor electronice, precum și

(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor digitale, precum și

Amendamentul  43

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 1 – litera c

Textul propus de Comisie

Amendamentul

(c) datele electronice stocate, prelucrate, recuperate sau transmise de elementele prevăzute la literele (a) și (b) în vederea funcționării, utilizării, protejării și întreținerii lor.

(c) datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevăzute la literele (a) și (b) în vederea funcționării, utilizării, protejării și întreținerii lor.

Amendamentul  44

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 2

Textul propus de Comisie

Amendamentul

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora; „securitatea”, astfel cum este definită aici, include dispozitive tehnice, soluții și proceduri de funcționare corespunzătoare care asigură cerințele de securitate prevăzute în prezenta directivă.

Amendamentul  45

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 4

Textul propus de Comisie

Amendamentul

4. „incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității;

4. „incident” înseamnă orice circumstanță sau eveniment care poate fi identificat în mod rezonabil și are un efect negativ real asupra securității;

Justificare

Formularea inițială era prea generală și ar fi complicat aplicarea definiției.

Amendamentul  46

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 5

Textul propus de Comisie

Amendamentul

5. „serviciu al societății informaționale” înseamnă un serviciu în sensul articolului 1 punctul 2 din Directiva 98/34/CE;

eliminat

Amendamentul  47

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 8 – litera a

Textul propus de Comisie

Amendamentul

(a) un furnizor de servicii ale societății informaționale care permit furnizarea altor servicii ale societății informaționale; o listă neexhaustivă a acestor furnizori este prevăzută în anexa II;

eliminat

Amendamentul  48

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 7

Textul propus de Comisie

Amendamentul

7. „administrarea incidentului” înseamnă toate procedurile utilizate pentru analiză, limitare și răspuns în cazul unui incident;

7. „administrarea incidentului” înseamnă toate procedurile utilizate pentru detectare, prevenire, analiză, limitare și răspuns în cazul unui incident;

Amendamentul  49

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 8

Textul propus de Comisie

Amendamentul

(a) un furnizor de servicii ale societății informaționale care permit furnizarea altor servicii ale societății informaționale; o listă neexhaustivă a acestor furnizori este prevăzută în anexa II;

 

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor și sănătății; o listă neexhaustivă a acestor operatori este prevăzută în anexa II.

(b) un operator public sau privat al unei infrastructuri care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, piețelor financiare și sănătății, activități a căror perturbare sau distrugere ar avea un impact negativ important într-un stat membru din cauza imposibilității de a menține activitățile respective; o listă a acestor operatori este prevăzută în anexa II.

Amendamentul  50

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

8a. „incident cu impact semnificativ” înseamnă un incident care afectează securitatea și continuitatea unei rețele informatice sau ale unui sistem informatic care duce la o perturbare majoră a activităților economice și societale vitale;

Amendamentul  51

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 8 b (nou)

Textul propus de Comisie

Amendamentul

 

8b. „serviciu” înseamnă serviciul furnizat de un operator de piață, cu excluderea oricăror alte servicii ale aceleiași entități.

Amendamentul  52

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 11 a (nou)

Textul propus de Comisie

Amendamentul

 

11a. „piață reglementată” înseamnă o piață reglementată în sensul definiției de la articolul 4 punctul 14 din Directiva 2004/39/CE a Parlamentului European și a Consiliului28a;

 

__________________

 

28a Directiva 2004/39/CE a Parlamentului European și a Consiliului din 21 aprilie 2004 privind piețele instrumentelor financiare (JO L 45, 16.2.2005, p. 18).

Amendamentul  53

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 11 b (nou)

Textul propus de Comisie

Amendamentul

 

11b. „sistem multilateral de tranzacționare (MTF)” înseamnă un sistem multilateral de tranzacționare, astfel cum este definit la articolul 4 punctul 15 din Directiva 2004/39/CE;

Amendamentul  54

Propunere de directivă

Articolul 3 – paragraful 1 – punctul 11 c (nou)

Textul propus de Comisie

Amendamentul

 

11c. „sistem organizat de tranzacționare” înseamnă un sistem sau un mecanism multilateral care nu este o piață reglementată, un sistem multilateral de tranzacționare sau o contraparte centrală, exploatat de o societate de investiții sau de un operator de piață, în cadrul căruia pot interacționa multiple interese ale unor părți terțe în ceea ce privește vânzarea și cumpărarea de obligațiuni, produse financiare structurate, certificate de emisii sau instrumente derivate, într-un mod care conduce la încheierea de contracte în conformitate cu dispozițiile titlului II din Directiva 2004/39/CE;

Amendamentul  55

Propunere de directivă

Articolul 4 – paragraful 1

Textul propus de Comisie

Amendamentul

Statele membre asigură un nivel ridicat de securitate a rețelelor și a sistemelor informatice pe teritoriul lor în conformitate cu prezenta directivă.

Statele membre asigură un nivel ridicat continuu și susținut de securitate a rețelelor și a sistemelor informatice pe teritoriul lor în conformitate cu Carta drepturilor fundamentale a UE și cu prezenta directivă.

Justificare

Competențele discreționare acordate statelor membre în materie de securitate trebuie să fie condiționate de respectarea drepturilor recunoscute în Carta drepturilor fundamentale a UE, inclusiv, de exemplu, dreptul la respectarea vieții private și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, dreptul la libertatea de a desfășura o activitate comercială și dreptul la o cale de atac eficientă în fața unei instanțe judecătorești.

Amendamentul  56

Propunere de directivă

Articolul 5 – alineatul 1 – litera ea (nouă)

Textul propus de Comisie

Amendamentul

 

(ea) statele membre pot solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) pentru elaborarea strategiilor lor naționale în domeniul securității rețelelor și a informațiilor și a planurilor lor de cooperare naționale în domeniul securității rețelelor și a informațiilor, pe baza unui model minim comun de strategie și de cooperare în domeniul securității rețelelor și a informațiilor.

Amendamentul  57

Propunere de directivă

Articolul 5 – alineatul 2 – litera a

Textul propus de Comisie

Amendamentul

(a) un plan de evaluare a riscurilor pentru a identifica riscurile și a evalua impactul unor incidente potențiale;

(a) un cadru de gestionare a riscurilor care include identificarea, clasificarea, evaluarea și tratarea riscurilor, evaluarea impactului unor incidente potențiale, opțiuni de prevenire și control și criterii pentru selectarea unor posibile contramăsuri;

Amendamentul  58

Propunere de directivă

Articolul 5 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) definirea rolurilor și a responsabilităților diferiților actori implicați în punerea în aplicare a planului;

(b) definirea rolurilor și a responsabilităților diferitelor autorități și ale altor actori implicați în punerea în aplicare a cadrului;

Amendamentul  59

Propunere de directivă

Articolul 6 – titlu

Textul propus de Comisie

Amendamentul

Autoritatea națională competentă în domeniul securității rețelelor și a sistemelor informatice

Autoritățile naționale competente și punctele unice de contact în domeniul securității rețelelor și a sistemelor informatice

Amendamentul  60

Propunere de directivă

Articolul 6 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

(1) Fiecare stat membru desemnează una sau mai multe autorități naționale competente în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

Amendamentul  61

Propunere de directivă

Articolul 6 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) În cazul în care un stat membru desemnează mai multe autorități competente, acesta desemnează o autoritate națională, de exemplu una dintre autoritățile competente, drept punct unic de contact național în domeniul securității rețelelor și a sistemelor informatice (denumit în continuare „punct unic de contact”). În cazul în care un stat membru desemnează o singură autoritate competentă, aceasta servește și drept punct unic de contact.

Amendamentul  62

Propunere de directivă

Articolul 6 – alineatul 2 b (nou)

Textul propus de Comisie

Amendamentul

 

(2b) Autoritățile competente și punctul unic de contact dintr-un stat membru cooperează îndeaproape în ceea ce privește obligațiile ce le revin în temeiul prezentei directive.

Amendamentul  63

Propunere de directivă

Articolul 6 – alineatul 2 c (nou)

Textul propus de Comisie

Amendamentul

 

(2c) Punctul unic de contact asigură cooperarea la nivel transfrontalier cu alte puncte unice de contact.

Amendamentul  64

Propunere de directivă

Articolul 6 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Statele membre se asigură că autoritățile competente dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive. Statele membre asigură cooperarea eficace, eficientă și sigură a autorităților competente prin intermediul rețelei menționate la articolul 8.

(3) Statele membre se asigură că autoritățile competente și punctele unice de contact dispun de resursele tehnice, financiare și umane adecvate pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive. Statele membre asigură cooperarea eficace, eficientă și sigură a punctelor unice de contact prin intermediul rețelei menționate la articolul 8.

Amendamentul  65

Propunere de directivă

Articolul 6 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Statele membre se asigură că autoritățile competente primesc de la administrațiile publice și de la operatorii de piață notificările incidentelor, astfel cum prevede articolul 14 alineatul (2), și că le sunt conferite competențele de punere în aplicare și de executare menționate la articolul 15.

(4) Statele membre se asigură că autoritățile competente și punctele unice de contact primesc de la operatorii de piață notificările incidentelor, astfel cum prevede articolul 14 alineatul (2), și că le sunt conferite competențele de punere în aplicare și de executare menționate la articolul 15.

Amendamentul  66

Propunere de directivă

Articolul 6 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

(5) Autoritățile competente se consultă în mod obligatoriu cu autoritățile responsabile cu protecția datelor și cooperează, după caz, cu autoritățile naționale de aplicare a legii competente.

Justificare

Existența unei singure autorități competente care exercită competența de control la nivel național fără colaborarea unui alt organism compensatoriu ar perturba echilibrul dintre garantarea securității și a libertăților.

Amendamentul  67

Propunere de directivă

Articolul 6 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

(5) Autoritățile competente și punctele unice de contact se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

Amendamentul  68

Propunere de directivă

Articolul 6 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Fiecare stat membru notifică fără întârziere Comisiei autoritatea competentă desemnată și sarcinile sale, precum și orice modificări ulterioare ale acestora. Fiecare stat membru comunică publicului autoritatea competentă desemnată.

(6) Fiecare stat membru notifică fără întârziere Comisiei autoritățile competente desemnate și punctul unic de contact, precum și sarcinile lor și orice modificări ulterioare ale acestora. Fiecare stat membru comunică publicului autoritățile competente desemnate.

Amendamentul  69

Propunere de directivă

Articolul 7 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru înființează o Echipă de intervenție în caz de urgență informatică (denumită în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

(1) Fiecare stat membru înființează, pentru fiecare dintre domeniile stabilite în anexa II, cel puțin un Centru de răspuns la incidente de securitate cibernetică (denumit în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființat în cadrul autorității competente.

Amendamentul  70

Propunere de directivă

Articolul 7 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) CERT acționează sub supravegherea autorității competente, care reexaminează cu regularitate caracterul adecvat al resurselor și al mandatului, precum și eficacitatea procedurii de administrare a incidentelor.

(5) Centrele CERT acționează sub supravegherea autorității competente sau a punctului unic de contact, care reexaminează cu regularitate caracterul adecvat al resurselor și al mandatelor lor, precum și eficacitatea procedurii de administrare a incidentelor.

Amendamentul  71

Propunere de directivă

Articolul 7 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a) Statele membre se asigură că centrele CERT au la dispoziție resurse umane și financiare adecvate pentru a participa activ la rețele de cooperare internaționale și, mai ales, la cele de la nivelul Uniunii.

Amendamentul  72

Propunere de directivă

Articolul 7 – alineatul 5 – punctul 1 (nou)

Textul propus de Comisie

Amendamentul

 

1. Centrele CERT au capacitatea și sunt încurajate să inițieze și să participe la exerciții comune cu alte centre CERT, cu centrele CERT din toate statele membre și cu instituții adecvate din state terțe, precum și cu centrele CERT ale instituțiilor multinaționale și internaționale, precum NATO și ONU.

Amendamentul  73

Propunere de directivă

Articolul 7 – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a) Statele membre pot solicita asistență din partea Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) sau a altor state membre pentru dezvoltarea de centre CERT naționale.

Amendamentul  74

Propunere de directivă

Articolul 8

Textul propus de Comisie

Amendamentul

(1) Autoritățile competente și Comisia formează o rețea („rețeaua de cooperare”) pentru a coopera în domeniul combaterii riscurilor și incidentelor care afectează rețelele și sistemele informatice.

(1) Punctele unice de contact, Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) și Comisia formează o rețea („rețeaua de cooperare”) în cadrul căreia acestea cooperează în domeniul combaterii riscurilor și incidentelor care afectează rețelele și sistemele informatice.

(2) Prin intermediul rețelei de cooperare, Comisia și autoritățile competente se află în contact permanent. La cerere, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) asistă rețeaua de cooperare, oferind experiență și consiliere.

(2) Prin intermediul rețelei de cooperare, Comisia și punctele unice de contact se află în contact permanent. Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) asistă rețeaua de cooperare, oferind experiență și consiliere. Atunci când este cazul, rețeaua de cooperare cooperează cu autoritățile de protecție a datelor cu caracter personal.

(3) În cadrul rețelei de cooperare, autoritățile competente:

(3) În cadrul rețelei de cooperare, punctele unice de contact:

(a) transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(a) transmit alerte rapide privind riscurile și incidentele în conformitate cu articolul 10;

(b) asigură un răspuns coordonat în conformitate cu articolul 11;

(b) asigură un răspuns coordonat în conformitate cu articolul 11;

(c) publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

(c) publică cu regularitate pe un site web comun informații neconfidențiale privind alertele rapide și răspunsul coordonat în curs;

 

(ca) discută și convin împreună cu privire la interpretarea comună, aplicarea consecventă și coordonarea măsurilor lor privind cerințele de securitate și notificarea incidentelor menționate la articolul 14, precum și punerea în aplicare și executarea menționate la articolul 15;

(d) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(d) discută și evaluează împreună una sau mai multe strategii naționale privind NIS sau planuri naționale de cooperare în domeniul NIS, menționate la articolul 5, în domeniul de aplicare al prezentei directive;

(e) la cererea unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea echipelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS;

(e) la cererea ENISA, a unui stat membru sau a Comisiei, discută și evaluează împreună eficacitatea centrelor CERT, în special atunci când au loc la nivelul Uniunii exerciții de NIS, și pun în aplicare măsuri de eliminare a vulnerabilităților identificate, fără întârzieri nejustificate;

(f) cooperează și fac schimb de informații cu privire la toate aspectele relevante cu Centrul european de combatere a criminalității informatice din cadrul Europol și cu alte organisme europene relevante, în special în domeniile protecției datelor, energiei, transporturilor, serviciilor bancare, burselor și sănătății;

(f) cooperează și fac schimb de informații cu privire la toate aspectele relevante referitoare la securitatea rețelelor și a informațiilor cu alte organisme europene relevante, în special în domeniile energiei, transporturilor, serviciilor bancare, piețelor financiare și sănătății;

 

(fa) discută și convin împreună cu privire la interpretarea comună, aplicarea consecventă și armonizarea punerii în aplicare în cadrul Uniunii a dispozițiilor de la capitolul IV;

(g) fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(g) fac schimb de informații și bune practici între ele și cu Comisia și își acordă reciproc asistență în ceea ce privește crearea capacităților din domeniul NIS;

(h) organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;

(h) organizează cu regularitate evaluări inter pares privind capacitățile și nivelul de pregătire;

(i) organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS.

(i) organizează exerciții de NIS la nivelul Uniunii și participă, după caz, la exercițiile internaționale de NIS;

 

(ia) promovează activ participarea operatorilor de piață, îi consultă și efectuează schimburi de informații cu aceștia.

 

Comisia informează în mod regulat rețeaua de cooperare cu privire la cercetarea în materie de securitate și la alte programe relevante din cadrul Orizont 2020.

 

(3a) Acolo unde este necesar, administrația publică și operatorii de piață relevanți sunt invitați să participe la activitățile rețelei de cooperare menționate la alineatul (3) literele (c), (g), (h) și (i).

 

(3b) În cazul în care informații, alerte rapide sau bune practici care provin de la operatorii de piață sau administrațiile publice fac obiectul unui schimb în cadrul rețelei de cooperare sau sunt dezvăluite de aceasta, un astfel de schimb sau dezvăluire respectă clasificarea informațiilor, astfel cum este stabilită de sursa inițială, în conformitate cu articolul 9 alineatul (1).

 

(3c) Comisia publică un raport anual, bazat pe activitățile rețelei și pe raportul de sinteză prezentat în conformitate cu articolul 14 alineatul (4) din prezenta directivă, pentru ultimele 12 luni. Anunțarea publică a incidentelor individuale raportate autorităților competente și punctelor unice de contact trebuie să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau cele legate de reputație pe care le pot suferi operatorii de piață care raportează incidentele și poate avea loc numai în urma unei consultări prealabile.

(4) Comisia stabilește, prin acte de punere în aplicare, măsurile necesare pentru a facilita cooperarea dintre autoritățile competente și Comisie menționată la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de consultare menționată la articolul 19 alineatul (2).

(4) Comisia stabilește, prin acte de punere în aplicare, măsurile necesare pentru a facilita cooperarea dintre punctele unice de contact, ENISA și Comisie menționată la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de consultare menționată la articolul 19 alineatul (2).

Amendamentul  75

Propunere de directivă

Articolul 9 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Pentru schimbul de informații sensibile și confidențiale desfășurat în rețeaua de cooperare este utilizată o infrastructură securizată.

(1) Pentru schimbul de informații sensibile și confidențiale desfășurat în rețeaua de cooperare este utilizată o infrastructură securizată operată sub supravegherea ENISA. Statele membre se asigură că informațiile sensibile sau secrete partajate provenite de la alte state sau de la Comisie, precum operațiunile sub acoperire sau deciziile din domeniul financiar, nu vor fi dezvăluite statelor terțe sau în scopuri necorespunzătoare.

Amendamentul  76

Propunere de directivă

Articolul 9 – alineatul 2 – partea introductivă

Textul propus de Comisie

Amendamentul

(2) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea criteriilor pe care trebuie să le îndeplinească un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, referitoare la:

(2) Comisia este împuternicită să adopte, în conformitate cu articolul 19, acte de punere în aplicare privind definirea criteriilor pe care trebuie să le îndeplinească un punct unic de contact pentru a fi autorizat să participe la sistemul securizat de schimb de informații, referitoare la:

Amendamentul  77

Propunere de directivă

Articolul 9 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Comisia adoptă, prin acte de punere în aplicare, decizii privind accesul statelor membre la această infrastructură securizată, în conformitate cu criteriile menționate la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

(3) Comisia adoptă, prin acte de punere în aplicare, un set comun de standarde privind interconexiunile și securitatea pe care trebuie să le respecte punctele unice de contact pentru a face schimb de informații. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

Amendamentul  78

Propunere de directivă

Articolul 10

Textul propus de Comisie

Amendamentul

(1) Autoritățile competente sau Comisia transmit alerte rapide în cadrul rețelei de cooperare cu privire la riscurile și incidentele care îndeplinesc cel puțin una dintre următoarele condiții:

(1) Punctele unice de contact sau Comisia transmit alerte rapide în cadrul rețelei de cooperare cu privire la riscurile și incidentele care îndeplinesc cel puțin una dintre următoarele condiții:

(a) cresc rapid sau pot crește rapid în amploare;

 

(b) depășesc sau pot depăși capacitatea națională de răspuns;

(b) punctul unic de contact estimează că riscul sau incidentul capătă repede amploare sau este posibil să capete repede amploare și poate depăși capacitatea națională de răspuns;

(c) afectează sau pot afecta mai multe state membre.

(c) punctele unice de contact sau Comisia apreciază că riscul sau incidentul afectează mai multe state membre.

(2) În cadrul alertelor rapide, autoritățile competente și Comisia comunică orice informațiile relevante aflate în posesia lor și care pot fi utile pentru evaluarea riscului sau a incidentului.

(2) În cadrul alertelor rapide, punctele unice de contact și Comisia comunică fără întârzieri nejustificate informațiile relevante aflate în posesia lor și care pot fi utile pentru evaluarea riscului sau a incidentului. Informațiile considerate clasificate sau confidențiale de către operatorul de piață în cauză și identitatea acestuia din urmă sunt furnizate numai în măsura necesară pentru evaluarea riscului sau a incidentului.

(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze orice informații relevante cu privire la un risc sau la un incident specific.

(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze orice informații relevante, care nu sunt secrete, cu privire la un risc sau la un incident specific.

(4) Dacă riscul sau incidentul care face obiectul alertei rapide are un presupus caracter penal, autoritățile competente sau Comisia informează Centrul european de combatere a criminalității informatice din cadrul Europol.

(4) Dacă riscul sau incidentul care face obiectul alertei rapide are un presupus caracter penal grav, punctele unice de contact sau Comisia iau legătura, dacă este cazul, cu autoritățile naționale de combatere a criminalității informatice, pentru a le permite care, fără întârzieri nejustificate, să coopereze și să facă schimb de informații cu Centrul european de combatere a criminalității informatice din cadrul Europol.

 

(4a) Membrii rețelei de cooperare nu dezvăluie publicului nicio informație primită în conformitate cu alineatul (1) cu privire la riscuri și incidente, fără aprobarea prealabilă a punctului unic de contact care a transmis informațiile.

 

(4b) Dacă riscul sau incidentul care face obiectul unei alerte rapide are un presupus caracter tehnic transfrontalier grav, punctele unice de contact sau Comisia informează ENISA.

(5) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind specificarea mai detaliată a riscurilor și a incidentelor care declanșează alerta rapidă menționată la alineatul (1).

(5) Comisia este împuternicită să adopte, în conformitate cu articolul 19, acte de punere în aplicare privind specificarea mai detaliată a riscurilor și a incidentelor care declanșează alerta rapidă menționată la alineatul (1), precum și a procedurilor pentru schimbul de informații sensibile care vizează operatorii de piață.

Amendamentul  79

Propunere de directivă

Articolul 11 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) După transmiterea alertei rapide menționate la articolul 10, autoritățile competente convin, în urma evaluării informațiilor relevante, asupra unui răspuns coordonat în conformitate cu planul Uniunii de cooperare în domeniul NIS menționat la articolul 12.

(1) După transmiterea alertei rapide menționate la articolul 10, punctele unice de contact convin, în urma evaluării informațiilor relevante și fără întârzieri nejustificate, asupra unui răspuns coordonat în conformitate cu planul Uniunii de cooperare în domeniul NIS menționat la articolul 12.

Amendamentul  80

Propunere de directivă

Articolul 12 – alineatul 2 – litera a – liniuța 1

Textul propus de Comisie

Amendamentul

– definirea formatului și a procedurilor pentru colectarea și schimbul de informații compatibile și comparabile cu privire la riscuri și incidente de către autoritățile competente,

– definirea formatului și a procedurilor pentru colectarea și schimbul de informații compatibile și comparabile cu privire la riscuri și incidente de către punctele unice de contact,

Amendamentul  81

Propunere de directivă

Articolul 12 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Planul Uniunii de cooperare în domeniul NIS se adoptă în termen de cel mult un an de la intrarea în vigoare a prezentei directive și se revizuiește cu regularitate.

(3) Planul Uniunii de cooperare în domeniul NIS se adoptă în termen de cel mult un an de la intrarea în vigoare a prezentei directive și se revizuiește cu regularitate. Rezultatele fiecărei revizuiri sunt raportate Parlamentului European.

Amendamentul  82

Propunere de directivă

Articolul 12 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Comisia pune la dispoziție fonduri pentru elaborarea planului de cooperare în domeniul NIS al Uniunii.

Amendamentul  83

Propunere de directivă

Articolul 13 – paragraful 1

Textul propus de Comisie

Amendamentul

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri trebuie să țină seama de necesitatea de a asigura o protecție adecvată a datelor cu caracter personal diseminate în rețeaua de cooperare.

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Acordurile specifică procedura de control care trebuie realizată pentru a garanta protecția datelor cu caracter personal diseminate în rețeaua de cooperare. Parlamentul European este informat cu privire la negocierea acordurilor și se garantează transparența conținutului acestora. Orice transfer de date cu caracter personal către destinatari din țări din afara Uniunii are loc în conformitate cu articolele 25 și 26 din Directiva 95/46/CE și cu articolul 9 din Regulamentul (CE) nr. 45/2001.

Justificare

Acordurile internaționale încheiate cu alte țări sau organisme de securitate trebuie să prevadă un mecanism de control care să garanteze respectarea drepturilor civile. De asemenea, Parlamentul European trebuie să își exercite controlul democratic efectiv asupra acordurilor și trebuie să fie informat în mod corespunzător cu privire la conținutul negocierilor acordurilor.

Amendamentul  84

Propunere de directivă

Articolul 14

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

(1) Statele membre se asigură că operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a identifica și gestiona eficient riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de evoluția tehnologică, aceste măsuri adecvate garantează un nivel de securitate adecvat riscului existent. Sunt luate, în special, măsuri pentru a preveni incidentele care afectează securitatea rețelelor și a sistemelor informatice și pentru a reduce la minimum impactul acestora asupra serviciilor esențiale furnizate, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

(2) Statele membre se asigură administrațiile publice și operatorii de piață notifică autorității competente incidentele care au un impact semnificativ asupra securității serviciilor esențiale pe care le furnizează.

(2) Statele membre pun în aplicare mecanisme pentru a se asigura că operatorii de piață notifică, fără întârzieri nejustificate, autorității competente sau punctului unic de contact incidentele care au un impact asupra securității sau continuității serviciilor esențiale pe care le furnizează. Notificarea nu expune unei răspunderi sporite partea care notifică. Pentru a se determina amploarea impactului unui incident, se ține cont, printre altele, de următorii parametri:

 

(a) numărul de utilizatori al căror serviciu de bază este afectat;

 

(b) durata incidentului;

 

(c) distribuția geografică – zona afectată de incident.

 

Aceste criterii se precizează mai exact în conformitate cu articolul 8 alineatul (3) litera (ca) (nouă).

 

(2a) Entitățile care nu fac obiectul anexei II pot raporta în mod voluntar incidentele, astfel cum se prevede la articolul 14 alineatul (2)

 

(2b) Organismul căruia i s-a raportat un incident transmite, cât mai repede posibil, entității care a raportat incidentul măsurile, deciziile sau recomandările adoptate, precum și identitatea părților terțe informate și protocoalele de securitate și confidențialitate care reglementează schimbul de informații.

(3) Cerințele prevăzute la alineatele (1) și (2) se aplică tuturor operatorilor de piață care furnizează servicii în Uniunea Europeană.

(3) Cerințele prevăzute la alineatele (1) și (2) se aplică tuturor operatorilor de piață care furnizează servicii în Uniunea Europeană. Operatorii de piață care nu furnizează servicii în Uniunea Europeană pot raporta incidente în mod voluntar.

 

(3a) Statele membre se asigură că operatorii de piață notifică incidentele menționate la alineatele (1) și (2) autorității competente sau punctului unic de contact din statul membru în care serviciile esențiale sunt afectate. În cazul în care sunt afectate serviciile de bază din mai multe state membre, punctul unic de contact care a primit notificarea alertează celelalte puncte unice de contact vizate, pe baza informațiilor transmise de operatorul de piață. Operatorul de piață este informat, cât mai curând posibil, cu privire la celelalte puncte unice de contact care au fost informate despre incident, precum și cu privire la orice demers întreprins, orice rezultat și la orice alte informații relevante pentru incident.

(4) Autoritatea competentă poate informa publicul ea însăși sau poate solicita acest lucru administrațiilor publice și operatorilor de piață, în cazul în care consideră că divulgarea incidentului servește interesului public. O dată pe an autoritatea competentă transmite rețelei de cooperare un raport de sinteză privind notificările primite și măsurile luate în conformitate cu prezentul alineat.

(4) După consultarea autorității competente și a operatorului de piață vizat, punctul unic de contact informează publicul cu privire la anumite incidente, în cazul în care consideră că acest lucru este necesar pentru a preveni un incident sau pentru a rezolva un incident deja în desfășurare, pentru a-i permite publicului să reducă riscurile la care se supune în urma incidentului sau în cazul în care un operator de piață, implicat într-un incident, a refuzat să ia fără întârziere măsurile de remediere a unei vulnerabilități structurale grave legate de incident. Punctul unic de contact motivează în mod corespunzător astfel de decizii. Autoritatea competentă sau punctul unic de contact prezintă, dacă acest lucru este posibil în măsură rezonabilă, operatorilor de piață care au comunicat incidentul informații analizate din punct de vedere strategic care vor contribui la eliminarea amenințării la adresa securității. De două ori pe an punctul unic de contact transmite rețelei de cooperare un raport de sinteză privind notificările primite și măsurile luate în conformitate cu prezentul alineat. Anunțarea publică a incidentelor individuale raportate autorităților competente și punctelor unice de contact ar trebui să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau cele legate de reputație pe care le pot suferi operatorii de piață care raportează incidentele și poate avea loc numai în urma unei consultări.

 

În cazul unor incidente notificate rețelei de cooperare menționate la articolul 8, alte autorități competente naționale nu pun la dispoziția publicului nicio informație primită referitoare la riscuri sau incidente, fără aprobarea autorității competente notificatoare.

(5) Comisia este împuternicită să adopte, în conformitate cu articolul 18, acte delegate privind definirea circumstanțelor în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele.

 

(6) Cu respectarea actelor delegate adoptate în temeiul alineatului (5), autoritățile competente pot emite orientări și, dacă este necesar, instrucțiuni privind circumstanțele în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele.

(6) Autoritățile competente sau punctele unice de contact adoptă orientări privind circumstanțele în care operatorii de piață au obligația de a notifica incidentele.

(7) Comisia este împuternicită să stabilească, prin acte de punere în aplicare, formatele și procedurile aplicabile în scopul alineatului (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

(7) Comisia este împuternicită să stabilească, prin acte de punere în aplicare, formatele și procedurile aplicabile în scopul alineatului (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

(8) Alineatele (1) și (2) nu se aplică microîntreprinderilor definite în Recomandarea 2003/361/CE Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii35.

 

(8) Alineatele (1) și (2) nu se aplică microîntreprinderilor definite în Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii35.

_______________

______________

35 JO L 124, 20.5.2003, p. 36.

35 JO L 124, 20.5.2003, p. 36.

Amendamentul  85

Propunere de directivă

Articolul 14 – alineatul 4 – paragraful 1 (nou)

Textul propus de Comisie

Amendamentul

 

În plus față de raportarea către autoritatea competentă, operatorii de piață sunt încurajați să anunțe în rapoartele lor financiare, în mod voluntar, incidentele în care este implicată corporația lor.

Justificare

Incidentele informatice ar putea implica pierderi financiare majore și costuri considerabile. Acționarii și investitorii trebuie să fie informați despre consecințele acestor incidente. Prin încurajarea societăților să publice în mod voluntar incidentele informatice, ar putea fi stimulată dezbaterea intersectorială privind probabilitatea unor viitoare incidente, dimensiunea respectivelor riscuri, precum și caracterul adecvat al măsurilor preventive adoptate pentru a reduce încălcările de securitate informatică.

Amendamentul  86

Propunere de directivă

Articolul 15

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că autoritățile competente sunt împuternicite să investigheze cazurile în care administrațiile publice sau operatorii de piață nu se conformează obligațiilor care le revin în temeiul articolului 14, precum și efectele acestei neconformări asupra securității rețelelor și a sistemelor informatice.

(1) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să asigure conformitatea cu obligațiile care le revin în temeiul articolului 14, precum și cu efectele acestora asupra securității rețelelor și a sistemelor informatice.

(2) Statele membre se asigură că autoritățile competente sunt împuternicite să solicite operatorilor de piață și administrațiilor publice:

(2) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să solicite operatorilor de piață:

(a) să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;

(a) să furnizeze informațiile necesare pentru evaluarea securității rețelelor și a sistemelor lor informatice, inclusiv documente privind politicile de securitate;

(b) să se supună unui audit de securitate efectuat de un organism calificat independent sau de o autoritate națională și să le pună la dispoziție rezultatele acestuia.

(b) să prezinte dovezi privind aplicarea efectivă a politicilor de securitate, precum rezultatele unui audit de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate națională și să transmită dovezile autorității competente sau punctului unic de contact. Dacă este necesar, autoritatea competentă sau punctul unic de contact poate solicita dovezi suplimentare sau, în caz excepțional și cu prezentarea unor motive corespunzătoare, poate efectua un alt audit.

 

La trimiterea solicitării, autoritățile competente și punctele unice de contact menționează scopul solicitării și prezintă detalii suficiente cu privire la informațiile solicitate.

(3) Statele membre se asigură că autoritățile competente sunt împuternicite să emită instrucțiuni obligatorii pentru operatorii de piață și pentru administrațiile publice.

(3) Statele membre se asigură că autoritățile competente și punctele unice de contact sunt împuternicite să emită instrucțiuni obligatorii pentru toți operatorii de piață menționați în anexa II.

(4) Autoritățile competente notifică autorităților de aplicare a legii incidentele cu presupus caracter penal grav.

(4) Autoritățile competente și punctele unice de contact informează operatorii de piață vizați cu privire la posibilitatea inițierii unor proceduri penale pe lângă autoritățile de aplicare a legii în cazul incidentelor cu presupus caracter penal grav.

(5) Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal.

(5) Fără a aduce atingere legislației aplicabile privind protecția datelor, autoritățile competente și punctele unice de contact lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal. Punctele unice de contact și autoritățile de protecție a datelor dezvoltă, în cooperare cu ENISA, mecanisme de schimb de informații și un formular unic pentru notificările efectuate în temeiul articolului 14 alineatul (2) din prezenta directivă și în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date.

 

Comisia poate adopta, prin acte de punere în aplicare și ținând cont în cea mai mare măsură de mecanismele de schimb de informații și de formularul unic de notificare elaborat de punctele unice de contact și de autoritățile de protecție a datelor, în colaborare cu ENISA, proceduri pentru mecanismele de schimb de informații și formatul formularului unic.

(6) Statele membre se asigură că orice obligații impuse administrațiilor publice și operatorilor de piață în temeiul prezentului capitol pot fi supuse unui control jurisdicțional.

(6) Statele membre se asigură că orice obligații impuse operatorilor de piață în temeiul prezentului capitol pot fi supuse unui control jurisdicțional.

Amendamentul  87

Propunere de directivă

Articolul 16

Textul propus de Comisie

Amendamentul

(1) Pentru a asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea standardelor și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației.

(1) Pentru a se asigura aplicarea convergentă a articolului 14 alineatul (1), statele membre încurajează utilizarea standardelor deschise și interoperabile de la nivelul UE și de la nivel internațional și/sau a specificațiilor relevante pentru securitatea rețelelor și a informației, fără a se impune utilizarea unei anumite tehnologii.

(2) Comisia stabilește, prin acte de punere în aplicare, o listă a standardelor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene.

(2) Comisia împuternicește un organism de standardizare european competent ca, în urma consultării cu părțile interesate relevante, să stabilească o listă a standardelor și/sau a specificațiilor menționate la alineatul (1). Lista se publică în Jurnalul Oficial al Uniunii Europene.

Amendamentul  88

Propunere de directivă

Articolul 17 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre stabilesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor naționale adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive. Statele membre notifică dispozițiile respective Comisiei cel târziu până la data transpunerii prezentei directive și informează Comisia fără întârziere cu privire la orice modificări ulterioare ale acestora.

(1) Statele membre stabilesc normele privind sancțiunile aplicabile în cazul încălcării din neglijență și în mod intenționat a dispozițiilor naționale adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a asigura punerea în aplicare a acestora. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive. Statele membre notifică dispozițiile respective Comisiei cel târziu până la data transpunerii prezentei directive și informează Comisia fără întârziere cu privire la orice modificări ulterioare ale acestora.

Justificare

Ar trebui să fie clar că sancțiunile se pot aplica numai încălcărilor în cazul cărora operatorii de piață nu au adoptat toate măsurile care ar fi putut fi așteptate de la ei în mod rezonabil. Operatorii de piață ar putea fi altfel descurajați să raporteze incidente.

Amendamentul  89

Propunere de directivă

Articolul 17 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

(1a) Statele membre se asigură că sancțiunile prevăzute la alineatul (1) de la prezentul articol se aplică numai în cazul în care operatorul de piață nu și-a îndeplinit obligațiile care îi revin în temeiul capitolului IV în mod intenționat sau din neglijență gravă.

Amendamentul  90

Propunere de directivă

Articolul 18

Textul propus de Comisie

Amendamentul

Articolul 18

eliminat

Exercitarea delegării de competențe

 

(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile stabilite de prezentul articol.

 

(2) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 9 alineatul (2), la articolul 10 alineatul (5) și la articolul 14 alineatul (5). Comisia întocmește un raport privind delegarea de competențe cu cel puțin nouă luni înainte de sfârșitul perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de durată identică, cu excepția cazului în care Parlamentul European sau Consiliul se opun unei astfel de prelungiri cu cel puțin trei luni înainte de încheierea fiecărei perioade.

 

(3) Delegarea de competențe menționată la articolul 9 alineatul (2), la articolul 10 alineatul (5) și la articolul 14 alineatul (5) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. Prin decizia de revocare ia sfârșit delegarea competențelor specificată în decizia respectivă. Decizia intră în vigoare în ziua următoare publicării sale în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară, pe care o specifică. Decizia nu afectează validitatea actelor delegate care sunt deja în vigoare.

 

(4) După ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

 

(5) Un act delegat adoptat în temeiul articolului 9 alineatul (2), al articolului 10 alineatul (5) și al articolului 14 alineatul (5) intră în vigoare numai dacă nici Parlamentul European și nici Consiliul nu formulează obiecții în termen de două luni de la data la care li s-a notificat actul respectiv sau dacă, înainte de expirarea acestui termen, atât Parlamentul European, cât și Consiliul informează Comisia că nu vor prezenta obiecții. Termenul respectiv se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.

 

Amendamentul  91

Propunere de directivă

Articolul 20 – paragraful 1

Textul propus de Comisie

Amendamentul

Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult trei ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Comisia revizuiește o dată la trei ani funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult doi ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Justificare

Pentru a ține pasul cu amenințările și condițiile în schimbare din domeniul securității cibernetice, anexa II este revizuită și modificată periodic.

Amendamentul  92

Propunere de directivă

Anexa 1 – titlul 1

Textul propus de Comisie

Amendamentul

Obligații și sarcini ale Echipei de intervenție în caz urgență informatică (CERT)

Obligații și sarcini ale Centrelor de răspuns la incidente de securitate cibernetică (CERT)

Amendamentul  93

Propunere de directivă

Anexa 1 – punctul 1 – partea introductivă

Textul propus de Comisie

Amendamentul

Obligațiile și sarcinile CERT sunt definite în mod adecvat și clar pe baza unei politici naționale și/sau a unei reglementări naționale. Acestea includ următoarele elemente:

Obligațiile și sarcinile centrelor CERT sunt definite în mod adecvat și clar pe baza unei politici naționale și/sau a unei reglementări naționale. Acestea includ următoarele elemente:

 

(Această modificare se aplică întregului text din anexa I.)

Amendamentul  94

Propunere de directivă

Anexa 1 – paragraful 1 – punctul 1 – litera a

Textul propus de Comisie

Amendamentul

(a) CERT asigură o disponibilitate înaltă a serviciilor sale de comunicații, evitând punctele unice de defecțiune și dispunând de mai multe mijloace pentru a fi contactată și pentru a contacta alte entități. În plus, canalele de comunicare trebuie să fie clar specificate și bine cunoscute bazei sale de utilizatori și partenerilor de cooperare.

(a) Centrele CERT asigură o disponibilitate înaltă a serviciilor lor de comunicații, evitând punctele unice de defecțiune și dispunând de mai multe mijloace pentru a fi contactate și pentru a contacta alte entități în orice moment. În plus, canalele de comunicare sunt clar specificate și bine cunoscute bazei sale de utilizatori și partenerilor de cooperare.

Amendamentul  95

Propunere de directivă

Anexa 1 – paragraful 1 – punctul 1 – litera c

Textul propus de Comisie

Amendamentul

(c) Birourile CERT și sistemele informatice de suport sunt situate pe amplasamente securizate.

(c) Birourile centrelor CERT și sistemele informatice de suport sunt situate pe amplasamente securizate, cu rețele și sisteme informatice securizate.

Amendamentul  96

Propunere de directivă

Anexa 1 – paragraful 1 – punctul 2 – litera a – liniuța 1

Textul propus de Comisie

Amendamentul

– monitorizarea incidentelor la nivel național,

detectarea și monitorizarea incidentelor la nivel național,

Amendamentul  97

Propunere de directivă

Anexa 1 – paragraful 1 – punctul 2 – litera a – liniuța 5 a (nouă)

Textul propus de Comisie

Amendamentul

 

- participarea activă la rețelele de cooperare CERT de la nivelul Uniunii și de la nivel internațional;

Amendamentul  98

Propunere de directivă

Anexa II

Textul propus de Comisie

Amendamentul

Lista operatorilor de piață

Lista operatorilor de piață

(1) Energie

(1) Energie

 

(a) Energie electrică

 

- furnizori

 

- operatori de sisteme de distribuție și comercianți cu amănuntul către consumatorii finali

 

- operatori de sisteme de transport al energiei electrice

 

- operatori de pe piața energiei electrice

 

(b) Petrol

 

- conducte de transport al petrolului și depozite de petrol

 

- operatori ai instalațiilor de producție, de rafinare, de tratare, de depozitare și de transport al petrolului

 

(c) Gaze naturale

 

- furnizori

 

- operatori de sisteme de distribuție și comercianți cu amănuntul către consumatorii finali

 

- operatori de sisteme de transport al gazelor naturale, operatori de sisteme de depozitare și operatori de sisteme GNL

 

- operatori ai instalațiilor de producție, de rafinare, de tratare, de depozitare și de transport al gazelor naturale

 

- operatori de pe piața gazelor naturale

(2) Transporturi

(2) Transporturi

 

(a) Transportul rutier

 

(i) operatori de control al gestionării traficului

 

(ii) servicii logistice auxiliare:

 

- antrepozitare și depozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(b) Transportul feroviar

 

(i) căi ferate (gestionari de infrastructură, întreprinderi integrate și operatori de transport feroviar)

 

(ii) operatori de control al gestionării traficului

 

(iii) Servicii logistice auxiliare:

 

- antrepozitare și depozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(c) Transportul aerian

 

(i) transportatori aerieni (transport aerian de marfă și de pasageri)

 

(ii) aeroporturi

 

(iii) operatori de control al gestionării traficului

 

(iv) servicii logistice auxiliare:

 

- antrepozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(d) Transporturile maritime

 

(i) transportatori maritimi (societăți de transport interior, maritim și costier de pasageri și societăți de transport interior, maritim și costier de mărfuri)

 

(ii) porturi

 

(iii) operatori de control al gestionării traficului

 

(iv) servicii logistice auxiliare:

 

- antrepozitare și depozitare,

 

- manipularea mărfurilor și

 

- alte servicii auxiliare de transport

 

(2a) Servicii legate de utilizarea apei

(3) Bănci: instituții de credit conform articolului 4 alineatul (1) din Directiva 2006/48/CE.

(3) Sectorul bancar: instituții de credit conform articolului 4 alineatul (1) din Directiva 2006/48/CE.

(4) Infrastructuri ale pieței financiare: burse de valori și contrapartide centrale/case de compensare.

(4) Infrastructuri ale pieței financiare: piețe reglementate, sisteme multilaterale de tranzacționare, sisteme organizate de tranzacționare, servicii de procesare a plăților online și contrapartide centrale/case de compensare.

(5) Sectorul sănătății: instituții de asistență medicală (inclusiv spitale și clinici private) și alte entități implicate în furnizarea de asistență medicală.

(5) Sectorul sănătății: instituții de asistență medicală (inclusiv spitale și clinici private) și alte entități implicate în furnizarea de asistență medicală.

 

(6) TIC: servicii de cloud computing utilizate de un operator pentru furnizarea serviciilor enumerate la punctele 1-5.

 

Lista este revizuită o dată la doi ani.

PROCEDURĂ

Titlu

Un nivel comun ridicat de securitate a rețelelor și a informației în Uniune

Referințe

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Comisie competentă în fond

       Data anunțului în plen

IMCO

15.4.2013

 

 

 

Aviz emis de către

       Data anunțului în plen

ITRE

15.4.2013

Comisie(i) asociată(e) - data anunțului în plen

12.9.2013

Raportor/Raportoare pentru aviz:

       Data numirii

Pilar del Castillo Vera

23.5.2013

Examinare în comisie

14.10.2013

4.11.2013

 

 

Data adoptării

16.12.2013

 

 

 

Rezultatul votului final

+:

–:

0:

36

5

0

Membri titulari prezenți la votul final

Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev

Membri supleanți prezenți la votul final

Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Țicău, Lambert van Nistelrooij

Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final

María Auxiliadora Correa Zamora

AVIZ al Comisiei pentru libertăți civile, justiție și afaceri interne (15.1.2014)

destinat Comisiei pentru piața internă și protecția consumatorilor

referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Raportor pentru aviz: Carl Schlyter

JUSTIFICARE SUCCINTĂ

Propunerea este menită să conducă la un nivel comun ridicat de securitate a rețelelor și a informației în UE. Raportorul sprijină obiectivele urmărite de propunere și recomandă amendamente care vor spori securitatea juridică și vor consolida garanțiile și protecția persoanelor și a sferei private a acestora, pentru a asigura că persoanele dețin controlul asupra propriilor date cu caracter personal și au încredere în mediul digital, precum și în vederea creării unei culturi de gestionare a riscurilor și de îmbunătățire a schimbului de informații între actorii din sectorul public și cel privat.

Amendamentele propuse vizează consolidarea referirii la legislația în domeniul protecției datelor, clarificând faptul că „infrastructura critică” nu ar trebui să includă rețelele de socializare și magazinele de aplicații online (a se vedea lista modificată din anexa II) și garantând respectarea proporționalității, prin sublinierea aspectului civil al întreprinderii: majoritatea perturbărilor și a cauzelor comune de deficiențe ale sistemelor nu reprezintă atacuri informatice intenționate ai căror autori sunt teroriști, infractori sau spioni externi, ci erori umane neintenționate și cauze naturale. Este extrem de important ca UE să nu asocieze implementarea legislației propuse cu o militarizare a subiectului, excluzând obiectivele industriei de securitate și supraveghere și luând în considerare contextul unei piețe digitale globalizate.

O preocupare majoră continuă să fie cea cu privire la relația dintre sistemul propus și sistemul de notificare propus în temeiul regulamentului general privind protecția datelor, precum și la coexistența efectivă a acestora, acesta constituind unul dintre motivele pentru care subliniem faptul că orice legislație a UE privind securitatea cibernetică ar trebui adoptată după adoptarea Regulamentului general privind protecția datelor, și nu înaintea sa. În plus, ar trebui luate în considerare adevăratele implicații financiare și administrative, inclusiv costurile societale totale, și nu numai costurile efectuării unei notificări. Companiile de programe informatice care realizează programări neglijente, economisind astfel bani prin expunerea clienților lor, nu pot fi protejate în toate cazurile de formularea standard din condițiile utilizatorilor prin care își declină orice responsabilitate pentru funcționarea defectuoasă a programelor lor informatice. Ele au nevoie de stimulente pentru a garanta că sunt destul de sigure. În cele din urmă, conceptele cheie ar trebui clarificate și nu ar trebui să lase loc interpretărilor statelor membre (cum ar fi semnificația „administrațiilor publice”, a „impactului semnificativ”, precum și o definiție concretă a „criminalității informatice”).

AMENDAMENTE

Comisia pentru libertăți civile, justiție și afaceri interne recomandă Comisiei pentru piața internă și protecția consumatorilor, competentă în fond, să includă în raportul său următoarele amendamente:

Amendamentul  1

Propunere de directivă

Considerentul 1

Textul propus de Comisie

Amendamentul

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice, bunăstarea socială și pentru comunicarea și schimbul de informații între oameni, organizațiile societății civile și întreprinderi, precum și pentru protecția și respectarea vieții private și a datelor cu caracter personal.

Amendamentul  2

Propunere de directivă

Considerentul 2

Textul propus de Comisie

Amendamentul

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii.

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii. Se admite tot mai mult faptul că sistemele de control sunt vulnerabile la atacurile informatice cauzate de numeroase surse, inclusiv de guverne ostile, de grupuri teroriste și de alți intruși răuvoitori. Atacurile inteligente și atacurile coordonate ar putea avea influențe grave asupra stabilității, performanțelor și economiei infrastructurilor.

Amendamentul  3

Propunere de directivă

Considerentul 3

Textul propus de Comisie

Amendamentul

(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne.

(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne și pentru comunicarea și schimbul de informații între oameni, organizații ale societății civile și întreprinderi.

Amendamentul  4

Propunere de directivă

Considerentul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Întrucât cauzele cele mai frecvente ale defectării sistemelor continuă să fie neintenționate, de exemplu, cauze naturale sau erori umane, infrastructura ar trebui să fie rezistentă atât în fața perturbărilor intenționate, cât și a celor neintenționate, iar operatorii infrastructurilor de importanță critică ar trebui să proiecteze sisteme axate pe rezistență care să fie operaționale chiar atunci când alte sisteme neaflate sub controlul lor se blochează.

Amendamentul  5

Propunere de directivă

Considerentul 6 a (nou)

Textul propus de Comisie

Amendamentul

 

(6a) Este vital să recunoaștem nesiguranța inerentă a sistemelor complexe pe care ne bazăm. Pentru aceasta, este necesară o înțelegere a ceea ce este de importanță critică atât din partea celor care protejează o organizație, cât și a celor care stabilesc direcția strategică a acesteia.

Amendamentul  6

Propunere de directivă

Considerentul 8

Textul propus de Comisie

Amendamentul

(8) Dispozițiile prezentei directive nu trebuie să aducă atingere posibilității de care dispune fiecare stat membru de a lua măsurile necesare pentru a asigura protecția intereselor sale de securitate esențiale, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare o consideră contrară intereselor esențiale ale siguranței sale.

(8) Dispozițiile prezentei directive nu ar trebui să aducă atingere posibilității de care dispune fiecare stat membru de a lua măsurile necesare pentru a asigura protecția intereselor sale de securitate esențiale, a apăra ordinea și siguranța publică și a permite investigarea, detectarea și urmărirea infracțiunilor, cu condiția ca acest lucru să nu fie folosit drept pretext pentru neîndeplinirea obligațiilor generale care le revin în ceea ce privește respectarea protecției vieții private și a datelor cu caracter personal. În conformitate cu articolul 346 din TFUE, niciun stat membru nu are obligația de a furniza informații a căror divulgare o consideră contrară intereselor esențiale ale siguranței sale.

Amendamentul  7

Propunere de directivă

Considerentul 9

Textul propus de Comisie

Amendamentul

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și al Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale.

(9) Pentru a atinge și menține un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice, fiecare stat membru trebuie să aibă o strategie națională de securitate a rețelelor și a informației, care să definească obiectivele strategice și acțiunile concrete de politică ce trebuie puse în aplicare. Pentru a atinge niveluri ale capacității de răspuns care să permită o cooperare eficace și eficientă la nivel național și al Uniunii în caz de incidente, trebuie elaborate la nivel național planuri de cooperare în domeniul securității rețelelor și informației, care să respecte cerințele esențiale, asigurând respectarea și protecția vieții private și a datelor cu caracter personal.

Amendamentul  8

Propunere de directivă

Considerentul 10

Textul propus de Comisie

Amendamentul

(10) Pentru a asigura aplicarea eficace a dispozițiilor adoptate în temeiul prezentei directive, trebuie înființat sau identificat în fiecare stat membru un organism responsabil cu coordonarea problemelor de securitate a rețelelor și a informației, care să constituie punctul focal al cooperării transfrontaliere la nivelul Uniunii. Aceste organisme trebuie să dispună de resurse tehnice, financiare și umane adecvate, pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive.

(10) Pentru a asigura aplicarea eficace a dispozițiilor adoptate în temeiul prezentei directive, ar trebui înființată sau identificată în fiecare stat membru o autoritate competentă națională aflată sub control civil, care să funcționeze integral pe baza controlului democratic și în condiții de transparență și care să fie responsabilă cu coordonarea problemelor de securitate a rețelelor și a informației, care să constituie punctul focal al cooperării transfrontaliere la nivelul Uniunii. Aceste organisme trebuie să dispună de resurse tehnice, financiare și umane adecvate, pentru a-și îndeplini în mod eficace și eficient sarcinile atribuite și a realiza astfel obiectivele prezentei directive.

Amendamentul  9

Propunere de directivă

Considerentul 14 a (nou)

Textul propus de Comisie

Amendamentul

 

(14a) Tot mai multe sectoare adoptă serviciile de cloud computing în mediul lor informatic, de exemplu, serviciile IT care asigură funcționarea infrastructurii critice. Măsurile de securitate suficiente trebuie să asigure confidențialitatea, integritatea și disponibilitatea datelor în mediul cloud. Găzduirea serviciilor de infrastructură și stocarea de date sensibile în mediul cloud implică cerințe de securitate și rezistență pe care serviciile existente în mediul cloud nu sunt cele mai în măsură să le abordeze. De aceea, trebuie să existe o asigurare că mediul cloud poate oferi suficientă protecție pentru datele confidențiale aferente infrastructurilor de importanță critică.

Amendamentul  10

Propunere de directivă

Considerentul 15

Textul propus de Comisie

Amendamentul

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia trebuie, de asemenea, să coopereze cu sectorul public și să facă schimb de informații și de bune practici, în schimbul sprijinului operațional în caz de incident.

(15) Deoarece majoritatea rețelelor și a sistemelor informatice au operatori privați, cooperarea dintre sectorul public și cel privat este esențială. Operatorii de piață trebuie încurajați să-și creeze propriile mecanisme de cooperare informală pentru asigurarea securității rețelelor și a informației. Aceștia ar trebui, de asemenea, să coopereze cu sectorul public și să facă schimb reciproc de informații și de bune practici, precum și de sprijin operațional, dacă este necesar, în caz de incident.

Amendamentul  11

Propunere de directivă

Considerentul 15 a (nou)

Textul propus de Comisie

Amendamentul

 

(15a) Mecanismele naționale de cooperare între operatorii publici și cei privați deja existente ar trebui să fie pe deplin respectate ori de câte ori este posibil și în conformitate cu Directiva 95/46/CE, iar dispozițiile prevăzute în prezenta directivă nu ar trebui să submineze aceste mecanisme de cooperare stabilite.

Amendamentul  12

Propunere de directivă

Considerentul 16

Textul propus de Comisie

Amendamentul

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie să creeze un site web comun, pe care să publice informații neconfidențiale despre incidente și riscuri.

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente ar trebui să creeze un site internet comun, pe care să publice prompt informații neconfidențiale și cuprinzătoare despre incidente și riscuri.

Amendamentul  13

Propunere de directivă

Considerentul 21

Textul propus de Comisie

Amendamentul

(21) Având în vedere dimensiunea mondială a problemelor de securitate a rețelelor și a informației, este nevoie de o cooperare internațională mai strânsă pentru a îmbunătăți standardele de securitate și schimbul de informații și pentru a promova o abordare internațională comună a acestor probleme.

(21) Având în vedere dimensiunea mondială a problemelor de securitate a rețelelor și a informației, este nevoie de o cooperare internațională mai strânsă pentru a îmbunătăți standardele de securitate și schimbul de informații și pentru a promova o abordare internațională comună a acestor probleme, cu condiția ca statele cu care urmează să se angajeze în această cooperare să dispună de instrumente de control și de protecție a datelor capabile să asigure același grad de securitate ca cele din Uniune.

Amendamentul  14

Propunere de directivă

Considerentul 22

Textul propus de Comisie

Amendamentul

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură administrațiilor publice și operatorilor de piață. Trebuie promovată și dezvoltată prin intermediul unor cerințe adecvate de reglementare și al practicilor voluntare din sector o cultură a gestionării riscurilor, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate adecvate riscurilor întâmpinate. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme care să asigure o cooperare eficientă între toate statele membre.

(22) Responsabilitatea asigurării securității rețelelor și a informației revine în mare măsură administrațiilor publice și întreprinderilor. Ar trebui promovată și dezvoltată prin intermediul unor cerințe de reglementare și al practicilor adecvate din sector o cultură a gestionării riscurilor, care să implice evaluarea riscurilor și aplicarea unor măsuri de securitate care să aibă drept scop anticiparea incidentelor de securitate, provocate în mod deliberat sau întâmplător. În cazul în care o astfel de cultură a gestionării riscurilor există deja și, în special, în cazul în care se bazează pe practici voluntare, aceasta ar trebui susținută, consolidată și partajată. Pentru ca rețeaua de cooperare să funcționeze în mod eficace, este esențială, de asemenea, stabilirea unor condiții uniforme care să asigure o cooperare eficientă între toate statele membre.

Amendamentul  15

Propunere de directivă

Considerentul 22 a (nou)

Textul propus de Comisie

Amendamentul

 

(22a) Administrațiile publice și întreprinderile private, inclusiv furnizorii de servicii de rețea, de informații și de programe informatice, ar trebui să considere protecția propriilor sisteme informatice și a datelor stocate de acestea ca fiind o componentă a obligației lor de diligență. Este necesar să se garanteze niveluri de protecție adaptate împotriva amenințărilor și a vulnerabilităților care pot fi identificate în mod rezonabil. Costurile și obligațiile asumate pentru această protecție ar trebui să reflecte eventualele daune suferite de cei afectați de un atac cibernetic.

Amendamentul  16

Propunere de directivă

Considerentul 26 a (nou)

Textul propus de Comisie

Amendamentul

 

(26a) Copiii sunt expuși, încă din primele etape ale vieții lor, internetului și altor tehnologii moderne, precum și amenințărilor care însoțesc aceste tehnologii. O guvernanță adecvată a unui spațiu online adaptat copiilor este esențială pentru atenuarea nocivității și pentru asigurarea protecției copiilor și a ocrotirii drepturilor acestora.

Amendamentul  17

Propunere de directivă

Considerentul 28

Textul propus de Comisie

Amendamentul

(28) Autoritățile competente trebuie să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Anunțarea publică a incidentelor raportate autorităților competente trebuie să găsească echilibrul cuvenit între interesul publicului de a fi informat cu privire la amenințări și eventualele daune comerciale sau în domeniul reputației pe care le pot suferi administrațiile publice și operatorii de piață care raportează incidentele. Atunci când sunt puse în aplicare obligațiile de notificare, autoritățile competente trebuie să acorde o atenție deosebită necesității de a păstra stricta confidențialitate a informațiilor despre vulnerabilitățile unui produs, înainte de apariția unor soluții de securitate adecvate.

(28) Autoritățile competente trebuie să acorde atenția cuvenită menținerii unor canale informale și sigure pentru schimbul de informații dintre operatorii de pe piață și dintre sectorul public și cel privat. Anunțarea publică a incidentelor raportate autorităților competente ar trebui să acorde prioritate mai degrabă interesului publicului de a fi informat cu privire la amenințări, decât considerațiilor de natură economică de scurtă durată.

Amendamentul  18

Propunere de directivă

Considerentul 29 a (nou)

Textul propus de Comisie

Amendamentul

 

(29a) Utilizarea frauduloasă a internetului permite, pe de o parte, extinderea activităților de criminalitate organizată în spațiul online, prin spălare de bani, contrafacere și alte produse și servicii care încalcă DPI, precum și, pe de altă parte, explorarea de noi activități infracționale, indicând astfel o abilitate înspăimântătoare de adaptare la tehnologia modernă.

Amendamentul  19

Propunere de directivă

Considerentul 30 a (nou)

Textul propus de Comisie

Amendamentul

 

(30a) Criminalitatea informatică produce pagube economice și sociale tot mai însemnate, afectând milioane de consumatori și provocând pierderi anuale estimate la 290 de miliarde de euro4a;

 

__________________

 

4a Conform Raportului Norton privind criminalitatea informatică 2012.

Amendamentul  20

Propunere de directivă

Considerentul 33

Textul propus de Comisie

Amendamentul

(33) Comisia trebuie să revizuiască periodic prezenta directivă, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției tehnologiei sau a condițiilor de piață.

(33) Comisia ar trebui să revizuiască periodic prezenta directivă, în special pentru a stabili dacă este necesară efectuarea unor modificări ca urmare a evoluției tehnologiei sau a condițiilor de piață, precum și a obligațiilor referitoare la nivelul cel mai ridicat de securitate și de integritate a rețelelor și a informațiilor și de protecție a vieții private și a datelor cu caracter personal.

Amendamentul  21

Propunere de directivă

Considerentul 39

Textul propus de Comisie

Amendamentul

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente pot necesita prelucrarea datelor cu caracter personal. O astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă și, prin urmare, este legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu constituie, din perspectiva obiectivelor legitime respective, o intervenție disproporționată și intolerabilă care să afecteze substanța însăși a dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele31 Parlamentului European, ale Consiliului și ale Comisiei se aplică, după caz. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

(39) Schimbul de informații cu privire la riscuri și incidente desfășurat în cadrul rețelei de cooperare și îndeplinirea cerințelor de notificare a incidentelor către autoritățile naționale competente pot necesita prelucrarea datelor cu caracter personal. În condițiile în care o astfel de prelucrare este necesară pentru realizarea obiectivelor de interes public urmărite de prezenta directivă, ea poate fi legitimă în temeiul articolului 7 din Directiva 95/46/CE. Aceasta nu scutește însă autoritățile competente de obligația unei intervenții proporționale, care să nu aducă atingere dreptului la protecția datelor cu caracter personal garantat prin articolul 8 din Carta drepturilor fundamentale. În aplicarea prezentei directive, Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei se aplică, după caz31. Atunci când datele sunt prelucrate de instituțiile și organele Uniunii în scopul punerii în aplicare a prezentei directive, o astfel de prelucrare trebuie să respecte Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

__________________

__________________

31 JO L 145, 31.5.2001, p. 43.

31 JO L 145, 31.5.2001, p. 43.

Amendamentul  22

Propunere de directivă

Considerentul 41 a (nou)

Textul propus de Comisie

Amendamentul

 

(41a) În cazul tuturor măsurilor ar trebui asigurată o protecție adecvată a drepturilor fundamentale ale omului, mai ales a celor la care se face referire în Convenția Europeană a Drepturilor Omului (articolul 8, respectarea vieții private), și trebuie respectat principiul proporționalității.

Amendamentul  23

Propunere de directivă

Articolul 1 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) De asemenea, prezenta directivă nu aduce atingere Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și nici Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice sau Regulamentului Parlamentului European și Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date.

(5) Prezenta directivă respectă pe deplin Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice, precum și Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date.

Amendamentul  24

Propunere de directivă

Articolul 2

Textul propus de Comisie

Amendamentul

Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții care asigură un nivel de securitate mai ridicat și nu aduc atingere obligațiilor lor prevăzute de legislația Uniunii.

Statele membre nu sunt împiedicate să adopte sau să mențină dispoziții care asigură un nivel de securitate mai ridicat și nu aduc atingere obligațiilor lor prevăzute de legislația Uniunii, dar astfel de dispoziții trebuie să respecte așteptările minime comune aplicabile în acest caz, care sunt prevăzute în prezenta directivă.

Amendamentul  25

Propunere de directivă

Articolul 3 – punctul 2

Textul propus de Comisie

Amendamentul

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

2. „securitate” înseamnă capacitatea unei rețele sau a unui sistem informatic de a rezista unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

Amendamentul  26

Propunere de directivă

Articolul 3 – punctul 2 – litera a (nouă)

Textul propus de Comisie

Amendamentul

 

„rezistență cibernetică” înseamnă capacitatea unei rețele și a unui sistem informatic de a rezista și de a reveni la întreaga capacitate operațională în urma unor incidente, inclusiv, dar nelimitându-se la: defecțiuni tehnice, pene de curent sau incidente de securitate;

Amendamentul  27

Propunere de directivă

Articolul 3 – punctul 4

Textul propus de Comisie

Amendamentul

„incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității;

„incident” înseamnă orice circumstanță sau eveniment care are un efect negativ real asupra securității și asupra furnizării serviciilor esențiale;

Amendamentul  28

Propunere de directivă

Articolul 3 – punctul 8 – litera b

Textul propus de Comisie

Amendamentul

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor și sănătății; o listă neexhaustivă a acestor operatori este prevăzută în anexa II.

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților societale și economice vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor, lanțului de distribuție a alimentelor și sănătății; o listă neexhaustivă a acestor operatori este prevăzută în anexa II;

Amendamentul  29

Propunere de directivă

Articolul 5 – alineatul 2 – litera a

Textul propus de Comisie

Amendamentul

(a) un plan de evaluare a riscurilor pentru a identifica riscurile și a evalua impactul unor incidente potențiale;

(a) un cadru de gestionare a riscurilor care să includă cel puțin o evaluare periodică a acestora pentru a le identifica și pentru a evalua impactul unor incidente potențiale, precum și măsuri de garantare a securității și a integrității informației, inclusiv alertarea rapidă;

Justificare

Un plan de evaluare este insuficient și nu include alte măsuri necesare pentru gestionarea riscurilor în materie de securitate a rețelelor și a informației. AEPD recomandă instituirea unui cadru de gestionare a riscurilor care să includă o evaluare a acestora.

Amendamentul  30

Propunere de directivă

Articolul 5 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Strategia națională privind NIS și planul național de cooperare în domeniul NIS sunt comunicate Comisiei în termen de o lună de la adoptarea lor.

(3) Strategia națională privind NIS și planul național de cooperare în domeniul NIS sunt comunicate Comisiei, Parlamentului European, Consiliului și Autorității Europene pentru Protecția Datelor în termen de o lună de la adoptarea lor care trebuie să aibă loc în termen de cel mult 12 luni de la intrarea în vigoare a prezentei directive..

Amendamentul  31

Propunere de directivă

Articolul 5 – alineatul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Comisia face un rezumat al strategiilor privind NIS ale tuturor statelor membre și îl transmite tuturor statelor membre într-un formă organizată.

Justificare

Va fi util ca statele membre să aibă acces reciproc la planuri. Acest lucru va ajuta statele membre să își stabilească abordările și ar putea înlesni chiar și schimbul de bune practici.

Amendamentul  32

Propunere de directivă

Articolul 5 – alineatul 3 b (nou)

Textul propus de Comisie

Amendamentul

 

(3b) În termen de șase luni de la adoptarea prezentei directive, Comisia întocmește un ghid cu privire la structura strategiei privind NIS. Scopul acestui ghid este de a oferi asistență statelor membre în elaborarea și în adoptarea documentelor cu o structură aproape identică.

Justificare

Activitatea de organizare și de sintetizare la nivel comunitar poate deveni mai eficientă dacă cele 28 de documente care stau la baza acesteia aderă la o anumită structură generală. Deși ghidul întocmit de Comisie nu are un caracter obligatoriu, acesta va avea totuși efectul de a determina statele membre să adere la acest model/această structură recomandat(ă) atunci când elaborează propriile lor strategii naționale.

Amendamentul  33

Propunere de directivă

Articolul 6 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

(1) Fiecare stat membru desemnează o autoritate civilă națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

Amendamentul  34

Propunere de directivă

Articolul 6 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente se consultă și cooperează, după caz, cu autoritățile naționale de aplicare a legii și cu autoritățile de protecție a datelor competente.

(5) Autoritățile competente se consultă și cooperează strâns cu autoritățile naționale de aplicare a legii și cu autoritățile competente de protecție a datelor, ori de câte ori este necesar și ținând cont de principiul proporționalității.

Amendamentul  35

Propunere de directivă

Articolul 6 – alineatul 5 (nou)

Textul propus de Comisie

Amendamentul

 

(5a) Autoritățile competente respectă, în ceea ce privește informațiile colectate, prelucrate și care au făcut obiectul schimbului, cerințele cu privire la protecția datelor cu caracter personal prevăzute la articolul 17 din Directiva 95/46/CE.

Amendamentul  36

Propunere de directivă

Articolul 7 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru înființează o Echipă de intervenție în caz de urgență informatică (denumită în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

(1) Fiecare stat membru înființează Echipe de intervenție în caz de urgență informatică (denumite în continuare „CERT”) care sunt responsabile pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). Dacă se consideră indicat, o echipă CERT este înființată în cadrul autorității competente.

Amendamentul  37

Propunere de directivă

Articolul 8 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Prin intermediul rețelei de cooperare, Comisia și autoritățile competente se află în contact permanent. La cerere, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) asistă rețeaua de cooperare, oferind experiență și consiliere.

(2) Prin intermediul rețelei de cooperare, Comisia și autoritățile competente se află în contact permanent. La cerere, Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) asistă rețeaua de cooperare, oferind orientări neutre din punct de vedere tehnologic, precum și măsuri adecvate atât pentru sectorul public, cât și pentru cel privat.

Amendamentul  38

Propunere de directivă

Articolul 9 – alineatul 2 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba) criteriile pentru participarea statelor membre la sistemul securizat de schimburi de informații pentru a asigura că un nivel înalt de securitate și rezistență este garantat de către toți participanții în toate etapele prelucrării, inclusiv prin intermediul unor măsuri adecvate de confidențialitate și securitate în conformitate cu articolele 16 și 17 din Directiva 95/46/CE și cu articolele 21 și 22 din Regulamentul (CE) nr. 45/2001.

Amendamentul  39

Propunere de directivă

Articolul 9 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Comisia adoptă, prin acte de punere în aplicare, decizii privind accesul statelor membre la această infrastructură securizată, în conformitate cu criteriile menționate la alineatele (2) și (3). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 19 alineatul (3).

eliminat

Amendamentul  40

Propunere de directivă

Articolul 12 – alineatul 2 – litera a – liniuța 2

Textul propus de Comisie

Amendamentul

– definirea procedurilor și a criteriilor de evaluare a riscurilor și a incidentelor de către rețeaua de cooperare.

– definirea criteriilor de evaluare a riscurilor și a incidentelor de către rețeaua de cooperare.

Amendamentul  41

Propunere de directivă

Articolul 13

Textul propus de Comisie

Amendamentul

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri trebuie să țină seama de necesitatea de a asigura o protecție adecvată a datelor cu caracter personal diseminate în rețeaua de cooperare.

Fără a aduce atingere posibilității de care dispune rețeaua de cooperare de a desfășura o cooperare internațională informală, Uniunea poate încheia acorduri internaționale cu țări terțe sau cu organizații internaționale, care permit și organizează participarea acestora la unele activități ale rețelei de cooperare. Astfel de acorduri se încheie numai dacă poate fi asigurat un nivel de protecție a datelor cu caracter personal diseminate în rețeaua de cooperare corespunzător și comparabil cu cel al Uniunii.

Amendamentul  42

Propunere de directivă

Articolul 14 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a gestiona riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat riscului existent. Trebuie luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor care se bazează pe rețeaua sau sistemul informatic respectiv.

(1) Statele membre se asigură că administrațiile publice și operatorii de piață iau măsurile tehnice și organizatorice adecvate pentru a detecta, a gestiona în mod eficace și a limita riscurile de securitate a rețelelor și a sistemelor informatice aflate sub controlul lor și pe care le utilizează în activitățile lor. Ținând seama de cea mai avansată tehnologie, aceste măsuri trebuie să garanteze un nivel de securitate adecvat și proporțional riscului existent. Sunt luate, în special, măsuri pentru a preveni și a reduce la minimum impactul incidentelor care afectează rețeaua sau sistemul informatic utilizat pentru furnizarea serviciilor esențiale, asigurând astfel continuitatea serviciilor și securitatea datelor care se bazează pe rețeaua sau sistemul informatic respectiv.

Amendamentul  43

Propunere de directivă

Articolul 14 – alineatul 2 – litera a (nouă)

 

Amendamentul

 

(a) Producătorii de programe informatice comerciale sunt considerați răspunzători, în pofida clauzelor de „declinare a răspunderii” din contractele încheiate cu utilizatorii, în caz de neglijență gravă privind siguranța și securitatea.

Justificare

În contractele de licență, producătorii de programe informatice comerciale se absolvă de orice răspundere care poate apărea ca urmare a unei atitudini de neglijență privind securitatea și a programării de o calitate inferioară. Pentru a încuraja producătorii de programe informatice să investească în măsuri de securitate, este necesară o cultură diferită. Aceasta poate fi realizată numai dacă producătorii de programe informatice sunt considerați responsabili pentru orice deficiențe legate de securitate.

Amendamentul  44

Propunere de directivă

Articolul 14 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) Cerințele prevăzute la alineatele (1) și (2) se aplică tuturor operatorilor de piață care furnizează servicii în Uniunea Europeană.

(3) Cerințele prevăzute la alineatele (1) și (2) se aplică tuturor operatorilor de piață și producătorilor de programe informatice care furnizează servicii în Uniunea Europeană.

Amendamentul  45

Propunere de directivă

Articolul 14 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) Cu respectarea actelor delegate adoptate în temeiul alineatului (5), autoritățile competente pot emite orientări și, dacă este necesar, instrucțiuni privind circumstanțele în care administrațiile publice și operatorii de piață au obligația de a notifica incidentele.

eliminat

Amendamentul  46

Propunere de directivă

Articolul 15 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre se asigură că autoritățile competente sunt împuternicite să investigheze cazurile în care administrațiile publice sau operatorii de piață nu se conformează obligațiilor care le revin în temeiul articolului 14, precum și efectele acestei neconformări asupra securității rețelelor și a sistemelor informatice.

(1) Statele membre se asigură că autoritățile competente dispun de prerogativele necesare pentru a investiga cazurile în care administrațiile publice sau operatorii de piață nu se conformează obligațiilor care le revin în temeiul articolului 14, precum și efectele acestei neconformări asupra securității rețelelor și a sistemelor informatice.

Amendamentul  47

Propunere de directivă

Articolul 15 – alineatul 5

Textul propus de Comisie

Amendamentul

(5) Autoritățile competente lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal.

(5) Fără a aduce atingere legislației aplicabile privind protecția datelor și în deplină consultare cu operatorii care monitorizează sau care prelucrează datele, autoritățile competente și punctele de contact unice lucrează în strânsă cooperare cu autoritățile de protecție a datelor cu caracter personal în cazul incidentelor care au ca rezultat încălcarea securității datelor cu caracter personal.

Amendamentul  48

Propunere de directivă

Articolul 19 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 19a

 

Prelucrarea și protejarea datelor cu caracter personal

 

(1) Orice prelucrare a datelor cu caracter personal în statele membre în temeiul prezentei directive are loc în conformitate cu Directiva 95/46/CE și Directiva 2002/58/CE.

 

(2) Orice prelucrare a datelor cu caracter personal efectuată de Comisie și ENISA în temeiul prezentei directive are loc în conformitate cu Regulamentul (CE) nr. 45/2001.

 

(3) Orice prelucrare a datelor cu caracter personal efectuată de Centrul european de combatere a criminalității informatice în cadrul Europol în sensul obiectivelor prezentei directive are lor în conformitate cu Decizia 2009/371/JAI.

 

(4) Prelucrarea datelor cu caracter personal se face cu onestitate și cu respectarea legilor, fiind limitată în mod strict la datele minime necesare pentru scopul în care sunt prelucrate. Ele sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal.

 

(5) Notificările incidentelor menționate la articolul 14 nu aduc atingere dispozițiilor și obligațiilor aferente notificărilor privind încălcarea regimului datelor cu caracter personal stabilite la articolul 4 din Directiva 2002/58/CE și în Regulamentul (UE) nr. 611/2013.

 

(6) Trimiterile la Directiva 95/46/CE se interpretează ca trimiteri la Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) o dată cu intrarea în vigoare a acestuia.

Amendamentul  49

Propunere de directivă

Articolul 20 – paragraful 1

Textul propus de Comisie

Amendamentul

Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult trei ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Comisia revizuiește periodic funcționarea prezentei directive și prezintă un raport Parlamentului European și Consiliului. Primul raport se transmite în termen de cel mult doi ani de la data transpunerii menționată la articolul 21. În acest scop, Comisia poate solicita statelor membre să furnizeze informații, fără întârzieri nejustificate.

Amendamentul  50

Propunere de directivă

Anexa 1 – paragraful 1 – punctul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) CERT pune în aplicare și gestionează măsuri de securitate pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea informațiilor pe care le primește și le tratează.

(b) CERT pune în aplicare și gestionează măsuri de securitate pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea informațiilor pe care le primește și le tratează, precum și pentru a asigura protecția datelor.

Amendamentul  51

Propunere de directivă

Anexa 2 – paragraful 1

Textul propus de Comisie

Amendamentul

Lista operatorilor de piață

Lista operatorilor de piață

menționați la articolul 3 alineatul (8) litera (a):

menționați la articolul 3 alineatul (8) litera (a):

1. platforme de comerț electronic

1. platforme de comerț electronic

2. procesatori de plăți online

2. procesatori de plăți online

3. rețele de socializare

 

4. motoare de căutare

3. motoare de căutare

5. servicii de cloud computing

4. servicii de cloud computing care stochează date referitoare la infrastructura de importanță critică a Uniunii Europene

6. magazine de aplicații online

 

Amendamentul  52

Propunere de directivă

Anexa 2 – paragraful 2 – punctul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

5a. Lanțul distribuției de alimente

PROCEDURĂ

Titlu

Un nivel comun ridicat de securitate a rețelelor și a informației în Uniune

Referințe

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Comisie competentă în fond

Data anunțului în plen

IMCO

15.4.2013

 

 

 

Aviz emis de către

Data anunțului în plen

LIBE

15.4.2013

Comisie(i) asociată(e) - data anunțului în plen

12.9.2013

Raportor/Raportoare pentru aviz:

Data numirii

Carl Schlyter

7.3.2013

Examinare în comisie

25.4.2013

18.9.2013

4.11.2013

13.1.2014

Data adoptării

13.1.2014

 

 

 

Rezultatul votului final

+:

–:

0:

36

6

0

Membri titulari prezenți la votul final

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in ‘t Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Membri supleanți prezenți la votul final

Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria

Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final

Katarína Neveďalová

AVIZ al Comisiei pentru afaceri externe (06.12.2013)

destinat Comisiei pentru piața internă și protecția consumatorilor

referitor la propunerea de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Raportoare pentru aviz: Ana Gomes

AMENDAMENTE

Comisia pentru afaceri externe recomandă Comisiei pentru piața internă și protecția consumatorilor, competentă în fond, să includă în raportul său următoarele amendamente:

Amendamentul  1

Propunere de directivă

Considerentul 1

Textul propus de Comisie

Amendamentul

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne.

(1) Rețelele împreună cu sistemele și serviciile informatice îndeplinesc un rol vital în societate. Fiabilitatea și securitatea lor sunt esențiale pentru activitățile economice și bunăstarea socială și, în special, pentru funcționarea pieței interne, precum și a securității externe a UE.

Amendamentul  2

Propunere de directivă

Considerentul 2

Textul propus de Comisie

Amendamentul

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii.

(2) Amploarea și frecvența incidentelor de securitate provocate deliberat sau întâmplătoare este în creștere și reprezintă o amenințare majoră pentru funcționarea rețelelor și a sistemelor informatice. Astfel de incidente pot să împiedice desfășurarea activităților economice, să genereze pierderi financiare substanțiale, să submineze încrederea utilizatorilor și să provoace pagube majore economiei Uniunii, și, în esență, să pericliteze bunăstarea cetățenilor UE și capacitatea statelor membre ale UE de a se proteja și de a garanta securitatea infrastructurilor vitale.

Amendamentul  3

Propunere de directivă

Considerentul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) Clauza de solidaritate, introdusă de articolul 222 din TFUE, constituie cadrul potrivit pentru asistență și acțiuni conjugate ale statelor membre ale UE în cazul unui atac terorist sau a unor activități infracționale ce periclitează securitatea rețelelor și a informației. De asemenea, clauza de apărare reciprocă, prevăzută la articolul 42 alineatul (7) din TUE, constituie cadrul de acțiune al UE în cazul în care un stat membru cade victimă unei agresiuni armate ce ar afecta securitatea rețelelor și a informației. În cazurile pertinente, articolul 222 din TFUE și articolul 42 alineatul (7) din TUE ar trebui să fie implementate într-un mod complementar.

Amendamentul  4

Propunere de directivă

Considerentul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) Un număr mare de incidente informatice se produce din cauza lipsei de reziliență și robustețe a infrastructurii rețelelor private și publice, din cauza bazelor de date slab protejate sau securizate și din cauza altor defecte ale infrastructurii critice de informații; întrucât numai câteva state membre au în vedere protecția propriilor rețele și sisteme de informații și a datelor conexe ca parte a obligației lor corespunzătoare de diligență, ceea ce explică lipsa investițiilor în tehnologia de ultimă generație privind securitatea, în formare și în dezvoltarea de orientări adecvate.

Amendamentul  5

Propunere de directivă

Considerentul 3

Textul propus de Comisie

Amendamentul

(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne.

(3) Ca instrumente de comunicare fără frontiere, sistemele de informare digitale și, în principal, internetul au un rol esențial în facilitarea circulației transfrontaliere a mărfurilor, serviciilor și persoanelor. Din cauza naturii lor transnaționale, o perturbare majoră a acestor sisteme survenită într-un stat membru poate afecta, de asemenea, alte state membre și Uniunea în ansamblul său. Prin urmare, reziliența și stabilitatea rețelelor și a sistemelor informatice este esențială pentru buna funcționare a pieței interne și este vitală pentru securitatea internă și cea externă a UE. Necesitatea îmbunătățirii securității rețelelor și a informației ar trebui să fie, prin urmare, evidențiată în mod corespunzător în Strategia de securitate internă a Uniunii și în Strategia europeană de securitate, în special ținând seama de viitoarea revizuire a acestor documente.

Amendamentul  6

Propunere de directivă

Considerentul 3 a (nou)

Textul propus de Comisie

Amendamentul

 

(3a) Sensibilizarea și educarea utilizatorilor de tehnologii ale informației și comunicațiilor privind cele mai bune practici în materie de securizare a datelor cu caracter personal și de întreținere durabilă a serviciilor de comunicare ar trebui să constituie baza oricărei strategii cuprinzătoare de securitate informatică.

Amendamentul  7

Propunere de directivă

Considerentul 4 a (nou)

Textul propus de Comisie

Amendamentul

 

(4a) Cooperarea și coordonarea dintre autoritățile europene competente și ÎR/VP, cu responsabilitate pentru politica externă și de securitate comună și politica de securitate și apărare comună, precum și cu coordonatorul UE în materie de combatere a terorismului ar trebui să fie garantată în toate cazurile în care riscurile pot fi percepute ca fiind de natură externă și teroristă.

Amendamentul  8

Propunere de directivă

Considerentul 4 b (nou)

Textul propus de Comisie

Amendamentul

 

(4b) Ar trebui consolidate schimburile de informații sensibile dintre statele membre și între statele membre și autoritățile competente pertinente ale UE; ele ar trebui să fie axate pe principiile încrederii, solidarității și cooperării. Orice plan de acțiune vizând îmbunătățirea securității sistemului și a rețelelor ar trebui să utilizeze, astfel, pe deplin structurile deja existente în cadrul UE, cum ar fi SitCen și IntCen, și să asigure coordonarea tuturor structurilor pertinente pentru securitatea informațiilor sensibile la adresa securității interne și externe ale UE.

Amendamentul  9

Propunere de directivă

Considerentul 4 c (nou)

Textul propus de Comisie

Amendamentul

 

(4c) Cooperarea și schimbul de informații la nivel global cu partenerii internaționali relevanți este vital pentru o strategie eficientă de securitate cibernetică și pentru acțiuni convingătoare vizând îmbunătățirea securității rețelelor și a informației în cadrul UE, având în vedere caracterul transnațional al amenințărilor.

Amendamentul  10

Propunere de directivă

Considerentul 8 a (nou)

Textul propus de Comisie

Amendamentul

 

(8a) Măsurile de securitate trebuie să respecte drepturile fundamentale obligatorii pentru UE și statele sale membre în conformitate cu articolele 2, 6 și 21 din TFUE, precum libertatea de exprimare, protecția datelor și intimitatea; întrucât drepturile la intimitate și la protecția datelor sunt prevăzute în Carta UE și la articolul 16 din TFUE.

Amendamentul  11

Propunere de directivă

Considerentul 11 a (nou)

Textul propus de Comisie

Amendamentul

 

(11a) Toate statele membre se axează pe strategiile naționale de securitate informatică asupra protecției sistemelor de informații și a datelor conexe și consideră protecția acestei infrastructuri critice ca făcând parte din obligația lor corespunzătoare de diligență. Toate statele membre adoptă și pun în aplicare strategii, orientări și instrumente care asigură niveluri rezonabile de protecție împotriva unor niveluri de amenințare identificabile în mod rezonabil, cu costuri și sarcini ale protecției proporționale cu eventualul prejudiciu adus părților vizate. De asemenea, toate statele membre fac demersurile corespunzătoare pentru a obliga persoanele juridice de pe teritoriul lor să protejeze datele cu caracter personal aflate în grija lor.

Amendamentul  12

Propunere de directivă

Considerentul 16

Textul propus de Comisie

Amendamentul

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie să creeze un site web comun, pe care să publice informații neconfidențiale despre incidente și riscuri.

(16) Pentru a asigura transparența și informarea adecvată a cetățenilor și a operatorilor de piață din UE, autoritățile competente trebuie să creeze un site web comun, pe care să publice informații neconfidențiale despre incidente și riscuri. Datele personale publicate pe acest site internet nu ar trebui să fie limitate doar la ceea ce este necesar și să fie cât mai anonime posibil.

Amendamentul  13

Propunere de directivă

Considerentul 30 a (nou)

Textul propus de Comisie

Amendamentul

 

(30a) Prezenta directivă nu aduce atingere acquis-ului Uniunii în ceea ce privește protecția datelor. Datele personale utilizate în conformitate cu dispozițiile prezentei directive ar trebui să fie limitate la setul minim de date personale strict necesare și să fie transmise operatorilor doar în condiții de strictă necesitate și să fie cât mai anonime posibil, dacă nu complet anonime.

Amendamentul  14

Propunere de directivă

Considerentul 32 a (nou)

Textul propus de Comisie

Amendamentul

 

(32a) Prezenta directivă (directiva NIS) nu aduce atingere adoptării necesare a legislației generale a UE privind protecția datelor.

Amendamentul  15

Propunere de directivă

Considerentul 34 a (nou)

Textul propus de Comisie

Amendamentul

 

(34a) Este necesară reglementarea la nivelul UE a vânzării, furnizării, transferului sau exportului către țări terțe a echipamentelor sau a programelor informatice care vizează în principal monitorizarea sau interceptarea comunicațiilor pe internet sau a comunicațiilor telefonice din rețelele fixe sau mobile, precum și acordarea de asistență pentru instalarea, exploatarea sau actualizarea unor astfel de echipamente sau programe informatice. Comisia trebuie să pregătească cât mai repede posibil legislația care împiedică societățile europene să exporte astfel de produse cu dublă utilizare către regimuri nedemocratice, autoritare și represive.

Amendamentul  16

Propunere de directivă

Articolul 1 – alineatul 2 – litera b

Textul propus de Comisie

Amendamentul

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate și eficiente în caz de riscuri și incidente care afectează rețelele și sistemele informatice;

(b) creează un mecanism de cooperare între statele membre pentru a asigura o aplicare uniformă a prezentei directive în Uniune și, dacă este necesar, o administrare și un răspuns coordonate, eficiente și efective în caz de riscuri și incidente care afectează rețelele și sistemele informatice;

Amendamentul  17

Propunere de directivă

Articolul 3 – punctul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) orice dispozitiv sau grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor electronice, precum și

(b) orice grup de dispozitive interconectate sau legate între ele, dintre care unul sau mai multe efectuează, în conformitate cu un program, o prelucrare automată a datelor electronice, precum și

Amendamentul  18

Propunere de directivă

Articolul 3 – punctul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(a) „reziliență cibernetică” înseamnă capacitatea unei rețele și a unui sistem informatic de a rezista și de a reveni la întreaga capacitate operațională în urma unor incidente, inclusiv, dar nelimitându-se la: disfuncții tehnice, pană de curent sau incidente de securitate;

Amendamentul  19

Propunere de directivă

Articolul 3 – punctul 8 – litera b

Textul propus de Comisie

Amendamentul

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor și sănătății; o listă neexhaustivă a acestor operatori este prevăzută în anexa II.

(b) un operator al unei infrastructuri critice care este esențială pentru menținerea activităților economice și societale vitale în domeniile energiei, transporturilor, serviciilor bancare, burselor, sănătății, securității și apărării; o listă neexhaustivă a acestor operatori este prevăzută în anexa II.

Amendamentul  20

Propunere de directivă

Articolul 3 – punctul 8 – litera ba (nouă)

Textul propus de Comisie

Amendamentul

 

(ba) un furnizor de dispozitive, rețele și sisteme informatice precum cele menționate la punctul 1 sau de componente ale acestora, care sunt esențiale pentru un nivel comun ridicat de securitate a rețelelor și a informației.

Amendamentul  21

Propunere de directivă

Articolul 6 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru desemnează o autoritate națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

(1) Fiecare stat membru desemnează o autoritate civilă națională competentă în domeniul securității rețelelor și a sistemelor informatice (denumită în continuare „autoritatea competentă”).

Amendamentul  22

Propunere de directivă

Articolul 7 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare stat membru înființează o Echipă de intervenție în caz de urgență informatică (denumită în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

(1) Fiecare stat membru înființează cel puțin o Echipă de intervenție în caz de urgență informatică (denumită în continuare „CERT”) care este responsabilă pentru administrarea incidentelor și a riscurilor în conformitate cu o procedură bine definită și respectă cerințele stabilite în anexa I punctul (1). CERT poate fi înființată în cadrul autorității competente.

Amendamentul  23

Propunere de directivă

Articolul 8 – alineatul 3 – litera fa (nouă)

Textul propus de Comisie

Amendamentul

 

(fa) după caz, dată fiind natura riscului sau a amenințării, coordonatorul UE în materie de combatere a terorismului ar trebui informat printr-un raport și ar putea fi solicitat să ajute activitățile și acțiunile pregătitoare ale rețelei de cooperare prin activități de analiză;

Amendamentul  24

Propunere de directivă

Articolul 9 – alineatul 1 a (nou)

Textul propus de Comisie

Amendamentul

 

(1a) Datele cu caracter personal sunt comunicate doar destinatarilor care trebuie să prelucreze aceste date pentru a-și îndeplini sarcinile în conformitate cu un temei juridic adecvat. Datele comunicate se limitează la ceea ce este necesar pentru îndeplinirea sarcinilor de către aceștia. Este garantată respectarea principiului limitării scopului. Termenul-limită pentru păstrarea acestor date este specificat în scopurile menționate de prezenta directivă.

Amendamentul  25

Propunere de directivă

Articolul 10 – alineatul 3

Textul propus de Comisie

Amendamentul

(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze orice informații relevante cu privire la un risc sau la un incident specific.

(3) La cererea unui stat membru sau din proprie inițiativă, Comisia poate solicita altui stat membru să furnizeze informațiile relevante cu privire la un risc sau la un incident specific, în conformitate cu dispozițiile din Regulamentul general privind protecția datelor.

Amendamentul  26

Propunere de directivă

Articolul 13 – alineatul -1 a (nou)

Textul propus de Comisie

Amendamentul

 

(-1a) ÎR/VP integrează în acțiunile externe ale UE, în special în ce privește țările terțe, aspectele legate de securitatea cibernetică. Obiectivul îl constituie intensificarea schimburilor de experiență acumulată și cooperarea în privința aspectelor legate de securitatea cibernetică.

Amendamentul  27

Propunere de directivă

Articolul 13 – alineatul -1 b (nou)

Textul propus de Comisie

Amendamentul

 

(-1b) În cadrul relațiilor și acordurilor de cooperare cu țări terțe, în special cu cele cu care există o cooperare cu privire la tehnologii, Consiliul și Comisia insistă asupra unor minime standarde în privința securității sistemelor informatice.

Amendamentul  28

Propunere de directivă

Articolul 20 – titlu

Textul propus de Comisie

Amendamentul

Revizuire

Raportare și revizuire

Amendamentul  29

Propunere de directivă

Articolul 20 – alineatul -1 a (nou)

Textul propus de Comisie

Amendamentul

 

(-1a) Comisia prezintă un raport anual Parlamentului European și Consiliului cu privire la incidente și măsurile care i s-au adus la cunoștință în conformitate cu prezenta directivă.

Amendamentul  30

Propunere de directivă

Anexa 1 – punctul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) CERT pune în aplicare și gestionează măsuri de securitate pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea informațiilor pe care le primește și le tratează.

(b) CERT pune în aplicare și gestionează măsuri de securitate pentru a asigura confidențialitatea, integritatea, disponibilitatea și autenticitatea informațiilor pe care le primește și le tratează, respectând cerințele privind protecția datelor.

Amendamentul  31

Propunere de directivă

ANEXA II – subtitlul 2 (menționat la articolul 3 alineatul 8 litera b) – alineatul 5 a (nou)

Textul propus de Comisie

Amendamentul

 

(5a) Sectorul securității și apărării: operatori economici de activități și servicii precum cele menționate în Directiva 2009/81/CE, în special cele menționate la articolul 46 din aceasta

PROCEDURĂ

Titlu

Un nivel comun ridicat de securitate a rețelelor și a informației în Uniune

Referințe

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Comisie competentă în fond

       Data anunțului în plen

IMCO

15.4.2013

 

 

 

Aviz emis de către

       Data anunțului în plen

AFET

15.4.2013

Raportor/Raportoare pentru aviz:

       Data numirii

Ana Gomes

19.2.2013

Examinare în comisie

18.9.2013

 

 

 

Data adoptării

5.12.2013

 

 

 

Rezultatul votului final

+:

–:

0:

31

3

8

Membri titulari prezenți la votul final

Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Pașcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala

Membri supleanți prezenți la votul final

Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski

Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final

Hiltrud Breyer

PROCEDURĂ

Titlu

Un nivel comun ridicat de securitate a rețelelor și a informației în Uniune

Referințe

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Data prezentării la PE

5.2.2013

 

 

 

Comisie competentă în fond

       Data anunțului în plen

IMCO

15.4.2013

 

 

 

Comisie(i) sesizată(e) pentru avizare

       Data anunțului în plen

AFET

15.4.2013

INTA

15.4.2013

BUDG

15.4.2013

ECON

15.4.2013

 

ENVI

15.4.2013

ITRE

15.4.2013

TRAN

15.4.2013

JURI

15.4.2013

 

LIBE

15.4.2013

 

 

 

Avize care nu au fost emise

       Data deciziei

INTA

20.3.2013

BUDG

21.2.2013

ECON

18.6.2013

ENVI

19.2.2013

 

TRAN

18.3.2013

JURI

20.2.2013

 

 

Comisie(i) asociată(e)

       Data anunțului în plen

ITRE

12.9.2013

LIBE

12.9.2013

 

 

Raportor(i)

       Data numirii

Andreas Schwab

20.3.2013

 

 

 

Examinare în comisie

25.4.2013

18.6.2013

5.9.2013

4.11.2013

 

9.1.2014

 

 

 

Data adoptării

23.1.2014

 

 

 

Rezultatul votului final

+:

–:

0:

33

1

1

Membri titulari prezenți la votul final

Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler

Membri supleanți prezenți la votul final

Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer

Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final

Vital Moreira, Oreste Rossi

Data depunerii

12.2.2014