JELENTÉS az ENISA-ról, az Európai Uniós Kiberbiztonsági Ügynökségről, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló európai parlamenti és tanácsi rendeletre („kiberbiztonsági jogszabály”) irányuló javaslatról

30.7.2018 - (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)) - ***I

Ipari, Kutatási és Energiaügyi Bizottság
Előadó: Angelika Niebler
A vélemény előadója (*):
Nicola Danti, Belső Piaci és Fogyasztóvédelmi Bizottság
(*) Társbizottsági eljárás – (az eljárási szabályzat 54. cikke)


Eljárás : 2017/0225(COD)
A dokumentum állapota a plenáris ülésen
Válasszon egy dokumentumot :  
A8-0264/2018
Előterjesztett szövegek :
A8-0264/2018
Elfogadott szövegek :

AZ EURÓPAI PARLAMENT JOGALKOTÁSI ÁLLÁSFOGLALÁS-TERVEZETE

az ENISA-ról, az Európai Uniós Kiberbiztonsági Ügynökségről, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló európai parlamenti és tanácsi rendeletre („kiberbiztonsági jogszabály”) irányuló javaslatról

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Rendes jogalkotási eljárás: első olvasat)

Az Európai Parlament,

–  tekintettel a Bizottság Parlamenthez és Tanácshoz intézett javaslatára (COM(2017)0477),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére és 114. cikkére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C8-0310/2017),

–  tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,

–  tekintettel az Európai Gazdasági és Szociális Bizottság 2018. február 14-i véleményére[1],

–  tekintettel eljárási szabályzata 59. cikkére,

–   tekintettel a francia Szenátus által a szubszidiaritás és az arányosság elvének alkalmazásáról szóló 2. jegyzőkönyv alapján előterjesztett indokolt véleményre, melyek szerint a jogalkotási aktus tervezete nem egyeztethető össze a szubszidiaritás elvével,

–  tekintettel az Ipari, Kutatási és Energiaügyi Bizottság jelentésére, valamint a Belső Piaci és Fogyasztóvédelmi Bizottság, a Költségvetési Bizottság és az Állampolgári Jogi, Bel- és Igazságügyi Bizottság véleményeire (A7–0264/2018),

1.  elfogadja első olvasatban az alábbi álláspontot;

2.  felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslata helyébe másik szöveget szándékozik léptetni, azt lényegesen módosítja vagy lényegesen módosítani kívánja;

3.  utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak és a Bizottságnak, valamint a nemzeti parlamenteknek.

Módosítás    1

Rendeletre irányuló javaslat

1 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák sokrétű funkciókat ellátó összetett rendszerek alapjait képezik – idetartozik például a társadalmi tevékenységek elősegítése, a gazdaság olajozott működésének lehetővé tétele olyan meghatározó szektorokban, mint az egészségügy, az energetika, a pénzügy és a közlekedés, valamint a belső piac működésének megkönnyítése.

(1)  A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák (IKT) sokrétű funkciókat ellátó összetett rendszerek alapjait képezik – idetartozik például a mindennapi társadalmi tevékenységek elősegítése, a gazdaság olajozott működésének lehetővé tétele olyan meghatározó szektorokban, mint az egészségügy, az energetika, a pénzügy és a közlekedés, valamint különösen a belső piac működésének megkönnyítése.

Módosítás    2

Rendeletre irányuló javaslat

2 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, kiberbiztonsági szempontból nem teljesen megbízhatók. A tanúsítás korlátozott használata következtében így sem az intézményi, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek és -szolgáltatások kiberbiztonsági jellemzőiről, ami a digitális megoldásokba vetett bizalom megrendüléséhez vezethet.

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, kiberbiztonsági szempontból nem teljesen megbízhatók. A tanúsítás korlátozott használata következtében így sem az intézményi, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek, -eljárások és -szolgáltatások kiberbiztonsági jellemzőiről, ami a digitális megoldásokba vetett bizalom megrendüléséhez vezethet. Az Európai Bizottság reformmenetrendjének középpontjában lévő célkitűzés a digitális egységes piac megvalósítása, mivel az IKT-hálózatok alkotják azon digitális termékek és szolgáltatások gerincét, amelyek rendelkeznek az életünk minden szempontból való támogatásának potenciáljával, és lehetővé teszik Európa gazdasági növekedését. Annak biztosítása érdekében, hogy a digitális egységes piac célkitűzései maradéktalanul megvalósuljanak, be kell vezetni azokat a létfontosságú technológiai alapelemeket, amelyekre az olyan fontos területek, mint az e-egészségügy, a dolgok internete, a mesterséges intelligencia, a kvantumtechnológia, valamint az intelligens közlekedési és a korszerű gyártási rendszerek épülnek.

Módosítás    3

Rendeletre irányuló javaslat

3 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Minél nagyobb méreteket ölt a digitalizálás és a hálózatba rendeződés, annál nagyobbak a kiberbiztonsági kockázatok is, melyek a társadalmat egészében véve sebezhetőbbé teszik a kiberfenyegetésekkel szemben, az egyes felhasználókra leselkedő veszélyeket pedig súlyosbítják, ideértve a kiszolgáltatott helyzetben lévő felhasználókat, például a gyerekeket is. A társadalmat fenyegető kockázatok csökkentése érdekében az uniós kiberbiztonság fokozására irányuló minden lehetséges intézkedést meg kell hozni azért, hogy a hálózati és információs rendszerek, a távközlési hálózatok, valamint a magánszemélyek, a közigazgatási szervek és a vállalkozások (a kkv-ktől a kritikus infrastruktúrák üzemeltetőiig terjedő vállalkozói spektrum) által használt digitális termékek, szolgáltatások és eszközök jobban védve legyenek a kiberfenyegetésekkel szemben.

(3)  Minél nagyobb méreteket ölt a digitalizálás és a hálózatba rendeződés, annál nagyobbak a kiberbiztonsági kockázatok is, melyek a társadalmat egészében véve sebezhetőbbé teszik a kiberfenyegetésekkel szemben, az egyes felhasználókra leselkedő veszélyeket pedig súlyosbítják, ideértve a kiszolgáltatott helyzetben lévő felhasználókat, például a gyerekeket is. A társadalmat fenyegető kockázatok csökkentése érdekében az uniós kiberbiztonság fokozására irányuló minden lehetséges intézkedést meg kell hozni azért, hogy a hálózati és információs rendszerek, a távközlési hálózatok, valamint a magánszemélyek, a közigazgatási szervek és a vállalkozások (a kkv-ktől a kritikus infrastruktúrák üzemeltetőiig terjedő vállalkozói spektrum) által használt digitális termékek, szolgáltatások és eszközök jobban védve legyenek a kiberfenyegetésekkel szemben. E tekintetben az Európai Bizottság által a 2018. január 17-én közzétett digitális oktatási cselekvési terv helyes irányt képvisel, különös tekintettel az oktatókat, szülőket és tanulókat célzó uniós szintű figyelemfelhívó kampányra az online biztonság, a kiberhigiénia és a médiaműveltség megerősítése érdekében, valamint a polgári digitális kompetenciakeretre építő, kiberbiztonsággal kapcsolatos oktatási kezdeményezésre, amelynek célja, hogy az emberek magabiztos és felelős technológiahasználók legyenek.

Módosítás    4

Rendeletre irányuló javaslat

3 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3a)  Úgy véli, hogy az ENISA céljait és feladatait jobban össze kell hangolni a közös közleménnyel a kiberhigiénia és a tudatosság elősegítésére történő hivatkozása tekintetében; megállapítja, hogy a kibertámadásokkal szembeni ellenálló képesség a kiberhigiéniai alapelvek végrehajtásával érhető el;

Módosítás    5

Rendeletre irányuló javaslat

3 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3b)  Az ENISA-nak gyakorlatiasabb és információkon alapuló támogatást kellene az Unió kiberbiztonsági iparának, különösen a kkv-knak és az induló vállalkozásoknak nyújtania, amelyek a kiberbiztonság területén az innovatív megoldások legfontosabb forrásai, valamint szorosabb együttműködést kellene előmozdítania az egyetemi kutatóintézetekkel és a jelentősebb szereplőkkel, a külső forrásokból származó internetes biztonsági termékektől való függőség csökkentése és az Unión belüli stratégiai ellátási lánc létrehozása céljából.

Módosítás    6

Rendeletre irányuló javaslat

4 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb és nagyobb biztonságot nyújtó védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. A kibervédelem területén jelentős és egyre növekvő képzési igények jelentkeznek, amelyeket uniós szintű együttműködéssel lehet a leghatékonyabban kielégíteni; Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

Módosítás    7

Rendeletre irányuló javaslat

5 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Idetartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt a tagállamok, illetve az uniós intézmények, hivatalok és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére. További erőfeszítésekre van szükség annak érdekében is, hogy a magánszemélyek és a vállalkozások jobban tisztában legyenek a kiberbiztonsági kérdésekkel. Emellett a digitális egységes piacba vetett bizalmat is növelni kell azáltal, hogy az IKT-termékek és -szolgáltatások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő tanúsítással, amely valamennyi tagállam piacán, minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít.

(5)  Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Idetartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt, valamint az információmegosztást a tagállamok, illetve az uniós intézmények, hivatalok és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére, hangsúlyozva a nemzeti képességek fenntartásának és további fokozásának fontosságát a minden szintű kiberfenyegetésre való reagálás érdekében. További erőfeszítésekre van szükség annak érdekében is, hogy koordinált uniós válasz szülessen, és a magánszemélyek és a vállalkozások jobban tisztában legyenek a kiberbiztonsági kérdésekkel. Emellett – mivel a kiberbiztonsági események aláássák a digitális szolgáltatókba és a digitális egységes piacba vetett bizalmat, különösen a fogyasztók körében – a bizalmat is növelni kell azáltal, hogy az IKT-termékek, -szolgáltatások és -eljárások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre, hangsúlyozva, hogy még a magas szintű kiberbiztonsági tanúsítás sem garantálhatja, hogy az adott IKT-termék vagy -szolgáltatás teljesen biztonságos. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő tanúsítással, amely valamennyi tagállam piacán, minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít, valamint az informatikai jártasság előmozdításával. Az egész Unióra kiterjedő tanúsítás és a dolgok internetével kapcsolatos eszközök növekvő elérhetősége mellett számos olyan önkéntes intézkedés létezik, amelyet a magánszférának magának kell vállalnia az IKT-termékek, -eljárások és -szolgáltatások biztonságába vetett bizalom erősítéséhez, mint például a titkosítás és a blokklánc-technológiák. A kihívásoknak arányosan tükröződniük kell az Ügynökség számára elkülönített költségvetésben annak érdekében, hogy a jelenlegi körülmények között biztosított legyen az optimális működés.

Módosítás    8

Rendeletre irányuló javaslat

5 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  Az európai biztonsági és kibervédelmi struktúrák megerősítése érdekében fontos fenntartani és fejleszteni a tagállamok kiberfenyégetésekre való átfogó reagálási képességét, beleértve a több országot érintő biztonsági eseményeket is, miközben az Ügynökség általi uniós szintű koordináció nem vezethet a tagállami képességek vagy erőfeszítések csökkenéséhez.

Módosítás    9

Rendeletre irányuló javaslat

5 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5b)  A vállalkozásoknak és a magánszemély fogyasztóknak pontos információkkal kell rendelkezniük az IKT-termékeik biztonsági szintjére vonatkozóan. Ugyanakkor meg kell értenünk, hogy kiberbiztonsági szempontból egyetlen termék sem megfelelő, és hogy a kiberhigiénia alapvető szabályait támogatni kell és kiemelten kell kezelni.

Módosítás    10

Rendeletre irányuló javaslat

7 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései gyanánt az Unió 2016-ban elfogadta az első kiberbiztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv nemzeti képességekre vonatkozó követelményeket határozott meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához.

(7)  Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései gyanánt az Unió 2016-ban elfogadta az első kiberbiztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv – amelynek sikeressége nagymértékben függ majd a tagállamok általi eredményes végrehajtástól – megvalósítja a digitális egységes piaci stratégiát, és egyéb eszközökkel együtt, mint például az Európai Elektronikus Hírközlési Kódex létrehozásáról szóló irányelvvel, az (EU) 2016/679 rendelettel, valamint a 2002/58/EK irányelvvel együtt nemzeti képességekre vonatkozó követelményeket határoz meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához.

Módosítás    11

Rendeletre irányuló javaslat

8 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(8)  Ismert tény, hogy a 2013-as uniós kiberbiztonsági stratégia elfogadása és az Ügynökség megbízatásának legutóbbi felülvizsgálata óta az általános politikai kontextus jelentősen megváltozott, a még bizonytalanabb és kevésbé biztonságos globális környezet következtében is. Ezért az új uniós kiberbiztonsági politika keretében felül kell vizsgálni az ENISA megbízatását a megváltozott kiberbiztonsági ökoszisztémában betöltött szerepének meghatározása érdekében, és biztosítani kell, hogy hatékonyan hozzájáruljon a radikálisan új fenyegetésekből fakadó kiberbiztonsági kihívásokra adott uniós reagáláshoz, hiszen ehhez, amint az az Ügynökség értékeléséből is kiderült, jelenlegi megbízatása nem elegendő.

(8)  Ismert tény, hogy a 2013-as uniós kiberbiztonsági stratégia elfogadása és az Ügynökség megbízatásának legutóbbi felülvizsgálata óta az általános politikai kontextus jelentősen megváltozott, a még bizonytalanabb és kevésbé biztonságos globális környezet következtében is. Ezért az Ügynökség által az évek során a szakértelem összefogása, a koordináció és a kapacitásépítés terén játszott pozitív szerep kapcsán és az új uniós kiberbiztonsági politika keretében felül kell vizsgálni az ENISA megbízatását a megváltozott kiberbiztonsági ökoszisztémában betöltött szerepének meghatározása érdekében, és biztosítani kell, hogy hatékonyan hozzájáruljon a radikálisan új fenyegetésekből fakadó kiberbiztonsági kihívásokra adott uniós reagáláshoz, hiszen ehhez, amint az az Ügynökség értékeléséből is kiderült, jelenlegi megbízatása nem elegendő.

Módosítás    12

Rendeletre irányuló javaslat

11 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(11)  Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek kötelékében betöltött kulcsfontosságú szerepének.

(11)  Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági fenyegetésekre és kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek kötelékében betöltött kulcsfontosságú szerepének, lehetővé téve az ENISA számára az e rendelettel ráruházott feladatok eredményes elvégzését.

Módosítás    13

Rendeletre irányuló javaslat

12 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel és hivatalokkal, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie. Ezenkívül a magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Feladatainak leírásával meg kell határozni, hogy az Ügynökségnek hogyan kell céljait elérnie, de egyben rugalmasságot is biztosítani kell működéséhez.

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie, a párhuzamos munka elkerülésével, a szinergia és a kiegészítő jelleg előmozdításával, és ezáltal a koordináció és a költségvetési megtakarítások elérésével. Ezenkívül a köz- és magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Egyértelmű menetrend és világosan rögzített feladatok és célok révén kell meghatározni, hogy az Ügynökség hogyan teljesítse a célkitűzéseket, megfelelően figyelembe véve a működéséhez szükséges rugalmasságot is. Lehetőség szerint mindenhol a lehető legnagyobb átláthatóságot és információterjesztést kell biztosítani.

Módosítás    14

Rendeletre irányuló javaslat

12 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(12a)  Az Ügynökség szerepét folyamatos értékelésnek és időben történő felülvizsgálatnak kell alávetni, különös tekintettel a tagállamokkal és nemzeti hatóságaikkal szembeni koordináló szerepére és annak lehetőségére, hogy egyablakos mechanizmusként működjön a tagállamok, valamint az uniós szervek és intézmények számára. Értékelni kell továbbá az Ügynökségnek a belső piac széttagoltságának megakadályozásában és – amennyiben a helyzet a jövőben ilyen változást igényel – a kötelező kiberbiztonsági tanúsítási rendszerek lehetséges bevezetésében játszott szerepét, valamint az Ügynökség szerepét az EU piacára belépő harmadik országbeli termékek értékelése és az olyan vállalatok esetleges feketelistára helyezése tekintetében, amelyek nem felelnek meg az uniós kritériumoknak.

Módosítás    15

Rendeletre irányuló javaslat

12 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(12b)  Annak érdekében, hogy megfelelő támogatást lehessen nyújtani a tagállamok operatív együttműködéséhez, az ENISA-nak tovább kell erősítenie saját műszaki képességeit és szakértelmét. E célból az Ügynökségnek fokozatosan meg kell erősítenie az e feladattal foglalkozó személyzetét, hogy képes legyen összegyűjteni és elemezni különböző típusú és széles skálájú kiberbiztonsági fenyegetéseket és rosszindulatú szoftvereket, igazságügyi szakértői elemzést végezni, és segítséget nyújtani a tagállamoknak a nagyszabású incidensek kezelésében. A tagállamok meglévő képességei megkettőzésének elkerülése érdekében az ENISA-nak növelnie kell know-how-ját és kapacitásait a tagállamokban meglévő erőforrások alapján, nevezetesen nemzeti szakértők Ügynökséghez való kirendelése, szakértői csoportoklétrehozása, személyzeti csereprogramok stb. révén. Az e területen felelős személyzet kiválasztásakor az Ügynökségnek fokozatosan gondoskodnia kell arról, hogy teljesítsék a megfelelő támogatás nyújtásához szükséges megfelelő feltételeket.

Módosítás    16

Rendeletre irányuló javaslat

13 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(13)  Az Ügynökségnek tanáccsal, véleményezéssel és elemzések készítésével kell segítenie a Bizottságot valamennyi olyan uniós kérdésben, amely a kiberbiztonságot – beleértve a kritikus infrastruktúrák védelmét és a kibertámadásokkal szembeni ellenálló képességet – érintő szakpolitikák és jogszabályok kidolgozásához, illetve azok aktualizálásához és felülvizsgálatához kapcsolódik. Az Ügynökségnek hivatkozási alapként kell szolgálnia, amely tanácsadást folytat és szakértelmet biztosít az olyan uniós ágazatspecifikus szakpolitikai és jogi kezdeményezésekkel kapcsolatban, amelyek kiberbiztonsági kérdéseket is érintenek.

(13)  Az Ügynökségnek tanáccsal, véleményezéssel és elemzések készítésével kell segítenie a Bizottságot valamennyi olyan uniós kérdésben, amely a kiberbiztonságot – beleértve a kritikus infrastruktúrák védelmét és a kibertámadásokkal szembeni ellenálló képességet – érintő szakpolitikák és jogszabályok kidolgozásához, illetve azok aktualizálásához és felülvizsgálatához kapcsolódik. Az Ügynökségnek hivatkozási alapként kell szolgálnia, amely tanácsadást folytat és szakértelmet biztosít az olyan uniós ágazatspecifikus szakpolitikai és jogi kezdeményezésekkel kapcsolatban, amelyek kiberbiztonsági kérdéseket is érintenek. Szakértelmére különösen az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó többéves uniós munkaprogram elkészítése során lesz szükség. Az Ügynökségnek rendszeresen naprakész tájékoztatást, elemzéseket és áttekintést kell nyújtania az Európai Parlament számára a kiberbiztonság terén és feladatai alakulását illetően.

Módosítás    17

Rendeletre irányuló javaslat

14 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(14)  Az Ügynökség alapvető feladata, hogy elősegítse az idevágó jogi keretrendszer következetes végrehajtását, különösen a kiberbiztonsági irányelv eredményes alkalmazását, ami alapvető fontosságú a kibertámadásokkal szembeni ellenálló képesség javításához. Tekintettel a kiberbiztonsági fenyegetések gyorsan változó természetére, egyértelmű, hogy a tagállamokat több szakpolitikai területet is felölelő, átfogóbb megközelítéssel kell támogatni a kibertámadásokkal szembeni ellenálló képességük kialakítása érdekében.

(14)  Az Ügynökség alapvető feladata, hogy elősegítse az idevágó jogi keretrendszer következetes végrehajtását, különösen a kiberbiztonsági irányelv, az Európai Elektronikus Hírközlési Kódex létrehozásáról szóló irányelv, az (EU) 2016/679 rendelet, valamint a 2002/58/EK irányelv eredményes alkalmazását, ami alapvető fontosságú a kibertámadásokkal szembeni ellenálló képesség javításához. Tekintettel a kiberbiztonsági fenyegetések gyorsan változó természetére, egyértelmű, hogy a tagállamokat több szakpolitikai területet is felölelő, átfogóbb megközelítéssel kell támogatni a kibertámadásokkal szembeni ellenálló képességük kialakítása érdekében.

Módosítás    18

Rendeletre irányuló javaslat

15 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(15)  Az Ügynökségnek segítenie kell a tagállamok és az uniós intézmények, szervek és hivatalok arra irányuló munkáját, hogy kiépítsék, illetve fokozzák a kiberbiztonsági problémák és biztonsági események megelőzésével, észlelésével és az azokra való reagálással kapcsolatos képességeket és felkészültségüket, valamint támogatnia kell a hálózati és információs rendszerek biztonságát érintő erőfeszítéseiket. Különösen a nemzeti szinten működő, számítógép-biztonsági eseményekre reagáló csoportok, az ún. CSIRT-ek kialakítását és fejlesztését kell támogatnia annak érdekében, hogy azok Unió-szerte általánosan jó fejlettségi szintet érjenek el. Az Ügynökségnek a hálózati és információs rendszerek biztonságára, kiváltképpen a kiberbiztonságra vonatkozó uniós és tagállami stratégiák kidolgozásához és aktualizálásához is hozzá kell járulnia, és segítenie kell azok széles körű elterjesztésében, csakúgy mint végrehajtásuk nyomon követésében. Továbbá képzéseket és képzési anyagokat kell biztosítania az állami szervek számára, és adott esetben az oktatók képzéséről is gondoskodnia kell annak érdekében, hogy segítse a tagállamokat saját szakképzési kapacitásaik kifejlesztésében.

(15)  Az Ügynökségnek segítenie kell a tagállamok és az uniós intézmények, szervek és hivatalok arra irányuló munkáját, hogy kiépítsék, illetve fokozzák a kiberbiztonsági problémák és biztonsági események megelőzésével, észlelésével és az azokra való reagálással kapcsolatos képességeket és felkészültségüket, valamint támogatnia kell a hálózati és információs rendszerek biztonságát érintő erőfeszítéseiket. Különösen a nemzeti szinten működő, számítógép-biztonsági eseményekre reagáló csoportok, az ún. CSIRT-ek kialakítását és fejlesztését kell támogatnia annak érdekében, hogy azok Unió-szerte általánosan jó fejlettségi szintet érjenek el. Az Ügynökségnek a hálózati és információs rendszerek biztonságára, kiváltképpen a kiberbiztonságra vonatkozó uniós és tagállami stratégiák kidolgozásához és aktualizálásához is hozzá kell járulnia, és segítenie kell azok széles körű elterjesztésében, csakúgy mint végrehajtásuk nyomon követésében. Figyelembe véve, hogy a kiberbiztonság szempontjából az emberi hibák jelentik az egyik legjelentősebb kockázatot, az Ügynökségnek továbbá képzéseket és képzési anyagokat kell biztosítania az állami szervek számára, és a lehető legnagyobb mértékben az oktatók képzéséről is gondoskodnia kell annak érdekében, hogy segítse a tagállamokat, valamint az uniós intézményeket és ügynökségeket saját szakképzési kapacitásaik kifejlesztésében. Az Ügynökségnek emellett kapcsolattartó pontként kell szolgálnia a tagállamok és az uniós intézmények számára, amelyek a ráruházott feladat- és hatáskörön belül segítséget kérhetnek az Ügynökségtől.

Módosítás    19

Rendeletre irányuló javaslat

18 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(18)  Az Ügynökségnek össze kell gyűjtenie és elemeznie kell a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) és az európai intézmények, szervek és hivatalok számítógépes vészhelyzeteket elhárító csoportja (CERT-EU) által készített nemzeti jelentéseket, és meg kell határoznia az információcsere közös szabályait, nyelvét és terminológiáját. Munkájába a magánszektort is be kell vonnia a kiberbiztonsági irányelv keretében, amely a CSIRT-hálózat létrehozásával meghatározta az önkéntes alapon történő, operatív szintű technikai információcsere alapjait.

(18)  Az Ügynökségnek össze kell gyűjtenie és elemeznie kell a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) és az európai intézmények, szervek és hivatalok számítógépes vészhelyzeteket elhárító csoportja (CERT-EU) által készített nemzeti jelentéseket, és meg kell határoznia az információcsere közös szabályait, nyelvét és terminológiáját. Munkájába a köz- és magánszektort is be kell vonnia a kiberbiztonsági irányelv keretében, amely a CSIRT-hálózat létrehozásával meghatározta az önkéntes alapon történő, operatív szintű technikai információcsere alapjait.

Módosítás    20

Rendeletre irányuló javaslat

19 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(19)  Az Ügynökségnek a nagyszabású, határokon átnyúló kiberbiztonsági események és válsághelyzetek esetén hozzá kell járulnia az uniós szintű reagáláshoz. Ideértendő a megfelelő információk összegyűjtése, valamint a CSIRT-hálózat és a műszaki közösség, továbbá a válságkezelésért felelős döntéshozók közötti közvetítés is. Az Ügynökség ezenkívül technikai szempontból is támogatni tudná a biztonsági események kezelését azáltal, hogy elősegíti a megfelelő technikai megoldások tagállamok közötti cseréjét, valamint a nyilvánosság tájékoztatásához szükséges információkat bocsát rendelkezésre. Az ilyen jellegű együttműködés módozatainak tesztelése révén az Ügynökségnek éves kiberbiztonsági gyakorlatok keretében támogatnia kell ezt a folyamatot.

(19)  Az Ügynökségnek a nagyszabású, határokon átnyúló kiberbiztonsági események és válsághelyzetek esetén hozzá kell járulnia az uniós szintű reagáláshoz. Ideértendő a tagállamok hatóságainak összehívása és a válaszlépéseik koordinációjához nyújtott segítség, a megfelelő információk összegyűjtése, valamint a CSIRT-hálózat és a műszaki közösség, továbbá a válságkezelésért felelős döntéshozók közötti közvetítés is. Az Ügynökség ezenkívül technikai szempontból is támogatni tudná a biztonsági események kezelését például azáltal, hogy elősegíti a megfelelő technikai megoldások tagállamok közötti cseréjét, valamint a nyilvánosság tájékoztatásához szükséges információkat bocsát rendelkezésre. Az ilyen jellegű együttműködés módozatainak tesztelése révén az Ügynökségnek éves kiberbiztonsági gyakorlatok keretében támogatnia kell ezt a folyamatot. Az Ügynökség tiszteletben tartja a kiberbiztonsággal kapcsolatos tagállami hatásköröket, különösen a közbiztonsággal, védelemmel, nemzetbiztonsággal kapcsolatos tevékenységeket és az állam büntetőjogi területeken folytatott tevékenységét.

Módosítás    21

Rendeletre irányuló javaslat

25 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(25)  A tagállamok felkérhetik a biztonsági esemény által érintett vállalkozásokat arra, hogy – a kereskedelmi szempontból érzékeny információk védeleméhez való joguk sérelme nélkül – a szükséges információk és segítségnyújtás biztosításával működjenek együtt az Ügynökséggel.

(25)  A tagállamok felkérhetik a biztonsági esemény által érintett vállalkozásokat arra, hogy – a kereskedelmi szempontból érzékeny és a közbiztonsággal kapcsolatos információk védeleméhez való joguk sérelme nélkül – a szükséges információk és segítségnyújtás biztosításával működjenek együtt az Ügynökséggel.

Módosítás    22

Rendeletre irányuló javaslat

26 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(26)  A kiberbiztonság területén jelentkező kihívások jobb megértése érdekében, valamint a tagállamoknak és az uniós intézményeknek nyújtott hosszú távú stratégiai tanácsadás céljából az Ügynökségnek elemeznie kell mind a már ismert, mind az új keletű kockázatokat. E célból az Ügynökségnek a tagállamokkal és adott esetben a statisztikai hivatalokkal és más szervekkel együttműködésben össze kell gyűjtenie a releváns információkat, elemzéseket kell készítenie az új technológiákról, valamint tematikus értékeléseket kell végeznie a technológiai innovációknak a hálózat- és információbiztonságra, azon belül is különösen a kiberbiztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól. Az Ügynökségnek továbbá a fenyegetések és biztonsági események elemzésével támogatnia kell a tagállamokat és az uniós intézményeket, hivatalokat és szerveket az új tendenciák azonosításában és a kiberbiztonsággal kapcsolatos problémák megelőzésében.

(26)  A kiberbiztonság területén jelentkező kihívások jobb megértése érdekében, valamint a tagállamoknak és az uniós intézményeknek nyújtott hosszú távú stratégiai tanácsadás céljából az Ügynökségnek elemeznie kell mind a már ismert, mind az új keletű kockázatokat, biztonsági eseményeket, fenyegetéseket és sebezhetőségeket. E célból az Ügynökségnek a tagállamokkal és adott esetben a statisztikai hivatalokkal és más szervekkel együttműködésben össze kell gyűjtenie a releváns információkat, elemzéseket kell készítenie az új technológiákról, valamint tematikus értékeléseket kell végeznie a technológiai innovációknak a hálózat- és információbiztonságra, azon belül is különösen a kiberbiztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól. Az Ügynökségnek továbbá a fenyegetések, a biztonsági események és a sebezhetőségek elemzésével támogatnia kell a tagállamokat és az uniós intézményeket, hivatalokat és szerveket az új tendenciák azonosításában és a kiberbiztonsággal kapcsolatos problémák megelőzésében.

Módosítás    23

Rendeletre irányuló javaslat

27 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(27)  Az Ügynökségnek – az Unió ellenálló képességének növelése érdekében – tanácsadással, iránymutatással és a bevált módszerek terjesztésével kiválóságra kell törekednie az internetes infrastruktúra és a kritikus infrastruktúrák biztonságának területén. Annak érdekében, hogy a kiberbiztonsági kockázatokra és a lehetséges ellenintézkedésekre vonatkozó információk strukturált formában könnyebben hozzáférhetők legyenek, az Ügynökségnek uniós információs platformot, vagyis egy olyan egyablakos portált kell létrehoznia és fenntartania, ahol a nyilvánosság hozzájuthat az uniós és nemzeti intézményektől, hivataloktól és szervektől származó kiberbiztonsági információkhoz.

(27)  Az Ügynökségnek – az Unió ellenálló képességének növelése érdekében – tanácsadással, iránymutatással és a bevált módszerek terjesztésével kiválóságra kell törekednie az internetes infrastruktúra és a kritikus infrastruktúrák biztonságának területén. Annak érdekében, hogy a kiberbiztonsági kockázatokra és a lehetséges ellenintézkedésekre vonatkozó információk strukturált formában könnyebben hozzáférhetők legyenek, az Ügynökségnek uniós információs platformot, vagyis egy olyan egyablakos portált kell létrehoznia és fenntartania, ahol a nyilvánosság hozzájuthat az uniós és nemzeti intézményektől, hivataloktól és szervektől származó kiberbiztonsági információkhoz. A kiberbiztonsági kockázatokra és a lehetséges ellenintézkedésekre vonatkozó, jól strukturált formában rendelkezésre álló információkhoz való hozzáférés segíti a tagállamokat kapacitásaik megerősítésében, gyakorlataik összehangolásában, valamint ezáltal a támadások elleni általános ellenálló képességük javításában.

Módosítás    24

Rendeletre irányuló javaslat

28 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(28)  Az Ügynökségnek hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság növeléséhez, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az egyéni felhasználók és szervezetek szintjén azáltal is hozzá kell járulnia a bevált módszerek és megoldások előmozdításához, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket készít abból a célból, hogy útmutatást nyújtson a vállalkozások és a magánszemélyek számára, valamint javítsa a felkészültség és az ellenálló képesség általános szintjét. Emellett a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal folytatott együttműködésben rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, melyek célja a biztonságosabb egyéni online magatartásformák elősegítése, valamint a virtuális térben potenciálisan jelenlévő veszélyek tudatosítása – ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat is magában foglaló kiberbűnözést is –, továbbá az alapvető hitelesítési és adatvédelmi tanácsadás nyújtása. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében.

(28)  Az Ügynökségnek hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság – többek között az oktatás előmozdításával való – növeléséhez, és magánszemélyeknek, szervezeteknek és vállalkozásoknak címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az egyéni felhasználók, szervezetek és vállalkozások szintjén azáltal is hozzá kell járulnia a kiberhigiéniával kapcsolatos bevált módszerek – amelyek magukban foglalnak számos az online felhasználók és vállalkozások védelme érdekében átültetendő és rendszeresen végrehajtandó gyakorlatot – és megoldások előmozdításához, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket és útmutatókat készít és tesz közzé abból a célból, hogy útmutatást nyújtson a vállalkozások és a magánszemélyek számára, valamint javítsa a felkészültség és az ellenálló képesség általános szintjét. Az ENISA-nak továbbá arra kell törekednie, hogy a fogyasztók számára fontos információkat adjon az alkalmazandó tanúsítási rendszerekről, például az online és az offline piactereknek szóló iránymutatások és ajánlások kibocsátásával. Emellett a digitális oktatási cselekvési tervvel összhangban, valamint a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal folytatott együttműködésben rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, melyek célja a biztonságosabb egyéni online magatartásformák, a digitális jártasság elősegítése, valamint a virtuális térben potenciálisan jelenlévő veszélyek tudatosítása – ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat is magában foglaló kiberbűnözést is –, továbbá az alapvető többtényezős hitelesítési, javítási, titkosítási és adatvédelmi tanácsadás nyújtása. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával és a szolgáltatások biztonságos használatával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében és uniós szinten a beépített biztonság, a beépített adatvédelem, és az incidensek és megoldásaik népszerűsítésében. E cél elérése érdekében az Ügynökségnek a lehető legjobban ki kell használnia különösen a tudományos intézmények és az informatikai biztonsági kutatók rendelkezésre álló bevált gyakorlatait és tapasztalatait. Tekintettel arra, hogy az egyéni hibák és a kiberbiztonsági kockázatok ismeretének hiánya jelenti az egyik fő bizonytalansági tényezőt a kiberbiztonság terén, az Ügynökség számára megfelelő erőforrásokat kell biztosítani ahhoz, hogy a lehető legnagyobb mértékben elláthassa ezt a feladatot.

Módosítás    25

Rendeletre irányuló javaslat

28 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(28a)  Az Ügynökségnek tudatosítania kell a nyilvánosság körében az adatcsalási biztonsági események és lopások kockázatait, amelyek súlyosan befolyásolhatják az egyének alapvető jogait, továbbá veszélyeztethetik a jogállamiságot és a demokratikus társadalmak stabilitását, beleértve a tagállamokban lévő demokratikus folyamatokat is.

Módosítás    26

Rendeletre irányuló javaslat

30 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(30)  Célkitűzéseinek maradéktalan elérése érdekében az Ügynökségnek kapcsolatot kell kialakítania a megfelelő intézményekkel, hivatalokkal és szervekkel, többek között a CERT-EU-val, az Europol keretében működő Számítástechnikai Bűnözés Elleni Európai Központtal (EC3), az Európai Védelmi Ügynökséggel (EDA), a nagy méretű informatikai rendszerek operatív irányításával foglalkozó európai ügynökséggel (eu-LISA), az Európai Repülésbiztonsági Ügynökséggel (EASA) és a kiberbiztonságban érintett bármely más uniós ügynökségekkel. Kapcsolatot kell fenntartania továbbá az adatvédelmi hatóságokkal is a szakismeretek és a bevált módszerek megosztása érdekében, valamint azért, hogy tanácsokat tudjon adni a kiberbiztonság azon vonatkozásaival kapcsolatban, amelyek hatással lehetnek a hatóságok munkájára. A nemzeti és uniós bűnüldöző és adatvédelmi hatóságok képviselőinek lehetőséget kell biztosítani arra, hogy képviseltessék magukat az Ügynökséghez tartozó érdekeltek állandó csoportjában. Az Ügynökségnek a bűnüldözési szervekkel a munkájukra esetlegesen hatást gyakorló hálózat- és információbiztonsági kérdésekre vonatkozóan folytatott együttműködés során tiszteletben kell tartania a meglévő információs csatornákat és a létező hálózatokat.

(30)  Célkitűzéseinek maradéktalan elérése érdekében az Ügynökségnek kapcsolatot kell kialakítania a megfelelő intézményekkel, az uniós felügyeleti és más illetékes hatóságokkal, hivatalokkal és szervekkel, többek között a CERT-EU-val, az Europol keretében működő Számítástechnikai Bűnözés Elleni Európai Központtal (EC3), az Európai Védelmi Ügynökséggel (EDA), Európai GNSS Ügynökséggel (GSA), Európai Elektronikus Hírközlési Szabályozó Hatóságok Testületének Hivatalával (BEREC), a nagy méretű informatikai rendszerek operatív irányításával foglalkozó európai ügynökséggel (eu-LISA), az Európai Központi Bankkal (EKB), az Európai Bankhatósággal (EBH), az Európai Adatvédelmi Testülettel, az Európai Repülésbiztonsági Ügynökséggel (EASA) és a kiberbiztonságban érintett bármely más uniós ügynökségekkel. Kapcsolatot kell fenntartania továbbá az európai szabványügyi szervezetekkel, az érintett érdekelt felekkel és az adatvédelmi hatóságokkal is a szakismeretek és a bevált módszerek megosztása érdekében, valamint azért, hogy tanácsokat tudjon adni a kiberbiztonság azon vonatkozásaival kapcsolatban, amelyek hatással lehetnek a hatóságok munkájára. A nemzeti és uniós bűnüldöző és adatvédelmi hatóságok képviselőinek lehetőséget kell biztosítani arra, hogy képviseltessék magukat az ENISA tanácsadó csoportjában. Az Ügynökségnek a bűnüldözési szervekkel a munkájukra esetlegesen hatást gyakorló hálózat- és információbiztonsági kérdésekre vonatkozóan folytatott együttműködés során tiszteletben kell tartania a meglévő információs csatornákat és a létező hálózatokat. Partnerségeket kell kialakítani azokkal a tudományos intézményekkel, amelyek kutatási kezdeményezésekkel rendelkeznek az érintett területeken, míg a fogyasztói és egyéb szervezetektől származó inputok számára megfelelő csatornákat kell biztosítani és folyamatosan elemezni kell azokat.

Módosítás    27

Rendeletre irányuló javaslat

31 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(31)  Az Ügynökségnek mint a CSIRT-hálózat titkárságát biztosító tagnak támogatnia kell a tagállami CSIRT-ek és az CERT-EU operatív együttműködését, a CSIRT-hálózatnak a kiberbiztonsági irányelvben meghatározott egyéb releváns feladatainak ellátásához nyújtott támogatás mellett. Elő kell mozdítania és támogatnia kell továbbá a megfelelő CSIRT-ek közötti együttműködést a legalább két CSIRT-et is érintő vagy potenciálisan érintő, az általuk kezelt vagy védett hálózatokat vagy infrastruktúrát érő biztonsági események, támadások és zavarok esetén, figyelembe véve ugyanakkor a CSIRT-hálózat eljárási standardjait.

(31)  Az Ügynökségnek mint a CSIRT-hálózat titkárságát biztosító tagnak támogatnia kell a tagállami CSIRT-ek és az CERT-EU operatív együttműködését, a CSIRT-hálózatnak a kiberbiztonsági irányelvben meghatározott egyéb releváns feladatainak ellátásához nyújtott támogatás mellett. Elő kell mozdítania és támogatnia kell továbbá a megfelelő CSIRT-ek közötti együttműködést a legalább két CSIRT-et is érintő vagy potenciálisan érintő, az általuk kezelt vagy védett hálózatokat vagy infrastruktúrát érő biztonsági események, támadások és zavarok esetén, figyelembe véve ugyanakkor a CSIRT-hálózat eljárási standardjait. Az Ügynökségnek, a Bizottság vagy egy tagállam kérésére, rendszeres informatikai biztonsági ellenőrzéseket kell végeznie a határokon átnyúló kritikus infrastruktúrákon azzal a céllal, hogy meghatározza az esetleges kiberbiztonsági kockázatokat, és ajánlásokat fogalmazzon meg ellenálló képességük javítása érdekében.

Módosítás    28

Rendeletre irányuló javaslat

33 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(33)  Az Ügynökségnek a kiberbiztonsági tanúsítás terén kialakított szakértelmét ki kell alakítania és fenn kell tartania a kapcsolódó uniós szakpolitika támogatása érdekében. Elő kell mozdítania a kiberbiztonsági tanúsítás Unión belüli elterjesztését, többek között azáltal, hogy hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek és -szolgáltatások által nyújtott kiberbiztonság szintjét, erősítve ezáltal a digitális belső piacba vetett bizalmat.

(33)  Az Ügynökségnek a kiberbiztonsági tanúsítás terén kialakított szakértelmét ki kell alakítania és fenn kell tartania a kapcsolódó uniós szakpolitika támogatása érdekében. A meglévő legjobb gyakorlatokra kell támaszkodnia, és elő kell mozdítania a kiberbiztonsági tanúsítás Unión belüli elterjesztését, többek között azáltal, hogy hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek és -szolgáltatások által nyújtott kiberbiztonság szintjét, erősítve ezáltal a digitális belső piacba vetett bizalmat.

Módosítás    29

Rendeletre irányuló javaslat

35 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat és a szolgáltatókat általános biztonsági előírásaik javítására, hogy minden internetfelhasználó megtehesse a személyes kiberbiztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg a kiberbiztonsági szabványoknak. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások kiberbiztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat és a gyártókat szolgáltatásaik és termékeik biztonságának fokozására – ideértve a kiberbiztonságot is – szólítja fel.

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat, a gyártókat és a szolgáltatókat általános biztonsági előírásaik javítására azon IKT-termékeik, -eljárásaik, -szolgáltatásaik és -rendszereik vonatkozásában, amelyeknek a beépített és alapértelmezett biztonság elvével összhangban – különösen a szükséges frissítések rendelkezésre bocsátásával – meg kell felelniük az alapvető biztonsági kötelezettségeknek, hogy minden internetfelhasználó védelemmel rendelkezhessen, és arra legyen ösztönözhető, hogy megtegye a személyes kiberbiztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszahívják, visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg az alapvető kiberbiztonsági kötelezettségeknek, miközben az importőröknek és forgalmazóknak kell gondoskodniuk arról, hogy az általuk forgalomba hozott IKT-termékek, -eljárások, -szolgáltatások és -rendszerek megfeleljenek az alkalmazandó követelményeknek, és ne jelentsen kockázatot az európai közönség számára. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások kiberbiztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat, a gyártókat szolgáltatásaik, eljárásaik, termékeik és rendszereik biztonságának fokozására – ideértve a kiberbiztonságot is – szólítja fel. Az Ügynökségnek együtt kell működnie az érdekelt felekkel egy, az egész Európai Unióra kiterjedő megközelítés létrehozása érdekében a sebezhetőségek felelős nyilvánosságra hozatala tekintetében, előmozdítva a bevált gyakorlatokat ezen a területen.

Módosítás    30

Rendeletre irányuló javaslat

36 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(36)  Az Ügynökségnek teljes mértékben figyelembe kell vennie a folyamatban lévő – különösen a különböző uniós kutatási kezdeményezések keretében végzett – kutatási, fejlesztési és technológiaértékelési tevékenységeket azért, hogy igény esetén tanácsot tudjon adni az uniós intézmények, szervek és hivatalok, valamint adott esetben a tagállamok számára a hálózat- és információbiztonság, különösen a kiberbiztonság területét érintő kutatási igényekkel kapcsolatban.

(36)  Az Ügynökségnek teljes mértékben figyelembe kell vennie a folyamatban lévő – különösen a különböző uniós kutatási kezdeményezések keretében végzett – kutatási, fejlesztési és technológiaértékelési tevékenységeket azért, hogy igény esetén tanácsot tudjon adni az uniós intézmények, szervek és hivatalok, valamint adott esetben a tagállamok számára a hálózat- és információbiztonság, különösen a kiberbiztonság területét érintő kutatási igényekkel kapcsolatban. Konkrétabban, együttműködést kell kezdeni az Európai Kutatási Tanáccsal (EKT) és az Európai Innovációs és Technológiai Intézettel (EIT), és a biztonsági kutatást fel kell venni a kilencedik kutatási keretprogramba (FP9) és a „Horizont 2020” keretprogramba.

Módosítás    31

Rendeletre irányuló javaslat

36 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(36a)  A szabványok önkéntes, a piac által vezérelt eszközök, amelyek műszaki követelményeket és útmutatást biztosítanak, továbbá nyílt, átlátható és befogadó folyamat eredményeként alakulnak ki. Az Ügynökségnek rendszeresen konzultálnia kell, és szorosan együtt kell működnie a szabványügyi szervezetekkel, különösen az európai kiberbiztonsági tanúsítási rendszerek előkészítése során.

Módosítás    32

Rendeletre irányuló javaslat

37 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(37)  A kiberbiztonsági problémák globális kérdések. Szorosabb nemzetközi együttműködésre van szükség a biztonsági szabványok javítása – és ezen belül a közös viselkedési normák meghatározása – érdekében, valamint a hálózat- és információbiztonsági kérdésekre adott reagálás tekintetében a gyorsabb nemzetközi együttműködést elősegítő információcsere javítása és egy azokra vonatkozó közös globális megközelítésmód kialakítása érdekében. Az Ügynökségnek e célból támogatnia kell az uniós szerepvállalás fokozását és a harmadik országokkal és a nemzetközi szervezetekkel folytatott együttműködést, adott esetben a szükséges szakértelmet és elemzéseket biztosítva az érintett uniós intézmények, szervek és hivatalok számára.

(37)  A kiberbiztonsági problémák globális kérdések. Szorosabb nemzetközi együttműködésre van szükség a biztonsági szabványok javítása – és ezen belül a közös viselkedési normák és magatartási kódexek meghatározása, a nemzetközi szabványok használata – érdekében, valamint a hálózat- és információbiztonsági kérdésekre adott reagálás tekintetében a gyorsabb nemzetközi együttműködést elősegítő információcsere javítása és egy azokra vonatkozó közös globális megközelítésmód kialakítása érdekében. Az Ügynökségnek e célból támogatnia kell az uniós szerepvállalás fokozását és a harmadik országokkal és a nemzetközi szervezetekkel folytatott együttműködést, adott esetben a szükséges szakértelmet és elemzéseket biztosítva az érintett uniós intézmények, szervek és hivatalok számára.

Módosítás    33

Rendeletre irányuló javaslat

40 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(40)  Az Ügynökség tevékenységének általános irányát a tagállamok és a Bizottság képviselőiből álló igazgatótanácsnak kell megszabnia, és arról is az igazgatótanácsnak kell gondoskodnia, hogy az Ügynökség e rendelettel összhangban ellássa kijelölt feladatait. Az igazgatótanácsot fel kell ruházni mindazokkal a hatáskörökkel, amelyek a költségvetés meghatározásához és végrehajtásának ellenőrzéséhez, a vonatkozó pénzügyi szabályzat elfogadásához, az Ügynökség átlátható határozathozatali eljárásainak kialakításához, az Ügynökség egységes programozási dokumentumának elfogadásához, saját eljárási szabályzatának elfogadásához, az ügyvezető igazgató kinevezéséhez, az ügyvezető igazgató hivatali idejének meghosszabbításához és az ügyvezető igazgató felmentéséhez szükségesek.

(40)  Az Ügynökség tevékenységének általános irányát a tagállamokat és a Bizottságot, valamint az Ügynökség célkitűzései által érintett érdekelt feleket képviselő igazgatótanácsnak kell megszabnia, és arról is az igazgatótanácsnak kell gondoskodnia, hogy az Ügynökség e rendelettel összhangban ellássa kijelölt feladatait. Az igazgatótanácsot fel kell ruházni mindazokkal a hatáskörökkel, amelyek a költségvetés meghatározásához és végrehajtásának ellenőrzéséhez, a vonatkozó pénzügyi szabályzat elfogadásához, az Ügynökség átlátható határozathozatali eljárásainak kialakításához, az Ügynökség egységes programozási dokumentumának elfogadásához, saját eljárási szabályzatának elfogadásához, az ügyvezető igazgató kinevezéséhez, az ügyvezető igazgató hivatali idejének meghosszabbításához és az ügyvezető igazgató felmentéséhez szükségesek. Az Ügynökség erőteljesen műszaki és tudományos feladatainak tekintettel az igazgatótanácsnak olyan tagokból kell állnia, akik megfelelő tapasztalattal és magas szintű szakértelemmel rendelkeznek az Ügynökség küldetésének körébe tartozó kérdésekben.

Módosítás    34

Rendeletre irányuló javaslat

41 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(41)  Az Ügynökség megfelelő és hatékony működése érdekében a Bizottságnak és a tagállamoknak biztosítaniuk kell, hogy az igazgatótanács tagjainak kinevezendő személyek a funkcionális területeken megfelelő szakértelemmel és tapasztalattal rendelkezzenek. Az igazgatótanács munkájának folytonosságát biztosítandó, a Bizottságnak és a tagállamoknak is törekedniük kell arra, hogy képviselőik ne cserélődjenek túl gyakran az igazgatótanácsban.

(41)  Az Ügynökség megfelelő és hatékony működése érdekében a Bizottságnak és a tagállamoknak biztosítaniuk kell, hogy az igazgatótanács tagjainak kinevezendő személyek a funkcionális területeken megfelelő szakértelemmel és tapasztalattal rendelkezzenek. Az igazgatótanács munkájának folytonosságát biztosítandó, a Bizottságnak és a tagállamoknak is törekedniük kell arra, hogy képviselőik ne cserélődjenek túl gyakran az igazgatótanácsban. Az Ügynökség munkájában szükséges készségek magas piaci értékének megfelelően biztosítani kell, hogy az Ügynökség valamennyi alkalmazottja számára nyújtott fizetések és szociális feltételek versenyképesek legyenek, és biztosítani kell a legjobb szakemberek számára, hogy ott dolgozhassanak.

Indokolás

Annak érdekében, hogy megfelelő szintű szakértelemmel rendelkezzen, az ENISA-nak versenyképes munkaadónak kell lennie az erős versennyel jellemzett piacon.

Módosítás    35

Rendeletre irányuló javaslat

42 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(42)  Az Ügynökség zavartalan működése azt kívánja, hogy az ügyvezető igazgató kinevezése érdemei, igazolt igazgatási és vezetői készségei, valamint a kiberbiztonság területén szerzett szakmai hozzáértése és tapasztalatai alapján történjék, és hogy az ügyvezető igazgató feladatait teljes mértékben független módon végezze. Az ügyvezető igazgatónak – a Bizottsággal folytatott előzetes konzultációt követően – javaslatot kell tennie az Ügynökség munkaprogramjára, és meg kell tennie mindazokat a lépéseket, amelyek az Ügynökség munkaprogramja megfelelő végrehajtásának biztosításához szükségesek. Az ügyvezető igazgatónak továbbá el kell készítenie az igazgatótanácshoz benyújtandó éves jelentést, össze kell állítania az Ügynökség bevételeire és kiadásaira vonatkozó kimutatás tervezetét, és végre kell hajtania a költségvetést. Az ügyvezető igazgató részére továbbá lehetőséget kell biztosítani arra, hogy egyes konkrét – így különösen tudományos, műszaki, jogi vagy társadalmi-gazdasági – kérdésekben eseti munkacsoportokat hozzon létre. Az ügyvezető igazgatónak biztosítania kell, hogy az eseti munkacsoportok tagjainak kiválasztása a lehető legmagasabb szintű szakértelem alapján, a csoport feladatkörének sajátosságaihoz igazodva a tagállami közigazgatási szervek, az uniós intézmények és a magánszektor – beleértve az ipart, a felhasználókat és a hálózat- és információbiztonság területén működő tudományos szakembereket – közötti reprezentatív egyensúly kellő figyelembevételével történjék.

(42)  Az Ügynökség zavartalan működése azt kívánja, hogy az ügyvezető igazgató kinevezése érdemei, igazolt igazgatási és vezetői készségei, valamint a kiberbiztonság területén szerzett szakmai hozzáértése és tapasztalatai alapján történjék, és hogy az ügyvezető igazgató feladatait teljes mértékben független módon végezze. Az ügyvezető igazgatónak – a Bizottsággal folytatott előzetes konzultációt követően – javaslatot kell tennie az Ügynökség munkaprogramjára, és meg kell tennie mindazokat a lépéseket, amelyek az Ügynökség munkaprogramja megfelelő végrehajtásának biztosításához szükségesek. Az ügyvezető igazgatónak továbbá el kell készítenie az igazgatótanácshoz benyújtandó éves jelentést, össze kell állítania az Ügynökség bevételeire és kiadásaira vonatkozó kimutatás tervezetét, és végre kell hajtania a költségvetést. Az ügyvezető igazgató részére továbbá lehetőséget kell biztosítani arra, hogy egyes konkrét – így különösen tudományos, műszaki, jogi vagy társadalmi-gazdasági – kérdésekben eseti munkacsoportokat hozzon létre. Az ügyvezető igazgatónak biztosítania kell, hogy az eseti munkacsoportok tagjainak kiválasztása a lehető legmagasabb szintű szakértelem alapján, a csoport feladatkörének sajátosságaihoz igazodva a tagállami közigazgatási szervek, az uniós intézmények és a magánszektor – beleértve az ipart, a felhasználókat és a hálózat- és információbiztonság területén működő tudományos szakembereket – közötti reprezentatív egyensúly és a nemek egyensúlyának kellő figyelembevételével történjék.

Módosítás    36

Rendeletre irányuló javaslat

44 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(44)  A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek állandó csoportját. Az érdekeltek állandó csoportjának, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül a legfontosabb a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában megfelelő módon képviselve legyenek.

(44)  A magánszektorral, a fogyasztói szervezetekkel, a tudományos intézményekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az ENISA tanácsadó csoportot. Az ENISA tanácsadó csoportnak, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül a legfontosabb a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában megfelelő módon képviselve legyenek. Tekintettel a dolgok internetébe fektetett bizalom biztosítását célzó tanúsítási követelmények fontosságára, az Európai Bizottság kifejezetten mérlegeli az olyan intézkedések végrehajtását, amelyek biztosítják az egész EU-ra kiterjedő biztonsági szabványok harmonizációját a dolgok internetével kapcsolatos eszközök számára.

Módosítás    37

Rendeletre irányuló javaslat

44 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(44a)  A magánszektorral, a fogyasztói szervezetekkel, a tudományos intézményekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek tanúsítási csoportját. Az érdekeltek tanúsítási csoportja, amelyet ügyvezető igazgató hoz létre, egy olyan általános tanácsadó bizottságból, amely tanácsot ad arra vonatkozóan, hogy a jövőbeli európai kiberbiztonsági tanúsítási rendszerek melyik IKT-termékekre és -szolgáltatásokra terjedjenek ki, valamint olyan eseti bizottságokból áll, amelyek információt szolgáltatnak az igényelt európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat előterjesztéséhez, kidolgozásához és elfogadásához.

Módosítás    38

Rendeletre irányuló javaslat

46 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(46)  Teljes mértékű autonómiájának és függetlenségének biztosítása érdekében, valamint, hogy további és új, többek között váratlan, sürgős feladatokat is teljesíteni tudjon, az Ügynökség számára elégséges és önálló költségvetést kell biztosítani, melynek bevételei elsősorban az Unió és az Ügynökség munkájában részt vevő harmadik országok hozzájárulásából származnak. Személyzete többségének közvetlenül az Ügynökség megbízatásának operatív végrehajtásával kell foglalkoznia. Lehetőséget kell biztosítani arra, hogy az Ügynökségnek otthont adó tagállam vagy bármely más tagállam az Ügynökség bevételeihez önkéntes alapon hozzájáruljon. Az Unió általános költségvetését terhelő támogatások vonatkozásában továbbra is az uniós költségvetési eljárást kell alkalmazni. Ezenkívül az átláthatóság és az elszámoltathatóság érdekében a Számvevőszéknek ellenőriznie kell az Ügynökség elszámolásait.

(46)  Teljes mértékű autonómiájának és függetlenségének biztosítása érdekében, valamint, hogy további és új, többek között váratlan, sürgős feladatokat is teljesíteni tudjon, az Ügynökség számára elégséges és önálló költségvetést kell biztosítani, melynek bevételei elsősorban az Unió és az Ügynökség munkájában részt vevő harmadik országok hozzájárulásából származnak. A megfelelő költségvetés kiemelkedő fontosságú annak biztosításához, hogy az Ügynökség elegendő kapacitással rendelkezzen bővülő feladatainak és céljainak teljesítéséhez. Személyzete többségének közvetlenül az Ügynökség megbízatásának operatív végrehajtásával kell foglalkoznia. Lehetőséget kell biztosítani arra, hogy az Ügynökségnek otthont adó tagállam vagy bármely más tagállam az Ügynökség bevételeihez önkéntes alapon hozzájáruljon. Az Unió általános költségvetését terhelő támogatások vonatkozásában továbbra is az uniós költségvetési eljárást kell alkalmazni. Ezenkívül az átláthatóság és az elszámoltathatóság, valamint a kiadások hatékonyságának növelése érdekében a Számvevőszéknek ellenőriznie kell az Ügynökség elszámolásait.

Módosítás    39

Rendeletre irányuló javaslat

47 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(47)  A megfelelőségértékelés annak kimutatására szolgáló eljárás, hogy teljesültek-e az adott termékkel, eljárással, szolgáltatással, rendszerrel, személlyel vagy szervezettel kapcsolatban meghatározott követelmények. E rendelet alkalmazásában a tanúsítást a megfelelőségértékelés egy típusának kell tekinteni, amelyet egy-egy termék, eljárás, szolgáltatás, rendszer vagy ezek kombinációjának („IKT-termékek és -szolgáltatások”) kiberbiztonsági jellemzői vonatkozásában a termék gyártójával vagy a szolgáltatóval nem azonos független harmadik fél végez. A tanúsítás önmagában nem garantálja, hogy a tanúsított IKT-termékek és -szolgáltatások kiberbiztonsági szempontból megfelelőek. Inkább olyan eljárásról és technikai módszertanról van szó, amelynek célja annak igazolása, hogy az IKT-termékeket és -szolgáltatásokat bevizsgálták, és azok megfelelnek bizonyos – máshol, például a műszaki szabványokban meghatározott – kiberbiztonsági követelményeknek.

(47)  A megfelelőségértékelés annak kimutatására szolgáló eljárás, hogy teljesültek-e az adott termékkel, eljárással, szolgáltatással, rendszerrel, személlyel vagy szervezettel kapcsolatban meghatározott követelmények. E rendelet alkalmazásában a tanúsítást a megfelelőségértékelés egy típusának kell tekinteni, amelyet egy-egy termék, eljárás, szolgáltatás, rendszer vagy ezek kombinációjának („IKT-termékek, -eljárások és -szolgáltatások”) kiberbiztonsági jellemzői vonatkozásában egy független harmadik fél, vagy – amennyiben megengedett – önértékeléssel a termékgyártó vagy a szolgáltató végez. Önértékelést a termék gyártója, a kkv vagy a szolgáltató végezhet, ezen rendeletben meghatározottak szerint és adott esetben az új jogszabályi keretben előírtaknak megfelelően és azzal összhangban. Továbbá azt a termék gyártója vagy a szolgáltató is elvégezheti, ha várhatóan nem nagy a kiberbiztonsági esemény bekövetkezésének és/vagy annak a valószínűsége, hogy az ilyen esemény jelentős kárt okoz a társadalomnak vagy a társadalom széles rétegeinek, figyelembe véve a szóban forgó terméknek vagy szolgáltatásnak a gyártó vagy a szolgáltató szándékai szerinti használatát. A tanúsítás önmagában nem garantálja, hogy az érintett IKT-termékek, -eljárások és -szolgáltatások kiberbiztonsági szempontból megfelelőek, és erről a fogyasztókat és a vállalkozásokat megfelelően tájékoztatni kell. Inkább olyan eljárásról és technikai módszertanról van szó, amelynek célja annak igazolása, hogy az IKT-termékeket, -eljárásokat és -szolgáltatásokat bevizsgálták, és azok megfelelnek bizonyos – máshol, például a műszaki szabványokban meghatározott – kiberbiztonsági követelményeknek. Ezek a műszaki szabványok magukban foglalják annak feltüntetését, hogy az IKT-termék, -eljárás és -szolgáltatás el tudja-e látni szokásos funkcióit, ha nem kapcsolódik az internethez.

Módosítás    40

Rendeletre irányuló javaslat

48 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(48)  A kiberbiztonsági tanúsítás fontos szerepet játszik az IKT-termékek és -szolgáltatások iránti bizalom és azok biztonságosságának növelésében. A digitális egységes piac és különösen az adatközpontú gazdaság és a dolgok internete csak akkor lehet sikeres, ha a felhasználók általában véve bízhatnak abban, hogy az ilyen termékek és szolgáltatások kiberbiztonsági szintje megüt egy bizonyos mértéket. A hálózatba kapcsolt és automatizált járművek, az elektronikus orvostechnikai eszközök, az ipari automatikus vezérlőrendszerek és az intelligens hálózatok olyan ágazatokra példák, amelyekben a tanúsítást már széles körben alkalmazzák vagy a közeljövőben valószínűleg alkalmazni fogják. A kiberbiztonsági irányelv által szabályozott ágazatok szintén olyan ágazatok, amelyekben a kiberbiztonsági tanúsítás kritikus fontosságú.

(48)  Az európai kiberbiztonsági tanúsítás alapvető fontosságú az IKT-termékek, -eljárások és -szolgáltatások iránti bizalom és azok biztonságosságának növeléséhez. A digitális egységes piac és különösen az adatgazdaság és a dolgok internete csak akkor lehet sikeres, ha a felhasználók általában véve bíznak abban, hogy az ilyen termékek és szolgáltatások magas kiberbiztonsági szinttel rendelkeznek. A hálózatba kapcsolt és automatizált járművek, az elektronikus orvostechnikai eszközök, az ipari automatikus vezérlőrendszerek és az intelligens hálózatok olyan ágazatokra példák, amelyekben a tanúsítást már széles körben alkalmazzák vagy a közeljövőben valószínűleg alkalmazni fogják. A kiberbiztonsági irányelv által szabályozott ágazatok szintén olyan ágazatok, amelyekben a kiberbiztonsági tanúsítás kritikus fontosságú.

Módosítás    41

Rendeletre irányuló javaslat

49 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(49)  Az „Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása” című 2016-os közleményében a Bizottság megállapította, hogy magas színvonalú, megfizethető és interoperábilis kiberbiztonsági termékekre és megoldásokra van szükség. Az IKT-termékek és -szolgáltatások egységes piacon való elérhetősége földrajzilag igen széttagolt. Ennek az az oka, hogy az európai kiberbiztonsági iparág nagyrészt aszerint alakult, hogy az egyes országokban mekkora volt a kereslet a kormányok részéről. Emellett az interoperábilis megoldások (műszaki szabványok), módszerek és az egész Unióra kiterjedő tanúsítási mechanizmusok hiánya is problémát jelent a kiberbiztonság egységes piacán. Ez egyrészt megnehezíti az európai vállalkozások számára, hogy megállják a helyüket a nemzeti, európai és globális versenyben. Másrészt pedig csökkenti a magánfelhasználók és a vállalkozások számára hozzáférhető, működő és használható kiberbiztonsági technológiák kínálatát. A digitális egységes piaci stratégia végrehajtásának félidős értékelésében a Bizottság is kiemelte, hogy olyan hálózatba kapcsolt termékekre és rendszerekre van szükség, amelyek biztonságosak, és jelezte, hogy az európai IKT-biztonsági keretrendszer bevezetése, amellyel meghatározásra kerülnek az Unióban az IKT-biztonsági tanúsítás megszervezésének szabályai, két szempontból is jó szolgálatot tehet: segíthet megőrizni az internetbe vetett bizalmat és megoldást jelenthet a kiberbiztonsági piac jelenlegi széttagoltságára.

(49)  Az „Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása” című 2016-os közleményében a Bizottság megállapította, hogy magas színvonalú, megfizethető és interoperábilis kiberbiztonsági termékekre és megoldásokra van szükség. Az IKT-termékek, -eljárások és -szolgáltatások egységes piacon való elérhetősége földrajzilag igen széttagolt. Ennek az az oka, hogy az európai kiberbiztonsági iparág nagyrészt aszerint alakult, hogy az egyes országokban mekkora volt a kereslet a kormányok részéről. Emellett az interoperábilis megoldások (műszaki szabványok), módszerek és az egész Unióra kiterjedő tanúsítási mechanizmusok hiánya is problémát jelent a kiberbiztonság egységes piacán. Ez egyrészt megnehezíti az európai vállalkozások számára, hogy megállják a helyüket a nemzeti, európai és globális versenyben. Másrészt pedig csökkenti a magánfelhasználók és a vállalkozások számára hozzáférhető, működő és használható kiberbiztonsági technológiák kínálatát. A digitális egységes piaci stratégia végrehajtásának félidős értékelésében a Bizottság is kiemelte, hogy olyan hálózatba kapcsolt termékekre és rendszerekre van szükség, amelyek biztonságosak, és jelezte, hogy az európai IKT-biztonsági keretrendszer bevezetése, amellyel meghatározásra kerülnek az Unióban az IKT-biztonsági tanúsítás megszervezésének szabályai, két szempontból is jó szolgálatot tehet: segíthet megőrizni az internetbe vetett bizalmat és megoldást jelenthet a kiberbiztonsági piac jelenlegi széttagoltságára.

Módosítás    42

Rendeletre irányuló javaslat

50 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(50)  Jelenleg az IKT-termékek és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti kiberbiztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. A vállalatoknak így működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket és szolgáltatásaikat, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a biztonsági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak.

(50)  Jelenleg az IKT-termékek, -eljárások és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti kiberbiztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. A vállalatoknak így, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni, működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket, eljárásaikat és szolgáltatásaikat, ami növeli a költségeiket. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a kockázatalapú megbízhatósági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak. A kölcsönös elismerés és a tagállamok közötti bizalom kulcsfontosságú elemek e tekintetben. Az ENISA fontos szerepet játszik, mivel segíti a tagállamokat abban, hogy szilárd intézményi struktúrát és szakértelmet alakítsanak ki a potenciális kibertámadásokkal szembeni védelem terén. Eseti megközelítésre van szükség annak biztosítása érdekében, hogy a szolgáltatások, az eljárások és a termékek megfelelő tanúsítási rendszerek hatálya alá tartozzanak. Ezenkívül kockázatalapú megközelítésre van szükség a kockázatok hatékony azonosítása és mérséklése érdekében, elismerve ugyanakkor, hogy egy egységesített megoldás nem megvalósítható.

Módosítás    43

Rendeletre irányuló javaslat

52 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(52)  A fentiek alapján szükségesnek mutatkozik egy olyan európai kiberbiztonsági tanúsítási keretrendszer létrehozása, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai kiberbiztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymással átfedő nemzeti kiberbiztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. A rendszereknek megkülönböztetésmentesnek kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

(52)  A fentiek alapján közös megközelítést kell elfogadni és egy olyan európai kiberbiztonsági tanúsítási keretrendszert kell létrehozni, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai kiberbiztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek, -eljárások és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Ennek során kiemelten fontos a meglévő nemzeti és nemzetközi rendszerekre, valamint a kölcsönös elismerési rendszerekre, különösen a SOG-IS-re támaszkodni, valamint lehetővé tenni az ilyen rendszerek keretében már működő rendszerekről az új európai keretrendszer szerinti rendszerekre történő zökkenőmentes átállást. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek, -eljárások és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymással átfedő nemzeti kiberbiztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. Amennyiben az európai kiberbiztonsági tanúsítási rendszer egy nemzeti rendszert váltott fel, az európai rendszer alapján kiállított tanúsítványokat érvényesként kell elfogadni azokban az esetekben, amikor nemzeti rendszer szerinti tanúsításra volt szükség. A rendszerek kialakítását a beépített biztonság elvének és az (EU) 2016/679 rendeletben említett elveknek kell vezérelniük. Emellett megkülönböztetésmentesnek is kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

Módosítás    44

Rendeletre irányuló javaslat

52 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(52a)  Az európai kiberbiztonsági tanúsítási keretrendszert minden tagállamban egységesen kell létrehozni, elkerülendő a tagállamok közötti költség- vagy követelménykülönbségek miatti „tanúsítvány-vásárlás” gyakorlatát.

Módosítás    45

Rendeletre irányuló javaslat

52 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(52b)  Megállapítja, hogy a tanúsítási rendszereknek a nemzeti és nemzetközi szinten már létező megoldásokra kell épülniük, tanulva a jelenlegi erősségekből, valamint értékelve és kijavítva a hiányosságokat.

Módosítás    46

Rendeletre irányuló javaslat

52 c preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(52c)  Rugalmas kiberbiztonsági megoldásokra van szükség ahhoz, hogy az ipar megbirkózhasson a rosszhiszemű támadásokkal és fenyegetésekkel, és ezért minden tanúsítási rendszernek el kell kerülnie a gyors elavulás kockázatát.

Módosítás    47

Rendeletre irányuló javaslat

53 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(53)  A Bizottságot fel kell hatalmazni arra, hogy európai kiberbiztonsági tanúsítási rendszereket fogadjon el az IKT-termékek és -szolgáltatások meghatározott csoportjaira vonatkozóan. Ezeket a rendszereket a nemzeti tanúsításfelügyeleti hatóságoknak kell megvalósítaniuk és felügyelniük, és az e rendszerek keretében kiadott tanúsítványokat az egész Unióban érvényesnek kell tekinteni és el kell ismerni. Az ágazat vagy más magánszervezetek által működtetett tanúsítási rendszerek nem tartoznak a rendelet hatálya alá. Az ilyen rendszereket működtető szervezetek azonban javasolhatják, hogy a Bizottság vizsgálja meg, hogy azok európai rendszer alapjául szolgálhatnak-e és akként jóváhagyhatók-e.

(53)  A Bizottságot fel kell hatalmazni arra, hogy európai kiberbiztonsági tanúsítási rendszereket fogadjon el az IKT-termékek, -eljárások és -szolgáltatások meghatározott csoportjaira vonatkozóan. Ezeket a rendszereket a nemzeti tanúsításfelügyeleti hatóságoknak kell megvalósítaniuk és felügyelniük, és az e rendszerek keretében kiadott tanúsítványokat az egész Unióban érvényesnek kell tekinteni és el kell ismerni. Az ágazat vagy más magánszervezetek által működtetett tanúsítási rendszerek nem tartoznak a rendelet hatálya alá. Az ilyen rendszereket működtető szervezetek azonban javasolhatják, hogy a Bizottság vizsgálja meg, hogy azok európai rendszer alapjául szolgálhatnak-e és akként jóváhagyhatók-e. Az Ügynökségnek meg kell határoznia és értékelnie kell az iparág vagy magánszervezetek által már működtetett rendszereket annak érdekében, hogy kiválaszthassa azokat a legjobb gyakorlatokat, amelyek egy európai rendszer részévé válhatnak. Az ágazati szereplők a tanúsítás előtt elvégezhetik a termékeik vagy szolgáltatásaik önértékelését, jelezve ezáltal, hogy a termékük vagy szolgáltatásuk szükség esetén készen áll a tanúsítási eljárás megkezdésére.

Módosítás    48

Rendeletre irányuló javaslat

53 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(53a)  Az Ügynökségnek és a Bizottságnak a lehető leghatékonyabban hasznosítaniuk kell az uniós és/vagy nemzetközi szinten már létező tanúsítási rendszereket. Az ENISA számára lehetővé kell tenni annak felmérését, hogy a már használatban lévő rendszerek közül melyek azok, amelyek megfelelnek a célnak, valamint felhasználhatók az uniós szabványügyi szervekkel együttműködve az európai jogalkotásban, és lehetőség szerint elismerhetők nemzetközileg. A már bevált módszereket össze kell gyűjteni és meg kell osztani a tagállamokkal.

Módosítás    49

Rendeletre irányuló javaslat

54 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(54)  E rendelet rendelkezései nem érintik az IKT-termékek és -szolgáltatások tanúsítására vonatkozó egyedi szabályokat megállapító uniós jogszabályokat. Így például az általános adatvédelmi rendelet tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések létrehozásáról rendelkezik, melyek annak igazolására szolgálnak, hogy az adatkezelők és az adatfeldolgozók a műveletek során teljesítették az említett rendelet előírásait. Az ilyen tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések célja, hogy az érintettek gyorsan meg tudják állapítani, hogy a releváns termékek és szolgáltatások milyen szintű adatvédelemmel vannak ellátva. Jelen rendelet nem érinti az adatfeldolgozási műveletek általános adatvédelmi rendelet szerinti tanúsítását, még akkor sem, ha az ilyen műveletek termékekbe és szolgáltatásokba vannak beágyazva.

(54)  E rendelet rendelkezései nem érintik az IKT-termékek, -eljárások és -szolgáltatások tanúsítására vonatkozó egyedi szabályokat megállapító uniós jogszabályokat. Így például az általános adatvédelmi rendelet tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések létrehozásáról rendelkezik, melyek annak igazolására szolgálnak, hogy az adatkezelők és az adatfeldolgozók a műveletek során teljesítették az említett rendelet előírásait. Az ilyen tanúsítási mechanizmusok és adatvédelmi védjegyek, illetve jelölések célja, hogy az érintettek gyorsan meg tudják állapítani, hogy a releváns termékek és szolgáltatások milyen szintű adatvédelemmel vannak ellátva. Jelen rendelet nem érinti az adatfeldolgozási műveletek általános adatvédelmi rendelet szerinti tanúsítását, még akkor sem, ha az ilyen műveletek termékekbe és szolgáltatásokba vannak beágyazva.

Módosítás    50

Rendeletre irányuló javaslat

55 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(55)  Az európai kiberbiztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek és -szolgáltatások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott biztonsági szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék és -szolgáltatás vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az IKT-termékek és -szolgáltatások, valamint a kapcsolódó kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden eshetőségre érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzések egészítenek ki. Az, hogy ezeket a célkitűzéseket egyes IKT-termékek és -szolgáltatások esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszerek szintjén kerül meghatározásra, például szabványokra vagy műszaki előírásokra való hivatkozás révén.

(55)  Az európai kiberbiztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek, -szolgáltatások és -eljárások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott kockázati szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék, -szolgáltatás és -eljárás vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az IKT-termékek, -szolgáltatások és -eljárások, valamint a kapcsolódó kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden eshetőségre érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzések egészítenek ki. Az, hogy ezeket a célkitűzéseket egyes IKT-termékek, -szolgáltatások és -eljárások esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszerek szintjén kerül meghatározásra, például szabványokra vagy műszaki előírásokra való hivatkozás révén. Egy adott ellátási láncban érintett valamennyi szereplőt arra kell ösztönözni, hogy a termék, az eljárás vagy a szolgáltatás életciklusának minden szakaszában dolgozzon ki és fogadjon el biztonsági szabványokat, műszaki szabványokat, továbbá a beépített biztonságra vonatkozó elveket; minden egyes európai kiberbiztonsági tanúsítási rendszert úgy kell kialakítani, hogy megvalósuljon ez a cél.

Módosítás    51

Rendeletre irányuló javaslat

56 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(56)  A Bizottságot fel kell hatalmazni arra, hogy felkérhesse az ENISA-t meghatározott IKT-termékekkel vagy -szolgáltatásokkal kapcsolatos rendszerekre irányuló javaslatok kidolgozására. A Bizottságnak ezt követően felhatalmazást kell kapnia arra, hogy végrehajtási jogi aktusok útján – az ENISA által javasolt rendszer alapján elfogadja az európai kiberbiztonsági tanúsítási rendszert. Figyelemmel az e rendelet általános céljára és a benne megállapított biztonsági célkitűzésekre, a Bizottság által elfogadott európai kiberbiztonsági tanúsítási rendszereknek az egyes rendszerek tárgyát, alkalmazási körét és működését érintő bizonyos elemeket meg kell határozniuk. Ezeknek többek között a következőket kell magukban foglalniuk: a kiberbiztonsági tanúsítás hatályát és tárgyát, ideértve a hatálya alá tartozó IKT-termékek és -szolgáltatások kategóriáit, a kiberbiztonsági követelmények részletes leírását, például szabványokra vagy műszaki előírásokra való hivatkozások révén, az egyedi értékelési kritériumokat és értékelési módszereket, valamint a biztonság tervezett szintjét (alapvető, jelentős és/vagy magas).

(56)  A Bizottságot fel kell hatalmazni arra, hogy felkérhesse az ENISA-t meghatározott IKT-termékekkel, -eljárásokkal vagy -szolgáltatásokkal kapcsolatos rendszerekre irányuló javaslatok kidolgozására, megalapozott indokok alapján, azaz a belső piacot széttagoló, meglévő nemzeti kiberbiztonsági tanúsítási rendszerek; az uniós jogszabályok támogatásának jelenlegi vagy jövőbeni szükségessége; vagy a tagállamok tanúsítási csoportja vagy az érdekeltek tanúsítási csoportja által kiadott vélemény. Az ENISA által a Bizottság felkérése alapján előterjesztett tanúsítási rendszerekre irányuló javaslat értékelését követően a Bizottságot fel kell hatalmazni arra, hogy felhatalmazáson alapuló jogi aktusok útján elfogadja az európai kiberbiztonsági tanúsítási rendszereket. Figyelemmel e rendelet általános céljára és az abban megállapított biztonsági célkitűzésekre, az említett európai kiberbiztonsági tanúsítási rendszereknek meg kell határozniuk az egyes rendszerek tárgyát, alkalmazási körét és működését érintő minimálisan szükséges elemeket. Ezeknek többek között a következőket kell magukban foglalniuk: a kiberbiztonsági tanúsítás hatályát és tárgyát, ideértve a hatálya alá tartozó IKT-termékek és -szolgáltatások kategóriáit, a kiberbiztonsági követelmények részletes leírását, például szabványokra vagy műszaki előírásokra való hivatkozások révén, az egyedi értékelési kritériumokat és értékelési módszereket, valamint a biztonság tervezett szintjét (alapvető, jelentős és/vagy magas).

Módosítás    52

Rendeletre irányuló javaslat

56 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56a)  Az Ügynökségnek információs hivatkozási alapként kell szolgálnia az európai kiberbiztonsági rendszerek tekintetében. A Bizottságnak fenn kell tartania egy olyan weboldalt, amely tartalmazza az összes releváns információt, többek között az érintett visszavont és lejárt tanúsítványokra és a nemzeti tanúsítványokra vonatkozóan. Az Ügynökségnek biztosítania kell, hogy a szóban forgó weboldal tartalmának megfelelő mértékben az átlagos fogyasztó számára is érthető legyen.

Módosítás    53

Rendeletre irányuló javaslat

56 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56b)  Meg kell határozni a tanúsítványok biztonsági szintjeit annak érdekében, hogy a végfelhasználó tájékoztatást kapjon arról, hogy melyek azok a várható kiberfenyegetés-típusok, amelyeket a termékben, az eljárásban vagy a szolgáltatásban foglalt kiberbiztonsági intézkedések megelőzni kívánnak. A kiberfenyegetéseket a várható kockázat és az IKT-termék, -eljárás vagy -szolgáltatás várható használatával összefüggésben megvalósuló támadás szerzőjének vagy szerzőinek a képességeit figyelembe véve kell meghatározni. Az „alapvető” biztonsági szint olyan támadásokkal szembeni ellenállás képességére utal, amelyeket kiberbiztonsági alapintézkedésekkel el lehet hárítani, és amelyeket a műszaki dokumentáció felülvizsgálata révén könnyen ellenőrizni lehet. A „jelentős” biztonsági szint olyan ismert típusú támadásokkal szembeni ellenállás képességére utal, amelyeket bizonyos szintű kifinomultsággal bíró, de korlátozott erőforrásokkal rendelkező támadó hajt végre. A „magas” biztonsági szint olyan ismeretlen sebezhető pontokkal és kifinomult támadásokkal szembeni ellenállás képességére utal, amelyeket a legmodernebb technikákkal és jelentős erőforrások – például finanszírozott multidiszciplináris csapatok – rendelkezésre állásával hajtanak végre.

Módosítás    54

Rendeletre irányuló javaslat

56 c preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56c)  A belső piac nemzeti kiberbiztonsági rendszerek miatti széttagoltságának elkerülése, a jövőbeli jogszabályok támogatása, valamint a bizalom és a biztonság növelése érdekében, a Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkével összhangban jogi aktusokat fogadjon el az európai kiberbiztonsági tanúsítás prioritásainak meghatározása, a gördülő program elfogadása és az európai tanúsítási rendszerek elfogadása tekintetében. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásnak megfelelően kerüljön sor. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

Módosítás    55

Rendeletre irányuló javaslat

56 d preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56d)  Az egyes európai kiberbiztonsági tanúsítási rendszerekhez kapcsolódó értékelési módszerek és értékelési eljárások közül uniós szinten támogatni kell az etikus feltörést, amelynek célja az eszközök és az információs rendszerek gyengeségeinek és sebezhetőségeinek felkutatása azáltal, hogy előrejelzi a rosszindulatú hackerek szándékos cselekvéseit és képességeit.

Módosítás    56

Rendeletre irányuló javaslat

57 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(57)  Az uniós és nemzeti jogszabályok eltérő rendelkezései hiányában az európai kiberbiztonsági tanúsítás igénybevételének továbbra is önkéntes alapon kell történnie. E rendelet céljainak elérése és a belső piac széttagoltságának megakadályozása érdekében azonban az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre és -szolgáltatásokra vonatkozó nemzeti kiberbiztonsági tanúsítási rendszerek és eljárások a Bizottság által a végrehajtási jogi aktusban meghatározott időponttól kezdve nem keletkeztethetnek joghatást. Emellett a tagállamok nem vezethetnek be olyan új nemzeti tanúsítási rendszereket, amelyek már valamelyik hatályos európai kiberbiztonsági tanúsítási rendszer tárgyát képező IKT-termékek és -szolgáltatások tekintetében szolgálnak kiberbiztonsági tanúsítási rendszerként.

(57)  Az uniós és nemzeti jogszabályok eltérő rendelkezései hiányában az európai kiberbiztonsági tanúsítás igénybevételének továbbra is önkéntes alapon kell történnie. E rendelet céljainak elérése és a belső piac széttagoltságának megakadályozása érdekében azonban az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre, -eljárásokra és -szolgáltatásokra vonatkozó nemzeti kiberbiztonsági tanúsítási rendszerek és eljárások a Bizottság által a felhatalmazáson alapuló jogi aktusban meghatározott időponttól kezdve nem keletkeztethetnek joghatást. Emellett a tagállamok nem vezethetnek be olyan új nemzeti tanúsítási rendszereket, amelyek már valamelyik hatályos európai kiberbiztonsági tanúsítási rendszer tárgyát képező IKT-termékek és -szolgáltatások tekintetében szolgálnak kiberbiztonsági tanúsítási rendszerként. Ez a rendelet azonban nem érinti az olyan nemzeti rendszereket, amelyeket a tagállamok továbbra is szuverén módon kezelnek a szuverén domain-igényeikhez használt IKT-termékek, -eljárások és -szolgáltatások tekintetében.

Módosítás    57

Rendeletre irányuló javaslat

57 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(57a)  A termék, eljárás vagy szolgáltatás tanúsításával strukturált információkat tartalmazó terméknyilatkozat kibocsátására vonatkozó kötelezettséget vezetnek be annak érdekében, hogy a fogyasztót több információval lássák el, és hogy a fogyasztó megalapozott döntést hozhasson.

Módosítás    58

Rendeletre irányuló javaslat

57 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(57b)  Az új európai kiberbiztonsági rendszerekre irányuló javaslatok kidolgozásakor az ENISA-nak és más érintett szerveknek kellő figyelmet kell fordítaniuk a javaslat versenydinamikájára, különösen annak biztosításával, hogy ha az érintett ágazatban sok kis- és középvállalkozás működik például a szoftverfejlesztés terén, akkor a tanúsítási rendszerek ne akadályozzák az új vállalkozások és innovációk megjelenését.

Módosítás    59

Rendeletre irányuló javaslat

57 c preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(57c)  Az európai kiberbiztonsági rendszerek hozzá fognak járulni az Európai Unióban alkalmazott kiberbiztonsági gyakorlatok összehangolásához és egységesítéséhez. Nem válhatnak azonban kiberbiztonsági minimumszintté. Az európai kiberbiztonsági rendszerek kialakítása során figyelembe kell venni és lehetővé kell tenni új innovációk kidolgozását is a kiberbiztonság terén.

Módosítás    60

Rendeletre irányuló javaslat

58 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(58)  Amint egy európai kiberbiztonsági tanúsítási rendszer elfogadásra kerül, az IKT-termékek gyártói és az IKT-szolgáltatások nyújtói számára lehetővé kell tenni, hogy termékeiket vagy szolgáltatásaikat egy általuk választott megfelelőségértékelő szervezethez tanúsításra benyújtsák. A megfelelőségértékelő szervezeteket egy akkreditáló testületnek akkreditálnia kell, amennyiben azok megfelelnek az e rendeletben meghatározott bizonyos követelményeknek. Az akkreditáció legfeljebb öt évre szól, és azonos feltételek mellett megújítható, feltéve, hogy az adott megfelelőségértékelő szervezet teljesíti a követelményeket. Az akkreditáló testületeknek vissza kell vonniuk a megfelelőségértékelő szervezet akkreditációját, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet által hozott intézkedések megsértik ezt a rendeletet.

(58)  Amint egy európai kiberbiztonsági tanúsítási rendszer elfogadásra kerül, az IKT-termékek gyártói és az IKT-eljárások vagy -szolgáltatások nyújtói számára lehetővé kell tenni, hogy termékeiket vagy szolgáltatásaikat az Unió területén belül bárhol egy általuk választott megfelelőségértékelő szervezethez tanúsításra benyújtsák. A megfelelőségértékelő szervezeteket egy akkreditáló testületnek akkreditálnia kell, amennyiben azok megfelelnek az e rendeletben meghatározott bizonyos követelményeknek. Az akkreditáció legfeljebb öt évre szól, és azonos feltételek mellett megújítható, feltéve, hogy az adott megfelelőségértékelő szervezet teljesíti a követelményeket. Az akkreditáló testületeknek vissza kell vonniuk a megfelelőségértékelő szervezet akkreditációját, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet által hozott intézkedések megsértik ezt a rendeletet. Az Ügynökségnek ellenőrzéseket kell végeznie a megfelelőségértékelő szervezetek azonos minőségi szintjének és gondosságának biztosítása érdekében, a szabályozási arbitrázs elkerülése céljából. Az eredményeket jelenteni kell az Ügynökségnek, a Bizottságnak és a Parlamentnek, valamint nyilvánosan hozzáférhetővé kell tenni.

Módosítás    61

Rendeletre irányuló javaslat

58 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(58a)  Az európai kiberbiztonsági tanúsítás kötelező alkalmazását azokra az esetekre kell korlátozni, amikor a kockázatelemzés indokolja az ipar, a polgárok és a fogyasztók számára felmerülő költségeket. Az alapvető szolgáltatásokat megzavaró nehezíthetik a gazdasági tevékenységek folytatását, jelentős pénzügyi veszteséget okozhatnak, alááshatják a felhasználói bizalmat és súlyos károkat okozhatnak az Unió gazdaságának. Az európai kiberbiztonsági tanúsítás alapvető szolgáltatásokat nyújtó szereplők általi kötelező használatát azokra az elemekre kell korlátozni, amelyek kritikusak működésük szempontjából, és nem terjedhetnek ki az általános célú termékekre, eljárásokra és szolgáltatásokra, ami indokolatlan költségeket okozna az iparág és a fogyasztók számára. A Bizottságnak együtt kell működnie a (EU) 2016/1148 irányelv 11. cikke szerint létrehozott együttműködési csoporttal, hogy meghatározza azon termék-, eljárás- és szolgáltatáskategóriák jegyzékét, amelyeket kifejezetten az alapvető szolgáltatásokat nyújtó szereplők általi használatra szánnak, és amelyek meghibásodása biztonásgi esemény bekövetkezte esetén jelentős zavart okozhat az alapvető szolgáltatásban. A jegyzéket folyamatosan kell összeállítani, és szükség esetén aktualizálni kell. Kizárólag az ezen jegyzékben szereplő termékek, eljárások és szolgáltatások kötelezőek az alapvető szolgáltatásokat nyújtó szereplők számára.

Módosítás    62

Rendeletre irányuló javaslat

58 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(58b)  A gyártók és végfelhasználók megtévesztésének potenciális forrása lehet a nemzeti jogszabályokban olyan kereszthivatkozások megléte, amelyek az európai tanúsítási rendszer hatálybalépése miatt joghatásukat vesztett nemzeti szabványra utalnak. Annak elkerülése érdekében, hogy a gyártók továbbra is folytassák a már hatályon kívül lévő nemzeti tanúsítványoknak megfelelő előírások végrehajtását, a tagállamoknak a Szerződésekből fakadó kötelezettségeikkel összhangban ki kell igazítaniuk nemzeti jogszabályaikat, hogy tükrözzék az európai tanúsítási rendszer elfogadását.

Módosítás    63

Rendeletre irányuló javaslat

59 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(59)  Elő kell írni valamennyi tagállam számára, hogy jelöljön ki egy kiberbiztonsági tanúsításfelügyeleti hatóságot, amely felügyeli, hogy az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek és az általuk kibocsátott tanúsítványok megfelelnek-e rendelet és a vonatkozó kiberbiztonsági tanúsítási rendszerek követelményeinek. A nemzeti tanúsításfelügyeleti hatóságok feladata, hogy kezeljék a természetes vagy jogi személyek által az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek által kiadott tanúsítványokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztassák a panaszost a vizsgálat előrehaladásáról és eredményéről. Ezen túlmenően együtt kell működniük a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy az egyes kiberbiztonsági rendszerek követelményeinek.

(59)  Elő kell írni valamennyi tagállam számára, hogy jelöljön ki egy kiberbiztonsági tanúsításfelügyeleti hatóságot, amely felügyeli, hogy az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek és az általuk kibocsátott tanúsítványok megfelelnek-e rendelet és a vonatkozó kiberbiztonsági tanúsítási rendszerek követelményeinek, valamint hogy az adott tagállam biztosítsa területén az európai kiberbiztonsági tanúsítványok elismerését. A nemzeti tanúsításfelügyeleti hatóságok feladata, hogy kezeljék a természetes vagy jogi személyek által az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek által kiadott tanúsítványokkal, illetve a tanúsítványoknak az adott tagállam területén történő feltételezett el nem ismerésével kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztassák a panaszost a vizsgálat előrehaladásáról és eredményéről. Ezen túlmenően együtt kell működniük a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek, -eljárások és -szolgáltatások nem felelnek meg e rendelet vagy az egyes kiberbiztonsági rendszerek követelményeinek, illetve az európai kiberbiztonsági tanúsítványok el nem ismerésére vonatkozó információkat. Továbbá felügyelniük és ellenőrizniük kell a megfelelőségi nyilatkozatoknak való megfelelést, valamint azt, hogy az európai kiberbiztonsági tanúsítványokat a megfelelőségértékelő testületek az e rendeletben meghatározott követelményeknek megfelelően állítják ki, beleértve az európai kiberbiztonsági tanúsítási csoport által elfogadott szabályokat és a megfelelő európai kiberbiztonsági tanúsítási rendszer követelményeit. A nemzeti tanúsításfelügyeleti hatóságok közötti tényleges együttműködés elengedhetetlen az európai kiberbiztonsági tanúsítási rendszerek megfelelő végrehajtásához és az IKT-termékek és -szolgáltatások kiberbiztonságával kapcsolatos műszaki kérdések szempontjából egyaránt. A Bizottságnak elő kell segítenie ezt az információcserét egy általános elektronikus információtámogató rendszer rendelkezésre bocsátásával, mint például a piacfelügyeleti információcsere-rendszer (ICSMS) és a nem élelmiszer jellegű termékek riasztási rendszere (RAPEX), amelyeket a piacfelügyeleti hatóságok a 765/2008/EK rendelet értelmében már használnak.

Módosítás    64

Rendeletre irányuló javaslat

60 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(60)  Az európai kiberbiztonsági tanúsítási keretrendszer következetes alkalmazása érdekében létre kell hozni a nemzeti tanúsításfelügyeleti hatóságokból álló európai kiberbiztonsági tanúsítási csoportot (a továbbiakban: csoport). A csoport fő feladata, hogy tanácsot adjon és segítséget nyújtson a Bizottságnak az európai kiberbiztonsági tanúsítási keretrendszer következetes végrehajtásának és alkalmazásának biztosítása érdekében, segítse az Ügynökség munkáját és szorosan együttműködjön vele a kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozásában; ajánlást fogalmazzon meg arra vonatkozóan, hogy a Bizottság kérje fel az Ügynökséget európai kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozására, és fogadjon el a Bizottságnak címzett véleményeket a meglévő európai kiberbiztonsági tanúsítási rendszerek fenntartásával és felülvizsgálatával kapcsolatban.

(60)  Az európai kiberbiztonsági tanúsítási keretrendszer következetes alkalmazása érdekében létre kell hozni a nemzeti tanúsításfelügyeleti hatóságokból álló tagállami tanúsítási csoportot. A tagállami tanúsítási csoport fő feladata, hogy tanácsot adjon és segítséget nyújtson a Bizottságnak az európai kiberbiztonsági tanúsítási keretrendszer következetes végrehajtásának és alkalmazásának biztosítása érdekében, segítse az Ügynökség munkáját és szorosan együttműködjön vele a kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozásában; ajánlást fogalmazzon meg arra vonatkozóan, hogy a Bizottság kérje fel az Ügynökséget európai kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozására, és fogadjon el a Bizottságnak címzett véleményeket a meglévő európai kiberbiztonsági tanúsítási rendszerek fenntartásával és felülvizsgálatával kapcsolatban.

Módosítás    65

Rendeletre irányuló javaslat

60 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(60a)  A megfelelőségértékelő szervezetek felkészültsége egyenértékűségének biztosítása, a tanúsítványok és a megfelelőségértékelő szervezetek által kiadott megfelelőségértékelési eredmények kölcsönös elismerésének megkönnyítése és általános elfogadásának ösztönzése érdekében szükséges, hogy a nemzeti tanúsításfelügyeleti hatóságok szigorú és átlátható szakértői értékelési rendszert működtessenek, és rendszeresen átessenek ilyen értékelésen.

Módosítás    66

Rendeletre irányuló javaslat

60 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(60b)  Létfontosságú a nemzeti tanúsításfelügyeleti hatóságok közötti hatékony együttműködés a szakértői értékelés megfelelő végrehajtásához, illetve a határokon átnyúló akkreditálás tekintetében. Az átláthatóság érdekében tehát szükséges kötelezni a nemzeti tanúsításfelügyeleti hatóságokat az egymás közötti információcserére, továbbá arra, hogy biztosítsák a releváns információkat a nemzeti hatóságok és a Bizottság számára. A nemzeti akkreditáló testületek által folytatott akkreditálási tevékenységek hozzáférhetőségére vonatkozó naprakész és pontos információt szintén közzé kell tenni, és következésképp hozzáférhetőeknek kell lenniük különösen a megfelelőségértékelő szervezetek számára.

Módosítás    67

Rendeletre irányuló javaslat

61 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(61)  A jövőbeli uniós kiberbiztonsági rendszerek ismertebbé és elfogadottabbá tétele érdekében az Európai Bizottság általános vagy ágazatspecifikus kiberbiztonsági iránymutatásokat adhat ki, például a helyes kiberbiztonsági módszerekről vagy a felelősségteljes kiberbiztonsági magatartásról, kiemelve a tanúsított IKT-termékek és -szolgáltatások használatának kedvező hatását.

(61)  A jövőbeli uniós kiberbiztonsági rendszerek ismertebbé és elfogadottabbá tétele érdekében az Európai Bizottság általános vagy ágazatspecifikus kiberbiztonsági iránymutatásokat adhat ki, például a helyes kiberbiztonsági módszerekről vagy a felelősségteljes kiberbiztonsági magatartásról, kiemelve a tanúsított IKT-termékek, -eljárások és -szolgáltatások használatának kedvező hatását.

Módosítás    68

Rendeletre irányuló javaslat

63 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(63)  A megfelelőségértékelő szervezetek akkreditációjára vonatkozó kritériumok pontosítása érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. A Bizottságnak az előkészítő munka során megfelelő konzultációkat kell folytatnia, többek között szakértői szinten. Ezeket a konzultációkat a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban meghatározott elvekkel összhangban kell folytatni. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlamentnek és a Tanácsnak a tagállamok szakértőivel egyidejűleg kell kézhez kapnia minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(63)  A megfelelőségértékelő szervezetek akkreditációjára vonatkozó kritériumok pontosítása érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. A Bizottságnak az előkészítő munka során megfelelő konzultációkat kell folytatnia, többek között szakértői szinten és adott esetben az érdekelt felekkel. Ezeket a konzultációkat a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban meghatározott elvekkel összhangban kell folytatni. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlamentnek és a Tanácsnak a tagállamok szakértőivel egyidejűleg kell kézhez kapnia minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

Módosítás    69

Rendeletre irányuló javaslat

65 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(65)  Vizsgálóbizottsági eljárással kell elfogadni azon végrehajtási jogi aktusokat, amelyek az IKT-termékek és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereire és az Ügynökség által végzett vizsgálatok módszertanára vonatkoznak, valamint arra, hogy a nemzeti tanúsításfelügyeleti hatóságok milyen feltételek mellett, milyen formátumban és milyen eljárások útján jelentik be a Bizottságnak az akkreditált megfelelőségértékelő szervezeteket.

(65)  Felhatalmazáson alapuló jogi aktusok fogadhatók el továbbá az IKT-termékek, -eljárások és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereire és az Ügynökség által végzett vizsgálatok módszertanára, valamint arra vonatkozóan, hogy a nemzeti tanúsításfelügyeleti hatóságok milyen feltételek mellett, milyen formátumban és milyen eljárások útján jelentik be a Bizottságnak az akkreditált megfelelőségértékelő szervezeteket.

Módosítás    70

Rendeletre irányuló javaslat

66 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(66)  Az Ügynökség működését független értékelésnek kell alávetni. Az értékelés során figyelembe kell venni, hogy az Ügynökség milyen mértékben érte el célkitűzéseit, milyen munkamódszereket használ, és feladatai relevánsak-e. Az értékelésnek ki kell terjednie az európai kiberbiztonsági tanúsítási keretrendszer hatására, eredményességére és hatékonyságára is.

(66)  Az Ügynökség működését folyamatos és független értékelésnek kell alávetni. Az értékelés során figyelembe kell venni, hogy az Ügynökség milyen mértékben érte el célkitűzéseit, milyen munkamódszereket használ, és feladatai relevánsak-e, különösen a tagállamokkal és a nemzeti hatóságokkal kapcsolatos koordináló szerepe tekintetében. Felülvizsgálat esetén a Bizottságnak értékelnie kell azt a lehetőséget, hogy az Ügynökség egyablakos mechanizmusként működjön a tagállamok, valamint az uniós szervek és intézmények számára.

Módosítás    71

Rendeletre irányuló javaslat

66 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(66a)  Az értékelésnek ki kell terjednie az európai kiberbiztonsági tanúsítási keretrendszer hatására, eredményességére és hatékonyságára is. Felülvizsgálat esetén a Bizottság értékelhetné az Ügynökségnek az uniós piacra belépő harmadik országbeli termékek és szolgáltatások értékelésében betöltött szerepét valamint az uniós szabályoknak nem megfelelő vállalatok feketelistára helyezésének lehetőségét.

Módosítás    72

Rendeletre irányuló javaslat

66 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(66b)  Az értékelésnek elemeznie kell az Unióban értékesített termékek és szolgáltatások kiberbiztonsági szintjét. Felülvizsgálat esetén a Bizottságnak értékelnie kell, hogy a belső piachoz való hozzáférés feltételei közzé felvegyen-e kiberbiztonsági alapvető követelményeket.

Módosítás    73

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  megállapítja az ENISA, az „Európai Uniós Kiberbiztonsági Ügynökség” (a továbbiakban: Ügynökség) céljait, feladatait és felépítési szempontjait, valamint

a)  megállapítja az „Európai Uniós Hálózat- és Információbiztonsági Ügynökség” (a továbbiakban: az Ügynökség) céljait, feladatait és felépítési szempontjait, valamint

Módosítás    74

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  meghatározza az európai kiberbiztonsági tanúsítási rendszerek létrehozásának keretrendszerét annak érdekében, hogy az Unión belül biztosítsa az IKT-termékek és -szolgáltatások megfelelő kiberbiztonsági szintjét. Ez a keretrendszer az egyéb uniós jogi aktusokban az önkéntes vagy kötelező tanúsításra vonatkozóan előírt különös rendelkezések sérelme nélkül alkalmazandó.

b)  meghatározza az európai kiberbiztonsági tanúsítási rendszerek létrehozásának keretrendszerét annak érdekében, hogy elkerülje a tanúsítási rendszerek Unión belüli széttagoltságát és az Unión belül biztosítsa az IKT-termékek, -eljárások és -szolgáltatások megfelelő kiberbiztonsági szintjét, és,az önkéntes és – adott esetben, amennyiben azt e rendelet vagy más uniós jogi aktusok előírják – kötelező tanúsításra vonatkozóan előírt különös rendelkezések sérelme nélkül alkalmazandó.

Módosítás    75

Rendeletre irányuló javaslat

1 cikk – 1 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

Az Ügynökség feladatait a tagállamok kiberbiztonsággal kapcsolatos hatásköreinek, különösen a közbiztonságra, védelemre, nemzetbiztonságra és büntetőjogra vonatkozó hatásköreinek sérelme nélkül végzi.

Módosítás    76

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 1 pont

A Bizottság által javasolt szöveg

Módosítás

1.  „kiberbiztonság”: mindazon tevékenységek, amelyek a hálózati és információs rendszereknek, azok felhasználóinak és az érintett személyeknek a kiberfenyegetésekkel szembeni védelméhez szükségesek;

(A magyar változatot nem érinti.)  

Módosítás    77

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 2 pont

A Bizottság által javasolt szöveg

Módosítás

2.  „hálózati és információs rendszer”: az (EU) 2016/1148 irányelv 4. cikkének 1. pontja szerinti rendszer;

2.  „hálózati és információs rendszer”: az (EU) 2016/1148 irányelv 4. cikkének 1. pontjában meghatározott hálózati és információs rendszer;

Módosítás    78

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 3 pont

A Bizottság által javasolt szöveg

Módosítás

3.  „a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia”: az (EU) 2016/1148 irányelv 4. cikkének 3. pontja szerinti keretrendszer;

3.  „a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia”: az (EU) 2016/1148 irányelv 4. cikkének 3. pontjában szereplő fogalommeghatározás szerinti, a hálózati és információs rendszerek biztonságára vonatkozó nemzeti stratégia;

Módosítás    79

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 4 pont

A Bizottság által javasolt szöveg

Módosítás

4.  „alapvető szolgáltatásokat nyújtó szereplő”: az (EU) 2016/1148 irányelv 4. cikkének 4. pontjában szereplő fogalommeghatározás szerinti közjogi vagy magánjogi szervezet;

4.  „alapvető szolgáltatásokat nyújtó szereplő”: az (EU) 2016/1148 irányelv 4. cikkének 4. pontjában szereplő fogalommeghatározás szerinti alapvető szolgáltatásokat nyújtó szereplő;

Módosítás    80

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 5 pont

A Bizottság által javasolt szöveg

Módosítás

5.  „digitális szolgáltató”: az (EU) 2016/1148 irányelv 4. cikkének 6. pontjában szereplő fogalommeghatározás szerinti minden olyan jogi személy, amely digitális szolgáltatást nyújt;

5.  „digitális szolgáltató”: az (EU) 2016/1148 irányelv 4. cikkének 6. pontjában szereplő fogalommeghatározás szerinti digitális szolgáltató;

Módosítás    81

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 6 pont

A Bizottság által javasolt szöveg

Módosítás

6.  „biztonsági esemény”: az (EU) 2016/1148 irányelv 4. cikkének 7. pontjában szereplő fogalommeghatározás szerinti minden esemény;

6.  „biztonsági esemény”: az (EU) 2016/1148 irányelv 4. cikkének 7. pontjában szereplő fogalommeghatározás szerinti biztonsági esemény;

Módosítás    82

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 7 pont

A Bizottság által javasolt szöveg

Módosítás

7.  „biztonsági esemény kezelése”: az (EU) 2016/1148 irányelv 4. cikkének 8. pontjában szereplő fogalommeghatározás szerinti minden eljárás;

7.  „biztonsági esemény kezelése”: az (EU) 2016/1148 irányelv 4. cikkének 8. pontjában szereplő fogalommeghatározás szerinti biztonsági esemény kezelése;

Módosítás    83

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 8 pont

A Bizottság által javasolt szöveg

Módosítás

8.  „kiberfenyegetés”: bármely olyan lehetséges körülmény vagy esemény, amely kedvezőtlen hatást gyakorolhat a hálózati és információs rendszerekre, azok felhasználóira és az érintett személyekre;

8.  „kiberfenyegetés”: bármely olyan lehetséges körülmény, esemény vagy szándékos cselekmény, többek között automatizált parancs, amely károsíthatja, megzavarhatja a hálózati és információs rendszereket, azok felhasználóit és az érintett személyeket, vagy egyéb módon kedvezőtlen hatást gyakorolhat rájuk;

Módosítás    84

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 8 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

8a.  „kiberhigiénia”: olyan egyszerű, rutinszerű intézkedések, amelyeket online átültetve és rendszeresen végrehajtva a felhasználók és a vállalkozások minimálisra csökkenthetik a kiberfenygetésekből származó kockázatoknak való kitettségüket.

Módosítás    85

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 9 pont

A Bizottság által javasolt szöveg

Módosítás

9.  „európai kiberbiztonsági tanúsítási rendszer”: uniós szinten meghatározott átfogó szabályok, műszaki követelmények, szabványok és eljárások összessége, melyek az adott tanúsítási rendszer hatálya alá tartozó információs és kommunikációs technológiai (IKT) termékek és szolgáltatások tanúsítására vonatkoznak;

9.  „európai kiberbiztonsági tanúsítási rendszer”: uniós szinten és az Ügynökség által megállapított nemzetközi és európai szabványok és IKT-előírások szerint meghatározott átfogó szabályok, műszaki követelmények, szabványok és eljárások összessége, melyek az adott tanúsítási rendszer hatálya alá tartozó információs és kommunikációs technológiai (IKT) termékek, szolgáltatások és eljárások tanúsítására vonatkoznak;

Módosítás    86

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 10 pont

A Bizottság által javasolt szöveg

Módosítás

10.  „európai kiberbiztonsági tanúsítvány”: valamely megfelelőségértékelő szervezet által annak igazolására kiállított dokumentum, hogy egy adott IKT-termék vagy -szolgáltatás megfelel az európai kiberbiztonsági tanúsítási rendszerben meghatározott egyedi követelményeknek;

10.  „európai kiberbiztonsági tanúsítvány”: valamely megfelelőségértékelő szervezet által annak igazolására kiállított dokumentum, hogy egy adott IKT-termék, -szolgáltatás vagy -termék megfelel az európai kiberbiztonsági tanúsítási rendszerben meghatározott egyedi követelményeknek;

Módosítás    87

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 11 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

11a.  „IKT-eljárás”: az IKT-termék vagy -szolgáltatás tervezése, fejlesztése, karbantartása és megvalósítása céljából végzett tevékenységek összessége;

Módosítás    88

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 11 b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

11b.  „elektronikus fogyasztási eszköz”: hardverből és szoftverből álló olyan eszköz, amely személyes adatokat kezel, vagy az internethez kapcsolódik otthonautomatizálási vezérlő eszközök, irodai készülékek, hálózathoz csatlakozó útválasztó eszközök és készülékek, például okostelevízió, játékok és játékkonzolok, virtuális vagy személyi asszisztensek, összekapcsolt, adatátvitelt biztosító eszközök, testen hordható eszközök, hangvezérelt és virtuálisvalóság-rendszerek üzemeltetése érdekében;

Módosítás    89

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 pont

A Bizottság által javasolt szöveg

Módosítás

16.  „szabvány”: az 1025/2012/EU rendelet 2. cikkének 1. pontjában szereplő fogalommeghatározás szerintiszabvány.

16.  „szabvány, műszaki előírás és IKT műszaki előírás”: az 1025/2012/EU rendelet 2. cikkének 1., 4. és 5. pontjában szereplő fogalommeghatározás szerinti szabvány, műszaki előírás vagy IKT műszaki előírás.

Módosítás    90

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

16a.  „nemzeti tanúsításfelügyeleti hatóság”: az egyes tagállamok által e rendelet 50. cikkével összhangban kijelölt testület;

Módosítás    91

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

16b.  „önértékelés”: az a megfelelőségi nyilatkozat, amellyel a gyártó kijelenti, hogy a termékre, az eljárásra vagy a szolgáltatásra vonatkozóan egy tanúsítási rendszerben meghatározott egyedi követelmények teljesülnek;

Módosítás    92

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 c pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

16c.  „alapértelmezett biztonság”: olyan helyzet, amelyben – ha egy termék, szoftver vagy eljárás magasabb fokú biztonságot biztosító módon állítható be – az első felhasználónak a lehető legbiztonságosabb beállításokkal kell megkapnia az alapértelmezett konfigurációt. Amennyiben – eseti alapon – a kockázat és a felhasználhatóság elemzése arra a következtetésre vezet, hogy az ilyen beállítás nem megvalósítható, a felhasználókat fel kell kérni a legbiztonságosabb beállítás kiválasztására.

Módosítás    93

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 d pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

16d.  „alapvető szolgáltatásokat nyújtó szereplő”: az (EU) 2016/1148 irányelv 4. cikkének 4. pontjában szereplő fogalommeghatározás szerinti alapvető szolgáltatásokat nyújtó szereplő;

Módosítás    94

Rendeletre irányuló javaslat

3 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az Ügynökség elvégzi az e rendelet által az Unión belüli magas szintű kiberbiztonsághoz való hozzájárulás érdekében ráruházott feladatokat.

(1)  Az Ügynökség elvégzi az e rendelet által ráruházott feladatokat és az Ügynökséget meg kell erősíteni a közös, magas szintű kiberbiztonsághoz való hozzájárulás céljából, az Unión belüli kibertámadások megelőzése, a belső piac széttagoltságának csökkentése és működésének javítása, valamint a következetességnek a kiberbiztonsági irányelv értelmében elért tagállami együttműködési eredmények figyelembevételével való biztosítása érdekében.

Módosítás    95

Rendeletre irányuló javaslat

4 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

1.  Az Ügynökség – függetlensége, az általa biztosított tanácsadás, segítségnyújtás és információk tudományos és technikai minősége, átlátható működési eljárásai és módszerei, valamint a feladatai ellátásában tanúsított gondosság alapján – kiberbiztonsági szakértői központként működik.

1.  Az Ügynökség – függetlensége, az általa biztosított tanácsadás, segítségnyújtás és információk tudományos és technikai minősége, átlátható működési eljárásai és módszerei, valamint a feladatai ellátásában tanúsított gondosság alapján – elméleti és gyakorlati kiberbiztonsági szakértői központként működik.

Módosítás    96

Rendeletre irányuló javaslat

4 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökség segíti az uniós intézményeket, hivatalokat és szerveket, valamint a tagállamokat a kiberbiztonsággal kapcsolatos szakpolitikák kidolgozásában és végrehajtásában.

(2)  Az Ügynökség segíti az uniós intézményeket, hivatalokat és szerveket, valamint a tagállamokat a kiberbiztonsággal kapcsolatos szakpolitikák kidolgozásában és végrehajtásában, valamint a polgárok és vállalkozások tudatosságának növelésében.

Módosítás    97

Rendeletre irányuló javaslat

4 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Az Ügynökség támogatja az Unión belüli kapacitásépítést és felkészültséget azáltal, hogy segíti az Uniót, a tagállamokat, valamint a köz- és a magánszféra érdekelt feleit hálózati és információs rendszereik védelmének fokozásában, a kiberbiztonsági készségek és kompetenciák fejlesztésében, valamint a kibertámadásokkal szembeni ellenálló képesség kialakításában.

(3)  Az Ügynökség támogatja az uniós intézményeken, szerveken és hivatalokon belüli kapacitásépítést és felkészültséget azáltal, hogy segíti az Uniót, a tagállamokat, valamint a köz- és a magánszféra érdekelt feleit hálózati és információs rendszereik védelmének fokozásában, a kiberreziliencia és a kiberbiztonsági eseményekre való reagálási kapacitások fejlesztésében és javításában, a tudatosság növelésében, valamint a kiberbiztonsági készségek és kompetenciák fejlesztésében és a kiberreziliencia kialakításában.

Módosítás    98

Rendeletre irányuló javaslat

4 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Az Ügynökség a kiberbiztonsággal kapcsolatos kérdésekben előmozdítja az uniós szintű együttműködést és koordinációt a tagállamok, az uniós intézmények, hivatalok és szervek, valamint az érintett felek között, beleértve a magánszektort is.

(4)  Az Ügynökség a kiberbiztonsággal kapcsolatos kérdésekben előmozdítja az uniós szintű együttműködést, koordinációt és információmegosztást a tagállamok, az uniós intézmények, hivatalok és szervek, valamint az érintett felek között.

Módosítás    99

Rendeletre irányuló javaslat

4 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Ügynökség fokozza az uniós szintű kiberbiztonsági képességeket annak érdekében, hogy kiegészítse a kiberfenyegetések megelőzése és az azokra való reagálás terén tett tagállami intézkedéseket, különösen a több országot érintő biztonsági események esetében.

(5)  Az Ügynökség hozzájárul az uniós szintű kiberbiztonsági képességek fokozásához annak érdekében, hogy kiegészítse a kiberfenyegetések megelőzése és az azokra való reagálás terén tett tagállami intézkedéseket, különösen a több országot érintő biztonsági események esetében, valamint az arra irányuló feladatának elvégzése érdekében, hogy segítse az uniós intézményeket a kiberbiztonsággal kapcsolatos szakpolitikák kidolgozásában.

Módosítás    100

Rendeletre irányuló javaslat

4 cikk – 6 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(6)  Az Ügynökség előmozdítja a tanúsítás használatát, többek között azáltal, hogy e rendelet III. címével összhangban hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek és -szolgáltatások által nyújtott kiberbiztonság szintjét, és megerősítse ezzel a digitális belső piacba vetett bizalmat.

(6)  Az Ügynökség előmozdítja a tanúsítás használatát, a belső piac széttagoltságának elkerülése és működésének javítása céljából, többek között azáltal, hogy e rendelet III. címével összhangban hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek, -szolgáltatások és -eljárások által nyújtott kiberbiztonság szintjét, és megerősítse ezzel a digitális belső piacba vetett bizalmat és fokozza a meglévő nemzeti és nemzetközi tanúsítási rendszerek összeegyeztethetőségét.

Módosítás    101

Rendeletre irányuló javaslat

4 cikk – 7 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Ügynökség elősegíti, hogy a magánszemélyek és a vállalkozások a kiberbiztonsághoz kapcsolódó kérdésekben nagy mértékben tájékozottak legyenek.

(7)  Az Ügynökség elősegíti a magánszemélyek és a vállalkozások nagymértékű tájékozottságát, kiberhigiéniáját és számítógépes műveltségét a kiberbiztonsághoz kapcsolódó kérdésekben, valamint támogatja az ehhez hozzájáruló projekteket.

Módosítás    102

Rendeletre irányuló javaslat

5 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  segítségnyújtás és tanácsadás, különösen a kiberbiztonság területére vonatkozó uniós szakpolitika és jogszabályok kidolgozásával és felülvizsgálatával kapcsolatos független vélemények és előkészítő munka révén, de a kiberbiztonsági kérdéseket érintő ágazatspecifikus szakpolitikai és jogi kezdeményezésekkel kapcsolatban is;

(1)  segítségnyújtás és tanácsadás, különösen a kiberbiztonság területére vonatkozó uniós szakpolitika és jogszabályok kidolgozásával és felülvizsgálatával kapcsolatos független vélemények és előkészítő munka, valamint a kibertérbeli releváns tevékenységek elemzése révén, de a kiberbiztonsági kérdéseket érintő ágazatspecifikus szakpolitikai és jogi kezdeményezésekkel kapcsolatban is;

Módosítás    103

Rendeletre irányuló javaslat

5 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  segítségnyújtás a tagállamok számára a kiberbiztonsággal kapcsolatos uniós szakpolitika és jogszabályok következetes végrehajtásában, különösen az (EU) 2016/1148 irányelv vonatkozásában, többek között vélemények, iránymutatások, tanácsadás nyújtása, továbbá a kockázatkezeléssel, a biztonsági események bejelentésével és az információk megosztásával kapcsolatban bevált módszerek megosztása révén; valamint az e téren bevált módszerek illetékes hatóságok közötti cseréjének elősegítése;

(2)  segítségnyújtás a tagállamok számára a kiberbiztonsággal kapcsolatos uniós szakpolitika és jogszabályok következetes végrehajtásában, különösen az (EU) 2016/1148 irányelv, az Európai Elektronikus Hírközlési Kódex létrehozásáról szóló ... irányelv, az (EU) 2016/679 rendelet, valamint a 2002/58/EK irányelv vonatkozásában, többek között vélemények, iránymutatások, tanácsadás nyújtása, továbbá a biztonságos szoftverek és rendszerek fejlesztésével, a kockázatkezeléssel, a biztonsági események bejelentésével és az információk megosztásával, a technikai és szervezeti intézkedések, különösen a koordinált sebezhetőségi nyilvánosságra hozatali programok létrehozásával kapcsolatban bevált módszerek megosztása révén; valamint az e téren bevált módszerek illetékes hatóságok közötti cseréjének elősegítése;

Módosítás    104

Rendeletre irányuló javaslat

5 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  olyan szakpolitikák kidolgozása és előmozdítása, amelyek fenntartják a nyílt internet nyilvános alapszolgáltatásainak általános elérhetőségét vagy integritását, amelyek biztosítják az alapvető fontosságú funkciókat az egész internetre vonatkozóan, és amelyek alátámasztják annak normál működését, beleértve, de nem kizárólag a kulcsfontosságú protokollok (különösen a DNS, a BGP és az IPv6) biztonságát és stabilitását, a domainnév-rendszer működését (beleértve az összes felső szintű do.maint), valamint a gyökérzóna működését

Módosítás    105

Rendeletre irányuló javaslat

5 cikk – 4 bekezdés – 2 pont

A Bizottság által javasolt szöveg

Módosítás

2.  az elektronikus hírközlés magasabb biztonsági szintjének előmozdítása, többek között szakértelem rendelkezésre bocsátása és tanácsadás révén, valamint a bevált módszerek illetékes hatóságok közötti cseréjének elősegítésével;

2.  az elektronikus hírközlés, az adattárolás és az adatfeldolgozás magasabb biztonsági szintjének előmozdítása, többek között szakértelem rendelkezésre bocsátása és tanácsadás révén, valamint a bevált módszerek illetékes hatóságok közötti cseréjének elősegítésével;

Módosítás    106

Rendeletre irányuló javaslat

5 cikk – 5 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  segítségnyújtás a tagállamok számára az adatvédelemmel kapcsolatos uniós szakpolitika és jogszabályok, különösen az (EU) 2016/679 rendelet következetes végrehajtásában, valamint kiberbiztonsági célokból segítségnyújtás az Európai Adatvédelmi Testület számára az (EU) 2016/679 rendelet végrehajtásával kapcsolatos iránymutatások kidolgozásához. Az Európai Adatvédelmi Testületnek minden alkalommal konzultálnia kell az Ügynökséggel, amikor véleményt bocsát ki vagy határozatot hoz az általános adatvédelmi rendelet végrehajtásával és a kiberbiztonsággal kapcsolatosan, többek között az adatvédelmi hatásvizsgálatokkal, az adatsértések bejelentésével, az adatkezelés biztonságával, a biztonsági követelményekkel és a beépített adatvédelemmel kapcsolatos kérdések tekintetében.

Módosítás    107

Rendeletre irányuló javaslat

6 cikk – 1 bekezdés – a a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

aa)  a tagállamokat és az uniós intézményeket a koordinált sebezhetőségi nyilvánosságra hozatali politikák és a kormányzati sebezhetőségi nyilvánosságra hozatali felülvizsgálati eljárások kialakításában és végrehajtásában, amelyek gyakorlatai és meghatározásai átláthatóak és azokat független felügyeletnek kell alávetni.

Módosítás    108

Rendeletre irányuló javaslat

6 cikk – 1 bekezdés – a b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ab)  Az Ügynökség elősegíti egy, a kiberbiztonsági kutatásnak az Unióban és a tagállamokban való további előmozdítására irányuló, hosszú távú európai informatikai biztonsági projekt létrehozását és elindítását az Európai Kutatási Tanács (EKT) és az Európai Innovációs és Technológiai Intézet (EIT) együttműködésével, és tekintettel az Unió kutatási programjaira.

Módosítás    109

Rendeletre irányuló javaslat

6 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  a tagállamokat a 7. cikk (6) bekezdésében említett, uniós szintű nagyszabású éves kiberbiztonsági gyakorlatok megszervezésével, valamint a gyakorlatok értékelésén és a levont tanulságokon alapuló szakpolitikai ajánlások kidolgozásával;

g)  a tagállamokat a 7. cikk (6) bekezdésében említett, uniós szintű nagyszabású rendszeres, de legalább éves kiberbiztonsági gyakorlatok megszervezésével, valamint a gyakorlatok értékelésén és a levont tanulságokon alapuló szakpolitikai ajánlások kidolgozásával és a bevált gyakorlatok cseréjével;

Módosítás    110

Rendeletre irányuló javaslat

6 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökség – különösen az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokban – elősegíti az ágazati információmegosztási és analitikai központok létrehozását és folyamatosan támogatja azokat azáltal, hogy megosztja a rendelkezésre álló eszközökkel és az eljárásokkal kapcsolatban bevált módszereket, illetve iránymutatást nyújt e téren, továbbá útmutatással szolgál az információk megosztásával kapcsolatos szabályozási kérdésekben.

(2)  Az Ügynökség – különösen az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokban – elősegíti az ágazati információmegosztási és analitikai központok létrehozását és folyamatosan támogatja azokat azáltal, hogy megosztja a rendelkezésre álló eszközökkel, eljárásokkal és kiberhigiéniai elvekkel kapcsolatban bevált módszereket, illetve iránymutatást nyújt e téren, továbbá útmutatással szolgál az információk megosztásával kapcsolatos szabályozási kérdésekben.

Módosítás    111

Rendeletre irányuló javaslat

7 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az Ügynökség támogatja az illetékes állami szervek és az érdekeltek közötti operatív együttműködést.

(1)  Az Ügynökség támogatja a tagállamok, az uniós intézmények, ügynökségek és szervek, valamint az érdekeltek közötti operatív együttműködést, amely a meglévő nemzeti rendszerek elemzésével és értékelésével, az Unióban és a tagállamokban a legmagasabb szintű kiberbiztonság elérését célzó terv kidolgozásával és végrehajtásával és az ehhez szükséges megfelelő eszközök alkalmazásával valósul meg.

Módosítás    112

Rendeletre irányuló javaslat

7 cikk – 4 bekezdés – 1 albekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  kérésükre technikai segítségnyújtás jelentős vagy lényeges hatású biztonsági események esetében;

b)  kérésükre információmegosztás és szakértelem formájában megvalósuló technikai segítségnyújtás jelentős vagy lényeges hatású biztonsági események esetében;

Módosítás    113

Rendeletre irányuló javaslat

7 cikk – 4 bekezdés – 1 albekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ba)  ha egy biztonsági esemény jelentős zavaró hatása miatt egy helyzet sürgős fellépést igényel, a tagállamok kérhetik az Ügynökség szakértőinek segítségét a helyzet értékeléséhez. A kérelemnek tartalmaznia kell a helyzet leírását, a lehetséges célokat és a tervezett szükségleteket.

Módosítás    114

Rendeletre irányuló javaslat

7 cikk – 5 bekezdés – 1 albekezdés

A Bizottság által javasolt szöveg

Módosítás

Két vagy több érintett tagállam kérésére – és kizárólag a jövőbeni biztonsági események megelőzésére vonatkozó tanácsadás céljából – az Ügynökség támogatást nyújt az (EU) 2016/1148 irányelv értelmében jelentős vagy lényeges hatású biztonsági eseményeknek az érintett vállalkozások általi bejelentését követő utólagos technikai vizsgálatához, vagy maga hajtja végre ezt a vizsgálatot. Az Ügynökség az érintett tagállamok egyetértésével a Bizottság kellően indokolt kérésére is végez ilyen vizsgálatot a kettőnél több tagállamot érintő biztonsági események esetében.

Egy vagy több érintett tagállam kérésére – és kizárólag a jövőbeni biztonsági események megelőzésére vonatkozó tanácsadás formájában történő segítségnyújtás céljából, vagy egy jelenlegi nagyszabású biztonsági eseményre való reagálásban való segítségnyújtásként – az Ügynökség támogatást nyújt az (EU) 2016/1148 irányelv értelmében jelentős vagy lényeges hatású biztonsági eseményeknek az érintett vállalkozások általi bejelentését követő utólagos technikai vizsgálatához, vagy maga hajtja végre ezt a vizsgálatot. Az Ügynökség a fenti tevékenységeket a vonatkozó információknak az érintett tagállamoktól történő megszerzésével, és a saját veszélyelemzési erőforrásainak, valamint a biztonsági eseményekre való reagálással kapcsolatos erőforrások felhasználásával végzi. Az Ügynökség az érintett tagállamok egyetértésével a Bizottság kellően indokolt kérésére is végez ilyen vizsgálatot az egynél több tagállamot érintő biztonsági események esetében. Ennek során az Ügynökség gondoskodik arról, hogy hozza nyilvánosságra a tagállamok által az alapvető állami funkciók, különösen a nemzetbiztonsággal kapcsolatos funkciók megvédésére hozott intézkedéseket.

Módosítás    115

Rendeletre irányuló javaslat

7 cikk – 6 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(6)  Az Ügynökség évente kiberbiztonsági gyakorlatokat szervez uniós szinten, és kérésükre támogatja a tagállamokat, valamint az uniós intézményeket, hivatalokat és szerveket saját gyakorlataik megszervezésében. Az uniós szintű éves gyakorlatoknak technikai, operatív és stratégiai elemeket is magukban kell foglalniuk, és segíteniük kell a nagyszabású, határokon átnyúló kiberbiztonsági eseményekre való uniós szintű, együttműködésen alapuló reagálás előkészítését. Az Ügynökség emellett hozzájárul és adott esetben segítséget nyújt az ágazati kiberbiztonsági gyakorlatok megszervezéséhez a megfelelő ágazati információmegosztási és analitikai központokkal együtt, és ez utóbbiak számára lehetővé teszi az uniós szintű kiberbiztonsági gyakorlatokban való részvételt.

(6)  Az Ügynökség rendszeresen, de legalább évente kiberbiztonsági gyakorlatokat szervez uniós szinten, és kérésükre támogatja a tagállamokat, valamint az uniós intézményeket, hivatalokat és szerveket saját gyakorlataik megszervezésében. Az uniós szintű éves gyakorlatoknak technikai, operatív és stratégiai elemeket is magukban kell foglalniuk, és segíteniük kell a nagyszabású, határokon átnyúló kiberbiztonsági eseményekre való uniós szintű, együttműködésen alapuló reagálás előkészítését. Az Ügynökség emellett hozzájárul és adott esetben segítséget nyújt az ágazati kiberbiztonsági gyakorlatok megszervezéséhez a megfelelő ágazati információmegosztási és analitikai központokkal együtt, és ez utóbbiak számára lehetővé teszi az uniós szintű kiberbiztonsági gyakorlatokban való részvételt.

Módosítás    116

Rendeletre irányuló javaslat

7 cikk – 7 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Ügynökség rendszeres uniós kiberbiztonsági technikai helyzetjelentést készít a biztonsági eseményekről és fenyegetésekről, amelyek nyilvánosan hozzáférhető információkon, az Ügynökség saját elemzésén, valamint többek között a következő szervezetek által rendelkezésre bocsátott jelentéseken alapulnak: a tagállami CSIRT-ek (önkéntes alapon) vagy a kiberbiztonsági irányelvvel létrehozott egyedüli kapcsolattartó pontok (kiberbiztonsági irányelv, 14. cikk (5) bekezdés), az Europol Számítástechnikai Bűnözés Elleni Európai Központja (EC3) és a CERT-EU.

(7)  Az Ügynökség rendszeres és mélyreható uniós kiberbiztonsági technikai helyzetjelentést készít a biztonsági eseményekről és fenyegetésekről, amelyek nyilvánosan hozzáférhető információkon, az Ügynökség saját elemzésén, valamint többek között a következő szervezetek által rendelkezésre bocsátott jelentéseken alapulnak: a tagállami CSIRT-ek (önkéntes alapon) vagy a kiberbiztonsági irányelvvel létrehozott egyedüli kapcsolattartó pontok (kiberbiztonsági irányelv, 14. cikk (5) bekezdés), az Europol Számítástechnikai Bűnözés Elleni Európai Központja (EC3) és a CERT-EU. A nyilvános eredményeket adott esetben az ügyvezető igazgató ismerteti az Európai Parlamenttel.

Módosítás    117

Rendeletre irányuló javaslat

7 cikk – 7 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(7a)  Az Ügynökség – adott esetben és a Bizottság előzetes jóváhagyása alapján – hozzájárul a NATO Kibervédelmi Kiválósági Együttműködési Központjával és a NATO Kommunikációs és Információs Akadémiájával folytatott kiberbiztonsági együttműködésekhez.

Módosítás    118

Rendeletre irányuló javaslat

7 cikk – 8 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  a tagállami forrásokból származó jelentések összesítése a közös helyzetismeret kialakításához való hozzájárulás céljából;

a)  a tagállami forrásokból származó jelentések elemzése és összesítése a közös helyzetismeret kialakításához való hozzájárulás céljából;

Módosítás    119

Rendeletre irányuló javaslat

7 cikk – 8 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  a biztonsági események vagy válságok technikai kezelésének támogatása, beleértve a technikai megoldások tagállamok közötti megosztásának elősegítését;

c)  a biztonsági események vagy válságok technikai kezelésének támogatása a saját független szakértelme és erőforrásai alapján, beleértve a technikai megoldások tagállamok közötti önkéntes megosztásának elősegítését;

Módosítás    120

Rendeletre irányuló javaslat

7 cikk – 8 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(8a)  Az Ügynökség szükség esetén gondoskodik a véleménycseréről, és a szubszidiaritás és az arányosság elvével összhangban segítséget nyújt a tagállami hatóságoknak válaszlépéseik összehangolásában.

Módosítás    121

Rendeletre irányuló javaslat

7 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

7a. cikk

 

Az Ügynökség műszaki képességei

 

(1) A 7. cikkben foglalt célkitűzések teljesítése céljából és az Ügynökség munkaprogramjával összhangban, az Ügynökség többek között a következő műszaki képességeket és készségeket fejleszti ki:

 

a) nyílt forrásból történő, kiberbiztonsági fenyegetésekre vonatkozó információgyűjtés képessége; valamint

 

b) a műszaki berendezések, eszközök és szakértelem távolról történő bevetésének képessége.

 

(2) Az ezen cikk (1) bekezdésében említett műszaki képességek és a vonatkozó készségek kifejlesztése céljából az Ügynökség:

 

a) biztosítja, hogy felvételi eljárásai tükrözzék a megkövetelt műszaki készségek sokrétűségét; valamint

 

b) együttműködik a CERT-EU-val és az Europollal ezen rendelet 7. cikkének (2) bekezdésével összhangban.

Módosítás    122

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

a)  támogatja és előmozdítja az IKT-termékek és -szolgáltatások – e rendelet III. címében meghatározott – kiberbiztonsági tanúsítására vonatkozó uniós szakpolitika kidolgozását és végrehajtását, az alábbiak révén:

a)  támogatja és előmozdítja az IKT-termékek, -szolgáltatások és -eljárások – e rendelet III. címében meghatározott – kiberbiztonsági tanúsítására vonatkozó uniós szakpolitika kidolgozását és végrehajtását, az alábbiak révén:

Módosítás    123

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – -1 pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

-1.  a szabványok, műszaki előírások és IKT műszaki előírások folyamatos meghatározása;

Módosítás    124

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 1 pont

A Bizottság által javasolt szöveg

Módosítás

1.  európai kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozása IKT-termékekre és -szolgáltatásokra vonatkozóan e rendelet 44. cikkének megfelelően;

1.  formális, szabványosított és átlátható eljárás keretében az iparági érdekeltekkel és a szabványügyi szervezetekkel együttműködve az európai kiberbiztonsági tanúsítási rendszerekre irányuló javaslatok kidolgozása IKT-termékekre, -szolgáltatásokra és -eljárásokra vonatkozóan e rendelet 44. cikkének megfelelően;

Módosítás    125

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 1 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

1a.  az ezen rendelet 53. cikke szerinti tagállami tanúsítási csoporttal együttműködésben, az európai kiberbiztonsági tanúsítványok kiállítására irányuló, az ezen rendelet 51. cikkében említett megfelelőségértékelő szervezetek által bevezetett eljárások értékelésének elvégzése annak biztosítása érdekében, hogy a megfelelőségértékelő szervezetek egységesen alkalmazzák e rendeletet a tanúsítványok kiállításakor;

Módosítás    126

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 1 b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

1b.  a tanúsított IKT-termékek, -eljárások és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereknek való megfelelőségének független, rendszeres utólagos ellenőrzése;

Módosítás    127

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 2 pont

A Bizottság által javasolt szöveg

Módosítás

2.  a Bizottság támogatása az európai kiberbiztonsági tanúsítási csoport titkárságának e rendelet 53. cikke szerinti biztosításában;

2.  a Bizottság támogatása a tagállami tanúsítási csoport titkárságának e rendelet 53. cikke szerinti biztosításában;

Módosítás    128

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 3 pont

A Bizottság által javasolt szöveg

Módosítás

3.  az IKT-termékek és -szolgáltatások kiberbiztonsági előírásaira vonatkozó iránymutatások összeállítása és közzététele, illetve bevált módszerek kialakítása a nemzeti tanúsításfelügyeleti hatóságokkal és az ágazattal együttműködve;

3.  az IKT-termékek, -eljárások és -szolgáltatások kiberbiztonsági előírásaira vonatkozó iránymutatások összeállítása és közzététele, illetve bevált módszerek kialakítása, beleértve a kiberhigiéniai elveket, a nemzeti tanúsításfelügyeleti hatóságokkal és az ágazattal formális, egységes és átlátható folyamatban együttműködve;

Módosítás    129

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  előmozdítja a kockázatkezelésre és az IKT-termékek és -szolgáltatások biztonságára vonatkozó európai és nemzetközi szabványok kidolgozását és használatát, valamint a tagállamokkal együttműködésben tanácsot ad és iránymutatásokat készít az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkozó biztonsági követelményekkel kapcsolatos műszaki területekkel, valamint a már hatályos szabványokkal, köztük a tagállamok nemzeti szabványaival kapcsolatban az (EU) 2016/1148 irányelv 19. cikkének (2) bekezdése alapján;

b)  előmozdítja a kockázatkezelésre és az IKT-termékek, -eljárások és -szolgáltatások biztonságára vonatkozó európai és nemzetközi szabványok kidolgozását és használatát, valamint a tagállamokkal és az iparággal együttműködésben tanácsot ad és iránymutatásokat készít az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkozó biztonsági követelményekkel kapcsolatos műszaki területekkel, valamint a már hatályos szabványokkal, köztük a tagállamok nemzeti szabványaival kapcsolatban az (EU) 2016/1148 irányelv 19. cikkének (2) bekezdése alapján, és megosztja ezeket az információkat a tagállamok között;

Módosítás    130

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  a tagállami hatóságok szakértőivel együttműködésben tanácsot és útmutatást ad, illetve bevált módszereket bocsát rendelkezésre a hálózati és információs rendszerek biztonságával, különösen az internetes infrastruktúra és az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokat támogató infrastruktúrák biztonságával kapcsolatban;

c)  a tagállami hatóságok szakértőivel és az érintett érdekelt felekkel együttműködésben tanácsot és útmutatást ad, illetve bevált módszereket bocsát rendelkezésre a hálózati és információs rendszerek biztonságával, különösen az internetes infrastruktúra és az (EU) 2016/1148 irányelv II. mellékletében felsorolt ágazatokat támogató infrastruktúrák biztonságával kapcsolatban;

Módosítás    131

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  növeli a kiberbiztonsági kockázatokkal kapcsolatos tudatosságot, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást ad a már bevált módszerekkel kapcsolatban;

e)  folyamatosan fokozza és növeli a kiberbiztonsági kockázatokkal kapcsolatos tudatosságot, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói képzéseket biztosít és iránymutatást ad a már bevált módszerekkel kapcsolatban, valamint előmozdítja az erős, megelőző jellegű informatikai biztonsági intézkedések elfogadását, valamint a megbízható adatvédelmet és a magánélet védelmét;

Módosítás    132

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  rendszeres tájékoztató kampányokat szervez a tagállamokkal, valamint az uniós intézményekkel, szervekkel és hivatalokkal együttműködésben a kiberbiztonság fokozása és láthatóságának növelése érdekében.

g)  rendszeres kommunikációs kampányokat szervez a tagállamokkal, valamint az uniós intézményekkel, szervekkel és hivatalokkal együttműködésben a széles körű nyilvános vita ösztönzése érdekében;

Módosítás    133

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – g a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ga)  támogatja a tagállamok közötti koordináció és a bevált gyakorlatok cseréje szorosabbá tételét a kiberbiztonsági oktatás és jártasság, a kiberhigiénia és a tudatosságnövelés területén.

Módosítás    134

Rendeletre irányuló javaslat

10 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  tanácsokkal látja el az Uniót és a tagállamokat a tekintetben, hogy a kiberbiztonság területén milyen kutatási szükségleteknek és prioritásoknak kell eleget tenni egyrészt ahhoz, hogy hatékonyan lehessen reagálni a jelenlegi és jövőbeli kockázatokra és fenyegetésekre, beleértve az új és kialakulóban lévő információs és kommunikációs technológiákat érintő kockázatokat és fenyegetéseket is, másrészt pedig ahhoz, hogy eredményesen lehessen alkalmazni a kockázatmegelőző technológiákat;

a)  az érintett felhasználói csoportok részére előzetes konzultációt biztosít, és tanácsokkal látja el az Uniót és a tagállamokat a tekintetben, hogy a kiberbiztonság, az adatvédelem és a magánélet védelme területén milyen kutatási szükségleteknek és prioritásoknak kell eleget tenni egyrészt ahhoz, hogy hatékonyan lehessen reagálni a jelenlegi és jövőbeli kockázatokra és fenyegetésekre, beleértve az új és kialakulóban lévő információs és kommunikációs technológiákat, másrészt pedig ahhoz, hogy eredményesen lehessen alkalmazni a kockázatmegelőző technológiákat;

Módosítás    135

Rendeletre irányuló javaslat

10 cikk – 1 bekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ba)  megbízást ad egyértelműen azonosított európai hozzáadott értéket képviselő saját kutatási programok folytatására olyan területeken, amelyekre a meglévő uniós kutatási programok még nem terjednek ki.

Módosítás    136

Rendeletre irányuló javaslat

11 cikk – 1 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  a 53. cikk alapján létrehozott tagállami tanúsítási csoporttal együttműködésben tanácsot és támogatást nyújt a Bizottságnak a kiberbiztonsági tanúsítványok kölcsönös elismerésére vonatkozóan harmadik országokkal kötött megállapodásokkal kapcsolatos kérdésekben.

Módosítás    137

Rendeletre irányuló javaslat

12 cikk – 1 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  az érdekeltek állandó csoportja, amely a 20. cikkben meghatározott feladatokat látja el.

d)  az ENISA tanácsadó csoportja, amely a 20. cikkben meghatározott feladatokat látja el.

Módosítás    138

Rendeletre irányuló javaslat

14 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  értékeli, majd elfogadja az Ügynökség tevékenységéről szóló összevont éves jelentést, és a következő év július 1-jéig megküldi mind a jelentést, mind az értékelését az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére. Az éves jelentésnek tartalmaznia kell az elszámolásokat, és ismertetnie kell, hogy az Ügynökség teljesítette-e teljesítménymutatóit. Az éves jelentést közzé kell tenni;

e)  értékeli, majd elfogadja az Ügynökség tevékenységéről szóló összevont éves jelentést, és a következő év július 1-jéig megküldi mind a jelentést, mind az értékelését az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére. Az éves jelentésnek tartalmaznia kell az elszámolásokat, ismertetnie kell a kiadások hasznosságát, és értékelnie kell, hogy az Ügynökség mennyire volt hatékony és milyen mértékben teljesítette teljesítménymutatóit. Az éves jelentést közzé kell tenni;

Módosítás    139

Rendeletre irányuló javaslat

14 cikk – 1 bekezdés – m pont

A Bizottság által javasolt szöveg

Módosítás

m)  e rendelet 33. cikkének megfelelően kinevezi az ügyvezető igazgatót, és adott esetben meghosszabbítja hivatali idejét, vagy felmenti hivatalából;

m)  e rendelet 33. cikkének megfelelően szakmai kiválasztási szempontok alapján kinevezi az ügyvezető igazgatót, és adott esetben meghosszabbítja hivatali idejét, vagy felmenti hivatalából;

Módosítás    140

Rendeletre irányuló javaslat

14 cikk – 1 bekezdés – o pont

A Bizottság által javasolt szöveg

Módosítás

o)  meghozza az Ügynökség belső felépítésének kialakításával és szükség szerint annak módosításával kapcsolatos összes döntést, az Ügynökség tevékenységével kapcsolatos igények és a hatékony és eredményes költségvetési gazdálkodás figyelembevételével;

o)  meghozza az Ügynökség belső felépítésének kialakításával és szükség szerint annak módosításával kapcsolatos összes döntést, az Ügynökség tevékenységével kapcsolatos, e rendeletben felsorolt igények és a hatékony és eredményes költségvetési gazdálkodás figyelembevételével;

Módosítás    141

Rendeletre irányuló javaslat

16 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Az érdekeltek állandó csoportjának tagjai az elnök felkérésére szavazati jog nélkül részt vehetnek az igazgatótanács ülésein.

(4)  Az ENISA tanácsadó csoportjának tagjai az elnök felkérésére szavazati jog nélkül részt vehetnek az igazgatótanács ülésein.

Módosítás    142

Rendeletre irányuló javaslat

18 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  A felügyelőtestület összetétele a következő: az igazgatótanácsi tagok közül kinevezett öt tag, köztük az igazgatótanács elnöke, aki betöltheti a felügyelőtestület elnöki tisztségét is, valamint a Bizottság egyik képviselője. Az ügyvezető igazgató részt vesz a felügyelőtestület ülésein, de szavazati joggal nem rendelkezik.

(3)  A felügyelőtestület összetétele a következő: az igazgatótanácsi tagok közül kinevezett öt tag, köztük az igazgatótanács elnöke, aki betöltheti a felügyelőtestület elnöki tisztségét is, valamint a Bizottság egyik képviselője. Az ügyvezető igazgató részt vesz a felügyelőtestület ülésein, de szavazati joggal nem rendelkezik. A kinevezéseknél törekedni kell a nemek kiegyensúlyozott képviseletének megvalósítására a felügyelőtestületben.

Indokolás

A felügyelőtestületi kinevezéseknél a 13. cikk (3) bekezdésének az igazgatótanácsra vonatkozó rendelkezéseit tükrözve törekedni kell a nemek szerinti egyensúlyra is.

Módosítás    143

Rendeletre irányuló javaslat

19 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az ügyvezető igazgató, amennyiben erre felkérést kap, beszámol az Európai Parlamentnek feladatai ellátásáról. A Tanács is felkérheti az ügyvezető igazgatót, hogy számoljon be feladatai ellátásáról.

(2)  Az ügyvezető igazgató évente egyszer, amennyiben erre felkérést kap, beszámol az Európai Parlamentnek feladatai ellátásáról. A Tanács is felkérheti az ügyvezető igazgatót, hogy számoljon be feladatai ellátásáról.

Módosítás    144

Rendeletre irányuló javaslat

19 cikk – 5 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  Az ügyvezető igazgató jogosult továbbá arra, hogy a 2014. február 6-i C(2014) 541 bizottsági határozatban meghatározott megbízatással.

Módosítás    145

Rendeletre irányuló javaslat

20 cikk – cím

A Bizottság által javasolt szöveg

Módosítás

Az érdekeltek állandó csoportja

Az ENISA tanácsadó csoportja

 

(E módosítás a teljes szövegre vonatkozik. Elfogadása esetén a szövegben mindenütt el kell végezni a szükséges módosításokat.)

Módosítás    146

Rendeletre irányuló javaslat

20 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az igazgatótanács az ügyvezető igazgató javaslatára létrehozza az érdekeltek állandó csoportját, amely egyfelől a releváns érdekelt feleket – IKT-ágazat, a nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat biztosító vállalkozások, a fogyasztói csoportok és a kiberbiztonság területén tevékenykedő tudományos szakemberek – képviselő elismert szakértőkből, másfelől pedig az [Európai Elektronikus Hírközlési Kódex létrehozásáról szóló] irányelv értelmében bejelentett nemzeti szabályozó hatóságok, valamint a bűnüldöző hatóságok és a magánélet védelmével foglalkozó felügyeleti hatóságok képviselőiből áll.

(1)  Az igazgatótanács az ügyvezető igazgató javaslatára átlátható módon létrehozza az ENISA tanácsadó csoportját, amely egyfelől a releváns érdekelt feleket – IKT-ágazat, ezen belül a kkv-k, a kiberbiztonsági irányelv szerinti alapvető szolgáltatást nyújtó szereplők, a nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat biztosító vállalkozások, a fogyasztói csoportok és a kiberbiztonság területén tevékenykedő tudományos szakemberek, az európai szabványügyi szervezetek és az uniós ügynökségek – képviselő elismert biztonsági szakértőkből, másfelől pedig az [Európai Elektronikus Hírközlési Kódex létrehozásáról szóló] irányelv értelmében bejelentett nemzeti szabályozó hatóságok, valamint a bűnüldöző hatóságok és a magánélet védelmével foglalkozó felügyeleti hatóságok képviselőiből áll. Az igazgatótanács biztosítja a megfelelő egyensúlyt az érdekelt felek különböző csoportjai között.

Módosítás    147

Rendeletre irányuló javaslat

20 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az érdekeltek állandó csoportjának létszámával, közelebbről annak összetételével, tagjainak az igazgatótanács általi kinevezésével, az ügyvezető igazgató javaslatával, valamint a csoport működésével kapcsolatos eljárásokat az Ügynökség belső működési szabályzatában kell meghatározni, és azokat nyilvánosságra kell hozni.

(2)  Az ENISA tanácsadó csoportjának létszámával, közelebbről annak összetételével, tagjainak az igazgatótanács általi kinevezésével, az ügyvezető igazgató javaslatával, valamint a csoport működésével kapcsolatos eljárásokat az Ügynökség belső működési szabályzatában kell meghatározni, és azokat nyilvánosságra kell hozni.

Módosítás    148

Rendeletre irányuló javaslat

20 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Az érdekeltek állandó csoportjában az elnöki teendőket az ügyvezető igazgató vagy az általa eseti alapon kinevezett személy látja el.

(3)  Az ENISA tanácsadó csoportjában az elnöki teendőket az ügyvezető igazgató vagy az általa eseti alapon kinevezett személy látja el.

Módosítás    149

Rendeletre irányuló javaslat

20 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Az érdekeltek állandó csoportja tagjainak hivatali ideje két és fél évre szól. Az érdekeltek állandó csoportjának nem lehetnek olyan tagjai, akik az igazgatótanácsnak is tagjai. Az érdekeltek állandó csoportjának ülésein jelen lehetnek, és munkájában részt vehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az érdekeltek állandó csoportjának üléseire és az e csoport munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek képviselői is meghívhatók, akik nem tagjai az érdekeltek állandó csoportjának.

(4)  Az ENISA tanácsadó csoportja tagjainak hivatali ideje két és fél évre szól. Az ENISA tanácsadó csoportjának nem lehetnek olyan tagjai, akik az igazgatótanácsnak is tagjai. Az ENISA tanácsadó csoportjának ülésein jelen lehetnek, és munkájában részt vehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az ENISA tanácsadó csoportjának üléseire és az e csoport munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek képviselői is meghívhatók, akik nem tagjai az ENISA tanácsadó csoportjának.

Módosítás    150

Rendeletre irányuló javaslat

20 cikk – 4 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(4a)  Az ENISA tanácsadó csoportja az év folyamán rendszeres tájékoztatást nyújt a tervezéséről, és célkitűzéseit meghatározza munkaprogramjában, amelyet félévente közzétesz az átláthatóság biztosítása érdekében;

Módosítás    151

Rendeletre irányuló javaslat

20 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az érdekeltek állandó csoportja tanácsadással segíti az Ügynökséget tevékenységeinek ellátásában. A csoport különösen az Ügynökség munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekeltekkel a munkaprogramot érintő valamennyi kérdésről folytatandó párbeszéd biztosításához ad tanácsot az ügyvezető igazgatónak.

(5)  Az ENISA tanácsadó csoportja – e rendelet III. címe alkalmazásának kivételével – tanácsadással segíti az Ügynökséget tevékenységeinek ellátásában. A csoport különösen az Ügynökség munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekeltekkel a munkaprogramot érintő kérdésekről folytatandó párbeszéd biztosításához ad tanácsot az ügyvezető igazgatónak.

Módosítás    152

Rendeletre irányuló javaslat

20 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

20a. cikk

 

Az érdekeltek tanúsítási csoportja

 

(1)   Az ügyvezető igazgató létrehozza az érdekeltek tanúsítási csoportját, amely egy e rendelet III. címének alkalmazásával kapcsolatban általános tanácsadást nyújtó általános tanácsadó bizottságból áll, és eseti bizottságokat állít fel minden egyes rendszerre irányuló javaslat előterjesztésére, kidolgozására és elfogadására. E csoport tagjait egyfelől a releváns érdekelt feleket – IKT-ágazat, ezen belül a kkv-k, a kiberbiztonsági irányelv szerinti alapvető szolgáltatást nyújtó szereplők, a nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat biztosító vállalkozások, a fogyasztói csoportok és a kiberbiztonság területén tevékenykedő tudományos szakemberek és az európai szabványügyi szervezetek – képviselő elismert biztonsági szakértők, másfelől pedig az [Európai Elektronikus Hírközlési Kódex létrehozásáról szóló] irányelv értelmében bejelentett nemzeti szabályozó hatóságok, valamint a bűnüldöző hatóságok és a magánélet védelmével foglalkozó felügyeleti hatóságok képviselői közül választják ki.

 

(2)   Az érdekeltek tanúsítási csoportjának eljárási szabályait, különösen a létszámával, összetételével, tagjainak az ügyvezető igazgató általi kinevezésével kapcsolatos szabályokat – a tisztességes képviseletet és a minden érdekelt fél számára egyenlő jogokat biztosító bevált gyakorlatokat követve – az Ügynökség belső működési szabályzatában kell meghatározni, és azokat nyilvánosságra kell hozni.

 

(3)   Az érdekeltek tanúsítási csoportjának nem lehetnek olyan tagjai, akik az igazgatótanácsnak is tagjai. Az érdekeltek tanúsítási csoportjának lehetnek olyan tagjai, akik az ENISA tanácsadó csoportjának is tagjai. Az érdekeltek tanúsítási csoportjának ülésein meghívásra jelen lehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az érdekeltek tanúsítási csoportjának üléseire és az e csoport munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek képviselői is meghívhatók.

 

(4)   Az érdekeltek tanúsítási csoportja tanácsadással segíti az Ügynökséget az e rendelet III. címe szerinti tevékenységeinek ellátásában. A csoport különösen jogosult arra, hogy e rendelet 44. cikkének rendelkezései szerint javaslatot tegyen a Bizottságnak egy európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat kidolgozására, és részt vegyen az említett rendszerek jóváhagyása tekintetében e rendelet 43–48. és 53. cikkében említett eljárásokban.

Módosítás    153

Rendeletre irányuló javaslat

21 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

21a. cikk

 

Az Ügynökség megkeresése

 

(1) Az Ügynökségnek egyablakos ügyintézési pontot kell létrehoznia és működtetnie az Ügynökség céljai és feladatai keretén belül a tanácsadásra és a segítségnyújtásra vonatkozó megkeresések kezelésére. A megkeresésekhez mellékelni kell a megoldandó kérdéssel kapcsolatos háttér-információkat. Az Ügynökség megállapítja az erőforrásokra gyakorolt lehetséges következményeket, és kellő időben lépéseket tesz a megkeresések nyomán. Megkeresés visszautasítása esetén az Ügynökség köteles megindokolni döntését.

 

(2) Az (1) bekezdés alapján a következő szervek intézhetnek megkeresést az Ügynökséghez:

 

a) az Európai Parlament;

 

b) a Tanács;

 

c) a Bizottság; valamint

 

d) bármely tagállam bármely hatósága, köztük különösen a 2002/21/EK irányelv 2. cikke szerinti nemzeti szabályozó hatóság.

 

(3) Az igazgatótanács az Ügynökség belső működési szabályzatában megállapítja az (1) és a (2) bekezdés alkalmazására, ezen belül különösen a megkeresések benyújtására, fontossági sorrendjük megállapítására, a megkeresések nyomán megteendő lépésekre, valamint a tájékoztatásra vonatkozó gyakorlati szabályokat.

Módosítás    154

Rendeletre irányuló javaslat

24 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az igazgatótanács tagjai, az ügyvezető igazgató, az érdekeltek állandó csoportjának tagjai, az eseti munkacsoportok munkájában részt vevő külső szakértők és az Ügynökség személyzetének tagjai – beleértve a tagállamok által ideiglenesen kirendelt tisztviselőket is – feladataik megszűnte után is az Európai Unió működéséről szóló szerződés (EUMSZ) 339. cikke szerinti titoktartási kötelezettségek hatálya alá tartoznak.

(2)  Az igazgatótanács tagjai, az ügyvezető igazgató, az ENISA tanácsadó csoportjának tagjai, az eseti munkacsoportok munkájában részt vevő külső szakértők és az Ügynökség személyzetének tagjai – beleértve a tagállamok által ideiglenesen kirendelt tisztviselőket is – feladataik megszűnte után is az Európai Unió működéséről szóló szerződés (EUMSZ) 339. cikke szerinti titoktartási kötelezettségek hatálya alá tartoznak.

Módosítás    155

Rendeletre irányuló javaslat

26 cikk – 1 bekezdés – 1 a albekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

Az előzetes kimutatástervezetek az e rendelet 21. cikkének (1) bekezdésében említett, egységes programozási dokumentumban megfogalmazott célkitűzéseken és várt eredményeken alapulnak, és figyelembe veszik az e célok és várt eredmények eléréséhez szükséges pénzügyi forrásokat, a teljesítményalapú költségvetés-tervezés elvének megfelelően.

Módosítás    156

Rendeletre irányuló javaslat

30 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A Számvevőszék jogosult dokumentumalapú és helyszíni ellenőrzést végezni a támogatások összes kedvezményezettjénél, valamint az Ügynökségtől uniós forrásokban részesülő vállalkozóknál és alvállalkozóknál.

(2)  A Számvevőszék jogosult dokumentumokon és helyszíni vizsgálatokon alapuló ellenőrzést végezni a támogatások összes kedvezményezettjénél, valamint az Ügynökségtől uniós forrásokban részesülő vállalkozóknál és alvállalkozóknál.

Módosítás    157

Rendeletre irányuló javaslat

36 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Ügynökség alkalmazottainak az Ügynökséggel szemben fennálló személyes felelősségét illetően az Ügynökség személyzetére e tekintetben irányadó feltételeket kell alkalmazni.

(5)  Az Ügynökség alkalmazottainak az Ügynökséggel szemben fennálló személyes felelősségét illetően az Ügynökség személyzetére e tekintetben irányadó feltételeket kell alkalmazni. Biztosítani kell a hatékonyságot a személyzet felvétele során.

Módosítás    158

Rendeletre irányuló javaslat

37 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökség működéséhez szükséges fordítási szolgáltatásokat Az Európai Unió Szerveinek Fordítóközpontja biztosítja.

(2)  Az Ügynökség működéséhez szükséges fordítási szolgáltatásokat az Európai Unió Szerveinek Fordítóközpontja vagy más fordítási szolgáltatók biztosítják a közbeszerzési szabályokkal összhangban és a vonatkozó pénzügyi szabályozás által megállapított korlátok között.

Módosítás    159

Rendeletre irányuló javaslat

39 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Amennyiben az e rendeletben meghatározott célkitűzések eléréséhez szükséges, az Ügynökség harmadik országok illetékes hatóságaival és/vagy nemzetközi szervezetekkel is együttműködhet. Ebből a célból az Ügynökség a Bizottság előzetes jóváhagyásával a harmadik országok hatóságaival és a nemzetközi szervezetekkel munkamegállapodásokat köthet. Ezek a megállapodások nem keletkeztethetnek jogi kötelezettséget az Unióval és tagállamaival szemben.

(1)  Amennyiben az e rendeletben meghatározott célkitűzések eléréséhez szükséges, az Ügynökség harmadik országok illetékes hatóságaival és/vagy nemzetközi szervezetekkel is együttműködhet. Ebből a célból az Ügynökség a Bizottság előzetes jóváhagyásával a harmadik országok hatóságaival és a nemzetközi szervezetekkel munkamegállapodásokat köthet. A NATO-val való együttműködés – ha erre sor kerül – magában foglalhatja a közös kiberbiztonsági gyakorlatokat és a kiberbiztonsági eseményekre való reagálás közös koordinációját. Ezek a megállapodások nem keletkeztethetnek jogi kötelezettséget az Unióval és tagállamaival szemben.

Indokolás

Tekintettel a kiberbiztonsági események határokon átnyúló jellegére, amikor ez helyénvaló, az ENISA-nak együtt kell működnie az Európában tevékenykedő kiberbiztonsági szereplőkkel, például a NATO-val. Ez különösen azért fontos, mert a NATO olyan kiberbiztonsági képességekkel rendelkezik, amelyekkel az ENISA nem, és ez fordítva is igaz. Az államok egésze ellen irányuló, egyre gyakoribb kibertámadásokkal összefüggésben Európa biztonságának szempontjából elengedhetetlen, hogy az ENISA nemzetközi szinten együttműködjön olyan nemzetközi szervezetekkel, mint például a NATO.

Módosítás    160

Rendeletre irányuló javaslat

41 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökségnek otthont adó tagállam a lehető legjobb feltételeket biztosítja az Ügynökség megfelelő működéséhez, ideértve a székhely megközelíthetőségét, az alkalmazottak gyermekeinek biztosított megfelelő oktatási lehetőségeket, valamint a személyzetet kísérő gyermekek és házastársak munkaerőpiachoz, társadalombiztosításhoz és egészségügyi ellátáshoz való hozzáférését is.

(2)  Az Ügynökségnek otthont adó tagállam a lehető legjobb feltételeket biztosítja az Ügynökség megfelelő működéséhez, ideértve a teljes Ügynökség egyetlen székhelyen való elhelyezését, a székhely megközelíthetőségét, az alkalmazottak gyermekeinek biztosított megfelelő oktatási lehetőségeket, valamint a személyzetet kísérő gyermekek és házastársak munkaerőpiachoz, társadalombiztosításhoz és egészségügyi ellátáshoz való hozzáférését is.

Indokolás

Az Ügynökség jelenlegi struktúrája – amelyben az adminisztratív székhely Iráklióban van, az alapvető tevékenységeket ellátó központ pedig Athénban – bizonyítottan nem hatékony és költséges. Ezért az ENISA valamennyi munkatársának ugyanabban a városban kellene dolgoznia. Az e bekezdésben említett kritériumok alapján ennek a helynek Athénnek kell lennie.

Módosítás    161

Rendeletre irányuló javaslat

43 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

Az európai kiberbiztonsági tanúsítási rendszer annak igazolására szolgál, hogy az ilyen rendszernek megfelelően tanúsított IKT-termékek és -szolgáltatások megfelelnek az azzal kapcsolatban meghatározott követelményeknek, hogy képesek egy adott biztonsági szinten ellenállni az olyan tevékenységekkel szemben, amelyek célja, hogy veszélyeztessék az e termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát.

Az európai kiberbiztonsági tanúsítási rendszer annak igazolására szolgál, hogy az érintett IKT-termékeknek, -eljárásoknak és -szolgáltatásoknak a tanúsítás időpontjában nincsenek ismert sebezhetőségeik, és megfelelnek az azzal kapcsolatban meghatározott, esetlegesen európai és nemzetközi szabványokra, műszaki előírásra és IKT műszaki előírásra hivatkozó követelményeknek, hogy teljes éllettartamuk során képesek egy adott biztonsági szinten ellenállni az olyan tevékenységekkel szemben, amelyek célja, hogy veszélyeztessék az e termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát, és megfelelni a meghatározott biztonsági célkitűzéseknek.

Módosítás    162

Rendeletre irányuló javaslat

44 cikk – -1 bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(-1)  A Bizottság az 55a. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogad el e rendeletnek az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogram létrehozása tekintetében történő kiegészítésére vonatkozóan. E felhatalmazáson alapuló jogi aktusok azonosítják az uniós szintű közös intézkedéseket és stratégiai prioritásokat. Az uniós gördülő munkaprogram különösen tartalmazza az azonosított IKT-termékek, -eljárások és -szolgáltatások elsőbbségi listáját, amelyek alkalmasak arra, hogy az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozzanak, valamint egy elemzést arról, hogy a megfelelőségértékelő szervek és a nemzeti tanúsításfelügyeleti hatóságok esetében létezik-e azonos szint a minőség, a know-how és a szakértelem tekintetében, és – szükség esetén – az ilyen szintű egyenértékűség elérését szolgáló intézkedésekre irányuló javaslatot.

 

Az első uniós gördülő munkaprogramot legkésőbb … [e rendelet hatálybalépése után hat hónappal]-ig el kell készíteni, majd ezt követően szükség szerint, de mindenképpen legalább kétévente aktualizálni kell. Az uniós gördülő munkaprogramot a nyilvánosság számára elérhetővé kell tenni.

 

Az uniós gördülő munkaprogram elfogadását vagy aktualizálását megelőzően a Bizottság nyílt, átlátható és inkluzív konzultáció keretében tanácskozik a tagállami tanúsítási csoporttal, az Ügynökséggel, valamint az érdekeltek tanúsítási csoportjával.

Módosítás    163

Rendeletre irányuló javaslat

44 cikk – -1 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(-1a)  Indokolt esetben a Bizottság felkérheti az Ügynökséget egy európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat kidolgozására. A felkérésnek az uniós gördülő munkaprogramon kell alapulnia.

Módosítás    164

Rendeletre irányuló javaslat

44 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az ENISA a Bizottság felkérésére az e rendelet 45., 46. és 47. cikkében meghatározott követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot dolgoz ki. A Bizottságnak a tagállamok vagy az 53. cikk alapján létrehozott európai kiberbiztonsági tanúsítási csoport (a továbbiakban: csoport) tehetnek javaslatot európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat kidolgozására.

(1)  Az európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat tartalmazza a hatályt, a 45. cikkben említett alkalmazandó biztonsági célkitűzéseket, a 47. cikkben említett alkalmazandó elemeket, valamint az adott rendszerre irányuló javaslat hatályba lépésének határidejét. A felkérés kidolgozása során a Bizottság konzultálhat az Ügynökséggel, a tagállami tanúsítási csoporttal és az érdekeltek tanúsítási csoportjával.

Módosítás    165

Rendeletre irányuló javaslat

44 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az e cikk (1) bekezdésében említett rendszerekre irányuló javaslatok kidolgozása során az ENISA valamennyi érdekelt féllel konzultál, és szorosan együttműködik a csoporttal. A csoport biztosítja az ENISA számára a rendszerre irányuló javaslat kidolgozásához szükséges segítséget és szakértői tanácsadást, többek között azáltal, hogy szükség esetén véleményeket ad ki.

(2)  A (-1) (új) bekezdésben említett rendszerekre irányuló javaslatok kidolgozása során az Ügynökség hivatalos, nyitott, átlátható és inkluzív konzultációs folyamatok útján valamennyi érdekelt féllel konzultál, és szorosan együttműködik a tagállami tanúsítási csoporttal, az érdekeltek tanúsítási csoportjával, az e rendelet 20a. cikke szerinti eseti bizottságokkal, valamint az európai szabványügyi szervekkel. Ezek biztosítják az Ügynökség számára a rendszerre irányuló javaslat kidolgozásához szükséges segítséget és szakértői tanácsadást, többek között azáltal, hogy szükség esetén véleményeket adnak ki.

Módosítás    166

Rendeletre irányuló javaslat

44 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Az ENISA az e cikk (2) bekezdésével összhangban kidolgozott európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot benyújtja a Bizottságnak.

(3)  Az Ügynökség az e cikk (1) és (2) bekezdésével összhangban kidolgozott rendszerre irányuló javaslatot benyújtja a Bizottságnak.

Módosítás    167

Rendeletre irányuló javaslat

44 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  A Bizottság az ENISA által javasolt rendszer alapján az 55. cikk (1) bekezdésének megfelelően végrehajtási jogi aktusokat fogadhat el, amelyekben az IKT-termékekre és -szolgáltatásokra vonatkozó, az e rendelet 45., 46. és 47. cikkében foglalt követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerekről rendelkezik.

(4)  A Bizottság az Ügynökség által javasolt rendszer alapján az 55acikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadhat el e rendeletnek az IKT-termékekre, -eljárásokra és -szolgáltatásokra vonatkozó, a 45., 46. és 47. cikkben foglalt követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerekről szóló rendelkezésekkel történő kiegészítésére céljából.

Módosítás    168

Rendeletre irányuló javaslat

44 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az ENISA külön honlapot tart fenn, amelyen tájékoztatást nyújt az európai kiberbiztonsági tanúsítási rendszerekről, és népszerűsíti azokat.

(5)  Az Ügynökség külön honlapot tart fenn, amelyen tájékoztatást nyújt az európai kiberbiztonsági tanúsítási rendszerekről – beleértve az érintett visszavont és lejárt tanúsítványokat és nemzeti tanúsítványokat is –, és népszerűsíti azokat.

 

Amennyiben valamely európai kiberbiztonsági tanúsítási rendszer a vonatkozó uniós harmonizációs jogszabállyal összhangban megfelel azon követelményeknek, amelyeknek teljesítésére irányul, az erre való hivatkozást a Bizottság haladéktalanul közzéteszi az Európai Unió Hivatalos Lapjában vagy az uniós harmonizációs szabályozás vonatkozó jogi aktusában meghatározott feltételeknek megfelelő bármely más módon.

Módosítás    169

Rendeletre irányuló javaslat

44 cikk – 5 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  Az Ügynökség az e rendelet értelmében létrehozott struktúrának megfelelően érvényességük 47. cikk (1) bekezdésének ac) pontja szerinti lejártakor vagy a Bizottság megkeresésére felülvizsgálja az elfogadott rendszereket, figyelembe véve az érintett érdekelt felektől kapott visszajelzéseket.

Módosítás    170

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

Az európai kiberbiztonsági tanúsítási rendszereket úgy kell kialakítani, hogy értelemszerűen figyelembe vegyék az alábbi biztonsági célkitűzéseket:

Az európai kiberbiztonsági tanúsítási rendszereket úgy kell kialakítani, hogy értelemszerűen figyelembe vegyék azokat a biztonsági célkitűzéseket, amelyek:

Módosítás    171

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  a tárolt, továbbított vagy egyéb módon feldolgozott adatok védelme a véletlen vagy illetéktelen tárolással, feldolgozással, hozzáféréssel és nyilvánosságra hozatallal szemben;

a)  biztosítják a szolgáltatások, funkciók és adatok titkosságát, sértetlenségét, hozzáférhetőségét és adatvédelmét;

Módosítás    172

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  a tárolt, továbbított vagy egyéb módon feldolgozott adatok védelme a véletlen vagy illetéktelen megsemmisítéssel, véletlen elvesztéssel és módosítással szemben;

b)  biztosítják, hogy a szolgáltatásokat, funkciókat és adatokat kizárólag engedéllyel rendelkező személyek és/vagy engedéllyel rendelkező rendszerek vagy programok érhessék el és használhassák;

Módosítás    173

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  annak biztosítása, hogy az arra engedéllyel rendelkező személyek, programok vagy gépek kizárólag a hozzáférési jogaik tárgyát képező adatokhoz, szolgáltatásokhoz vagy funkciókhoz férhessenek hozzá;

c)  biztosítják az IKT-termékekben, -eljárásokban és -szolgáltatásokban található valamennyi függőség és sebezhetőség azonosítására és dokumentálására szolgáló eljárás meglétét;

Módosítás    174

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  annak rögzítése, hogy ki mikor mely adatokat, funkciókat és szolgáltatásokat továbbította;

d)  biztosítják, hogy az IKT-termékek, -folyamatok és -szolgáltatások ne tartalmazzanak ismert sebezhetőségeket;

Módosítás    175

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  annak lehetővé tétele, hogy ellenőrizni lehessen, ki mikor mely adatokhoz, szolgáltatásokhoz vagy funkciókhoz fért hozzá, illetve mely adatokat, szolgáltatásokat vagy funkciókat használta fel;

e)  biztosítják az IKT-termékekben, -eljárásokban és -szolgáltatásokban újonnan feltárt sebezhetőségek kezelésére szolgáló eljárás meglétét;

Módosítás    176

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – f pont

A Bizottság által javasolt szöveg

Módosítás

f)  fizikai vagy műszaki biztonsági esemény bekövetkeztekor az adatok, szolgáltatások és funkciók elérhetőségének, illetve az adatokhoz, a szolgáltatásokhoz és a funkciókhoz való hozzáférésnek mihamarabbi helyreállítása;

f)  biztosítják az IKT-termékek, -eljárások és -szolgáltatások alapértelmezett és beépített biztonságos voltát;

Módosítás    177

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  annak biztosítása, hogy az IKT-termékek és -szolgáltatások szoftvere naprakész legyen, ne legyenek ismert sebezhetőségei, és szoftvereik frissítésére biztonságos mechanizmusok álljanak rendelkezésre.

g)  biztosítják, hogy az IKT-termékek és -szolgáltatások szoftvere naprakész legyen, ne legyenek ismert sebezhetőségei, és szoftvereik frissítésére biztonságos mechanizmusok álljanak rendelkezésre.

Módosítás    178

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – g a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ga)  biztosítják a kiberbiztonsági eseményekhez kapcsolódó egyéb kockázatok, például az emberéletet, egészséget, környezetet és más jelentős jogi érdeket sértő kockázatok minimalizálását.

Módosítás    179

Rendeletre irányuló javaslat

46 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az európai kiberbiztonsági tanúsítási rendszer az „alapvető”, „jelentős” és/vagy „magas” biztonsági szintek közül egy vagy több szintet határozhat meg az e rendszer keretében kibocsátott IKT-termékek és -szolgáltatások vonatkozásában.

(1)  Az európai kiberbiztonsági tanúsítási rendszer az IKT-termékek, -eljárások és -szolgáltatások hátterének és rendeltetésének megfelelően az „alapvető”, „jelentős” és/vagy „magas” kockázatalapú biztonsági szintek közül egy vagy több szintet határozhat meg az e rendszer keretében kibocsátott IKT-termékek és -szolgáltatások vonatkozásában.

Módosítás    180

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  az „alapvető” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely – a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események kockázatának csökkentése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek korlátozott megbízhatóságot tulajdonít;

a)  az „alapvető” biztonsági szint a valószínűség és a kár szempontjából együttesen alacsony kockázatnak felel meg az IKT-termékekkel, -eljárásokkal és -szolgáltatásokkal kapcsolatban, tekintettel azok hátterére és rendeltetésére. Az „alapvető” biztonsági szint azt a bizalmat fejezi ki, hogy a kiberbiztonsági incidensek ismert alapvető kockázatai kivédhetők.

Módosítás    181

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  a „jelentős” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely – a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események kockázatának jelentős csökkentése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek jelentős mértékű megbízhatóságot tulajdonít;

b)  a „jelentős” biztonsági szint a valószínűség és a kár szempontjából együttesen magasabb kockázatnak felel meg az IKT-termékekkel, -eljárásokkal és -szolgáltatásokkal kapcsolatban, tekintettel azok hátterére és rendeltetésére. A „jelentős” biztonsági szint azt a bizalmat fejezi ki, hogy a kiberbiztonsági incidensek ismert kockázatai megelőzhetők, és rendelkezésre állnak olyan képességek is, amelyek ellenállnak a korlátozott erőforrásokkal indított kibertámadásoknak.

Módosítás    182

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  a „magas” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely – a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események megelőzése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek nagyobb mértékű megbízhatóságot tulajdonít, mint a „jelentős” biztonsági szintet igazoló tanúsítványok.

c)  a „magas” biztonsági szint a valószínűség és a kár szempontjából együttesen magas kockázatnak felel meg az IKT-termékekkel, -eljárásokkal és -szolgáltatásokkal kapcsolatban. A „magas” biztonsági szint azt a bizalmat fejezi ki, hogy a kiberbiztonsági incidensek kockázatai megelőzhetők, és rendelkezésre állnak olyan képességek is, amelyek ellenállnak a jelentős erőforrásokkal indított csúcstechnológiájú kibertámadásoknak.

Módosítás    183

Rendeletre irányuló javaslat

46 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

46a. cikk

 

Az európai kiberbiztonsági tanúsítási rendszerek biztonsági szintjeinek értékelése

 

(1)   Az „alapvető” biztonsági szint esetében az IKT-termékek, -eljárások és -szolgáltatások gyártója vagy szolgáltatója – kizárólagos felelőssége mellett – megfelelőségi önértékelést végezhet.

 

(2)   A „jelentős” biztonsági szint esetében az értékelésnek legalább azt kell ellenőriznie, hogy a termék, eljárás vagy szolgáltatás biztonsági funkciói megfelelnek-e a műszaki dokumentációnak.

 

(3)   A „magas” biztonsági szint esetében az értékelés módszertanát a biztonsági funkcióknak a legalább jelentős erőforrásokkal rendelkező támadókkal szembeni ellenálló képességét értékelő hatékonysági vizsgálat határozza meg.

Módosítás    184

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  a tanúsítás tárgya és hatálya, ideértve az érintett IKT-termékek és -szolgáltatások típusát vagy kategóriáit;

a)  a tanúsítás tárgya és hatálya, ideértve az érintett IKT-termékek, -eljárások és -szolgáltatások típusát vagy kategóriáit;

Módosítás    185

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – a a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

aa)  hatókör és kiberbiztonsági követelmények, továbbá e hatókörnek és követelményeknek adott esetben tükrözniük kell azon nemzeti kiberbiztonsági tanúsítványokat, amelyeknek helyébe lépnek, illetve amelyeket jogi aktusok írnak elő;

Módosítás    186

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – a b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ab)  a tanúsítási rendszer érvényességi ideje;

Módosítás    187

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  azon kiberbiztonsági követelmények részletes leírása, amelyek alapján az adott IKT-termékeket és -szolgáltatásokat értékelik, például az uniós vagy nemzetközi szabványokra vagy műszaki előírásokra való hivatkozással;

b)  azon kiberbiztonsági követelmények részletes leírása, amelyek alapján az adott IKT-termékeket -eljárásokat és -szolgáltatásokat értékelik, például európai vagy nemzetközi szabványokra vagy műszaki előírásokra, illetve IKT műszaki előírásokra való hivatkozással, oly módon definiálva, amely lehetővé teszi a tanúsítás beépítését a gyártó által a kérdéses termék vagy szolgáltatás fejlesztése és élettartama során követett szisztematikus biztonsági eljárásokba, és lehetővé teszi azt is, hogy a tanúsítás ezeken az eljárásokon alapuljon;

Módosítás    188

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ba)  tájékoztatás a tanúsítás hatályán kívüli ismert kiberfenyegetésekkel kapcsolatban és iránymutatás ezek kezeléséhez;

Módosítás    189

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  adott esetben egy vagy több biztonsági szint;

c)  adott esetben egy vagy több biztonsági szint, figyelembe véve többek között egy kockázatalapú megközelítést;

Módosítás    190

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  annak feltüntetése, hogy a megfelelőségi önértékelés megengedett-e az adott rendszerben, illetve a megfelelőségértékelésre vagy önkéntes megfelelőségi nyilatkozatra vagy mindkettőre alkalmazandó eljárás;

Módosítás    191

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  konkrét értékelési kritériumok és módszerek, ideértve az értékelés típusait is, amelyeket a 45. cikkben említett konkrét célkitűzések elérésének bizonyítása érdekében alkalmaznak;

d)  konkrét értékelési kritériumok, a megfelelőségértékelés típusai és módszerek amelyeket a 45. cikkben említett konkrét célkitűzések elérésének bizonyítása érdekében alkalmaznak;

Módosítás    192

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  a kérelmező által a megfelelőségértékelő szervezetek részére benyújtandó, a tanúsításhoz szükséges információk;

e)  a kérelmező által a megfelelőségértékelő szervezetek részére benyújtandó, a tanúsításhoz szükséges információk;

Módosítás    193

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – f pont

A Bizottság által javasolt szöveg

Módosítás

f)  amennyiben a rendszer jelölésekről vagy címkékről rendelkezik, e jelölések vagy címkék használati feltételei;

f)  az e rendelet 47a. cikke szerinti kiberbiztonsági információk;

Módosítás    194

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  amennyiben a felügyelet is a rendszer része, a tanúsítványokban foglalt követelményeknek való megfelelés nyomon követésére vonatkozó szabályok, beleértve a meghatározott kiberbiztonsági követelményeknek való folyamatos megfelelés bizonyítására szolgáló mechanizmusokat;

g)  a tanúsítványokban foglalt követelményeknek való megfelelés nyomon követésére vonatkozó szabályok, beleértve a meghatározott kiberbiztonsági követelményeknek való folyamatos megfelelés bizonyítására szolgáló mechanizmusokat;

Módosítás    195

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – h pont

A Bizottság által javasolt szöveg

Módosítás

h)  a tanúsítás megadására és fenntartására, valamint hatályának kiterjesztésére és csökkentésére vonatkozó feltételek;

h)  a tanúsítvány megadására és fenntartására, megújítására, felülvizsgálatára, valamint hatályának és érvényességi idejének kiterjesztésére és csökkentésére vonatkozó feltételek;

Módosítás    196

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – h a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ha)  a tanúsítás kibocsátását követően esetlegesen felmerülő sebezhetőségek kezelését célzó szabályok, a szolgáltatókat és a felhasználókat is bevonó dinamikus és folyamatos szervezeti folyamat létrehozásával;

Módosítás    197

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – i pont

A Bizottság által javasolt szöveg

Módosítás

i)  az arra vonatkozó szabályok, ha a tanúsított IKT-termékek és -szolgáltatások nem felelnek meg a tanúsítási követelményeknek;

i)  az arra vonatkozó szabályok, ha az önértékelés keretében ellenőrzött és a tanúsított IKT-termékek és -szolgáltatások nem felelnek meg a tanúsítási követelményeknek;

Módosítás    198

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – j pont

A Bizottság által javasolt szöveg

Módosítás

j)  az IKT-termékek és -szolgáltatások terén korábban nem észlelt kiberbiztonsági sebezhetőségek jelentésére és kezelésére vonatkozó szabályok;

j)  az IKT-termékek és -szolgáltatások terén a nyilvánosság előtt nem ismert kiberbiztonsági sebezhetőségek észlelés utáni jelentésére és kezelésére vonatkozó szabályok;

Módosítás    199

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – l pont

A Bizottság által javasolt szöveg

Módosítás

l)  az azonos típusú vagy kategóriájú IKT-termékekre és -szolgáltatásokra kiterjedő nemzeti kiberbiztonsági tanúsítási rendszerek azonosítása;

l)  az azonos típusú vagy kategóriájú IKT-termékekre, -eljárásokra és -szolgáltatásokra kiterjedő nemzeti vagy nemzetközi kiberbiztonsági tanúsítási rendszerek, biztonsági követelmények, értékelési kritériumok és módszerek azonosítása;

Módosítás    200

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – m a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ma)  a tanúsítási rendszerek harmadik országokkal való kölcsönös elismerésének feltételei.

Módosítás    201

Rendeletre irányuló javaslat

47 cikk – 1 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(1a)  A frissítéseket tartalmazó karbantartási eljárások nem teszik érvénytelenné a tanúsítást, kivéve, ha a frissítések jelentősen negatív hatást gyakorolnak az IKT-termék, -eljárás vagy -szolgáltatás biztonságára.

Módosítás    202

Rendeletre irányuló javaslat

47 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

47a. cikk

 

Tájékoztatás a tanúsított termékekkel, eljárásokkal és szolgáltatásokkal kapcsolatban

 

(1)   Az ezen irányelv szerinti tanúsítási rendszer hatálya alá tartozó IKT-termékek, -eljárások és -szolgáltatások gyártója elektronikus formátumú vagy papíralapú dokumentumot ad át a végfelhasználónak, amely legalább az alábbi tájékoztatást tartalmazza: a tanúsítványnak az IKT-termék, -eljárás és -szolgáltatás hátterével és rendeltetésével összefüggő biztonsági szintje; azon kockázatok leírása, amelyekkel szemben a tanúsítás rendeltetése szerint védelmet nyújt; ajánlások azzal kapcsolatban, hogy a felhasználók a továbbiakban hogyan erősíthetik a termék, eljárás vagy szolgáltatás kiberbiztonságát, a frissítések gyakorisága és a frissítéseket követő támogatási időszak; adott esetben tájékoztatás arról, hogy a felhasználók miként őrizhetik meg a termék, eljárás vagy szolgáltatás fő szolgáltatásait támadás esetén.

 

(2)   Az (1) bekezdésben említett dokumentumnak a termék, eljárás vagy szolgáltatás teljes élettartama alatt elérhetőnek kell lennie, amíg azt ki nem vonják a piacról, és legalább öt évig.

 

(3)   A Bizottság végrehajtási jogi aktusokat fogad el a dokumentum mintájának megállapítása céljából. A Bizottság felkérheti az Ügynökséget, hogy tegyen javaslatot a dokumentummintára. Ezt a végrehajtási jogi aktust az e rendelet 55. cikkében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Módosítás    203

Rendeletre irányuló javaslat

48 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A 44. cikk alapján elfogadott európai kiberbiztonsági tanúsítási rendszer keretében tanúsított IKT-termékekről és -szolgáltatásokról vélelmezni kell, hogy megfelelnek az e rendszer által támasztott követelményeinek.

(1)  A 44. cikk alapján elfogadott európai kiberbiztonsági tanúsítási rendszer keretében tanúsított IKT-termékekről, -eljárásokról és -szolgáltatásokról vélelmezni kell, hogy megfelelnek az e rendszer által támasztott követelményeinek.

Módosítás    204

Rendeletre irányuló javaslat

48 cikk – 4 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

(4)  A (3) bekezdéstől eltérve, kellően indokolt esetekben egy adott európai kiberbiztonsági tanúsítási rendszer előírhatja, hogy e rendszer keretében csak közjogi szerv adhat ki európai kiberbiztonsági tanúsítványt. Ez a közjogi szerv a következők egyike:

(4)  A (3) bekezdéstől eltérve és kizárólag kellően indokolt esetekben – például nemzetbiztonsági okokból – egy adott európai kiberbiztonsági tanúsítási rendszer előírhatja, hogy e rendszer keretében csak közjogi szerv adhat ki európai kiberbiztonsági tanúsítványt. E közjogi szervnek az e rendelet 51. cikkének (1) bekezdése értelmében akkreditált megfelelőségértékelő szervezetnek kell lennie. Az IKT-termékeiket vagy -szolgáltatásaikat tanúsításra benyújtó természetes vagy jogi személyek az 51. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátják a tanúsítási eljárás lefolytatásához szükséges valamennyi információt.

Módosítás    205

Rendeletre irányuló javaslat

48 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az IKT-termékeiket vagy -szolgáltatásaikat tanúsításra benyújtó természetes vagy jogi személyek az 51. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátják a tanúsítási eljárás lefolytatásához szükséges valamennyi információt.

(5)  Az IKT-termékeiket, -szolgáltatásaikat vagy -eljárásaikat tanúsításra benyújtó természetes vagy jogi személyek az 51. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátják a tanúsítási eljárás lefolytatásához szükséges valamennyi információt, beleértve bármely ismert biztonsági sebezhetőségre vonatkozó információt. A benyújtásra az 51. cikkben említett bármely megfelelőségértékelő szervezetnél sor kerülhet.

Módosítás    206

Rendeletre irányuló javaslat

48 cikk – 6 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(6)  A tanúsítványok legfeljebb hároméves időtartamra szólnak, és azonos feltételek mellett megújíthatók, feltéve, hogy a megfelelő követelmények továbbra is teljesülnek.

(6)  A tanúsítványok legfeljebb az egyes rendszerek által – észszerű élettartamot figyelembe véve – egyedi alapon meghatározott, de öt évnél semmiképpen nem hosszabb időtartamra szólnak, és azonos feltételek mellett megújíthatók, feltéve, hogy a megfelelő követelmények továbbra is teljesülnek.

Indokolás

Ez a módosítás az érvényességi időszak rendeltetéshez való hozzáigazítását lehetővé tevő rugalmasságot biztosít.

Módosítás    207

Rendeletre irányuló javaslat

48 cikk – 7 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az e cikk alapján kiadott európai kiberbiztonsági tanúsítványokat valamennyi tagállamban el kell ismerni.

(7)  Az e cikk alapján kiadott európai kiberbiztonsági tanúsítványokat valamennyi tagállamban el kell ismerni annak igazolásaként, hogy az adott tanúsítvánnyal érintett IKT-termékek és -eljárások, valamint elektronikai fogyasztási cikkek helyi kiberbiztonsági követelményei a 46. cikkben említett konkrét biztonsági szintet figyelembe véve teljesülnek, továbbá nem lehet megkülönböztetést tenni a tanúsítványok között akár a származási tagállam, akár az 51. cikkben említett, kibocsátó megfelelőségértékelő szervezet alapján.

Indokolás

Az uniós kiberbiztonsági tanúsítási rendszerek elismerésének és/vagy megfelelőségének széttagolódását elkerülendő e cikkben hangsúlyozni kell, hogy a tanúsítvány kibocsátási helye nem szolgálhat megkülönböztetés alapjául.

Módosítás    208

Rendeletre irányuló javaslat

48 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

48a. cikk

 

Tanúsítási rendszerek alapvető szolgáltatásokat nyújtó szereplők számára

 

(1)   Az európai kiberbiztonsági tanúsítási rendszerek e cikk (2) bekezdése szerinti elfogadását követően az alapvető szolgáltatásokat nyújtó szereplők az (EU) 2016/1148 irányelv 14. cikke szerinti biztonsági követelmények teljesítése érdekében e tanúsítási rendszerek hatálya alá tartozó termékeket, eljárásokat és szolgáltatásokat használnak.

 

(2)   A Bizottság az (EU) 2016/1148 irányelv 11. cikkében említett együttműködési csoporttal folytatott konzultációt követően [egy évvel e rendelet hatálybalépése után]-ig az 55a. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogad azzal a céllal, hogy kiegészítse e rendeletet azon termékek, eljárások és szolgáltatások kategóriájának felsorolásával, amelyek megfelelnek az alábbi kritériumok mindegyikének:

 

a)  alapvető szolgáltatásokat nyújtó szereplők általi használatra készültek; valamint

 

b)  hibás működésük súlyos zavart okozna az alapvető szolgáltatás nyújtása terén.

 

(3)   A Bizottság szükség esetén az 55a. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogad el e rendeletnek a termékek, eljárások és szolgáltatások e cikk (3) bekezdésében említett kategóriái felsorolásának aktualizálása révén történő módosítása céljából.

 

(4)   Az Bizottság felkéri az Ügynökséget, hogy e rendelet 44. cikkének (-1) bekezdése szerint dolgozzon ki az e cikk (2) és (3) bekezdésében említett termékek, eljárások és szolgáltatások kategóriáinak listájára vonatkozó európai kiberbiztonsági rendszerre irányuló javaslatot. Az ezen európai kiberbiztonsági tanúsítási rendszerek szerint kibocsátott tanúsítványoknak magas biztonsági szintűeknek kell lenniük.

Módosítás    209

Rendeletre irányuló javaslat

48 b cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

48b. cikk

 

Az európai kiberbiztonsági tanúsítási rendszerekkel szembeni hivatalos kifogások

 

(1)  Amennyiben valamely tagállam úgy ítéli meg, hogy egy európai kiberbiztonsági tanúsítási rendszer nem felel meg teljesen azoknak a követelményeknek, amelyeknek teljesítésére irányul, és amelyek a vonatkozó uniós harmonizációs jogszabályban vannak meghatározva, arról részletes indokolással értesíti a Bizottságot. A Bizottság adott esetben a vonatkozó uniós harmonizációs jogszabállyal összhangban felállított bizottsággal vagy az ágazati szakértőkkel más formában folytatott konzultációt követően határoz a következőkről:

 

a)  közzéteszi, nem teszi közzé vagy korlátozásokkal közzéteszi a szóban forgó európai kiberbiztonsági tanúsítási rendszerre vonatkozó hivatkozásokat az Európai Unió Hivatalos Lapjában;

 

b)  fenntartja, korlátozásokkal fenntartja vagy visszavonja a szóban forgó európai kiberbiztonsági tanúsítási rendszerre vonatkozó hivatkozásokat az Európai Unió Hivatalos Lapjában.

 

(2)  A Bizottság honlapján közzéteszi az e cikk (1) bekezdésében említett határozat tárgyát képező európai kiberbiztonsági tanúsítási rendszerekről szóló információkat.

 

(3)  A Bizottság tájékoztatja az Ügynökséget az e cikk (1) bekezdésében említett határozatról, és szükség esetén kéri az érintett európai kiberbiztonsági tanúsítási rendszer felülvizsgálatát.

 

(4)  Az e cikk (1) bekezdésének a) pontjában említett határozatot az e rendelet 55. cikkének (2) bekezdésében említett tanácsadó bizottsági eljárással összhangban kell elfogadni.

 

(5)  Az e cikk (1) bekezdésének b) pontjában említett határozatot az e rendelet 55. cikkének (2a) (új) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

Módosítás    210

Rendeletre irányuló javaslat

49 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A (3) bekezdés sérelme nélkül a nemzeti kiberbiztonsági tanúsítási rendszerek és az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre és -szolgáltatásokra vonatkozó idevágó eljárások a 44. cikk (4) bekezdése alapján elfogadott végrehajtási jogi aktusban meghatározott időponttól kezdve nem keletkeztetnek joghatást. A hatályos nemzeti kiberbiztonsági tanúsítási rendszerek, valamint az európai kiberbiztonsági tanúsítási rendszer hatálya alá nem tartozó IKT-termékekre és -szolgáltatásokra vonatkozó idevágó eljárások azonban továbbra is fennmaradnak.

(1)  A (3) bekezdés sérelme nélkül a nemzeti kiberbiztonsági tanúsítási rendszerek és az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre, -eljárásokra és -szolgáltatásokra vonatkozó idevágó eljárások a 44. cikk (4) bekezdése alapján elfogadott végrehajtási jogi aktusban meghatározott időponttól kezdve nem keletkeztetnek joghatást. A hatályos nemzeti kiberbiztonsági tanúsítási rendszerek, valamint az európai kiberbiztonsági tanúsítási rendszer hatálya alá nem tartozó IKT-termékekre, -eljárásokra és -szolgáltatásokra vonatkozó idevágó eljárások azonban továbbra is fennmaradnak.

Módosítás    211

Rendeletre irányuló javaslat

49 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A tagállamok a valamely hatályos európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre és -szolgáltatásokra vonatkozóan nem vezethetnek be új nemzeti kiberbiztonsági tanúsítási rendszereket.

(2)  A tagállamok a valamely hatályos európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre, -eljárásokra és -szolgáltatásokra vonatkozóan nem vezethetnek be új nemzeti kiberbiztonsági tanúsítási rendszereket.

Módosítás    212

Rendeletre irányuló javaslat

49 cikk – 3 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3a)  A tagállamok tájékoztatják a Bizottságot a nemzeti kiberbiztonsági tanúsítási rendszerek kidolgozására irányuló valamennyi kérelemről, és közlik létrehozásuk indokait.

Módosítás    213

Rendeletre irányuló javaslat

49 cikk – 3 b bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3b)  A tagállamok kérésre legalább elektronikus formában megküldik a nemzeti kiberbiztonsági tanúsítási rendszerek tervezeteit más tagállamoknak, az Ügynökségnek vagy a Bizottságnak.

Módosítás    214

Rendeletre irányuló javaslat

49 cikk – 3 c bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3c)  Az (EU) 2015/1535 sérelme nélkül a tagállamok három hónapon belül megválaszolják vagy megfelelően figyelembe veszik a más tagállamoktól, az Ügynökségtől vagy a Bizottságtól az e cikk (3b) bekezdésében említett tervezettel kapcsolatban érkezett valamennyi észrevételt.

Módosítás    215

Rendeletre irányuló javaslat

49 cikk – 3 d bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3d)  Amennyiben az e cikk (3c) bekezdése értelmében beérkezett észrevételek szerint a tervezett nemzeti kiberbiztonsági tanúsítási rendszer valószínűsíthetően káros hatást gyakorol a belső piacra, a rendszer tervezetének elfogadása előtt az észrevételt kapó tagállam konzultál az Ügynökséggel és a Bizottsággal, és a legmesszebbmenőkig figyelembe veszi azok észrevételeit.

Módosítás    216

Rendeletre irányuló javaslat

50 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  A rendelet hatékony végrehajtása érdekében helyénvaló, hogy ezek a hatóságok – aktív, hatékony, eredményes és biztonságos módon – részt vegyenek az 53. cikk alapján létrehozott európai kiberbiztonsági tanúsítási csoportban.

(5)  A rendelet hatékony végrehajtása érdekében helyénvaló, hogy ezek a hatóságok – aktív, hatékony, eredményes és biztonságos módon – részt vegyenek az 53. cikk alapján létrehozott tagállami tanúsítási csoportban.

Módosítás    217

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  figyelemmel kísérik és biztosítják az e címben meghatározott rendelkezések nemzeti szintű alkalmazását, valamint felügyelik, hogy az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiállított tanúsítványok megfelelnek-e az e címben és a megfelelő európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményeknek;

a)  figyelemmel kísérik és biztosítják az e címben meghatározott rendelkezések nemzeti szintű alkalmazását, és az európai kiberbiztonsági tanúsítási csoport által az 53. cikk (3) bekezdésének da) pontja szerint elfogadott szabályokkal összhangban ellenőrzik:

 

i.   az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiállított tanúsítványok e címben és a megfelelő európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményeknek való megfelelőségét; valamint

 

ii.   az IKT-eljárásokra, -termékekre vagy -szolgáltatásokra vonatkozóan az adott rendszer keretében tett önkéntes megfelelőségi nyilatkozat megfelelőségét;

Módosítás    218

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  figyelemmel kísérik és felügyelik a megfelelőségértékelő szervezetek tevékenységeit e rendelet alkalmazásában, többek között a megfelelőségértékelő szervezetek bejelentésével és az e rendelet 52. cikkében meghatározott idevágó feladatokkal kapcsolatban;

b)  figyelemmel kísérik, felügyelik és legalább kétévente értékelik a megfelelőségértékelő szervezetek tevékenységeit e rendelet alkalmazásában, többek között a megfelelőségértékelő szervezetek bejelentésével és az e rendelet 52. cikkében meghatározott idevágó feladatokkal kapcsolatban;

Módosítás    219

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ba)  ellenőrzéseket hajtanak végre az egyenértékű szabványok Unióban való alkalmazásának biztosítása érdekében, és az eredményekről beszámolnak az Ügynökségnek és a csoportnak;

Indokolás

E módosítás elősegíti, hogy egységes szolgáltatási és minőségi színvonalat alkalmazzanak az EU egészében, és megelőzi a tanúsítási rendszerek közötti válogatás („certification shopping”) lehetőségét.

Módosítás    220

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  kezelik a természetes vagy jogi személyek által az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiadott tanúsítványokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztatják a panaszost a vizsgálat előrehaladásáról és eredményéről;

c)  kezelik a természetes vagy jogi személyek által az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiadott tanúsítványokkal vagy a megfelelőségi önértékelésekkel kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztatják a panaszost a vizsgálat előrehaladásáról és eredményéről;

Módosítás    221

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  beszámolnak az Ügynökségnek és az európai kiberbiztonsági tanúsítási csoportnak az a) pont szerinti ellenőrzések és a b) pont szerinti értékelések eredményeiről;

Módosítás    222

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek;

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal – például a nemzeti adatvédelmi felügyeleti hatóságokkal –, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek, -eljárások és -szolgáltatások nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek;

Módosítás    223

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek;

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal – például a nemzeti adatvédelmi felügyeleti hatósággal –, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy egyes európai informatikai biztonsági tanúsítási rendszerek követelményeinek;

Indokolás

Az európai adatvédelmi biztos véleménye alapján.

Módosítás    224

Rendeletre irányuló javaslat

50 cikk – 7 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  visszavonhatja az e rendeletnek meg nem felelő megfelelőségértékelő szervezetek akkreditációját;

Módosítás    225

Rendeletre irányuló javaslat

50 cikk – 7 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  a nemzeti joggal összhangban visszavonhatja az e rendeletnek vagy az adott európai kiberbiztonsági tanúsítási rendszernek meg nem felelő tanúsítványokat;

e)  a nemzeti joggal összhangban visszavonhatja az e rendeletnek vagy az adott európai kiberbiztonsági tanúsítási rendszernek meg nem felelő tanúsítványokat, és ennek megfelelően értesíti a nemzeti akkreditáló testületeket;

Módosítás    226

Rendeletre irányuló javaslat

50 cikk – 8 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(8)  A nemzeti tanúsításfelügyeleti hatóságok együttműködnek egymással és a Bizottsággal, azaz megosztják egymással az IKT-termékek és -szolgáltatások kiberbiztonságának tanúsításával és az idevágó technikai kérdésekkel kapcsolatos információkat, tapasztalataikat és az e téren bevált módszereket.

(8)  A nemzeti tanúsításfelügyeleti hatóságok együttműködnek egymással és a Bizottsággal, azaz megosztják egymással az IKT-termékek, -eljárások és -szolgáltatások kiberbiztonságának tanúsításával és az idevágó technikai kérdésekkel kapcsolatos információkat, tapasztalataikat és az e téren bevált módszereket.

Módosítás    227

Rendeletre irányuló javaslat

50 cikk – 8 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(8a)  Minden egyes nemzeti tanúsításfelügyeleti hatóságra, valamint az egyes nemzeti tanúsításfelügyeleti hatóságok minden egyes tagjára és alkalmazottjára az uniós vagy a tagállami joggal összhangban hivatali ideje alatt és azt követően szakmai titoktartási kötelezettség vonatkozik a feladataik ellátása vagy hatáskörük gyakorlása során tudomásukra jutott valamennyi bizalmas információval kapcsolatban.

Módosítás    228

Rendeletre irányuló javaslat

50 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

50a. cikk

 

Szakértői értékelés

 

(1)  A nemzeti tanúsításfelügyeleti hatóságoknak az Ügynökség által szervezett szakértői értékelésen kell átesniük azon tevékenységeik tekintetében, amelyeket e rendelet 50. cikke alapján végeznek.

 

(2)   A szakértői értékelést hatékony és átlátható értékelési feltételek és eljárások alapján végzik, különösen a szervezeti és humán erőforrások, valamint az eljárási követelmények, a titoktartás és a panaszok tekintetében. Az értékelés eredményeként hozott határozatok elleni megfelelő fellebbezési eljárásokról rendelkezni kell.

 

(3)   A szakértői értékelés kiterjed a nemzeti tanúsításfelügyeleti hatóságok által bevezetett eljárások értékelésére, különösen a tanúsítványok megfelelőségének ellenőrzésére irányuló eljárásokra, a megfelelőségértékelő szervezetek tevékenységeinek nyomon követésére és felügyeletére szolgáló eljárásokra, a személyzet felkészültségére, az ellenőrzések és az ellenőrzési módszertan helyességére, valamint az eredmények helyességére. A szakértői értékelés azt is vizsgálja, hogy a szóban forgó nemzeti tanúsításfelügyeleti hatóságok rendelkeznek-e a feladataik megfelelő ellátásához szükséges erőforrásokkal az 50. cikk (4) bekezdésében előírtak szerint.

 

(4)   Egy nemzeti tanúsításfelügyeleti hatóság szakértői értékelését két, másik tagállamban működő nemzeti tanúsításfelügyeleti hatóság, valamint a Bizottság végzi, legalább ötévente egyszer. Az Ügynökség részt vehet a szakértői értékelésben, részvételéről pedig kockázatértékelés alapján dönt.

 

(5)   A Bizottság az 55a. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadhat el e rendelet kiegészítése céljából, hogy legalább ötéves időtartamra meghatározza a szakértői értékelések tervét, megállapítva a szakértői értékelő csoport összetételére vonatkozó kritériumokat, a szakértői értékelésnél alkalmazandó módszertant, az értékelések menetrendjét, gyakoriságát és az azokhoz kapcsolódó egyéb feladatokat. A Bizottság az említett felhatalmazáson alapuló jogi aktusok elfogadásakor megfelelően figyelembe veszi a tagállami tanúsítási csoport észrevételeit.

 

(6)   A tagállami tanúsítási csoport megvizsgálja a szakértői értékelés eredményét. Az Ügynökség elkészíti az eredmények összefoglalását, és szükség esetén iránymutatást és bevált gyakorlatot tartalmazó dokumentumokat biztosít, és nyilvánosságra hozza azokat.

Módosítás    229

Rendeletre irányuló javaslat

51 cikk – 1 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(1a)  Magas biztonsági szint esetén a nemzeti tanúsításfelügyeleti hatóságnak az akkreditáción felül be is kell jelentenie a megfelelőségértékelő szervezetet a kiberbiztonság értékelésével kapcsolatos kompetenciája és szakértelme tekintetében. A nemzeti tanúsításfelügyeleti hatóságnak rendszeresen ellenőriznie kell a bejelentett megfelelőségértékelő szervezetek szakértelmét és kompetenciáit.

Indokolás

A magas biztonsági szintek esetében hatékonysági tesztekre van szükség. A hatékonysági teszteket végző megfelelőségértékelő szervezetek szakértelmét és kompetenciáit rendszeresen ellenőrizni kell, többek között a tesztek minőségének biztosítása érdekében.

Módosítás    230

Rendeletre irányuló javaslat

51 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  Ellenőrzéseket kell végezni annak biztosítása érdekében, hogy az Unión belül egyenértékű szabványokat alkalmazzanak, és ezek eredményeiről be kell számolni az Ügynökségnek és a csoportnak.

Módosítás    231

Rendeletre irányuló javaslat

51 cikk – 2 b bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2b)  Ha a gyártó a 48. cikk (3) bekezdésének megfelelően az „önkéntes megfelelőségi nyilatkozatot” választja, a megfelelőségértékelő szervezetek további lépéseket tesznek a gyártó által annak biztosítása érdekében bevezetett belső eljárások ellenőrzésére, hogy a termékei és/vagy szolgáltatásai megfeleljenek az európai kiberbiztonsági tanúsítási rendszer követelményeinek.

Módosítás    232

Rendeletre irányuló javaslat

52 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  A Bizottság végrehajtási jogi aktusok útján meghatározhatja az e cikk (1) bekezdésében említett bejelentésekre vonatkozó feltételeket, formátumokat és eljárásokat. E végrehajtási jogi aktusokat az 55. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(5)  A Bizottság felhatalmazáson alapuló jogi aktusok útján meghatározhatja az e cikk (1) bekezdésében említett bejelentésekre vonatkozó feltételeket, formátumokat és eljárásokat. E felhatalmazáson alapuló jogi aktusokat az 55. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Módosítás    233

Rendeletre irányuló javaslat

53 cikk – cím

A Bizottság által javasolt szöveg

Módosítás

Európai kiberbiztonsági tanúsítási csoport

Tagállami tanúsítási csoport

 

(E módosítás a teljes szövegre vonatkozik. Elfogadása esetén a szövegben mindenütt el kell végezni a szükséges módosításokat.)

Módosítás    234

Rendeletre irányuló javaslat

53 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Létre kell hozni az európai kiberbiztonsági tanúsítási csoportot (a továbbiakban: csoport).

(1)  Létre kell hozni a tagállami tanúsítási csoportot.

Módosítás    235

Rendeletre irányuló javaslat

53 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A csoport nemzeti tanúsításfelügyeleti hatóságokból áll. A hatóságokat a nemzeti tanúsításfelügyeleti hatóságok vezetői vagy más magas rangú képviselői képviselik.

(2)  A tagállami tanúsítási csoport az egyes tagállamok nemzeti tanúsításfelügyeleti hatóságaiból áll. A hatóságokat a nemzeti tanúsításfelügyeleti hatóságok vezetői vagy más magas rangú képviselői képviselik. Az érdekeltek tanúsítási csoportjának tagjai meghívást kaphatnak a csoport üléseire, és részt vehetnek annak munkájában.

Módosítás    236

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

(3)  A csoport a következő feladatokat látja el:

(3)  A tagállami tanúsítási csoport a következő feladatokat látja el:

Módosítás    237

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  segítséget nyújt és tanácsot ad az ENISA-nak, valamint együttműködik vele a rendszerre irányuló javaslat e rendelet 44. cikkének megfelelően történő kidolgozásával kapcsolatban;

b)  segítséget nyújt és tanácsot ad az Ügynökségnek, valamint együttműködik vele a rendszerre irányuló javaslat e rendelet 44. cikkének megfelelően történő kidolgozásával kapcsolatban;

Módosítás    238

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – d a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

da)  ajánlásokat fogad el, amelyekben meghatározza, hogy a nemzeti tanúsításfelügyeleti hatóságok milyen időközönként végezzék a tanúsítványok és a megfelelőségi önértékelések ellenőrzését, valamint ezen ellenőrzések kritériumait, mértékét és hatályát, továbbá közös szabályokat és szabványokat fogad el az 50. cikk (6) bekezdése szerinti beszámolásra vonatkozóan;

Módosítás    239

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  tanulmányozza a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket, és megosztja a kiberbiztonsági tanúsítási rendszerekkel kapcsolatban bevált módszereket;

e)  tanulmányozza a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket, és megosztja a kiberbiztonsági tanúsítási rendszerekkel kapcsolatos információkat és bevált módszereket;

Módosítás    240

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fa)  előmozdítja az európai kiberbiztonsági rendszerek összhangba hozását a nemzetközileg elismert szabványokkal, többek között azáltal, hogy felülvizsgálja a meglévő európai kiberbiztonsági rendszereket, és adott esetben ajánlásokat fogalmaz meg az Ügynökség számára, hogy vegye fel a kapcsolatot a megfelelő nemzetközi szabványügyi szervezetekkel a rendelkezésre álló nemzetközileg elismert szabványok hiányosságainak kezelése céljából.

Módosítás    241

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fb)  szakértői értékelési eljárást hoz létre. Ez az eljárás különös figyelmet fordít a nemzeti tanúsításfelügyeleti hatóságok feladatainak ellátásához szükséges technikai szakértelemre a 48. és az 50. cikkben foglaltak szerint, valamint szükség esetén rendelkezik iránymutatást és bevált gyakorlatot tartalmazó dokumentumok kidolgozásáról, hogy az említett hatóságok megfelelhessenek ennek a rendeletnek.

Módosítás    242

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f c pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fc)  felügyeli a tanúsítványok nyomon követését és karbantartását;

Módosítás    243

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f d pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fd)  figyelembe veszi a rendszerre irányuló javaslat kidolgozása során az érdekelt felekkel a 44. cikknek megfelelően folytatott konzultáció eredményeit;

Módosítás    244

Rendeletre irányuló javaslat

53 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  A csoportban a Bizottság látja el az elnökséget, és a 8. cikk a) pontjának megfelelően az ENISA segítségével biztosítja a titkárságot.

(4)  A tagállami tanúsítási csoportban a Bizottság látja el az elnökséget, és a 8. cikk a) pontjának megfelelően az Ügynökség segítségével biztosítja a titkárságot.

Módosítás    245

Rendeletre irányuló javaslat

53 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

53a. cikk

 

A felügyeleti hatósággal vagy a megfelelőségértékelő szervezettel szembeni hatékony bírósági jogorvoslathoz való jog

 

(1)  Bármely egyéb közigazgatási vagy nem bírósági jogorvoslat sérelme nélkül minden egyes természetes vagy jogi személynek joga van hatékony bírósági jogorvoslathoz:

 

a)  megfelelőségértékelő szervezet vagy nemzeti tanúsításfelügyeleti hatóság őket érintő határozatával szemben, többek között (adott esetben) az adott személy birtokában lévő európai kiberbiztonsági tanúsítvány kiadásával, ki nem adásával vagy elismerésével kapcsolatban; valamint

 

b)  amennyiben valamely nemzeti tanúsításfelügyeleti hatóság nem kezel egy illetékességi körébe tartozó panaszt.

 

(2)  A megfelelőségértékelő szervezet vagy a nemzeti tanúsításfelügyeleti hatóság elleni eljárás azon tagállam bírósága előtt indítható meg, ahol az adott megfelelőségértékelő szervezet vagy nemzeti tanúsításfelügyeleti hatóság székhelye található.

Módosítás    246

Rendeletre irányuló javaslat

55 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

Módosítás    247

Rendeletre irányuló javaslat

55 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

55a. cikk

 

A felhatalmazás gyakorlása

 

(1)   A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

 

(2)   A Bizottság a 44. cikk (1b) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól [az alap-jogiaktus hatálybalépésének időpontja]-tól/-től kezdődő hatállyal.

 

(3)   Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 44. és 48a. cikkben említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

 

(4)   Felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló 2016. április 13-i intézményközi megállapodásban foglalt elveknek megfelelően konzultál az egyes tagállamok által kijelölt szakértőkkel.

 

(5)   A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

 

(6)   A 44. és a 48a. cikk értelmében elfogadott felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő [két hónapon] belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.

Módosítás    248

Rendeletre irányuló javaslat

56 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A Bizottság legkésőbb öt évvel az 58. cikkben említett időpontot követően, majd azt követően ötévenként értékeli az Ügynökség és munkamódszereinek hatását, eredményességét és hatékonyságát, valamint azt is, hogy szükséges-e módosítani az Ügynökség megbízatását, és ha igen, e módosítás milyen pénzügyi vonzatokkal járna. Az értékelésben figyelembe kell venni minden olyan visszajelzést is, amelyet az Ügynökség a tevékenységével kapcsolatban kapott. Amennyiben a Bizottság megítélése szerint az Ügynökség fenntartása a kitűzött célokra, megbízatásra és feladatokra tekintettel a továbbiakban nem indokolt, javasolhatja, hogy módosítsák e rendeletet az Ügynökségre vonatkozó rendelkezések tekintetében.

(1)  A Bizottság legkésőbb két évvel az 58. cikkben említett időpontot követően, majd azt követően kétévente értékeli az Ügynökség és munkamódszereinek hatását, eredményességét és hatékonyságát, valamint azt is, hogy szükséges-e módosítani az Ügynökség megbízatását, és ha igen, e módosítás milyen pénzügyi vonzatokkal járna. Az értékelésben figyelembe kell venni minden olyan visszajelzést is, amelyet az Ügynökség a tevékenységével kapcsolatban kapott. Amennyiben a Bizottság megítélése szerint az Ügynökség fenntartása a kitűzött célokra, megbízatásra és feladatokra tekintettel a továbbiakban nem indokolt, javasolhatja, hogy módosítsák e rendeletet az Ügynökségre vonatkozó rendelkezések tekintetében.

Módosítás    249

Rendeletre irányuló javaslat

56 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az értékelésben ki kell térni arra is, hogy a III. címben foglalt rendelkezéseknek milyen a hatása, eredményessége és hatékonysága az IKT-termékek és -szolgáltatások Unión belüli megfelelő szintű kiberbiztonságának biztosítására és a belső piac működésének javítására vonatkozó célkitűzések tekintetében.

(2)  Az értékelésben ki kell térni arra is, hogy a III. címben foglalt rendelkezéseknek milyen a hatása, eredményessége és hatékonysága az IKT-termékek, eljárások és -szolgáltatások Unión belüli megfelelő szintű kiberbiztonságának biztosítására és a belső piac működésének javítására vonatkozó célkitűzések tekintetében.

Módosítás    250

Rendeletre irányuló javaslat

56 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  Az értékelés megvizsgálja, hogy szükség van-e alapvető kiberbiztonsági követelményekre a belső piachoz való hozzáférés tekintetében olyan termékek, eljárások és szolgáltatások uniós piacra való belépésének megelőzése érdekében, amelyek nem felelnek meg az alapvető kiberbiztonsági követelményeknek.

Módosítás    251

Rendeletre irányuló javaslat

-I melléklet (új)

A Bizottság által javasolt szöveg

Módosítás

 

-I. MELLÉKLET

 

Az uniós kiberbiztonsági tanúsítási keret elindításakor valószínű, hogy a figyelem olyan területekre irányul, amelyeket a kialakuló technológiák jelentette kihívások azonnal érintenek. A dolgok internetének területe különösen fontos, mivel valamennyi fogyasztói és ágazati követelmény érinti. A prioritások alábbi listáját javasoljuk a tanúsítási keretben történő elfogadásra:

 

1. A felhőszolgáltatások nyújtásának tanúsítása.

 

2. A dolgok internetéhez kapcsolódó eszközök tanúsítása, többek között az alábbiaké:

 

a) egyéni szintű eszközök, például intelligens viselhető kiegészítők;

 

b) közösségi szintű eszközök, például intelligens személygépjárművek, intelligens otthonok, egészségügyi eszközök;

 

c) társadalmi szintű eszközök, például intelligens városok és intelligens hálózatok.

 

3. A 4.0 ipar, amelynek olyan intelligens és összekapcsolt kiberfizikai rendszerek a részei, amelyek az ipari műveletek valamennyi szakaszát automatizálják, a tervezéstől és a gyártástól a műveletekig, az ellátási láncig és a szolgáltatások karbantartásáig.

 

4. A mindennapi életben használt technológiák és termékek tanúsítása. Erre példák a hálózati eszközök, például az otthoni internet routerek.

Módosítás    252

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 5 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  Amennyiben egy megfelelőségértékelő szervezet állami szerv vagy intézmény tulajdonában van vagy az utóbbi működteti, a függetlenséget biztosítani, az összeférhetetlenség hiányát pedig dokumentálni kell egyfelől a tanúsításfelügyeleti hatóság, másfelől pedig a megfelelőségértékelő szervezet között.

Módosítás    253

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 8 pont

A Bizottság által javasolt szöveg

Módosítás

8.  A megfelelőségértékelő szervezetnek képesnek kell lennie az e rendelet alapján ráruházott valamennyi megfelelőségértékelési feladat elvégzésére, függetlenül attól, hogy ezeket a feladatokat a megfelelőségértékelő szervezet maga, vagy az ő nevében és felelősségi körében valaki más végzi el.

8.  A megfelelőségértékelő szervezetnek képesnek kell lennie az e rendelet alapján ráruházott valamennyi megfelelőségértékelési feladat elvégzésére, függetlenül attól, hogy ezeket a feladatokat a megfelelőségértékelő szervezet maga, vagy az ő nevében és felelősségi körében valaki más végzi el. Minden alvállalkozást vagy külső személyzettel történő konzultációt megfelelően dokumentálni kell, ezekben közvetítő nem alkalmazható, valamint írásos megállapodást kell készíteni, amely többek között kiterjed a bizalmas ügykezelésre és az összeférhetetlenségre. A kérdéses megfelelőségértékelő szervezet teljes mértékben felelősséget vállal az elvégzett feladatokért.

Módosítás    254

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 12 pont

A Bizottság által javasolt szöveg

Módosítás

12.  Biztosítani kell a megfelelőségértékelő szervezet, annak felső vezetése és az értékelést végző személyzet pártatlanságát.

12.  Biztosítani kell a megfelelőségértékelő szervezet, annak felső vezetése és az értékelést végző személyzet és alvállalkozók pártatlanságát.

Módosítás    255

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 15 pont

A Bizottság által javasolt szöveg

Módosítás

15.  A megfelelőségértékelő szervezet személyzetének minden olyan információ tekintetében, amely e rendelet vagy az e rendeletből fakadó joghatások érvényesülését biztosító nemzeti jogszabályok rendelkezései alapján ellátott feladatainak végrehajtása során jutott birtokába, be kell tartania a szakmai titoktartás követelményeit, kivéve azon tagállamok illetékes hatóságainak viszonylatában, ahol a szervezet a tevékenységét gyakorolja.

15.  A megfelelőségértékelő szervezet és személyzete, valamint egy megfelelőségértékelő szerv bizottságai, leányvállalatai, alvállalkozói és bármely kapcsolódó szervezete vagy külső szervezeteinek személyzete minden olyan információ tekintetében, amely e rendelet vagy az e rendeletből fakadó joghatások érvényesülését biztosító nemzeti jogszabályok rendelkezései alapján ellátott feladatainak végrehajtása során jutott birtokába, megőrzi a bizalmas információkat, és betartja a szakmai titoktartás követelményeit, kivéve, ha a közzétételt az említett személyekre alkalmazandó uniós vagy tagállami jog írja elő, kivéve azon tagállamok illetékes hatóságainak viszonylatában, ahol a szervezet a tevékenységét gyakorolja. A tulajdonjogok védelmét biztosítani kell. A megfelelőségértékelő szervezet dokumentált eljárásokat alkalmaz e 15. szakasz követelményei tekintetében.

Módosítás    256

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 15 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

15a.  A 15. szakasz kivételével e melléklet követelményei semmilyen módon sem zárják ki a technikai információk és a szabályozási iránymutatás megosztását a megfelelőségértékelő szervezet és a tanúsítást kérelmező vagy kérelmezni tervező személy között.

Módosítás    257

Rendeletre irányuló javaslat

I melléklet – 1 bekezdés – 15 b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

15b.  A megfelelőségértékelő szervezeteknek következetes, tisztességes és észszerű feltételek szerint kell működniük, a díjak tekintetében figyelembe véve a 2003/361/EK ajánlásban szereplő meghatározás szerinti kis- és középvállalkozások érdekeit.

  • [1]  HL C 227., 2018.6.28., 86.o.

INDOKOLÁS

Tény, hogy a világméretű digitális forradalom megvetette lábát és terjeszkedik gazdaságainkban, társadalmainkban és kormányzatainkban – minden adatunk sebezhető. Fogyasztók, iparágak, intézmények és demokráciák estek áldozatul a kibertámadásoknak, a számítógépes kémkedésnek és szabotázsnak helyi, nemzeti, európai és globális szinten, és mindannyian tudjuk, hogy ez az elkövetkezendő években jelentős mértékben fokozódni fog.

Eszközök milliárdjai kapcsolódnak az internetre, és egészen új szinten és méretekben kommunikálnak egymással. Ezek az eszközök és a kapcsolódó szolgáltatások javíthatják a polgárok életét és gazdaságainkat. Az emberek és a szervezetek azonban csak akkor lesznek vagy válnak maradéktalanul a digitális világ részei, ha megbíznak a digitális technológiákban. A bizalom megköveteli, hogy a dolgok internetéhez (IoT) kapcsolódó eszközök, eljárások és szolgáltatások biztonságosak és védettek legyenek.

A Bizottság e célok elérése érdekében nyújtotta be a „kiberbiztonsági jogszabályra” irányuló javaslatot. Ez a rendelet fontos része és eszköze az Európai Unió kiberbiztonsági stratégiájának, amelynek célja, hogy meghatározza Európa kiberbiztonsággal kapcsolatos hosszú távú jövőképét, és biztosítsa a digitális technológiák iránti bizalmat. A javaslatot a már hatályban lévő jogszabályokkal összefüggésben kell szemlélni: az EU már felállította az Európai Uniós Hálózat- és Információbiztonsági Ügynökséget (ENISA), és elfogadott egy hálózat- és információbiztonsági irányelvet (kiberbiztonsági irányelv), amelyet a tagállamok most ültetnek át nemzeti jogszabályaikba.

A „kiberbiztonsági jogszabály” két részből áll: az első rész meghatározza az ENISA szerepét és megbízatását az ügynökség megerősítése céljából. A második rész önkéntes keret formájában bevezeti az európai kiberbiztonsági tanúsítási rendszert azzal a céllal, hogy javítsa az összekapcsolt eszközök, valamint digitális termékek és szolgáltatások biztonságát.

Az előadó összességében üdvözli a Bizottság európai kiberbiztonsági jogszabályra irányuló javaslatát, mivel az döntő fontosságú az információbiztonságot és a hálózati rendszereket érintő kockázatok és fenyegetések minimalizálása, valamint a fogyasztók informatikai megoldások iránti bizalmának megalapozása érdekében, különösen a dolgok internete tekintetében. Az előadó határozott meggyőződése, hogy Európa vezető szerepet tölthet be a kiberbiztonság területén. Európa erős ipari alapokkal rendelkezik, így a fogyasztási cikkekkel, ipari alkalmazásokkal és kritikus infrastruktúrákkal kapcsolatos kiberbiztonság javítása érdekében végzett munka a fogyasztók és az ipar érdekeit egyaránt szolgálja.

A Bizottság javaslatának mindkét, az ENISA-val és a tanúsítással foglalkozó része módosításra szorul:

az ENISA tekintetében az előadó véleménye szerint az erős és jól működő ügynökség szempontjából döntő fontosságú a megfelelő keretrendszer meghatározása. Az előadó üdvözli az ENISA megerősített szerepkörét, amely állandó mandátumát és költségvetésének és személyi állományának növelését foglalja magában, ugyanakkor azonban realisztikus megközelítésre van szükség, figyelembe véve, hogy az ENISA által alkalmazott szakértők száma egyes nemzeti tanúsításfelügyeleti hatóságokhoz képest még mindig alacsony. Az ENISA feladatának továbbra is az operatív együttműködésnek a kiberbiztonsági irányelv keretében nyert szakértelem figyelembe vételével történő szervezésének, a tagállami kapacitásépítés további támogatásának és az információforrásként való működésnek kell lennie. Az ENISA-nak továbbá erőteljes szerepet kell játszania – a tagállamokkal és az érintett érdekelt felekkel közösen – az európai kiberbiztonsági rendszerek létrehozásában.

A tanúsítás vonatkozásában az előadó támogatja a javaslat alkalmazási körének világosabbá tételét. Először is, a rendeletnek nem csupán a termékekre és a szolgáltatásokra, de a teljes életciklusra ki kell terjednie. Ennélfogva az eljárásokat is be kell vonni az alkalmazási körbe. Másrészt a tagállami hatásköröket, nevezetesen a közbiztonságot, a honvédelmet, a nemzetbiztonságot és a büntetőjog területét egyértelműen ki kell zárni.

Az európai kiberbiztonsági tanúsítási rendszer tekintetében az előadó javasolja a kockázatalapú megközelítés részletesebb meghatározását az egyenmegoldásokat alkalmazó megközelítés helyett. Az előadó emellett az önkéntes rendszer mellett foglal állást – de csak az „alapvető” és a „jelentős” biztonsági szint esetében. A legmagasabb biztonsági szintű termékek, eljárások és szolgáltatások esetében az előadó szerint a kötelező rendszer a kívánatos. Az „alapvető” biztonsági szintű digitális technológiák tekintetében az előadó emellett az új jogalkotási keret szerinti megközelítéssel való összekapcsolást javasolja. Ez lehetővé teszi az önértékelés olcsóbb és kevésbé terhes rendszerét, amely bizonyítottan jól működött különböző konkrét területeken.

Az előadó véleménye szerint az IKT-termékek, -eljárások és szolgáltatások gyártóit vagy szolgáltatói számára elő kell írni a tanúsítvánnyal kapcsolatos strukturált tájékoztatást tartalmazó kötelező terméknyilatkozat kiadását, amely például feltünteti a frissítések elérhetőségét vagy a tanúsított termékek, eljárás vagy szolgáltatás interoperabilitását. Ez hasznos tájékoztatást nyújtana a fogyasztók számára az eszköz kiválasztása során. Az előadó jobbnak tartja ezt a terméknyilatkozatot a címkézésnél vagy a jelölésnél, ez utóbbiak ugyanis félrevezetőek lehetnek a fogyasztók számára.

Az előadó határozott meggyőződése, hogy a Bizottság által javasolt irányítási struktúra tökéletesítésre szorul annak érdekében, hogy átláthatóbb legyen valamennyi részt vevő érdekelt számára. Az előadó ezért javasolja egy olyan többéves uniós munkaprogram elfogadását, amely azonosítja az uniós szinten megvalósítandó közös fellépéseket, és kijelöli azokat a területeket, amelyeken kiemelt célként létre kell hozni az európai tanúsítási rendszereket, és meghatározza a tagállami értékelési és felügyeleti szervek szakismeretének és szakértelmének ekvivalenciaszintjét. A megerősített irányítás emellett erőteljesebb tagállami és iparági részvételt is jelent a tanúsítási eljárásban: a tagállamok szerepe erősíthető oly módon, hogy a javaslat 53. cikke szerint létrehozott és a nemzeti tanúsításfelügyeleti hatóságokból álló „csoport” egy szintre kerül a Bizottsággal az egyes tanúsítási rendszerek előkészítési folyamatában. A csoportnak kell jóváhagynia az európai rendszerekre irányuló javaslatokat is. Harmadszor, az iparági részvételt is erősíteni kell a tanúsítási eljárásban Ez az érdekeltek állandó csoportja összetételének tisztázásával, valamint eseti tanácsadó csoportok ENISA általi létrehozásával érhető el a tanúsítási eljárásokban az érintett érdekelt felektől és az iparágtól származó további szakértelem és szakismeretek bevonása érdekében. Az előadó véleménye szerint mindezen intézkedések elősegítik a kkv-k sokkal jelentősebb jelenlétét a folyamatban.

Végezetül, az európai tanúsítási rendszerben az új rendszerek kidolgozása során az európai szabványügyi szervezeteknek – mint például a CEN vagy a CENELEC – is erőteljesebben részt kell venniük. Ez lehetővé tenné a meglévő és világszerte elfogadott nemzetközi szabványok érvényesülését.

VÉLEMÉNY a Belső Piaci és Fogyasztóvédelmi Bizottság részéről (22.5.2018)

az Ipari, Kutatási és Energiaügyi Bizottság részére

az ENISA-ról, az Európai Uniós Kiberbiztonsági Ügynökségről, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló európai parlamenti és tanácsi rendeletre („kiberbiztonsági jogszabály”) irányuló javaslatról
(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

A vélemény előadója: (*) Nicola Danti

(*)  Társbizottsági eljárás – az eljárási szabályzat 54. cikke

RÖVID INDOKOLÁS

A digitális korban a kiberbiztonság az Európai Unió gazdasági versenyképességének és biztonságának, valamint szabad és demokratikus társadalmaink és az azokat alátámasztó folyamatok integritásának egyaránt lényeges eleme. A kibertámadásokkal szembeni magas szintű ellenálló képesség biztosítása az egész EU-ban kiemelten fontos a digitális egységes piacba vetett fogyasztói bizalom eléréséhez, valamint az innovatívabb és versenyképesebb Európa további fejlődéséhez.

Az olyan kiberfenyegetések és világszintű kibertámadások, mint például a Wannacry és a Meltdown, kétségkívül egyre súlyosabb problémát jelentenek az egyre inkább digitalizálódott társadalmunkban. Egy 2017 júliusában megjelent Eurobarométer-felmérés szerint a válaszadók 87%-a véli úgy, hogy a kiberbűnözés „fontos kihívás az EU belső biztonsága szempontjából”, többségüket pedig „aggasztja, hogy a kiberbűnözés különböző formáinak áldozatává válhatnak”. Ráadásul 2016 eleje óta világszerte naponta több mint 4000 zsarolóvírus-támadásra került sor, ami 2015 óta 300%-os növekedésnek felel meg, és az uniós vállalatok 80%-át érinti. E tények és megállapítások egyértelműen azt mutatják, hogy az EU-nak ellenállóbbnak és eredményesebbnek kell lennie a kibertámadások elleni küzdelem terén, továbbá bővítenie kell kapacitásait, hogy jobban meg tudja védeni az európai polgárokat, vállalkozásokat és közintézményeket.

A kiberbiztonsági irányelv hatályba lépése után egy évvel az Európai Bizottság az EU kiberbiztonsági stratégiájának tágabb keretében egy olyan rendeletet nyújtott be, amelynek célja, hogy tovább fokozza az EU kibertámadásokkal szembeni ellenálló képességét, továbbá az elrettentést és a védelmet. 2017. szeptember 13-án a Bizottság benyújtotta a kiberbiztonsági jogszabályt, amely két pilléren nyugszik:

(1) az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) állandó és szélesebb körű megbízatása, amelynek célja, hogy segíthesse a tagállamokat a kibertámadások eredményes megelőzésében és az azokra való reagálásban, valamint 2. egy uniós kiberbiztonsági tanúsítási keretrendszer létrehozása, amellyel biztosítható, hogy az IKT-termékek és -szolgáltatások kiberbiztonsági szempontból megfelelőek legyenek.

Általánosságban az előadó üdvözli az Európai Bizottság által javasolt megközelítést, és különösen az uniós szintű kiberbiztonsági tanúsítási rendszerek bevezetését, amelyek célja az IKT-termékek és -szolgáltatások biztonságának fokozása, valamint e kiemelten fontos területen az egységes piac költséges széttagoltságának elkerülése. Bár eleinte a kibertanúsítás önkéntes eszköz lesz, az előadó azt reméli, hogy a kiberbiztonsági tanúsítás uniós keretrendszere és az ehhez kapcsolódó eljárások a polgáraink és a felhasználók bizalmának erősítéséhez, valamint az egységes piacon forgalmazott termékek és szolgáltatások biztonságosságának növeléséhez szükséges eszközzé válnak.

Az előadó továbbá meg van győződve arról, hogy a javaslatot több pontban is tisztázni és javítani kell:

•  Először is a releváns érdekelt feleknek az irányítási rendszer különböző szakaszaiba történő bevonásának növelése az ENISA által javasolt tanúsítási rendszerek előkészítéséhez: az előadó véleménye szerint elengedhetetlen, hogy formálisan is bevonják a legfontosabb érdekelt feleket, például az IKT-iparágakat, fogyasztóvédelmi szervezeteket, kkv-ket, uniós szabványügyi szervezeteket és uniós ágazati ügynökségeket stb., és lehetőséget kell nyújtani számukra, hogy új rendszerekre tegyenek javaslatot, szaktudásukkal segítsék az ENISA-t vagy működjenek együtt az ENISA-val egy javasolt rendszer kidolgozásában.

•  Másodsorban meg kell erősíteni (a nemzeti hatóságokból álló, a Bizottság és az ENISA támogatását élvező) európai kiberbiztonsági tanúsítási csoport koordináló szerepét azon kiegészítő feladatok révén, hogy stratégiai iránymutatást nyújtson és munkaprogramot állítson össze az uniós szinten végrehajtandó közös intézkedések tekintetében a tanúsítás terén, valamint összeállítsa és rendszeresen frissítse az olyan IKT-termékek és -szolgáltatások elsőbbségi listáját, amelyeknél szükségesnek tartja egy európai kiberbiztonsági tanúsítási rendszer létrehozását.

•  Az előadó határozottan úgy véli, hogy el kell kerülnünk az uniós tanúsítványok „vásárlásának” gyakorlatát, amelyre más ágazatokban már volt példa. Az ENISA és a nemzeti tanúsításfelügyeleti hatóságok nyomon követési és felügyeleti rendelkezéseit határozottan meg kell erősíteni annak biztosítása érdekében, hogy az egyik tagállamban kiállított európai tanúsítvány a másik tagállamban kiállított tanúsítvánnyal azonos szabványokat és követelményeket tartalmazzon. Ezért az előadó a következőket javasolja:

(1) az ENISA felügyeleti hatásköreinek megerősítése: a tanúsítási csoporttal közösen az ENISA-nak értékeléseket kell végeznie az uniós tanúsítványok kiállításáért felelős hatóságok által bevezetett eljárásokkal kapcsolatban;

(2) a nemzeti tanúsításfelügyeleti hatóságoknak rendszeres időközönként (legalább kétévente) értékeléseket kell végezniük a megfelelőségértékelő szervezetek által kiállított uniós tanúsítványokkal kapcsolatban;

(3) a csoport által meghatározott közös, kötelező érvényű kritériumok bevezetése, amelyek megállapítják, hogy a nemzeti tanúsításfelügyeleti hatóságoknak milyen mértékben, hatállyal és gyakorisággal kell elvégezniük a 2. pont szerinti értékeléseket.

•  Az előadó véleménye szerint a végfelhasználóknak szánt, tanúsított IKT-termékek és -szolgáltatások esetében egy kötelező uniós megbízhatósági címkét kell bevezetni. Ez a címke segíthetne a kiberbiztonsággal kapcsolatos tudatosság növelésében, a jó kiberbiztonsági háttérrel rendelkező vállalatok számára pedig versenyelőnyt nyújthatna.

•  Az előadó egyetért a Bizottság egységes és összehangolt megközelítésével, de meggyőződése, hogy a megközelítésnek rugalmasabbnak kell lennie, és az univerzális megoldás elvének alkalmazása helyett igazodnia kell az adott termék vagy szolgáltatás sajátos jellemzőihez és sebezhetőségeihez. Ezért az előadó úgy véli, hogy a megbízhatósági szinteket át kell nevezni, és az IKT-termékek és -szolgáltatások rendeltetésének figyelembe vételével kell alkalmazni azokat. Hasonlóképpen a tanúsítvány érvényességi idejét is az adott rendszerre vonatkozóan kell meghatározni.

•  Minden egyes tanúsítási rendszert úgy kell kialakítani, hogy ösztönözzék és bátorítsák az ágazatban érintett valamennyi szereplőt, hogy a termék vagy szolgáltatás életciklusának minden szakaszában dolgozzon ki és fogadjon el biztonsági szabványokat, műszaki szabványokat, továbbá a beépített biztonságra és a beépített adatvédelemre vonatkozó elveket.

MÓDOSÍTÁSOK

A Belső Piaci és Fogyasztóvédelmi Bizottság felkéri az Ipari, Kutatási és Energiaügyi Bizottságot mint illetékes bizottságot, hogy vegye figyelembe az alábbi módosításokat:

Módosítás    1

Rendeletre irányuló javaslat

1 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák sokrétű funkciókat ellátó összetett rendszerek alapjait képezik – idetartozik például a társadalmi tevékenységek elősegítése, a gazdaság olajozott működésének lehetővé tétele olyan meghatározó szektorokban, mint az egészségügy, az energetika, a pénzügy és a közlekedés, valamint a belső piac működésének megkönnyítése.

(1)  A hálózati és információs rendszerek és a távközlési hálózatok és szolgáltatások létfontosságú szerepet töltenek be a társadalom működésében, és a gazdasági növekedés gerincét képezik. Az információs és kommunikációs technológiák (IKT) sokrétű funkciókat ellátó összetett rendszerek alapjait képezik – ide tartozik például a mindennapi társadalmi tevékenységek elősegítése, a gazdaság olajozott működésének lehetővé tétele olyan meghatározó szektorokban, mint az egészségügy, az energetika, a pénzügy és a közlekedés, valamint különösen a belső piac működésének megkönnyítése.

Módosítás    2

Rendeletre irányuló javaslat

2 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, kiberbiztonsági szempontból nem teljesen megbízhatók. A tanúsítás korlátozott használata következtében így sem az intézményi, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek és -szolgáltatások kiberbiztonsági jellemzőiről, ami a digitális megoldásokba vetett bizalom megrendüléséhez vezethet.

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, kiberbiztonsági szempontból nem teljesen megbízhatók. A tanúsítás korlátozott használata következtében így sem az intézményi, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek és -szolgáltatások kiberbiztonsági jellemzőiről, ami a digitális megoldásokba vetett – a digitális egységes piac létrehozásához elengedhetetlen – bizalom megrendüléséhez vezethet.

Módosítás    3

Rendeletre irányuló javaslat

3 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Minél nagyobb méreteket ölt a digitalizálás és a hálózatba rendeződés, annál nagyobbak a kiberbiztonsági kockázatok is, melyek a társadalmat egészében véve sebezhetőbbé teszik a kiberfenyegetésekkel szemben, az egyes felhasználókra leselkedő veszélyeket pedig súlyosbítják, ideértve a kiszolgáltatott helyzetben lévő felhasználókat, például a gyerekeket is. A társadalmat fenyegető kockázatok csökkentése érdekében az uniós kiberbiztonság fokozására irányuló minden lehetséges intézkedést meg kell hozni azért, hogy a hálózati és információs rendszerek, a távközlési hálózatok, valamint a magánszemélyek, a közigazgatási szervek és a vállalkozások (a kkv-ktől a kritikus infrastruktúrák üzemeltetőiig terjedő vállalkozói spektrum) által használt digitális termékek, szolgáltatások és eszközök jobban védve legyenek a kiberfenyegetésekkel szemben.

(3)  Ahogyan egyre nagyobb méreteket ölt a digitalizálás és a hálózatba rendeződés, úgy jelentősen növekednek a kiberbiztonsági kockázatok is, melyek a társadalmat egészében véve sebezhetőbbé teszik a kiberfenyegetésekkel szemben, az egyes felhasználókra leselkedő veszélyeket pedig súlyosbítják, ideértve a kiszolgáltatott helyzetben lévő felhasználókat, például a gyerekeket is. A mesterséges intelligencia és a gépi tanulás átalakító erejét a társadalom széles körben ki fogja használni, de a számítógépes bűnözők is. A társadalmat fenyegető ezen kockázatok csökkentése érdekében minden szükséges intézkedést meg kell hozni a kibertámadásokkal szembeni biztonság fokozására az Unióban azért, hogy a hálózati és információs rendszerek, a távközlési hálózatok, valamint a magánszemélyek, a közigazgatási szervek és a vállalkozások (a kkv-ktől a kritikus infrastruktúrák üzemeltetőiig terjedő vállalkozói spektrum) által használt digitális termékek, szolgáltatások és eszközök jobban védve legyenek a kiberfenyegetésekkel szemben.

Módosítás    4

Rendeletre irányuló javaslat

4 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb és nagyobb biztonságot nyújtó védelmet igényel. Míg a kibertámadások gyakran nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedéseknek és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Továbbá a politika formálói, az ágazat és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

Módosítás    5

Rendeletre irányuló javaslat

5 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Idetartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt a tagállamok, illetve az uniós intézmények, hivatalok és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére. További erőfeszítésekre van szükség annak érdekében is, hogy a magánszemélyek és a vállalkozások jobban tisztában legyenek a kiberbiztonsági kérdésekkel. Emellett a digitális egységes piacba vetett bizalmat is növelni kell azáltal, hogy az IKT-termékek és -szolgáltatások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő tanúsítással, amely valamennyi tagállam piacán, minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít.

(5)  Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Ide tartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt a tagállamok, illetve az uniós intézmények, ügynökségek és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére. További erőfeszítésekre van szükség annak érdekében is, hogy a magánszemélyek és a vállalkozások jobban tisztában legyenek a kiberbiztonsági kérdésekkel. Emellett, mivel a kiberbiztonsági események aláássák a digitális szolgáltatókba és magába a digitális egységes piacba vetett bizalmat – különösen a fogyasztók körében –, a bizalmat növelni kell azáltal, hogy az IKT-termékek és -szolgáltatások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő szabványosított tanúsítással, amely európai vagy nemzetközi szabványokra támaszkodik, és valamennyi tagállam piacán, minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít. Az Unió egészére kiterjedő tanúsítás mellett számos olyan önkéntes intézkedés létezik, amelyet a magánszférának magának kell vállalnia az IKT-termékek és -szolgáltatások biztonságába vetett bizalom erősítéséhez, különös tekintettel a dolgok internetének növekvő elérhetőségére. Például hatékonyabban kell használni a titkosítást és egyéb technológiákat, valamint a sikeres kibertámadások megelőzésére szolgáló technológiákat, például a blokklánc-technológiát a végfelhasználói adatok és kommunikáció biztonságának, valamint az Unióban található hálózati és információs rendszerek általános biztonságának javítása érdekében.

Módosítás    6

Rendeletre irányuló javaslat

5 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5a)  Miközben az IKT-folyamatok, -termékek és -szolgáltatások tanúsítása és megfelelőségük értékelésének más formái fontos szerepet játszanak, a kiberbiztonság javítása sokoldalú megközelítést igényel, amely egyaránt kiterjed az emberekre, a folyamatokra és a technológiákra. Az EU-nak emellett továbbra is erőteljesen hangsúlyoznia kell, illetve elő kell mozdítania más erőfeszítéseket is, beleértve a kiberbiztonsággal kapcsolatos oktatást, képzést és készségfejlesztést; a vállalatok vezetőségi és igazgatósági szintjén végzett tudatosságnövelést; a kiberfenyegetésekre vonatkozó információk önkéntes megosztásának ösztönzését; valamint az EU elmozdulását a reaktívtól a proaktív megközelítés felé a fenyegetések kezelése terén, hangsúlyozva a sikeres kibertámadások megelőzésének fontosságát.

Módosítás    7

Rendeletre irányuló javaslat

7 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései gyanánt az Unió 2016-ban elfogadta az első kiberbiztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv nemzeti képességekre vonatkozó követelményeket határozott meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához.

(7)  Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései keretében az Unió 2016-ban elfogadta az első kiberbiztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv – amelynek sikeressége nagymértékben függ majd a tagállamok általi eredményes végrehajtástól – nemzeti képességekre vonatkozó követelményeket határozott meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához.

Módosítás    8

Rendeletre irányuló javaslat

11 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(11)  Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek kötelékében betöltött kulcsfontosságú szerepének.

(11)  Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági fenyegetésekre és kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek rendszerében betöltött kulcsfontosságú szerepének.

Módosítás    9

Rendeletre irányuló javaslat

28 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(28)  Az Ügynökségnek hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság növeléséhez, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az egyéni felhasználók és szervezetek szintjén azáltal is hozzá kell járulnia a bevált módszerek és megoldások előmozdításához, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket készít abból a célból, hogy útmutatást nyújtson a vállalkozások és a magánszemélyek számára, valamint javítsa a felkészültség és az ellenálló képesség általános szintjét. Emellett a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal folytatott együttműködésben rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, melyek célja a biztonságosabb egyéni online magatartásformák elősegítése, valamint a virtuális térben potenciálisan jelenlévő veszélyek tudatosítása ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat is magában foglaló kiberbűnözést is –, továbbá az alapvető hitelesítési és adatvédelmi tanácsadás nyújtása. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében.

(28)  Az Ügynökségnek hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság növeléséhez, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az Ügynökségnek ezenkívül hozzá kell járulnia a kiberhigiénia bevált módszereinek és megoldásainak előmozdításához is: ez olyan egyszerű, rutinszerű intézkedéseket jelent, amelyeket az egyéni felhasználók és szervezetek tehetnek a kiberfenyegetések kockázatainak minimálisra csökkentése érdekében, mint például a többfaktoros hitelesítés, a javítás, a titkosítás és a hozzáférés-kezelés. Ennek érdekében az Ügynökségnek össze kell gyűjtenie és elemeznie kell a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket és útmutatókat kell készítenie és közzétennie abból a célból, hogy útmutatást nyújtson a vállalkozások és a magánszemélyek számára, valamint javítsa a felkészültség és az ellenálló képesség általános szintjét. Emellett az Ügynökségnek a tagállamokkal és az uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel együttműködve rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, amelyek célja a biztonságosabb egyéni online magatartásformák elősegítése, figyelemfelhívás a virtuális térben potenciálisan jelen lévő fenyegetések elleni védekezési lehetőségekre a kiberbűnözés olyan formáit illetően, mint az adathalászat, a zsarolóvírus-támadások, az eltérítések, a botnetek, a pénzügyi és banki csalások –, továbbá tanácsadás az alapvető többfaktoros hitelesítéssel, a titkosítással, a javítással, a hozzáférés-kezelési elvekkel, az adatvédelemmel és egyéb, a biztonságot és a magánélet védelmét fokozó technológiákkal és anonimizálási eszközökkel kapcsolatban. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával és a szolgáltatások biztonságos használatával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében, uniós szinten előmozdítva a beépített adatvédelmet, illetve a beépített biztonságot, amely kiemelten fontos a csatlakoztatott eszközök biztonságosságának javítása szempontjából, különösen ami a kiszolgáltatott végfelhasználókat, például a gyermekeket illeti. Az Ügynökségnek ösztönöznie kell valamennyi végfelhasználót arra, hogy megtegyék a megfelelő lépéseket a hálózati és információs rendszereik biztonságát érintő incidensek megelőzésére és hatásuk minimalizálására. Partnerségeket kell kialakítani azokkal a tudományos intézményekkel, amelyek kutatási kezdeményezéseket folytatnak a kiberbiztonság területén.

Módosítás    10

Rendeletre irányuló javaslat

35 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat és a szolgáltatókat általános biztonsági előírásaik javítására, hogy minden internetfelhasználó megtehesse a személyes kiberbiztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg a kiberbiztonsági szabványoknak. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások kiberbiztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat és a gyártókat szolgáltatásaik és termékeik biztonságának fokozására – ideértve a kiberbiztonságot is – szólítja fel.

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat és a szolgáltatókat általános biztonsági előírásaik javítására, hogy minden internetfelhasználó megtehesse a személyes kiberbiztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg a kiberbiztonsági szabványoknak. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások kiberbiztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat és a gyártókat termékeik biztonságának fokozására – ideértve a kiberbiztonságot is – szólítja fel. Az ENISA ezeket a figyelmeztetéseket a tanúsítási rendszerekről tájékoztatást nyújtó weboldalon teszi közzé. Az Ügynökségnek útmutatókat kell készítenie az Unióban értékesített vagy onnan exportált informatikai eszközök biztonsági minimumkövetelményeiről. Ezek az útmutatók felszólíthatnák a gyártókat, hogy az eszközökhöz mellékeljenek egy olyan írásos nyilatkozatot, amely igazolja, hogy az eszköz nem tartalmaz semmiféle ismert, kihasználható biztonsági sebezhetőséget rejtő hardver-, szoftver- vagy firmware-elemet, sem megváltoztathatatlan vagy titkosítatlan jelszót vagy hozzáférési kódot, képes megbízható és megfelelően hitelesített biztonsági frissítéseket fogadni, probléma esetén az eladók válaszintézkedései között szerepel a megfelelő jogorvoslati hierarchia biztosítása, továbbá az eladók tájékoztatják a végfelhasználókat arról, mikor szűnik meg az eszköz biztonsági támogatása.

Módosítás    11

Rendeletre irányuló javaslat

36 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(36 a)  A szabványok önkéntes, a piac által vezérelt eszközök, amelyek műszaki követelményeket és útmutatást biztosítanak, továbbá nyílt, átlátható és befogadó folyamat eredményeként alakulnak ki. A szabványok használata elősegíti a termékek és szolgáltatások uniós jognak való megfelelését, továbbá az európai szabványosításról szóló 1025/2012/EU rendelettel összhangban támogatja az európai politikákat. Az Ügynökségnek rendszeresen kell konzultálnia és együttműködnie az európai szabványügyi szervezetekkel, különösen az európai kiberbiztonsági tanúsítási rendszerek előkészítése során.

Módosítás    12

Rendeletre irányuló javaslat

44 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(44)  A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek állandó csoportját. Az érdekeltek állandó csoportjának, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül a legfontosabb a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában megfelelő módon képviselve legyenek.

(44)  A magánszektorral, a fogyasztói szervezetekkel, a tudományos intézményekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek állandó csoportját. Az érdekeltek állandó csoportjának, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekelt feleknek a kiberbiztonsági tanúsítási keretrendszerbe történő megfelelő bevonásának biztosítása érdekében az érdekeltek állandó csoportjának azzal kapcsolatban is tanácsot kell adnia, hogy a jövőbeli európai kiberbiztonsági tanúsítási rendszerek mely IKT-termékekre és -szolgáltatásokra terjedjenek ki, és javaslatokat kell tennie a Bizottságnak, hogy kérje fel az Ügynökséget az ezekkel az IKT-termékekkel és -szolgáltatásokkal kapcsolatos tanúsítási rendszerek előkészítésére, akár saját kezdeményezésére, akár a releváns érdekelt felek javaslatainak benyújtását követően. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül különösen fontos a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában hatékony és méltányos módon képviselve legyenek.

Módosítás    13

Rendeletre irányuló javaslat

46 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(46)  Teljes mértékű autonómiájának és függetlenségének biztosítása érdekében, valamint, hogy további és új, többek között váratlan, sürgős feladatokat is teljesíteni tudjon, az Ügynökség számára elégséges és önálló költségvetést kell biztosítani, melynek bevételei elsősorban az Unió és az Ügynökség munkájában részt vevő harmadik országok hozzájárulásából származnak. Személyzete többségének közvetlenül az Ügynökség megbízatásának operatív végrehajtásával kell foglalkoznia. Lehetőséget kell biztosítani arra, hogy az Ügynökségnek otthont adó tagállam vagy bármely más tagállam az Ügynökség bevételeihez önkéntes alapon hozzájáruljon. Az Unió általános költségvetését terhelő támogatások vonatkozásában továbbra is az uniós költségvetési eljárást kell alkalmazni. Ezenkívül az átláthatóság és az elszámoltathatóság érdekében a Számvevőszéknek ellenőriznie kell az Ügynökség elszámolásait.

(46)  Teljes mértékű autonómiájának és függetlenségének biztosítása érdekében, valamint, hogy további és új, többek között váratlan, sürgős feladatokat is teljesíteni tudjon, az Ügynökség számára elégséges és önálló költségvetést kell biztosítani, melynek bevételei elsősorban az Unió és az Ügynökség munkájában részt vevő harmadik országok hozzájárulásából származnak. Személyzete többségének közvetlenül az Ügynökség megbízatásának operatív végrehajtásával kell foglalkoznia. Lehetőséget kell biztosítani arra, hogy az Ügynökségnek otthont adó tagállam vagy bármely más tagállam az Ügynökség bevételeihez önkéntes alapon hozzájáruljon. Az Unió általános költségvetését terhelő támogatások vonatkozásában továbbra is az uniós költségvetési eljárást kell alkalmazni. Ezenkívül az átláthatóság, az elszámoltathatóság, valamint a kiadások hatékonysága és hasznossága érdekében a Számvevőszéknek ellenőriznie kell az Ügynökség elszámolásait.

Módosítás    14

Rendeletre irányuló javaslat

47 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(47)  A megfelelőségértékelés annak kimutatására szolgáló eljárás, hogy teljesültek-e az adott termékkel, eljárással, szolgáltatással, rendszerrel, személlyel vagy szervezettel kapcsolatban meghatározott követelmények. E rendelet alkalmazásában a tanúsítást a megfelelőségértékelés egy típusának kell tekinteni, amelyet egy-egy termék, eljárás, szolgáltatás, rendszer vagy ezek kombinációjának („IKT-termékek és -szolgáltatások”) kiberbiztonsági jellemzői vonatkozásában a termék gyártójával vagy a szolgáltatóval nem azonos független harmadik fél végez. A tanúsítás önmagában nem garantálja, hogy a tanúsított IKT-termékek és -szolgáltatások kiberbiztonsági szempontból megfelelőek. Inkább olyan eljárásról és technikai módszertanról van szó, amelynek célja annak igazolása, hogy az IKT-termékeket és -szolgáltatásokat bevizsgálták, és azok megfelelnek bizonyos – máshol, például a műszaki szabványokban meghatározott – kiberbiztonsági követelményeknek.

(47)  A megfelelőségértékelés annak kimutatására szolgáló eljárás, hogy teljesültek-e az adott termékkel, folyamattal, szolgáltatással, rendszerrel, személlyel vagy szervezettel kapcsolatban meghatározott követelmények. E rendelet alkalmazásában a tanúsítást a megfelelőségértékelés egy típusának kell tekinteni, amelyet egy-egy termék, folyamat, szolgáltatás, rendszer vagy ezek kombinációjának („IKT-termékek és -szolgáltatások”) kiberbiztonsági jellemzői és a benne foglalt gyakorlatok vonatkozásában független harmadik fél végez vagy önkéntes megfelelőségi nyilatkozat útján biztosítanak. A tanúsítás önmagában nem garantálja, hogy a tanúsított IKT-termékek és -szolgáltatások kiberbiztonsági szempontból megfelelőek, és a végfelhasználót tájékoztatni kell erről. Inkább olyan eljárásról és technikai módszertanról van szó, amelynek célja annak igazolása, hogy az IKT-termékeket és –szolgáltatásokat, valamint az alapjukat képező folyamatokat és rendszereket bevizsgálták, és azok megfelelnek bizonyos – máshol, például a műszaki szabványokban meghatározott – kiberbiztonsági követelményeknek.

Módosítás    15

Rendeletre irányuló javaslat

48 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(48)  A kiberbiztonsági tanúsítás fontos szerepet játszik az IKT-termékek és -szolgáltatások iránti bizalom és azok biztonságosságának növelésében. A digitális egységes piac és különösen az adatközpontú gazdaság és a dolgok internete csak akkor lehet sikeres, ha a felhasználók általában véve bízhatnak abban, hogy az ilyen termékek és szolgáltatások kiberbiztonsági szintje megüt egy bizonyos mértéket. A hálózatba kapcsolt és automatizált járművek, az elektronikus orvostechnikai eszközök, az ipari automatikus vezérlőrendszerek és az intelligens hálózatok olyan ágazatokra példák, amelyekben a tanúsítást már széles körben alkalmazzák vagy a közeljövőben valószínűleg alkalmazni fogják. A kiberbiztonsági irányelv által szabályozott ágazatok szintén olyan ágazatok, amelyekben a kiberbiztonsági tanúsítás kritikus fontosságú.

(48)  Az európai kiberbiztonsági tanúsítás alapvető fontosságú az IKT-termékek és -szolgáltatások iránti bizalom és azok biztonságosságának növeléséhez. A digitális egységes piac és különösen az adatgazdaság és a dolgok internete csak akkor lehet sikeres, ha a felhasználók általában véve bíznak abban, hogy az ilyen termékek és szolgáltatások magas kiberbiztonsági szinttel rendelkeznek. A hálózatba kapcsolt és automatizált járművek, az elektronikus orvostechnikai eszközök, az ipari automatikus vezérlőrendszerek és az intelligens hálózatok olyan ágazatokra példák, amelyekben a tanúsítást már széles körben alkalmazzák vagy a közeljövőben valószínűleg alkalmazni fogják. A kiberbiztonsági irányelv által szabályozott ágazatok szintén olyan ágazatok, amelyekben a kiberbiztonsági tanúsítás kritikus fontosságú.

Módosítás    16

Rendeletre irányuló javaslat

50 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(50)  Jelenleg az IKT-termékek és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti kiberbiztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. A vállalatoknak így működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket és szolgáltatásaikat, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a biztonsági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak.

(50)  Jelenleg az IKT-termékek és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti kiberbiztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. Így előfordul, hogy a vállalatoknak működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket és szolgáltatásaikat, ami növeli azok költségeit, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a kockázatalapú megbízhatósági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak.

Módosítás    17

Rendeletre irányuló javaslat

52 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(52)  A fentiek alapján szükségesnek mutatkozik egy olyan európai kiberbiztonsági tanúsítási keretrendszer létrehozása, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai kiberbiztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymással átfedő nemzeti kiberbiztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. A rendszereknek megkülönböztetésmentesnek kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

(52)  A fentiek alapján közös megközelítést kell elfogadni és egy olyan európai kiberbiztonsági tanúsítási keretrendszert kell létrehozni, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai kiberbiztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Ennek során kiemelten fontos a meglévő nemzeti és nemzetközi rendszerekre, valamint a kölcsönös elismerési rendszerekre, különösen a SOG-IS-re támaszkodni, valamint lehetővé tenni az ilyen rendszerek keretében már működő rendszerekről az új európai keretrendszer szerinti rendszerekre történő zökkenőmentes átállást. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymást átfedő nemzeti kiberbiztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. Amennyiben az európai kiberbiztonsági tanúsítási rendszer egy nemzeti rendszert váltott fel, az európai rendszer alapján kiállított tanúsítványokat érvényesként kell elfogadni azokban az esetekben, amikor nemzeti rendszer szerinti tanúsításra volt szükség. A rendszerek kialakítását a beépített biztonságnak és az (EU) 2016/679 rendeletben említett elveknek kell vezérelniük. Emellett megkülönböztetésmentesnek is kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

Módosítás    18

Rendeletre irányuló javaslat

52 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(52a)  Az európai kiberbiztonsági tanúsítási keretrendszert minden tagállamban egységesen kell létrehozni, elkerülendő a tagállamok közötti költség- vagy követelménykülönbségek miatti „tanúsítvány-vásárlás” gyakorlatát.

Módosítás    19

Rendeletre irányuló javaslat

55 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(55)  Az európai kiberbiztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek és -szolgáltatások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott biztonsági szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék és -szolgáltatás vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az IKT-termékek és -szolgáltatások, valamint a kapcsolódó kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden eshetőségre érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzések egészítenek ki. Az, hogy ezeket a célkitűzéseket egyes IKT-termékek és -szolgáltatások esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszerek szintjén kerül meghatározásra, például szabványokra vagy műszaki előírásokra való hivatkozás révén.

(55)  Az európai kiberbiztonsági tanúsítási rendszerek célja, hogy hozzájáruljanak a végfelhasználók magas szintű védelméhez és az európai versenyképességhez, növeljék a biztonság szintjét a digitális egységes piacon, ezen belül pedig biztosítsák, hogy az ilyen rendszerek keretében tanúsított IKT-termékek és -szolgáltatások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott megbízhatósági szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti folyamatok, termékek, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett folyamatok, termékek, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék és -szolgáltatás vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az IKT-termékek és -szolgáltatások, valamint a kapcsolódó kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden eshetőségre érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzések egészítenek ki. Az, hogy ezeket a célkitűzéseket egyes IKT-termékek és -szolgáltatások esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszerek szintjén kerül meghatározásra, például szabványokra vagy műszaki előírásokra való hivatkozás révén. Rendkívül fontos, hogy minden európai kiberbiztonsági tanúsítási rendszert úgy tervezzenek meg, hogy ösztönözzék és bátorítsák az ágazatban érintett valamennyi szereplőt biztonsági szabványok, műszaki normák és a beépített biztonságra vonatkozó elvek kidolgozására és alkalmazására a termék vagy szolgáltatás életciklusának minden szakaszában. Ha a tanúsítási rendszer jelzéseket vagy címkéket ír elő, meg kell határozni azokat a feltételeket, amelyek mellett az ilyen jelzéseket vagy címkéket fel lehet használni. A címkének, amelynek formátuma lehet digitális logó vagy QR-kód, tartalmaznia kell az IKT-termékek és szolgáltatások üzemeltetéséhez és használatához kapcsolódó kockázatokat, és a végfelhasználó számára egyértelműnek és könnyen érthetőnek kell lennie.

Módosítás    20

Rendeletre irányuló javaslat

55 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(55a)  Az innovációs tendenciák, valamint a dolgok internetéhez tartozó eszközök egyre elérhetőbbé válása és számuk folyamatos növekedése fényében a társadalom valamennyi ágazatában különös figyelmet kell fordítani a dolgok internetéhez tartozó termékek, még a legegyszerűbbek védelmére is. Ezért, mivel a tanúsítás a piacba vetett bizalom növelésének és a biztonság és az ellenálló képesség fokozásának kulcsfontosságú módszere, hangsúlyt kell fektetni a dolgok internetéhez tartozó termékekre és szolgáltatásokra az új uniós kiberbiztonsági tanúsítási keretrendszerben annak érdekében, hogy azok kevésbé sebezhetők legyenek és biztonságosabbá váljanak a fogyasztók és a vállalkozások számára.

Módosítás    21

Rendeletre irányuló javaslat

56 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(56)  A Bizottságot fel kell hatalmazni arra, hogy felkérhesse az ENISA-t meghatározott IKT-termékekkel vagy -szolgáltatásokkal kapcsolatos rendszerekre irányuló javaslatok kidolgozására. A Bizottságnak ezt követően felhatalmazást kell kapnia arra, hogy végrehajtási jogi aktusok útján – az ENISA által javasolt rendszer alapján – elfogadja az európai kiberbiztonsági tanúsítási rendszert. Figyelemmel az e rendelet általános céljára és a benne megállapított biztonsági célkitűzésekre, a Bizottság által elfogadott európai kiberbiztonsági tanúsítási rendszereknek az egyes rendszerek tárgyát, alkalmazási körét és működését érintő bizonyos elemeket meg kell határozniuk. Ezeknek többek között a következőket kell magukban foglalniuk: a kiberbiztonsági tanúsítás hatályát és tárgyát, ideértve a hatálya alá tartozó IKT-termékek és -szolgáltatások kategóriáit, a kiberbiztonsági követelmények részletes leírását, például szabványokra vagy műszaki előírásokra való hivatkozások révén, az egyedi értékelési kritériumokat és értékelési módszereket, valamint a biztonság tervezett szintjét (alapvető, jelentős és/vagy magas).

(56)  Az ENISA-nak egy külön e célra létrehozott weboldalon olyan könnyen kezelhető online eszközt kell biztosítania, amely felsorolja az elfogadott rendszerekről, a javasolt rendszerekről és a Bizottság által kért rendszerekről szóló információkat. Figyelemmel e rendelet általános céljára és az abban megállapított biztonsági célkitűzésekre, a Bizottság által elfogadott európai kiberbiztonsági tanúsítási rendszereknek meg kell határozniuk az egyes rendszerek tárgyát, alkalmazási körét és működését érintő minimálisan szükséges elemeket. Ezeknek többek között a következőket kell magukban foglalniuk: a kiberbiztonsági tanúsítás hatályát és tárgyát, ideértve a hatálya alá tartozó IKT-termékek és -szolgáltatások kategóriáit, a kiberbiztonsági követelmények részletes leírását, például szabványokra vagy műszaki előírásokra való hivatkozások révén, valamely IKT-termék, folyamat vagy szolgáltatás üzemeltetésével és használatával kapcsolatos egyedi értékelési kritériumokat és értékelési módszereket, a bennük rejlő kockázatokat, valamint a biztonság tervezett szintjét: funkcionálisan biztonságos – tehát egy funkcionális biztonsági szintnek megfelelő megbízhatósági szintek –, jelentős mértékben biztonságos, rendkívül biztonságos vagy ezek bármilyen kombinációja. A végfelhasználó megtévesztésének elkerülése érdekében e megbízhatósági szintek nem sugallhatják azt, hogy a termék abszolút biztonságos. Ezenkívül a termék teljes életciklusát figyelembe kell venni. Annak tisztázása érdekében, hogy egy adott terméket vagy szolgáltatást milyen kockázatokkal szemben láttak el védelemmel, az ENISA irányítása alatt egy ellenőrzőlistát kell összeállítani, amely felsorolja azokat a kockázatokat, amelyekkel az adott IKT-folyamat, -termék vagy -szolgáltatás kapcsán a felhasználók egy adott kategóriája egy adott környezetben várhatóan szembesül.

Módosítás    22

Rendeletre irányuló javaslat

56 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56 a)  A Bizottságot fel kell hatalmazni arra, hogy felkérhesse az ENISA-t meghatározott IKT-termékekkel vagy -szolgáltatásokkal kapcsolatos rendszerekre irányuló javaslatok kidolgozására. A Bizottságot fel kell hatalmazni arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el az IKT-termékekkel és -szolgáltatásokkal kapcsolatos európai kiberbiztonsági tanúsítási rendszerek létrehozására vonatkozóan. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásnak megfelelően kerüljön sor. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kap kézhez minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein. A felhatalmazáson alapuló jogi aktusok elfogadásakor a Bizottságnak az IKT-termékekre és -szolgáltatásokra vonatkozó kiberbiztonsági tanúsítási rendszereket az ENISA által javasolt bármely releváns rendszerre kell alapoznia. Ennek célja a kiberbiztonsági tanúsítási keretrendszer iránti bizalom és a rendszer kiszámíthatóságának növelése, illetve a nyilvánossággal való megismertetése.

Módosítás    23

Rendeletre irányuló javaslat

56 b preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(56b)  Az egyes európai kiberbiztonsági tanúsítási rendszerekhez kapcsolódó értékelési módszerek és értékelési eljárások közül uniós szinten támogatni kell az etikus feltörést, amelynek célja az eszközök és az információs rendszerek gyengeségeinek és sebezhetőségeinek felkutatása azáltal, hogy előrejelzi a rosszindulatú hackerek szándékos cselekvéseit és képességeit.

Módosítás    24

Rendeletre irányuló javaslat

58 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(58)  Amint egy európai kiberbiztonsági tanúsítási rendszer elfogadásra kerül, az IKT-termékek gyártói és az IKT-szolgáltatások nyújtói számára lehetővé kell tenni, hogy termékeiket vagy szolgáltatásaikat egy általuk választott megfelelőségértékelő szervezethez tanúsításra benyújtsák. A megfelelőségértékelő szervezeteket egy akkreditáló testületnek akkreditálnia kell, amennyiben azok megfelelnek az e rendeletben meghatározott bizonyos követelményeknek. Az akkreditáció legfeljebb öt évre szól, és azonos feltételek mellett megújítható, feltéve, hogy az adott megfelelőségértékelő szervezet teljesíti a követelményeket. Az akkreditáló testületeknek vissza kell vonniuk a megfelelőségértékelő szervezet akkreditációját, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet által hozott intézkedések megsértik ezt a rendeletet.

(58)  Amint egy európai kiberbiztonsági tanúsítási rendszer elfogadásra kerül, az IKT-termékek gyártói és az IKT-szolgáltatások nyújtói számára lehetővé kell tenni, hogy folyamataikat, termékeiket vagy szolgáltatásaikat egy általuk választott megfelelőségértékelő szervezethez tanúsításra benyújtsák, vagy maguk nyilatkozzanak arról, hogy termékeik vagy szolgáltatásaik megfelelnek a vonatkozó európai kiberbiztonsági tanúsítási rendszernek. A megfelelőségértékelő szervezeteket egy akkreditáló testületnek akkreditálnia kell, amennyiben azok megfelelnek az e rendeletben meghatározott bizonyos követelményeknek. Az akkreditáció legfeljebb öt évre szól, és azonos feltételek mellett megújítható, feltéve, hogy az adott megfelelőségértékelő szervezet teljesíti a követelményeket. Az akkreditáló testületeknek vissza kell vonniuk a megfelelőségértékelő szervezet akkreditációját, amennyiben az akkreditáció feltételei nem, vagy már nem teljesülnek, vagy ha a megfelelőségértékelő szervezet által hozott intézkedések megsértik ezt a rendeletet. Annak érdekében, hogy az akkreditáció az Európai Unión belül egységesen történjen, a nemzeti tanúsításfelügyeleti hatóságoknak szakértői értékelésen kell átesniük a kiberbiztonsági tanúsítás tárgyát képező termékek megfelelőségének ellenőrzési eljárásaival kapcsolatban.

Módosítás    25

Rendeletre irányuló javaslat

59 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(59)  Elő kell írni valamennyi tagállam számára, hogy jelöljön ki egy kiberbiztonsági tanúsításfelügyeleti hatóságot, amely felügyeli, hogy az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek és az általuk kibocsátott tanúsítványok megfelelnek-e rendelet és a vonatkozó kiberbiztonsági tanúsítási rendszerek követelményeinek. A nemzeti tanúsításfelügyeleti hatóságok feladata, hogy kezeljék a természetes vagy jogi személyek által az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek által kiadott tanúsítványokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztassák a panaszost a vizsgálat előrehaladásáról és eredményéről. Ezen túlmenően együtt kell működniük a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy az egyes kiberbiztonsági rendszerek követelményeinek.

(59)  Elő kell írni valamennyi tagállam számára, hogy jelöljön ki egy kiberbiztonsági tanúsításfelügyeleti hatóságot, amely felügyeli, hogy az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek és az általuk kibocsátott tanúsítványok megfelelnek-e rendelet és a vonatkozó kiberbiztonsági tanúsítási rendszerek követelményeinek. A nemzeti tanúsításfelügyeleti hatóságok feladata, hogy kezeljék a természetes vagy jogi személyek által az adott tagállam területén székhellyel rendelkező megfelelőségértékelő szervezetek által kiadott tanúsítványokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztassák a panaszost a vizsgálat előrehaladásáról és eredményéről. Ezen túlmenően együtt kell működniük a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy az egyes kiberbiztonsági rendszerek követelményeinek. Továbbá felügyelniük és ellenőrizniük kell a megfelelőségi nyilatkozatoknak való megfelelést, valamint azt, hogy az európai kiberbiztonsági tanúsítványokat a megfelelőségértékelő testületek az e rendeletben meghatározott követelményeknek megfelelően állítják ki, beleértve az európai kiberbiztonsági tanúsítási csoport által elfogadott szabályokat és a megfelelő európai kiberbiztonsági tanúsítási rendszer követelményeit. A nemzeti tanúsításfelügyeleti hatóságok közötti tényleges együttműködés elengedhetetlen az európai kiberbiztonsági tanúsítási rendszerek megfelelő végrehajtásához és az IKT-termékek és -szolgáltatások kiberbiztonságával kapcsolatos műszaki kérdések szempontjából egyaránt. A Bizottságnak elő kell segítenie az információcserét egy általános elektronikus információtámogató rendszer rendelkezésre bocsátásával, mint például a piacfelügyeleti információcsere-rendszer (ICSMS) és a nem élelmiszer jellegű termékek riasztási rendszere (RAPEX), amelyeket a piacfelügyeleti hatóságok a 765/2008/EK rendelet értelmében már használnak.

Módosítás    26

Rendeletre irányuló javaslat

63 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(63)  A megfelelőségértékelő szervezetek akkreditációjára vonatkozó kritériumok pontosítása érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az Európai Unió működéséről szóló szerződés 290. cikkének megfelelően jogi aktusokat fogadjon el. A Bizottságnak az előkészítő munka során megfelelő konzultációkat kell folytatnia, többek között szakértői szinten. Ezeket a konzultációkat a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban meghatározott elvekkel összhangban kell folytatni. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlamentnek és a Tanácsnak a tagállamok szakértőivel egyidejűleg kell kézhez kapnia minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

törölve

Módosítás    27

Rendeletre irányuló javaslat

65 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(65)  Vizsgálóbizottsági eljárással kell elfogadni azon végrehajtási jogi aktusokat, amelyek az IKT-termékek és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereire és az Ügynökség által végzett vizsgálatok módszertanára vonatkoznak, valamint arra, hogy a nemzeti tanúsításfelügyeleti hatóságok milyen feltételek mellett, milyen formátumban és milyen eljárások útján jelentik be a Bizottságnak az akkreditált megfelelőségértékelő szervezeteket.

(65)  Vizsgálóbizottsági eljárással kell elfogadni azon végrehajtási jogi aktusokat, amelyek az IKT-folyamatok, -termékek és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereire és az Ügynökség által végzett vizsgálatok módszertanára vonatkoznak, valamint arra, hogy a nemzeti tanúsításfelügyeleti hatóságok milyen feltételek mellett, milyen formátumban és milyen eljárások útján jelentik be a Bizottságnak az akkreditált megfelelőségértékelő szervezeteket, figyelembe véve a NANDO (New Approach Notified and Designated Organisations) elektronikus bejelentési eszköz bizonyított eredményességét.

Módosítás    28

Rendeletre irányuló javaslat

66 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(66)  Az Ügynökség működését független értékelésnek kell alávetni. Az értékelés során figyelembe kell venni, hogy az Ügynökség milyen mértékben érte el célkitűzéseit, milyen munkamódszereket használ, és feladatai relevánsak-e. Az értékelésnek ki kell terjednie az európai kiberbiztonsági tanúsítási keretrendszer hatására, eredményességére és hatékonyságára is.

(66)  Az Ügynökség működését független értékelésnek kell alávetni. Az értékelésnek tartalmaznia kell az Ügynökség kiadásainak helyességét és eredményességét, hatékonyságát célkitűzéseik elérésében, valamint a munkamódszerek leírását és a feladatok relevanciáját. Az értékelésnek ki kell terjednie az európai kiberbiztonsági tanúsítási keretrendszer hatására, eredményességére és hatékonyságára is.

Módosítás    29

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 11 pont

A Bizottság által javasolt szöveg

Módosítás

11.  „IKT-termék és -szolgáltatás”: a hálózati és információs rendszerek bármely eleme vagy elemeinek csoportja;

11.  „IKT-folyamat, -termék és -szolgáltatás”: olyan termék, szolgáltatás, folyamat, rendszer vagy ezek kombinációja, amely hálózati és információs rendszerek eleme;

 

(E módosítás a teljes szövegre vonatkozik. Elfogadása esetén a szövegben mindenütt el kell végezni a szükséges módosításokat.)

Módosítás    30

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 11 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

11 a.  „nemzeti tanúsításfelügyeleti hatóság”: valamely tagállam saját területén belül a kiberbiztonsági tanúsítással kapcsolatos nyomon követési, végrehajtási és felügyeleti feladatok elvégzéséért felelős hatóság;

Módosítás    31

Rendeletre irányuló javaslat

2 cikk – 1 bekezdés – 16 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

16 a.  „önkéntes megfelelőségi nyilatkozat": a gyártó nyilatkozata, amely igazolja, hogy IKT-folyamata, -terméke, vagy -szolgáltatása megfelel a meghatározott európai kiberbiztonsági tanúsítási rendszereknek.

Módosítás    32

Rendeletre irányuló javaslat

3 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

1.  Az Ügynökség elvégzi az e rendelet által az Unión belüli magas szintű kiberbiztonsághoz való hozzájárulás érdekében ráruházott feladatokat.

1.  Az Ügynökség elvégzi az e rendelet által az általánosan magas szintű kiberbiztonság eléréséhez való hozzájárulás érdekében ráruházott feladatokat az Unión belüli kibertámadások megelőzése, a belső piac széttagoltságának csökkentése és működésének javítása céljából.

Módosítás    33

Rendeletre irányuló javaslat

4 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Ügynökség fokozza az uniós szintű kiberbiztonsági képességeket annak érdekében, hogy kiegészítse a kiberfenyegetések megelőzése és az azokra való reagálás terén tett tagállami intézkedéseket, különösen a több országot érintő biztonsági események esetében.

(5)  Az Ügynökség hozzájárul az uniós szintű kiberbiztonsági képességek fokozásához annak érdekében, hogy kiegészítse és megerősítse a kiberfenyegetések megelőzése és az azokra való reagálás terén tett tagállami intézkedéseket, különösen a több országot érintő biztonsági események esetében.

Módosítás    34

Rendeletre irányuló javaslat

4 cikk – 6 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(6)  Az Ügynökség előmozdítja a tanúsítás használatát, többek között azáltal, hogy e rendelet III. címével összhangban hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek és -szolgáltatások által nyújtott kiberbiztonság szintjét, és megerősítse ezzel a digitális belső piacba vetett bizalmat.

(6)  Az Ügynökség előmozdítja a tanúsítás használatát, elkerülve ugyanakkor az Unióban létező tanúsítási rendszerek közötti koordináció hiánya által okozott szétaprózódást. Az Ügynökség a 43-54. cikkekkel összhangban [III. cím] hozzájárul az uniós szintű kiberbiztonsági tanúsítási keretrendszer létrehozásához és fenntartásához annak érdekében, hogy átláthatóbbá tegye az IKT-termékek és -szolgáltatások által nyújtott kiberbiztonság szintjét, és ezzel megerősítse a digitális egységes piacba vetett bizalmat.

Módosítás    35

Rendeletre irányuló javaslat

4 cikk – 7 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Ügynökség elősegíti, hogy a magánszemélyek és a vállalkozások a kiberbiztonsághoz kapcsolódó kérdésekben nagy mértékben tájékozottak legyenek.

(7)  Az Ügynökség elősegíti, hogy a magánszemélyek, a hatóságok és a vállalkozások a kiberbiztonsághoz kapcsolódó kérdésekben nagymértékben tájékozottak legyenek.

Módosítás    36

Rendeletre irányuló javaslat

5 cikk – 1 bekezdés – 1 pont

A Bizottság által javasolt szöveg

Módosítás

1.  segítségnyújtás és tanácsadás, különösen a kiberbiztonság területére vonatkozó uniós szakpolitika és jogszabályok kidolgozásával és felülvizsgálatával kapcsolatos független vélemények és előkészítő munka révén, de a kiberbiztonsági kérdéseket érintő ágazatspecifikus szakpolitikai és jogi kezdeményezésekkel kapcsolatban is;

1.  segítségnyújtás és tanácsadás a kiberbiztonság területére vonatkozó uniós szakpolitika és jogszabályok, valamint a kiberbiztonsági kérdéseket érintő ágazatspecifikus szakpolitikai és jogi kezdeményezések kidolgozásával és felülvizsgálatával kapcsolatban;

Indokolás

Az Ügynökségnek lehetővé kell tenni, hogy szabadon választhassa meg a feladatai ellátását szolgáló eszközöket.

Módosítás    37

Rendeletre irányuló javaslat

5 cikk – 1 bekezdés – 2 a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

2a.  az (EU) 2016/679 rendeletben létrehozott Európai Adatvédelmi Testület támogatása iránymutatások kidolgozásában, amelyek technikai szinten meghatározzák azokat a feltételeket, amelyek lehetővé teszik az adatkezelők számára a személyes adatok informatikai biztonság céljából történő törvényes felhasználását azzal a céllal, hogy megvédjék infrastruktúrájukat az információs rendszereik elleni támadások felderítése és blokkolása által az alábbiakkal összefüggésben: és iii. a 2002/58/EK irányelv1c;

 

_________________

 

1a Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

 

1b Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

 

1c Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1. o.).

Indokolás

Megfelelő együttműködési mechanizmusok kialakítása.

Módosítás    38

Rendeletre irányuló javaslat

5 cikk – 1 bekezdés – 4 pont – 2 pont

A Bizottság által javasolt szöveg

Módosítás

2.  az elektronikus hírközlés magasabb biztonsági szintjének előmozdítása, többek között szakértelem rendelkezésre bocsátása és tanácsadás révén, valamint a bevált módszerek illetékes hatóságok közötti cseréjének elősegítésével;

2.  az elektronikus hírközlés, az adattárolás és az adatfeldolgozás magasabb biztonsági szintjének előmozdítása, többek között szakértelem rendelkezésre bocsátása és tanácsadás révén, valamint a bevált módszerek illetékes hatóságok közötti cseréjének elősegítésével;

Módosítás    39

Rendeletre irányuló javaslat

6 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

2a.  Az Ügynökség elősegíti egy hosszú távú európai kiberbiztonsági projekt kidolgozását és elindítását a független uniós kiberbiztonsági iparág növekedésének támogatása és a kiberbiztonság valamennyi uniós IKT-fejlesztésbe történő beépítése érdekében.

Indokolás

Az ENISA-nak tanácsot kell adnia a jogalkotóknak azon politikák kidolgozása tekintetében, amelyek lehetővé teszik az EU számára, hogy lépést tartson a harmadik országok informatikai biztonsági iparágaival. A projektnek nagyságrendileg összemérhetőnek kell lennie a légiközlekedési ágazatban korábban megvalósítottakkal (például az Airbus esetében). Ez szükséges egy erősebb, szuverén és megbízható uniós IKT-iparág kialakításához (lásd a Jövőkutatás Osztály (STOA) tanulmányát, PE 614.531).

Módosítás    40

Rendeletre irányuló javaslat

7 cikk – 5 bekezdés – 1 albekezdés

A Bizottság által javasolt szöveg

Módosítás

Két vagy több érintett tagállam kérésére – és kizárólag a jövőbeni biztonsági események megelőzésére vonatkozó tanácsadás céljából – az Ügynökség támogatást nyújt az (EU) 2016/1148 irányelv értelmében jelentős vagy lényeges hatású biztonsági eseményeknek az érintett vállalkozások általi bejelentését követő utólagos technikai vizsgálatához, vagy maga hajtja végre ezt a vizsgálatot. Az Ügynökség az érintett tagállamok egyetértésével a Bizottság kellően indokolt kérésére is végez ilyen vizsgálatot a kettőnél több tagállamot érintő biztonsági események esetében.

Egy vagy több érintett tagállam kérésére – és kizárólag a jövőbeni biztonsági események megelőzésére vonatkozó tanácsadás céljából – az Ügynökség támogatást nyújt az (EU) 2016/1148 irányelv értelmében jelentős vagy lényeges hatású biztonsági eseményeknek az érintett vállalkozások általi bejelentését követő utólagos technikai vizsgálatához, vagy maga hajtja végre ezt a vizsgálatot. Az Ügynökség az érintett tagállamok egyetértésével a Bizottság kellően indokolt kérésére is végez ilyen vizsgálatot a kettőnél több tagállamot érintő biztonsági események esetében.

Módosítás    41

Rendeletre irányuló javaslat

7 cikk – 8 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  a tagállami forrásokból származó jelentések összesítése a közös helyzetismeret kialakításához való hozzájárulás céljából;

a)  a tagállami és nemzetközi forrásokból származó jelentések összesítése a közös helyzetismeret kialakításához való hozzájárulás céljából;

Módosítás    42

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 1 a alpont (új)

A Bizottság által javasolt szöveg

Módosítás

 

1 a.  az európai kiberbiztonsági tanúsítási csoporttal való együttműködésben az 51. cikkben említett megfelelőségértékelő szervezetek által bevezetett, az európai kiberbiztonsági tanúsítványok kiállítására irányuló eljárások értékelésének elvégzése annak biztosítása céljából, hogy a megfelelőségértékelő szervezetek a tanúsítványok kiállítása során egységesen alkalmazzák ezt a rendeletet;

Módosítás    43

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 1 b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

1b.  a tanúsított IKT-termékek és -szolgáltatások európai kiberbiztonsági tanúsítási rendszereknek való megfelelésére irányuló független, rendszeres utólagos ellenőrzések végzése;

Módosítás    44

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – a pont – 3 pont

A Bizottság által javasolt szöveg

Módosítás

3.  az IKT-termékek és -szolgáltatások kiberbiztonsági előírásaira vonatkozó iránymutatások összeállítása és közzététele, illetve bevált módszerek kialakítása a nemzeti tanúsításfelügyeleti hatóságokkal és az ágazattal együttműködve;

3.  az IKT-termékek és -szolgáltatások kiberbiztonsági előírásaira vonatkozó iránymutatások összeállítása és közzététele, illetve bevált módszerek kialakítása, beleértve a kiberhigiéniai elveket és a titkos kiskapuk használatától való elrettentést, a nemzeti tanúsításfelügyeleti hatóságokkal és az ágazattal formális, egységes és átlátható folyamat keretében együttműködve;

Módosítás    45

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  előmozdítja a kockázatkezelésre és az IKT-termékek és -szolgáltatások biztonságára vonatkozó európai és nemzetközi szabványok kidolgozását és használatát, valamint a tagállamokkal együttműködésben tanácsot ad és iránymutatásokat készít az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkozó biztonsági követelményekkel kapcsolatos műszaki területekkel, valamint a már hatályos szabványokkal, köztük a tagállamok nemzeti szabványaival kapcsolatban az (EU) 2016/1148 irányelv 19. cikkének (2) bekezdése alapján;

b)  konzultál a nemzetközi szabványügyi testületekkel és az európai szabványügyi szervezetekkel a szabványok kidolgozásáról, hogy biztosítsa az európai kiberbiztonsági tanúsítási rendszerekben használt szabványok megfelelőségét, és előmozdítsa a kockázatkezelésre és az IKT-termékek és -szolgáltatások biztonságára vonatkozó releváns európai és nemzetközi szabványok kidolgozását és használatát, valamint a tagállamokkal együttműködésben tanácsot adjon és iránymutatásokat készítsen az alapvető szolgáltatásokat nyújtó szereplőkre és a digitális szolgáltatókra vonatkozó biztonsági követelményekkel kapcsolatos műszaki területekkel, valamint a már hatályos szabványokkal, köztük a tagállamok nemzeti szabványaival kapcsolatban az (EU) 2016/1148 irányelv 19. cikkének (2) bekezdése alapján;

Módosítás    46

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

b a)  arra vonatkozó iránymutatások készítése, hogy miként és mikor tájékoztassák egymást a tagállamok, amikor tudomást szereznek egy olyan, nyilvánosan nem ismert sebezhetőségről, amely egy, a jelen rendelet III. címével összhangban tanúsított IKT-folyamatban, -termékben vagy -szolgáltatásban található, beleértve a sebezhetőségek bejelentésére vonatkozó politikák koordinálásáról szóló iránymutatásokat;

Módosítás    47

Rendeletre irányuló javaslat

8 cikk – 1 bekezdés – b b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

b b)  iránymutatások készítése az Unióban forgalomban hozott vagy onnan exportált informatikai eszközök biztonsági minimumkövetelményeiről;

Módosítás    48

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  az uniós intézmények, hivatalok és szervek által a kiberbiztonsággal kapcsolatban rendelkezésre bocsátott információkat összegyűjti, strukturálja és a nyilvánosság számára elérhetővé teszi egy külön erre a célra létrehozott portálon;

d)  az uniós intézmények, ügynökségek és szervek által a kiberbiztonsággal, többek között a jelentős kiberbiztonsági eseményekkel és adatvédelmi incidensekkel kapcsolatban rendelkezésre bocsátott információkat összegyűjti, strukturálja és a nyilvánosság számára elérhetővé teszi egy külön erre a célra létrehozott portálon;

Módosítás    49

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  növeli a kiberbiztonsági kockázatokkal kapcsolatos tudatosságot, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást ad a már bevált módszerekkel kapcsolatban;

e)  felhívja a nyilvánosság figyelmét a kiberbiztonsági kockázatokra, a magánszemélyeknek és szervezeteknek címzett felhasználói iránymutatást ad a már bevált módszerekkel kapcsolatban, és előmozdítja az erős, megelőző jellegű informatikai biztonsági intézkedések elfogadását, valamint a megbízható adatvédelmet és a magánélet védelmét;

Módosítás    50

Rendeletre irányuló javaslat

9 cikk – 1 bekezdés – g a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

g a)  támogatja a tagállamok közötti szorosabb együttműködést és a bevált módszerek cseréjét a kiberbiztonság oktatása, a kiberhigiénia és a tudatosság területén;

Módosítás    51

Rendeletre irányuló javaslat

10 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  tanácsokkal látja el az Uniót és a tagállamokat a tekintetben, hogy a kiberbiztonság területén milyen kutatási szükségleteknek és prioritásoknak kell eleget tenni egyrészt ahhoz, hogy hatékonyan lehessen reagálni a jelenlegi és jövőbeli kockázatokra és fenyegetésekre, beleértve az új és kialakulóban lévő információs és kommunikációs technológiákat érintő kockázatokat és fenyegetéseket is, másrészt pedig ahhoz, hogy eredményesen lehessen alkalmazni a kockázatmegelőző technológiákat;

a)  az érintett felhasználói csoportok részére előzetes konzultációt biztosít és tanácsokkal látja el az Uniót és a tagállamokat a tekintetben, hogy a kiberbiztonság területén milyen kutatási szükségleteknek és prioritásoknak kell eleget tenni egyrészt ahhoz, hogy hatékonyan lehessen reagálni a jelenlegi és jövőbeli kockázatokra és fenyegetésekre, beleértve az új és kialakulóban lévő információs és kommunikációs technológiákat, másrészt pedig ahhoz, hogy eredményesen lehessen alkalmazni a kockázatmegelőző technológiákat;

Módosítás    52

Rendeletre irányuló javaslat

13 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az igazgatótanács tagállamonként egy-egy képviselőből és a Bizottság által kijelölt két képviselőből áll. Valamennyi képviselő rendelkezik szavazati joggal.

(1)  Az igazgatótanács tagállamonként egy-egy képviselőből, valamint a Bizottság és az Európai Parlament által kijelölt két képviselőből áll. Valamennyi képviselő rendelkezik szavazati joggal.

Módosítás    53

Rendeletre irányuló javaslat

14 cikk – 1 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  értékeli, majd elfogadja az Ügynökség tevékenységéről szóló összevont éves jelentést, és a következő év július 1-jéig megküldi mind a jelentést, mind az értékelését az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére. Az éves jelentésnek tartalmaznia kell az elszámolásokat, és ismertetnie kell, hogy az Ügynökség teljesítette-e teljesítménymutatóit. Az éves jelentést közzé kell tenni;

e)  értékeli, majd elfogadja az Ügynökség tevékenységéről szóló összevont éves jelentést, és a következő év július 1-jéig megküldi mind a jelentést, mind az értékelését az Európai Parlament, a Tanács, a Bizottság és a Számvevőszék részére. Az éves jelentésnek tartalmaznia kell az elszámolásokat, ismertetnie kell a kiadások hasznosságát, és értékelnie kell, hogy az Ügynökség mennyire volt hatékony és milyen mértékben teljesítette teljesítménymutatóit. Az éves jelentést közzé kell tenni;

Módosítás    54

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – m pont

A Bizottság által javasolt szöveg

Módosítás

m)  e rendelet 33. cikkének megfelelően kinevezi az ügyvezető igazgatót, és adott esetben meghosszabbítja hivatali idejét, vagy felmenti hivatalából;

m)  e rendelet 33. cikkének megfelelően szakmai kiválasztási szempontok alapján kinevezi az ügyvezető igazgatót, és adott esetben meghosszabbítja hivatali idejét, vagy felmenti hivatalából;

Módosítás    55

Rendeletre irányuló javaslat

14 cikk – 1 bekezdés – o pont

A Bizottság által javasolt szöveg

Módosítás

o.  meghozza az Ügynökség belső felépítésének kialakításával és szükség szerint annak módosításával kapcsolatos összes döntést, az Ügynökség tevékenységével kapcsolatos igények és a hatékony és eredményes költségvetési gazdálkodás figyelembevételével;

o.  meghozza az Ügynökség belső felépítésének kialakításával és szükség szerint annak módosításával kapcsolatos összes döntést, az Ügynökség tevékenységével kapcsolatos, e rendeletben felsorolt igények és a hatékony és eredményes költségvetési gazdálkodás figyelembevételével;

Módosítás    56

Rendeletre irányuló javaslat

19 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az ügyvezető igazgató, amennyiben erre felkérést kap, beszámol az Európai Parlamentnek feladatai ellátásáról. A Tanács is felkérheti az ügyvezető igazgatót, hogy számoljon be feladatai ellátásáról.

(2)  Az ügyvezető igazgató felkérésre, illetve évente egyszer jelentést tesz az Európai Parlamentnek feladatai ellátásáról. A Tanács felkérheti az ügyvezető igazgatót, hogy számoljon be feladatai ellátásáról.

Módosítás    57

Rendeletre irányuló javaslat

20 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az igazgatótanács az ügyvezető igazgató javaslatára létrehozza az érdekeltek állandó csoportját, amely egyfelől a releváns érdekelt feleket – IKT-ágazat, a nyilvános elektronikus hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat biztosító vállalkozások, a fogyasztói csoportok és a kiberbiztonság területén tevékenykedő tudományos szakemberek – képviselő elismert szakértőkből, másfelől pedig az [Európai Elektronikus Hírközlési Kódex létrehozásáról szóló] irányelv értelmében bejelentett nemzeti szabályozó hatóságok, valamint a bűnüldöző hatóságok és a magánélet védelmével foglalkozó felügyeleti hatóságok képviselőiből áll.

(1)  Az igazgatótanács az ügyvezető igazgató javaslatára létrehozza az érdekeltek állandó csoportját, amely egyfelől a releváns érdekelt feleket – például az IKT-ágazatot és a nyilvánosan elérhető elektronikus hírközlési hálózatokat vagy szolgáltatásokat nyújtó vállalkozásokat, különösen az európai IKT-ágazatot és -szolgáltatókat, a kis- és középvállalkozások egyesületeit, a fogyasztói csoportokat és egyesületeket, a kiberbiztonság területén tevékenykedő tudományos szakembereket, az 1025/2012/EU rendelet 2. cikkének 8. pontjában meghatározott európai szabványügyi szervezeteket, valamint a vonatkozó uniós ágazati ügynökségeket és szerveket – képviselő elismert szakértőkből, másfelől pedig az [Európai Elektronikus Hírközlési Kódex létrehozásáról szóló irányelv] értelmében bejelentett illetékes hatóságok, továbbá a bűnüldöző hatóságok és az adatvédelmi felügyeleti hatóságok képviselőiből áll.

Módosítás    58

Rendeletre irányuló javaslat

20 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Az érdekeltek állandó csoportja tagjainak hivatali ideje két és fél évre szól. Az érdekeltek állandó csoportjának nem lehetnek olyan tagjai, akik az igazgatótanácsnak is tagjai. Az érdekeltek állandó csoportjának ülésein jelen lehetnek, és munkájában részt vehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az érdekeltek állandó csoportjának üléseire és az e csoport munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek képviselői is meghívhatók, akik nem tagjai az érdekeltek állandó csoportjának.

(4)  Az érdekeltek állandó csoportja tagjainak hivatali ideje két és fél évre szól. Az érdekeltek állandó csoportjának – az ügyvezető igazgató kivételével – nem lehetnek olyan tagjai, akik az igazgatótanácsnak vagy a felügyelőtestületnek is tagjai. Az érdekeltek állandó csoportjának ülésein jelen lehetnek, és munkájában részt vehetnek a Bizottságtól és a tagállamokból érkező szakértők. Az érdekeltek állandó csoportjának üléseire és az e csoport munkájában való részvételre az ügyvezető igazgató által relevánsnak ítélt egyéb szervek képviselői is meghívhatók, akik nem tagjai az érdekeltek állandó csoportjának.

Módosítás    59

Rendeletre irányuló javaslat

20 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az érdekeltek állandó csoportja tanácsadással segíti az Ügynökséget tevékenységeinek ellátásában. A csoport különösen az Ügynökség munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekeltekkel a munkaprogramot érintő valamennyi kérdésről folytatandó párbeszéd biztosításához ad tanácsot az ügyvezető igazgatónak.

(5)  Az érdekeltek állandó csoportja tanácsadással segíti az Ügynökséget tevékenységeinek ellátásában. A csoport különösen az Ügynökség munkaprogramjára vonatkozó javaslat elkészítéséhez és a releváns érdekeltekkel a munkaprogramot érintő valamennyi kérdésről folytatandó párbeszéd biztosításához ad tanácsot az ügyvezető igazgatónak. Azt is javasolhatja, hogy a Bizottság kérje fel az Ügynökséget, hogy a 44. cikknek megfelelően készítse el az európai kiberbiztonsági tanúsítási rendszerek javaslatait, akár saját kezdeményezésére, akár a releváns érdekelt felek javaslatainak benyújtását követően.

Módosítás    60

Rendeletre irányuló javaslat

20 cikk – 5 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(5 a)  Az érdekeltek állandó csoportja tanácsadással segíti az Ügynökséget az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó javaslatok elkészítésében.

Módosítás    61

Rendeletre irányuló javaslat

23 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökség biztosítja, hogy a nyilvánosság és minden érdekelt fél – különösen az Ügynökség munkájának eredményeiről – megfelelő, tárgyilagos, megbízható és könnyen hozzáférhető tájékoztatást kapjon. Az Ügynökség továbbá köteles a nyilvánosság elé tárni a 22. cikkel összhangban tett érdekeltségi nyilatkozatokat.

(2)  Az Ügynökség biztosítja, hogy a nyilvánosság és minden érdekelt fél megfelelő, tárgyilagos, megbízható és könnyen hozzáférhető tájékoztatást kapjon, különösen a vitákról és az Ügynökség munkájának eredményeiről. Az Ügynökség továbbá köteles a nyilvánosság elé tárni a 22. cikkel összhangban tett érdekeltségi nyilatkozatokat.

Indokolás

Az átláthatóságnak kikényszeríthetőnek kell lennie, figyelembe véve a 24. cikk alkalmazását.

Módosítás    62

Rendeletre irányuló javaslat

43 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

Az európai kiberbiztonsági tanúsítási rendszer annak igazolására szolgál, hogy az ilyen rendszernek megfelelően tanúsított IKT-termékek és -szolgáltatások megfelelnek az azzal kapcsolatban meghatározott követelményeknek, hogy képesek egy adott biztonsági szinten ellenállni az olyan tevékenységekkel szemben, amelyek célja, hogy veszélyeztessék az e termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát.

Az európai kiberbiztonsági tanúsítási rendszer létrehozása a digitális egységes piac biztonsági szintjének növelése és az európai tanúsítás uniós szinten összehangolt megközelítésének elfogadása érdekében történik a kibertámadásokkal szemben ellenálló IKT-termékek, -szolgáltatások és -rendszerek biztosítása céljából.

Annak igazolására szolgál, hogy az ilyen rendszernek megfelelően tanúsított IKT-folyamatok, -termékek és -szolgáltatások megfelelnek az azzal kapcsolatban meghatározott közös követelményeknek és tulajdonságoknak, hogy képesek-e egy adott megbízhatósági szinten ellenállni az olyan tevékenységekkel szemben, amelyek célja, hogy veszélyeztessék az e folyamatok, termékek, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett folyamatok, termékek, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát.

Módosítás    63

Rendeletre irányuló javaslat

43 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

43 a. cikk (új)

 

Munkaprogram

 

Az ENISA az európai kiberbiztonsági tanúsítási csoporttal és az érdekeltek állandó csoportjával való egyeztetést, illetve a Bizottság jóváhagyását követően munkaprogramot állít össze, amely részletezi az ezen címben foglaltak egységes alkalmazása érdekében uniós szinten végrehajtandó közös intézkedéseket, és tartalmazza azon IKT-termékek és -szolgáltatások elsőbbségi listáját, amelyeknél szükségesnek tartja egy európai kiberbiztonsági tanúsítási rendszer létrehozását.

 

A munkaprogramnak legkésőbb [e rendelet hatálybalépését követő hat hónappal]-ig el kell készülnie, majd ezt követően kétévente új munkaprogramot kell összeállítani. A munkaprogramot a nyilvánosság számára elérhetővé kell tenni.

Módosítás    64

Rendeletre irányuló javaslat

44 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az ENISA a Bizottság felkérésére az e rendelet 45., 46. és 47. cikkében meghatározott követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot dolgoz ki. A Bizottságnak a tagállamok vagy az 53. cikk alapján létrehozott európai kiberbiztonsági tanúsítási csoport (a továbbiakban: csoport) tehetnek javaslatot európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat kidolgozására.

(1)  Az ENISA a Bizottság felkérésére az e rendelet 45., 46. és 47. cikkében meghatározott követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot dolgoz ki. A Bizottságnak a tagállamok, az 53. cikk alapján létrehozott európai kiberbiztonsági tanúsítási csoport (a továbbiakban: csoport) vagy a 20. cikk alapján létrehozott érdekeltek állandó csoportja tehetnek javaslatot európai kiberbiztonsági tanúsítási rendszerre irányuló javaslat kidolgozására.

Módosítás    65

Rendeletre irányuló javaslat

44 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az e cikk (1) bekezdésében említett rendszerekre irányuló javaslatok kidolgozása során az ENISA valamennyi érdekelt féllel konzultál, és szorosan együttműködik a csoporttal. A csoport biztosítja az ENISA számára a rendszerre irányuló javaslat kidolgozásához szükséges segítséget és szakértői tanácsadást, többek között azáltal, hogy szükség esetén véleményeket ad ki.

(2)  Az e cikk (1) bekezdésében említett rendszerekre irányuló javaslatok kidolgozása során az ENISA egyeztetést folytat az érdekeltek állandó csoportjával, különösen az európai szabványügyi szervezetekkel és minden más releváns érdekelt féllel, a fogyasztói szervezeteket is beleértve, egy formális, egységes és átlátható folyamat keretében, és szorosan együttműködik a csoporttal, figyelembe véve a már létező nemzeti és nemzetközi szabványokat. Az egyes rendszerekre vonatkozó javaslatok kidolgozása során az ENISA ellenőrzőlistát készít a kockázatokról és a kapcsolódó kiberbiztonsági jellemzőkről.

 

A csoport biztosítja az ENISA számára a rendszerre irányuló javaslat kidolgozásához szükséges segítséget és szakértői tanácsadást, többek között azáltal, hogy szükség esetén véleményeket ad ki.

 

Adott esetben, további segítség és tanácsadás céljából az ENISA létrehozhat egy érdekelt felekből álló konzultációs szakértői csoportot is, amely az érdekeltek állandó csoportja tagjaiból és bármely más releváns érdekelt félből áll, akik különleges szakértelemmel rendelkeznek egy adott javasolt rendszer területén.

Módosítás    66

Rendeletre irányuló javaslat

44 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Az ENISA az e cikk (2) bekezdésével összhangban kidolgozott európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot benyújtja a Bizottságnak.

(3)  Az ENISA az e cikk (2) bekezdésével összhangban kidolgozott európai kiberbiztonsági tanúsítási rendszerre irányuló javaslatot benyújtja a Bizottságnak, amely értékeli annak az (1) bekezdésben említett felkérés célkitűzései elérésére való alkalmasságát.

Módosítás    67

Rendeletre irányuló javaslat

44 cikk – 3 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3a)  Az ENISA tiszteletben tartja a szakmai titoktartást az e rendelet szerinti feladatai teljesítése során szerzett valamennyi információ tekintetében.

Módosítás    68

Rendeletre irányuló javaslat

44 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  A Bizottság az ENISA által javasolt rendszer alapján az 55. cikk (1) bekezdésének megfelelően végrehajtási jogi aktusokat fogadhat el, amelyekben az IKT-termékekre és -szolgáltatásokra vonatkozó, az e rendelet 45., 46. és 47. cikkében foglalt követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszerekről rendelkezik.

(4)  A Bizottság az 55acikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadhat el az IKT-termékekre és -szolgáltatásokra vonatkozó, az e rendelet 45., 46. és 47. cikkében foglalt követelményeknek megfelelő európai kiberbiztonsági tanúsítási rendszereket létrehozását illetően. E felhatalmazáson alapuló jogi aktusok elfogadásakor a Bizottság az IKT-termékekre és -szolgáltatásokra vonatkozó kiberbiztonsági tanúsítási rendszereket az ENISA által javasolt bármely releváns rendszerre alapozza. A Bizottság konzultálhat az Európai Adatvédelmi Testülettel és figyelembe veheti véleményét az ilyen felhatalmazáson alapuló jogi aktusok elfogadása előtt.

Módosítás    69

Rendeletre irányuló javaslat

44 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az ENISA külön honlapot tart fenn, amelyen tájékoztatást nyújt az európai kiberbiztonsági tanúsítási rendszerekről, és népszerűsíti azokat.

(5)  Az ENISA külön weboldalt tart fenn, amelyen tájékoztatást nyújt az európai kiberbiztonsági tanúsítási rendszerekről és népszerűsíti azokat, az olyan javasolt rendszerekre vonatkozó információkat is beleértve, amelyek előkészítésére a Bizottság kérte fel az ENISA-t.

Módosítás    70

Rendeletre irányuló javaslat

45 cikk – 1 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

Az európai kiberbiztonsági tanúsítási rendszereket úgy kell kialakítani, hogy értelemszerűen figyelembe vegyék az alábbi biztonsági célkitűzéseket:

Valamennyi európai kiberbiztonsági tanúsítási rendszert úgy kell kialakítani, hogy figyelembe vegyék legalább az alábbi biztonsági célkitűzéseket, amennyiben relevánsak:

Módosítás    71

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  annak biztosítása, hogy az IKT-termékek és -szolgáltatások szoftvere naprakész legyen, ne legyenek ismert sebezhetőségei, és szoftvereik frissítésére biztonságos mechanizmusok álljanak rendelkezésre.

g)  annak biztosítása, hogy az IKT-termékek és -szolgáltatások naprakész szoftvereket és hardvereket tartalmazzanak, amelyeknek nincsenek ismert sebezhetőségeik; annak biztosítása, hogy azokat úgy tervezték és valósították meg, hogy ténylegesen korlátozzák a sebezhetőségüket, továbbá hogy mechanizmusokkal rendelkeznek szoftvereik biztonságos frissítésére, ideértve a hardverkorszerűsítést és az automatikus biztonsági frissítéseket;

Módosítás    72

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – g a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ga)  annak biztosítása, hogy az IKT-termékek és -szolgáltatások fejlesztése és üzemeltetése során a kiberbiztonság és az adatvédelem magas szintje legyen alapértelmezett, összhangban a „beépített biztonság” elvével.

Módosítás    73

Rendeletre irányuló javaslat

46 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az európai kiberbiztonsági tanúsítási rendszer az „alapvető”, „jelentős” és/vagy „magas” biztonsági szintek közül egy vagy több szintet határozhat meg az e rendszer keretében kibocsátott IKT-termékek és -szolgáltatások vonatkozásában.

(1)  Valamennyi európai kiberbiztonsági tanúsítási rendszer egyet vagy többet határozhat meg a következő kockázatalapú megbízhatósági szintek közül: „funkcionálisan biztonságos”; „jelentős mértékben biztonságos” és/vagy „rendkívül biztonságos” az e rendszer keretében kibocsátott IKT-termékek és -szolgáltatások vonatkozásában.

 

Az egyes javasolt európai kiberbiztonsági tanúsítási rendszerek megbízhatósági szintjét a 44. cikk (2) bekezdésében előírt ellenőrzőlistában meghatározott kockázatok alapján, valamint az adott rendszerben tanúsított IKT-termékeket és -szolgáltatásokat érintő ezen kockázatokkal szembeni kiberbiztonsági jellemzők rendelkezésre állása alapján kell azonosítani.

Módosítás    74

Rendeletre irányuló javaslat

46 cikk – 1 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(1 a)  Minden rendszerben fel kell tüntetni az értékelési módszertant vagy az értékelési eljárást, amelyet a tanúsítványok kibocsátásakor követni kell minden egyes megbízhatósági szinten, az adott rendszerben tanúsított IKT-termékek és -szolgáltatások tervezett felhasználásától és a bennük rejlő kockázatoktól függően.

Módosítás    75

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

(2)  Az alapvető, jelentős, illetve magas szintű biztonsági szinteknek értelemszerűen a következő kritériumoknak kell megfelelniük:

(2)  A „funkcionálisan biztonságos”, „jelentős mértékben biztonságos” és/vagy „rendkívül biztonságos” megbízhatósági szinteknek értelemszerűen a következő kritériumoknak kell megfelelniük:

Módosítás    76

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  az „alapvető” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események kockázatának csökkentése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek korlátozott megbízhatóságot tulajdonít;

a)  a „funkcionálisan biztonságos” megbízhatósági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely megfelelő szintű megbízhatóságot garantál az adott IKT-folyamat, -termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőit illetően, és a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozással jellemezhető, amelyek célja a kiberbiztonsági események kockázatának csökkentése;

Módosítás    77

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  a „jelentős” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események kockázatának jelentős csökkentése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek jelentős mértékű megbízhatóságot tulajdonít;

b)  a „jelentős mértékben biztonságos” megbízhatósági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely jelentős szintű megbízhatóságot garantál az adott IKT-folyamat, -termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőit illetően, és a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozással jellemezhető, amelyek célja a kiberbiztonsági események kockázatának jelentős csökkentése;

Módosítás    78

Rendeletre irányuló javaslat

46 cikk – 2 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  a „magas” biztonsági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozva, melyek célja a kiberbiztonsági események megelőzése – az adott IKT-termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőinek nagyobb mértékű megbízhatóságot tulajdonít, mint a „jelentős” biztonsági szintet igazoló tanúsítványok.

c)  a „rendkívül biztonságos” megbízhatósági szint egy európai kiberbiztonsági tanúsítási rendszer keretében kibocsátott olyan tanúsítványra utal, amely a „jelentős mértékben biztonságos” megbízhatósági szintű tanúsítványoknál magasabb szintű megbízhatóságot garantál az adott IKT-folyamat, -termék vagy -szolgáltatás állítólagos vagy igazolt kiberbiztonsági jellemzőit illetően, és a megfelelő műszaki leírásokra, szabványokra és eljárásokra, többek között műszaki ellenőrzésekre hivatkozással jellemezhető, amelyek célja a kiberbiztonsági események megelőzése. Ez különösen vonatkozik az (EU) 2016/1148 irányelv 4. cikkének (4) bekezdésében meghatározott, alapvető szolgáltatásokat nyújtó szereplők általi használatra szánt termékekre és szolgáltatásokra.

Módosítás    79

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

(1)  Az európai kiberbiztonsági tanúsítási rendszerek a következő elemeket tartalmazzák:

(1)  Valamennyi európai kiberbiztonsági tanúsítási rendszer legalább a következő elemeket tartalmazza, adott esetben:

Módosítás    80

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  a tanúsítás tárgya és hatálya, ideértve az érintett IKT-termékek és -szolgáltatások típusát vagy kategóriáit;

a)  a tanúsítási rendszer tárgya és hatálya, ideértve az érintett esetleges konkrét ágazatokat, valamint az érintett IKT-termékek és -szolgáltatások típusát vagy kategóriáit;

Módosítás    81

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  azon kiberbiztonsági követelmények részletes leírása, amelyek alapján az adott IKT-termékeket és -szolgáltatásokat értékelik, például az uniós vagy nemzetközi szabványokra vagy műszaki előírásokra való hivatkozással;

b)  azon kiberbiztonsági követelmények részletes meghatározása, amelyek alapján az adott IKT-termékeket és -szolgáltatásokat értékelik, különösen a nemzetközi, európai vagy nemzeti szabványokra vagy műszaki előírásokra való hivatkozással;

Módosítás    82

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

b a)  részletes specifikáció, ha egy adott tanúsítás csak egy adott termékre vagy egy termékcsaládra alkalmazható, például ugyanazon alaptermék-szerkezet különböző verziói vagy modelljei;

Módosítás    83

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  annak megjelölése, hogy az önkéntes megfelelőségi nyilatkozat megengedett-e az adott rendszerben, illetve a megfelelőségértékelésre vagy önkéntes megfelelőségi nyilatkozatra vagy mindkettőre alkalmazandó eljárás;

Módosítás    84

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – c b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

cb)  olyan módon definiált tanúsítási követelmények, amely lehetővé teszi, hogy a tanúsítás beépíthető legyen a gyártónak az IKT-folyamat, -termék vagy -szolgáltatás tervezése, fejlesztése és életciklusa során alkalmazott rendszeres kiberbiztonsági folyamataiba vagy azokon alapulhasson;

Módosítás    85

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – f pont

A Bizottság által javasolt szöveg

Módosítás

f)  amennyiben a rendszer jelölésekről vagy címkékről rendelkezik, e jelölések vagy címkék használati feltételei;

f)  amennyiben a rendszer jelölésekről vagy címkékről rendelkezik, mint például az uniós kiberbiztonsági megfelelőségi címke, amely azt jelzi, hogy az IKT-folyamat, -termék vagy -szolgáltatás megfelel a rendszer kritériumainak, e jelölések vagy címkék használatának feltételei;

Módosítás    86

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – g pont

A Bizottság által javasolt szöveg

Módosítás

g)  amennyiben a felügyelet is a rendszer része, a tanúsítványokban foglalt követelményeknek való megfelelés nyomon követésére vonatkozó szabályok, beleértve a meghatározott kiberbiztonsági követelményeknek való folyamatos megfelelés bizonyítására szolgáló mechanizmusokat;

g)  a tanúsítványokban foglalt követelményeknek való megfelelés nyomon követésére vonatkozó szabályok, beleértve a meghatározott kiberbiztonsági követelményeknek való folyamatos megfelelés bizonyítására szolgáló mechanizmusokat, mint például – ahol ez releváns és lehetséges – az érintett IKT-folyamat, -termék vagy -szolgáltatás kötelező frissítései vagy javításai;

Módosítás    87

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – h pont

A Bizottság által javasolt szöveg

Módosítás

h)  a tanúsítás megadására és fenntartására, valamint hatályának kiterjesztésére és csökkentésére vonatkozó feltételek;

h)  a tanúsítás megadására és fenntartására, megújítására, valamint hatályának kiterjesztésére és csökkentésére vonatkozó feltételek;

Módosítás    88

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – i pont

A Bizottság által javasolt szöveg

Módosítás

i.  az arra vonatkozó szabályok, ha a tanúsított IKT-termékek és -szolgáltatások nem felelnek meg a tanúsítási követelményeknek;

i.  arra vonatkozó szabályok, hogy milyen következményekkel jár, ha a tanúsított IKT-termékek és -szolgáltatások nem felelnek meg a tanúsítási követelményeknek, valamint általános tájékoztatás az e rendelet 54. cikkében megállapított szankciókról;

Módosítás    89

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – j pont

A Bizottság által javasolt szöveg

Módosítás

j)  az IKT-termékek és -szolgáltatások terén korábban nem észlelt kiberbiztonsági sebezhetőségek jelentésére és kezelésére vonatkozó szabályok;

j)  az IKT-termékek és -szolgáltatások terén korábban nem észlelt kiberbiztonsági sebezhetőségek jelentésére és kezelésére vonatkozó szabályok, beleértve a sebezhetőségek bejelentésére vonatkozó koordinált folyamatokat;

Módosítás    90

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – l pont

A Bizottság által javasolt szöveg

Módosítás

l.  az azonos típusú vagy kategóriájú IKT-termékekre és -szolgáltatásokra kiterjedő nemzeti kiberbiztonsági tanúsítási rendszerek azonosítása;

l.  az azonos típusú vagy kategóriájú IKT-termékekre és -szolgáltatásokra kiterjedő nemzeti vagy nemzetközi kiberbiztonsági tanúsítási rendszerek vagy meglévő nemzetközi kölcsönös elismerési megállapodások azonosítása;

Módosítás    91

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – m a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ma)  a tanúsítványok maximális érvényességi ideje;

Módosítás    92

Rendeletre irányuló javaslat

47 cikk – 1 bekezdés – m b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

mb)  az ellenálló-képességi és rugalmassági tesztelés szabályai a „rendkívül biztonságos" megbízhatósági szint esetében.

Módosítás    93

Rendeletre irányuló javaslat

47 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Amennyiben egy adott uniós jogi aktus úgy rendelkezik, az európai kiberbiztonsági tanúsítási rendszer keretében történő tanúsítással vélelmezhetővé válik az adott jogi aktus követelményeinek való megfelelés is.

(3)  Amennyiben egy adott jövőbeni uniós jogi aktus úgy rendelkezik, az európai kiberbiztonsági tanúsítási rendszer keretében történő tanúsítással vélelmezhetővé válik az adott jogi aktus követelményeinek való megfelelés is.

Módosítás    94

Rendeletre irányuló javaslat

48 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Amennyiben az uniós jog másként nem rendelkezik, a tanúsítás önkéntes.

(2)  Az európai kiberbiztonsági tanúsítási rendszer szerinti tanúsítást kötelezővé kell tenni az olyan, magas eredendő kockázattal rendelkező IKT-termékek és -szolgáltatások esetében, amelyek kifejezetten az (EU) 2016/1148 irányelv 4. cikkének (4) bekezdésében meghatározott, alapvető szolgáltatásokat nyújtó szereplők általi használatra szolgálnak. Az összes többi IKT-termék és -szolgáltatás esetében a tanúsítás önkéntes, amennyiben az uniós jog másként nem rendelkezik.

Módosítás    95

Rendeletre irányuló javaslat

48 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Az e cikk szerinti európai kiberbiztonsági tanúsítványt az 51. cikkben említett megfelelőségértékelő szervezetek adják ki a 44. cikk alapján elfogadott európai kiberbiztonsági tanúsítási rendszerben foglalt kritériumok alapján.

(3)  Az e cikk szerinti európai kiberbiztonsági tanúsítványokat az 51. cikkben említett megfelelőségértékelő szervezetek adják ki a 44. cikk alapján elfogadott európai kiberbiztonsági tanúsítási rendszerben foglalt kritériumok alapján.

 

A megfelelőségértékelő szervezetek általi tanúsítás alternatívájaként – amennyiben a szóban forgó rendszer ezt lehetővé teszi – a gyártók és szolgáltatók önkéntes megfelelőségi nyilatkozatot is tehetnek, amelyben kijelentik, hogy egy adott folyamat, termék vagy szolgáltatás megfelel a tanúsítási rendszer kritériumainak. Ezekben az esetekben a gyártó vagy a szolgáltató kérésre köteles átadni az önkéntes megfelelőségi nyilatkozatot az azt kérő nemzeti tanúsításfelügyeleti hatóságnak és az ENISA-nak.

Módosítás    96

Rendeletre irányuló javaslat

48 cikk – 4 bekezdés – bevezető rész

A Bizottság által javasolt szöveg

Módosítás

(4)  A (3) bekezdéstől eltérve, kellően indokolt esetekben egy adott európai kiberbiztonsági tanúsítási rendszer előírhatja, hogy e rendszer keretében csak közjogi szerv adhat ki európai kiberbiztonsági tanúsítványt. Ez a közjogi szerv a következők egyike:

(4)  A (3) bekezdéstől eltérve, kellően indokolt esetekben – például nemzetbiztonsági okokból – egy adott európai kiberbiztonsági tanúsítási rendszer előírhatja, hogy e rendszer keretében csak közjogi szerv adhat ki európai kiberbiztonsági tanúsítványt. Ez a közjogi szerv a következők egyike:

Módosítás    97

Rendeletre irányuló javaslat

48 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az IKT-termékeiket vagy -szolgáltatásaikat tanúsításra benyújtó természetes vagy jogi személyek az 51. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátják a tanúsítási eljárás lefolytatásához szükséges valamennyi információt.

(5)  Az IKT-termékeiket vagy -szolgáltatásaikat tanúsításra benyújtó természetes vagy jogi személyek az 51. cikkben említett megfelelőségértékelő szervezet rendelkezésére bocsátják a tanúsítási eljárás lefolytatásához szükséges valamennyi információt, beleértve bármely ismert biztonsági sebezhetőségre vonatkozó információt.

Módosítás    98

Rendeletre irányuló javaslat

48 cikk – 6 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(6)  A tanúsítványok legfeljebb hároméves időtartamra szólnak, és azonos feltételek mellett megújíthatók, feltéve, hogy a megfelelő követelmények továbbra is teljesülnek.

(6)  A tanúsítványok időtartama és érvényessége az adott tanúsítási rendszer által meghatározott maximális időtartamra szól és azonos feltételek mellett megújítható, feltéve, hogy az adott rendszer vonatkozó követelményei, beleértve a felülvizsgált vagy módosított követelményeket is, továbbra is teljesülnek.

Módosítás    99

Rendeletre irányuló javaslat

48 cikk – 6 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(6 a)  A tanúsítvány érvényes marad az adott folyamat, termék vagy szolgáltatás minden új verziójára, amennyiben az új verzió elsődleges oka az ismert vagy lehetséges biztonsági sebezhetőségek vagy fenyegetések javítása vagy egyéb kezelése.

Módosítás    100

Rendeletre irányuló javaslat

49 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  A (3) bekezdés sérelme nélkül a nemzeti kiberbiztonsági tanúsítási rendszerek és az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre és -szolgáltatásokra vonatkozó idevágó eljárások a 44. cikk (4) bekezdése alapján elfogadott végrehajtási jogi aktusban meghatározott időponttól kezdve nem keletkeztetnek joghatást. A hatályos nemzeti kiberbiztonsági tanúsítási rendszerek, valamint az európai kiberbiztonsági tanúsítási rendszer hatálya alá nem tartozó IKT-termékekre és -szolgáltatásokra vonatkozó idevágó eljárások azonban továbbra is fennmaradnak.

(1)  A (3) bekezdés sérelme nélkül az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó IKT-termékekre és -szolgáltatásokra vonatkozó nemzeti kiberbiztonsági tanúsítási rendszerek és kapcsolódó eljárások a 44. cikk (4) bekezdése alapján elfogadott felhatalmazáson alapuló jogi aktusban meghatározott időponttól kezdve nem keletkeztetnek joghatást. A Bizottság, hogy elkerülje az egymással párhuzamos rendszerek létrejöttét, nyomon követi az ezen albekezdésnek való megfelelőséget. Az európai kiberbiztonsági tanúsítási rendszer hatálya alá nem tartozó IKT-termékekre és -szolgáltatásokra vonatkozó meglévő nemzeti kiberbiztonsági tanúsítási rendszerek és kapcsolódó eljárások azonban továbbra is fennmaradnak.

Módosítás    101

Rendeletre irányuló javaslat

49 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  A nemzeti kiberbiztonsági tanúsítási rendszerek alapján kiadott meglévő tanúsítványok lejáratuk napjáig érvényben maradnak.

(3)  A nemzeti kiberbiztonsági tanúsítási rendszerek alapján kiadott és az európai kiberbiztonsági tanúsítási rendszer hatálya alá tartozó meglévő tanúsítványok lejáratuk napjáig érvényben maradnak.

Módosítás    102

Rendeletre irányuló javaslat

50 cikk – 3 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(3)  Minden nemzeti tanúsításfelügyeleti hatóságnak – szerkezetét, a finanszírozási határozatokat, jogi felépítését és a döntéshozatalt illetően – függetlennek kell lennie az általa felügyelt szervezetektől.

(3)  Minden nemzeti tanúsításfelügyeleti hatóságnak – szervezetét, finanszírozási döntéseit, jogi felépítését és döntéshozatalát illetően – függetlennek kell lennie az általa felügyelt szervezetektől, és nem lehet megfelelőségértékelő szervezet vagy nemzeti akkreditáló testület.

Módosítás    103

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – a pont

A Bizottság által javasolt szöveg

Módosítás

a)  figyelemmel kísérik és biztosítják az e címben meghatározott rendelkezések nemzeti szintű alkalmazását, valamint felügyelik, hogy az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiállított tanúsítványok megfelelnek-e az e címben és a megfelelő európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményeknek;

a)  figyelemmel kísérik és biztosítják az e címben meghatározott rendelkezések nemzeti szintű alkalmazását, és az európai kiberbiztonsági tanúsítási csoport által az 53. cikk (3) bekezdésének da) pontja szerint elfogadott szabályokkal összhangban felügyelik:

 

i.  az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiállított tanúsítványok e címben és a megfelelő európai kiberbiztonsági tanúsítási rendszerben meghatározott követelményeknek való megfelelőségét; és

 

ii.  egy IKT-folyamatra, -termékre vagy -szolgáltatásra vonatkozóan egy adott rendszer keretében tett önkéntes megfelelőségi nyilatkozat megfelelőségét;

Módosítás    104

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – b pont

A Bizottság által javasolt szöveg

Módosítás

b)  figyelemmel kísérik és felügyelik a megfelelőségértékelő szervezetek tevékenységeit e rendelet alkalmazásában, többek között a megfelelőségértékelő szervezetek bejelentésével és az e rendelet 52. cikkében meghatározott idevágó feladatokkal kapcsolatban;

b)  figyelemmel kísérik, felügyelik és legalább kétévente értékelik a megfelelőségértékelő szervezetek tevékenységeit e rendelet alkalmazásában, többek között a megfelelőségértékelő szervezetek bejelentésével és az e rendelet 52. cikkében meghatározott vonatkozó feladatokkal kapcsolatban;

Módosítás    105

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – c pont

A Bizottság által javasolt szöveg

Módosítás

c)  kezelik a természetes vagy jogi személyek által az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiadott tanúsítványokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztatják a panaszost a vizsgálat előrehaladásáról és eredményéről;

c)  kezelik a természetes vagy jogi személyek által az adott tagállam területén létrehozott megfelelőségértékelő szervezetek által kiadott tanúsítványokkal vagy az önkéntes megfelelőségi nyilatkozatokkal kapcsolatban benyújtott panaszokat, megfelelő mértékben kivizsgálják a panasz tárgyát, és észszerű időn belül tájékoztatják a panaszost a vizsgálat előrehaladásáról és eredményéről;

Módosítás    106

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  beszámolnak az ENISA-nak és az európai kiberbiztonsági tanúsítási csoportnak az a) pont szerinti ellenőrzések és a b) pont szerinti értékelések eredményeiről;

Módosítás    107

Rendeletre irányuló javaslat

50 cikk – 6 bekezdés – d pont

A Bizottság által javasolt szöveg

Módosítás

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek és -szolgáltatások nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek;

d)  együttműködnek a többi nemzeti tanúsításfelügyeleti hatósággal, nemzeti akkreditáló testületekkel és más hatóságokkal, többek között azáltal, hogy megosztják az azzal kapcsolatos információkat, ha bizonyos IKT-termékek vagy -szolgáltatások nem felelnek meg e rendelet vagy egyes európai kiberbiztonsági tanúsítási rendszerek követelményeinek, ideértve a tanúsítvány megtévesztő, hamis vagy csalárd állításait is;

Módosítás    108

Rendeletre irányuló javaslat

50 cikk – 7 bekezdés – c a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ca)  visszavonhatja az e rendeletnek meg nem felelő megfelelőségértékelő szervezetek akkreditációját;

Módosítás    109

Rendeletre irányuló javaslat

50 cikk – 7 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  a nemzeti joggal összhangban visszavonhatja az e rendeletnek vagy az adott európai kiberbiztonsági tanúsítási rendszernek meg nem felelő tanúsítványokat;

e)  a nemzeti joggal összhangban visszavonhatja az e rendeletnek vagy az adott európai kiberbiztonsági tanúsítási rendszernek meg nem felelő tanúsítványokat, és ennek megfelelően értesítheti a nemzeti akkreditáló testületeket;

Módosítás    110

Rendeletre irányuló javaslat

50 cikk – 7 bekezdés – f a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fa)  az ENISA-nak szakértőket javasolhat a 44. cikk (2) bekezdésében említett konzultációs szakértői csoportba.

Módosítás    111

Rendeletre irányuló javaslat

50 cikk – 8 bekezdés – 1 a albekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

Az említett információcsere céljából a Bizottság egy általános elektronikus információtámogató rendszert bocsát rendelkezésre.

Módosítás    112

Rendeletre irányuló javaslat

50 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

50 a. cikk

 

Szakértői értékelés

 

1.  A nemzeti tanúsításfelügyeleti hatóságoknak szakértői értékelésen kell átesniük azon tevékenységeik tekintetében, amelyeket e rendelet 50. cikke alapján végeznek.

 

(2)  A szakértői értékelés kiterjed a nemzeti tanúsításfelügyeleti hatóságok által bevezetett eljárások értékelésére, különösen a kiberbiztonsági tanúsítás hatálya alá tartozó termékek megfelelőségének ellenőrzésére irányuló eljárásokra, a személyzet felkészültségére, az ellenőrzések és az ellenőrzési módszertan helyességére, valamint az eredmények helyességére. A szakértői értékelés azt is vizsgálja, hogy a szóban forgó nemzeti tanúsításfelügyeleti hatóságok rendelkeznek-e a feladataik megfelelő ellátásához szükséges erőforrásokkal az 50. cikk (4) bekezdésében előírtak szerint.

 

3.  A nemzeti tanúsításfelügyeleti hatóságok szakértői értékelését két, másik tagállamban működő nemzeti tanúsításfelügyeleti hatóságnak és a Bizottságnak kell elvégeznie legalább ötévente egyszer. Az ENISA részt vehet a szakértői értékelő csoportban, részvételéről pedig kockázatértékelés alapján dönt.

 

4.  A Bizottság az 55a. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadhat el, hogy legalább ötéves időtartamra meghatározza a szakértői értékelések tervét, megállapítva a szakértői értékelő csoport összetételére vonatkozó kritériumokat, a szakértői értékelésnél alkalmazandó módszertant, az értékelések menetrendjét, gyakoriságát és az azokhoz kapcsolódó egyéb feladatokat. A Bizottság az említett felhatalmazáson alapuló jogi aktusok elfogadásakor megfelelően figyelembe veszi a csoport észrevételeit.

 

5.  A szakértői értékelés eredményét a csoportnak meg kell vizsgálnia. Az ENISA pedig elkészíti és közzéteszi az eredmények összefoglalóját.

Módosítás    113

Rendeletre irányuló javaslat

51 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  Ha a gyártó a 48. cikk (3) bekezdésének megfelelően az „önkéntes megfelelőségi nyilatkozatot” választja, a megfelelőségértékelő szervezetek további lépéseket tesznek a gyártó által annak biztosítása érdekében bevezetett belső eljárások ellenőrzésére, hogy a termékei és/vagy szolgáltatásai megfeleljenek az európai kiberbiztonsági tanúsítási rendszer követelményeinek.

Módosítás    114

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – d a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

da)  kötelező érvényű szabályokat fogad el, amelyekben meghatározza, hogy a nemzeti tanúsításfelügyeleti hatóságoknak milyen időközönként kell elvégezniük a tanúsítványok és az önkéntes megfelelőségi nyilatkozatok ellenőrzését, valamint ezen ellenőrzések kritériumait, mértékét és hatályát, továbbá közös szabályokat és szabványokat fogad el az 50. cikk (6) bekezdése szerinti beszámolásra vonatkozóan;

Módosítás    115

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – e pont

A Bizottság által javasolt szöveg

Módosítás

e)  tanulmányozza a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket, és megosztja a kiberbiztonsági tanúsítási rendszerekkel kapcsolatban bevált módszereket;

e)  tanulmányozza a kiberbiztonsági tanúsítás terén zajló releváns fejleményeket, és megosztja a kiberbiztonsági tanúsítási rendszerekkel kapcsolatos információkat és bevált módszereket;

Módosítás    116

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fa)  megosztja a bevált módszereket a megfelelőségértékelő szervezetek által végzett vizsgálatokra, az európai kiberbiztonsági tanúsítvánnyal rendelkezőkre, valamint az önkéntes megfelelőségi nyilatkozatot tett gyártókra és szolgáltatókra vonatkozóan;

Módosítás    117

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f b pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fb)  elősegíti az európai kiberbiztonsági tanúsítási rendszereknek a nemzetközileg elismert szabványokkal való összhangba hozását, és adott esetben javaslatot tesz az ENISA-nak arra vonatkozóan, milyen területeken kellene felvennie a kapcsolatot az érintett nemzetközi és európai szabványügyi szervezetekkel a nemzetközileg elismert szabványok hiányosságainak kezelése érdekében;

Módosítás    118

Rendeletre irányuló javaslat

53 cikk – 3 bekezdés – f c pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

fc)  a 43a. cikkben említett munkaprogram meghatározása során tanácsot ad az ENISA-nak azon IKT-termékek és -szolgáltatások elsőbbségi listájára vonatkozóan, amelyeknél szükségesnek tartja egy európai kiberbiztonsági tanúsítási rendszer létrehozását;

Módosítás    119

Rendeletre irányuló javaslat

53 cikk – 4 bekezdés – 1 a albekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

Az ENISA gondoskodik arról, hogy a napirendet, a jegyzőkönyvet és a meghozott határozatok jegyzékét nyilvántartásba veszik, és e dokumentumok közzétett változatát a csoport minden ülése után nyilvánosságra hozzák az ENISA weboldalán.

Módosítás    120

Rendeletre irányuló javaslat

55 a cikk (új)

A Bizottság által javasolt szöveg

Módosítás

 

55a. cikk

 

A felhatalmazás gyakorlása

 

A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

 

A Bizottságnak a 44. cikk (4) bekezdésében és az 50a. cikk (4) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása 5 éves időtartamra szól [az alap jogalkotási aktus hatálybalépésének időpontja]-tól/-től kezdődő hatállyal. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, amennyiben az Európai Parlament vagy a Tanács nem ellenzi a meghosszabbítást legkésőbb három hónappal minden egyes időtartam letelte előtt.

 

Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 44. cikk (4) bekezdésében és az 50a. cikk (4) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

 

A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban foglalt elveknek megfelelően konzultál az egyes tagállamok által kijelölt szakértőkkel.

 

A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

 

A 44. cikk (4) bekezdése vagy az 50a. cikk (4) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő [két hónap]-on belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam [két hónap]-pal meghosszabbodik.

ELJÁRÁS A VÉLEMÉNYNYILVÁNÍTÁSRAFELKÉRT BIZOTTSÁGBAN

Cím

Rendelet az Európai Uniós Hálózat- és Információbiztonsági Ügynökségről (ENISA), az „Európai Uniós Kiberbiztonsági Ügynökségről”, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról („kiberbiztonsági jogszabály”)

Hivatkozások

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Illetékes bizottság

       A plenáris ülésen való bejelentés dátuma

ITRE

23.10.2017

 

 

 

Véleményt nyilvánított

       A plenáris ülésen való bejelentés dátuma

IMCO

23.10.2017

Társbizottságok - a plenáris ülésen való bejelentés dátuma

18.1.2018

A vélemény előadója

       A kijelölés dátuma

Nicola Danti

25.9.2017

Vizsgálat a bizottságban

21.2.2018

21.3.2018

 

 

Az elfogadás dátuma

17.5.2018

 

 

 

A zárószavazás eredménye

+:

–:

0:

31

2

1

A zárószavazáson jelen lévő tagok

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

A zárószavazáson jelen lévő póttagok

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

A zárószavazáson jelen lévő póttagok (200. cikk (2) bekezdés)

Inés Ayala Sender, Flavio Zanonato

NÉV SZERINTI ZÁRÓSZAVAZÁS

A VÉLEMÉNYNYILVÁNÍTÁSRA FELKÉRT BIZOTTSÁGBAN

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Jelmagyarázat:

+  :  mellette

-  :  ellene

0  :  tartózkodik

VÉLEMÉNY a Költségvetési Bizottság részéről (16.5.2018)

az Ipari, Kutatási és Energiaügyi Bizottság részére

az ENISA-ról, az Európai Uniós Kiberbiztonsági Ügynökségről, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló európai parlamenti és tanácsi rendeletre („kiberbiztonsági jogszabály”) irányuló javaslatról
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

A vélemény előadója: Jens Geier

RÖVID INDOKOLÁS

Az előadó általánosságban üdvözli a Bizottság „kiberbiztonsági jogszabályra” irányuló javaslatát az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) szerepének további erősítésére, mivel a kiberbiztonság egyértelműen határokon átnyúló jelenség, ezért európaibb megközelítésre van szükség. Az előadó kifejezetten üdvözli a Bizottság javaslatát, hogy tekintettel megerősödött szerepére állandó megbízást adjanak az ENISA-nak, ezzel is biztonságot nyújtva az Ügynökség alkalmazottai számára. A Bizottság javasolja, hogy az AD/AST posztok számát 2022-ig növeljék meg 41 álláshellyel[1], az Ügynökség éves költségvetését pedig 2022-ben növeljék 23 millió euróra[2].

Az előadó úgy véli, hogy a jelenlegi székhely-megállapodás, azaz hogy az Ügynökség több helyszínen, Athénban és Iráklióban működik, akadályozza az Ügynökség hatékony működését és megbízatása teljesítését. Az ügynökségek forrásaival foglalkozó intézményközi munkacsoport a 2014. évi költségvetésről született megegyezést követően javasolja, hogy a Bizottság „következetes megközelítés és egyértelmű és átlátható kritériumok alapján értékelje a több helyszínen működő ügynökségeket (két székhely, a székhelyen kívül több technikai helyszín, helyi irodák és külső irodákba kihelyezett személyzet), különösen a hozzáadott érték megítélése érdekében, a felmerülő költségek fényében is”. Valamennyi uniós intézmény egyetértett ezzel az ajánlással, és az előadó úgy véli, hogy sürgősen el kell végezni ezt az értékelést. Az értékelést követően az intézményeknek haladéktalanul le kell vonniuk a szükséges következtetéseket.

Az előadó úgy véli továbbá, hogy az Ügynökség szakértelem nyújtására vonatkozó megbízatását tovább lehetne erősíteni azáltal, hogy az Ügynökség számára saját költségvetést biztosítanak kutatási és fejlesztési tevékenységek finanszírozására. E költségvetéshez az Ügynökséget el kell látni a szükséges forrásokkal.

További megtakarításokat lehetne elérni annak lehetővé tételével, hogy az Ügynökség más szolgáltatóktól szerezhessen be fordítási szolgáltatásokat. Az Ügynökség demokratikus ellenőrzését az Európai Parlament egy képviselőjének az igazgatótanácsba történő kinevezésével lehetne erősíteni, összhangban az ügynökségekre vonatkozó közös megközelítéssel.

MÓDOSÍTÁSOK

A Költségvetési Bizottság felkéri az Ipari, Kutatási és Energiaügyi Bizottságot mint illetékes bizottságot, hogy vegye figyelembe az alábbi módosításokat:

Módosítás    1

Rendeletre irányuló javaslat

3 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(3a)  Az ENISA-nak gyakorlatiasabb és információkon alapuló támogatást kellene az EU kiberbiztonsági iparának, különösen a kkv-knak és az induló vállalkozásoknak nyújtania, amelyek a kiberbiztonság területén az innovatív megoldások legfontosabb forrásai, valamint szorosabb együttműködést kellene előmozdítania az egyetemi kutatóintézetekkel és a jelentősebb szereplőkkel, a külső forrásokból származó internetes biztonsági termékektől való függőség csökkentése és az Unión belüli stratégiai ellátási lánc létrehozása céljából.

Módosítás    2

Rendeletre irányuló javaslat

4 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. A kibervédelem területén jelentős és egyre növekvő képzési igények jelentkeznek, amelyeket uniós szintű együttműködéssel lehet a leghatékonyabban kielégíteni. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

Módosítás    3

Rendeletre irányuló javaslat

10 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(10)  Az Európai Tanács 2003. december 13-i ülésén elfogadott 2004/97/EK, Euratom határozat keretében a tagállamok képviselői úgy határoztak, hogy az ENISA székhelye Görögországban lesz, egy, a görög kormány által meghatározandó városban. Az Ügynökségnek otthont adó tagállamnak a lehető legkedvezőbb feltételeket kell biztosítania az Ügynökség zavartalan és hatékony működéséhez. Az Ügynökség feladatainak megfelelő és hatékony ellátása, a munkaerő felvétele és a személyzet megtartása, továbbá a hálózatépítési tevékenységek hatékonyságának fokozása érdekében elengedhetetlen, hogy az Ügynökség székhelye megfelelő helyen legyen, ahol többek között megfelelő közlekedési csatlakozások és létesítmények állnak rendelkezésre az Ügynökség személyzetének tagjait kísérő házastársak és gyermekek részére. A szükséges szabályokat az Ügynökség igazgatótanácsának jóváhagyását követően az Ügynökség és az annak otthont adó tagállam közötti megállapodásban kell rögzíteni.

(10)  Az Európai Tanács 2003. december 13-i ülésén elfogadott 2004/97/EK, Euratom határozat keretében a tagállamok képviselői úgy határoztak, hogy az ENISA székhelye Görögországban lesz, egy, a görög kormány által meghatározandó városban. Az Ügynökségnek otthont adó tagállamnak a lehető legkedvezőbb feltételeket kell biztosítania az Ügynökség zavartalan és hatékony működéséhez. Az Ügynökség feladatainak megfelelő és hatékony ellátása, a munkaerő felvétele és a személyzet megtartása, továbbá a hálózatépítési tevékenységek hatékonyságának fokozása érdekében elengedhetetlen, hogy az Ügynökség székhelye megfelelő helyen legyen, ahol többek között megfelelő közlekedési csatlakozások és létesítmények állnak rendelkezésre az Ügynökség személyzetének tagjait kísérő házastársak és gyermekek részére. A szükséges szabályokat az Ügynökség igazgatótanácsának jóváhagyását követően az Ügynökség és az annak otthont adó tagállam közötti megállapodásban kell rögzíteni. Az ügynökségek forrásaival foglalkozó intézményközi munkacsoport ajánlása szerint e megállapodást a Bizottság által végzett értékelést követően az Ügynökség hatékonyságának fokozása érdekében felül kell vizsgálni, és az Ügynökség székhelyét is módosítani kell.

Módosítás    4

Rendeletre irányuló javaslat

12 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel és hivatalokkal, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie. Ezenkívül a magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Feladatainak leírásával meg kell határozni, hogy az Ügynökségnek hogyan kell céljait elérnie, de egyben rugalmasságot is biztosítani kell működéséhez.

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie, a párhuzamos munka elkerülésével, a szinergia és a kiegészítő jelleg előmozdításával, és ezáltal a koordináció és a költségvetési megtakarítások elérésével. Ezenkívül a magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Feladatainak leírásával meg kell határozni, hogy az Ügynökségnek hogyan kell céljait elérnie, de egyben rugalmasságot is biztosítani kell működéséhez.

Módosítás    5

Rendeletre irányuló javaslat

15 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(15a)  A nemzetközi jog a kibertérre is vonatkozik, és az ENSZ kormányzati szakértői csoportjának (UNGGE) 2013-as és 2015-ös jelentései megfelelő iránymutatásokat nyújtanak, különösen a tekintetben, hogy megtiltják az államoknak a nemzetközi jogban foglalt kötelezettségeiket sértő kibertevékenységek folytatását vagy tudatos támogatását. A Tallinni kézikönyv 2.0 ebben az összefüggésben kitűnő alapot nyújt az arról szóló vitának, hogy a nemzetközi jogot miként lehet a kibertérre alkalmazni, és eljött az ideje annak, hogy a tagállamok megkezdjék a kézikönyv elemzését és alkalmazását.

Módosítás    6

Rendeletre irányuló javaslat

36 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(36)  Az Ügynökségnek teljes mértékben figyelembe kell vennie a folyamatban lévő – különösen a különböző uniós kutatási kezdeményezések keretében végzett – kutatási, fejlesztési és technológiaértékelési tevékenységeket azért, hogy igény esetén tanácsot tudjon adni az uniós intézmények, szervek és hivatalok, valamint adott esetben a tagállamok számára a hálózat- és információbiztonság, különösen a kiberbiztonság területét érintő kutatási igényekkel kapcsolatban.

(36)  Az Ügynökségnek teljes mértékben figyelembe kell vennie a folyamatban lévő – különösen a különböző uniós kutatási kezdeményezések keretében végzett – kutatási, fejlesztési és technológiaértékelési tevékenységeket azért, hogy igény esetén tanácsot tudjon adni az uniós intézmények, szervek és hivatalok, valamint adott esetben a tagállamok számára a hálózat- és információbiztonság, különösen a kiberbiztonság területét érintő kutatási igényekkel kapcsolatban. Az Ügynökség számára további költségvetési forrásokat kell biztosítani a meglévő uniós kutatási programokat kiegészítő kutatási és fejlesztési tevékenységekre.

Módosítás    7

Rendeletre irányuló javaslat

46 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(46a)  Az Ügynökség költségvetését a teljesítményalapú költségvetés-tervezés elvének tiszteletben tartásával kell kialakítani, figyelembe véve az Ügynökség céljait és feladatainak elvárt eredményeit.

Módosítás    8

Rendeletre irányuló javaslat

4 cikk – 4 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Az Ügynökség a kiberbiztonsággal kapcsolatos kérdésekben előmozdítja az uniós szintű együttműködést és koordinációt a tagállamok, az uniós intézmények, hivatalok és szervek, valamint az érintett felek között, beleértve a magánszektort is.

(4)  Az Ügynökség a kiberbiztonsággal kapcsolatos kérdésekben előmozdítja az uniós szintű együttműködést és koordinációt a tagállamok, az uniós intézmények, hivatalok és szervek, valamint az érintett felek között, beleértve a magánszektort is, a koordináció és a pénzügyi megtakarítások elérése, a párhuzamosságok elkerülése, valamint tevékenységeik tekintetében a szinergia és a kiegészítő jelleg előmozdítása érdekében.

Módosítás    9

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – g a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ga)  a polgárok számára történő láthatóságának és tudatosságának növelése érdekében közzéteszi és népszerűsíti tevékenységeit és munkájának eredményeit.

Módosítás    10

Rendeletre irányuló javaslat

10 cikk – b a pont (új)

A Bizottság által javasolt szöveg

Módosítás

 

ba)  egyértelműen azonosított európai hozzáadott értéket képviselő saját kutatási programok folytatása olyan területeken, amelyekre még nem terjednek ki a meglévő uniós kutatási programok.

Módosítás    11

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(1)  Az igazgatótanács tagállamonként egy-egy képviselőből és a Bizottság által kijelölt két képviselőből áll. Valamennyi képviselő rendelkezik szavazati joggal.

(1)  Az igazgatótanács tagállamonként egy-egy képviselőből, egy, az Európai Parlament által kijelölt képviselőből és a Bizottság által kijelölt két képviselőből áll. Valamennyi képviselő rendelkezik szavazati joggal.

Módosítás    12

Rendeletre irányuló javaslat

1 cikk – 1 bekezdés – 1 albekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

Az előzetes kimutatástervezetek a 21. cikk (1) bekezdésében említett, egységes programozási dokumentumban megfogalmazott célkitűzésen és várt eredményeken alapulnak és figyelembe veszik az e célok és várt eredmények eléréséhez szükséges pénzügyi forrásokat, a teljesítményalapú költségvetés-tervezés elvének megfelelően.

Módosítás    13

Rendeletre irányuló javaslat

36 cikk – 5 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Ügynökség alkalmazottainak az Ügynökséggel szemben fennálló személyes felelősségét illetően az Ügynökség személyzetére e tekintetben irányadó feltételeket kell alkalmazni.

(5)  Az Ügynökség alkalmazottainak az Ügynökséggel szemben fennálló személyes felelősségét illetően az Ügynökség személyzetére e tekintetben irányadó feltételeket kell alkalmazni. Biztosítani kell a hatékonyságot a személyzet felvétele során.

Módosítás    14

Rendeletre irányuló javaslat

37 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökség működéséhez szükséges fordítási szolgáltatásokat Az Európai Unió Szerveinek Fordítóközpontja biztosítja.

(2)  Az Ügynökség működéséhez szükséges fordítási szolgáltatásokat az Európai Unió Szerveinek Fordítóközpontja vagy más fordítási szolgáltatók biztosítják a közbeszerzési szabályokkal összhangban és a vonatkozó pénzügyi szabályozás által megállapított korlátok között.

Módosítás    15

Rendeletre irányuló javaslat

41 cikk – 2 bekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  Az Ügynökségnek otthont adó tagállam a lehető legjobb feltételeket biztosítja az Ügynökség megfelelő működéséhez, ideértve a székhely megközelíthetőségét, az alkalmazottak gyermekeinek biztosított megfelelő oktatási lehetőségeket, valamint a személyzetet kísérő gyermekek és házastársak munkaerőpiachoz, társadalombiztosításhoz és egészségügyi ellátáshoz való hozzáférését is.

(2)  Az Ügynökségnek otthont adó tagállam a lehető legjobb feltételeket biztosítja az Ügynökség megfelelő működéséhez, ideértve az egyetlen székhelyet az egész Ügynökség számára, a székhely megközelíthetőségét, az alkalmazottak gyermekeinek biztosított megfelelő oktatási lehetőségeket, valamint a személyzetet kísérő gyermekek és házastársak munkaerőpiachoz, társadalombiztosításhoz és egészségügyi ellátáshoz való hozzáférését is.

Indokolás

Az Ügynökség jelenlegi struktúrája és adminisztratív székhelye Iráklióban van, az alapvető tevékenységeket ellátó központ Athénban pedig nem bizonyult hatékonynak és költséges. Ezért az ENISA valamennyi munkatársának ugyanabban a városban kellene dolgoznia. Az e bekezdésben említett kritériumok alapján ennek a helynek Athénnek kell lennie.

Módosítás    16

Rendeletre irányuló javaslat

41 cikk – 2 a bekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(2a)  Az ügynökségek forrásaival foglalkozó intézményközi munkacsoport ajánlása szerint a Bizottság által végzett értékelést követően az Ügynökség székhely-megállapodását felül kell vizsgálni, és az Ügynökség székhelyét ennek megfelelően módosítani kell.

ELJÁRÁS A VÉLEMÉNYNYILVÁNÍTÁSRAFELKÉRT BIZOTTSÁGBAN

Cím

Rendelet az Európai Uniós Hálózat- és Információbiztonsági Ügynökségről (ENISA), az „Európai Uniós Kiberbiztonsági Ügynökségről”, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról („kiberbiztonsági jogszabály”)

Hivatkozások

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Illetékes bizottság

       A plenáris ülésen való bejelentés dátuma

ITRE

23.10.2017

 

 

 

Véleményt nyilvánított

       A plenáris ülésen való bejelentés dátuma

BUDG

23.10.2017

A vélemény előadója

       A kijelölés dátuma

Jens Geier

26.9.2017

Vizsgálat a bizottságban

21.3.2018

 

 

 

Az elfogadás dátuma

16.5.2018

 

 

 

A zárószavazás eredménye

+:

–:

0:

22

4

0

A zárószavazáson jelen lévő tagok

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

A zárószavazáson jelen lévő póttagok

Ivana Maletić, Andrey Novakov

NÉV SZERINTI ZÁRÓSZAVAZÁS

A VÉLEMÉNYNYILVÁNÍTÁSRA FELKÉRT BIZOTTSÁGBAN

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Jelmagyarázat:

+  :  mellette

-  :  ellene

0  :  tartózkodik

  • [1] Ez 26 AD és 6 AST álláshelyet, továbbá 9 kirendelt nemzeti szakértőt foglal magában. Nem tartalmazza az anya-főigazgatóság becsült igényeit, a szerződéses alkalmazottakat és a külső vállalkozókat.
  • [2] Becslésként, a 2020 utáni uniós finanszírozás sérelme nélkül.

VÉLEMÉNY az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részéről (16.3.2018)

az Ipari, Kutatási és Energiaügyi Bizottság részére

az ENISA-ról, az Európai Uniós Kiberbiztonsági Ügynökségről, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló európai parlamenti és tanácsi rendeletre („kiberbiztonsági jogszabály”) irányuló javaslatról
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

A vélemény előadója: Jan Philipp Albrecht

RÖVID INDOKOLÁS

Az előadó üdvözli a Bizottság kiberbiztonsági jogszabályról[1] szóló javaslatát, mivel az jobban meghatározza az ENISA szerepét a megváltozott kiberbiztonsági ökoszisztémában és intézkedéseket dolgoz ki az információbiztonsági szabványokra, a tanúsításra és a címkézésre az ikt-alapú rendszerek – ideértve az összekapcsolt tárgyakat is – biztonságosabbá tétele érdekében.

Az előadó azonban úgy véli, hogy további javításokat lehet tenni. Az előadó határozott meggyőződése, hogy az információbiztonság, a számítástechnikai bűnözés elleni küzdelem, valamint a demokrácia és a jogállamiság védelme alapvető fontosságú a polgárok alapvető jogainak védelméhez,

Alapvető jogok: A nem biztonságos rendszerek adatokkal kapcsolatos jogsértésekhez vagy személyazonossággal való visszaéléshez vezethetnek, amelyek az embereknek valós károkat és fenyegetettséget okozhatnak, beleértve életük, magánéletük, méltóságuk és vagyonuk veszélyeztetését is. Például a tanúk megfélemlítés vagy fizikai bántalmazás, a nők pedig otthonukban erőszak áldozatai lehetnek, amennyiben lakcímük nyilvánosságra kerül. A dolgok internete, amely nem csupán érzékelőkből, hanem fizikai cselekvéseket végző tárgyakból is áll, fenyegetést jelenthet az emberek testi épségére és életére az információs rendszereken keresztül elkövetett támadások esetén. Az előadó által javasolt módosítások elsősorban az EU Alapjogi Chartája 1., 2., 3., 6., 7., 8., 11. és 17. cikkének védelmére összpontosítanak. Az újabb alkotmányjogi joggyakorlat a jelenlegi digitális világra vonatkozóan az általános személyiségi jogokból kiindulva levezet egy különleges „alapvető jogot az információtechnológiai rendszerek bizalmas kezelésére és intergitására”[2] vonatkozóan.

A számítástechnikai bűnözés elleni küzdelem: Az interneten elkövetett bűncselekmények bizonyos formái, például az adathalászat (phishing), vagy a pénzügyi és banki csalások bizalommal való visszaélést jelentenek, ami ellen nem lehet informatikai biztonsági intézkedésekkel fellépni, ezért a bűncselekmények ilyen formái elleni küzdelem érdekében az előadó üdvözli a javaslatot, hogy az ENISA szervezzen rendszeres tájékoztató és iskolai kampányokat a végfelhasználók számára. Internetes bűnözés egyéb formái magukban foglalják az információs rendszerek elleni támadásokat, például az adatfeltörést vagy szolgáltatásmegtagadást eredményező túlterheléses támadásokat (DDoS), amelyek kapcsán az előadó úgy véli, hogy az információbiztonság megerősítése révén hatékonyan javítható a számítástechnikai bűnözés elleni küzdelem, és főként annak megelőzése.

Demokrácia és jogállamiság: Az it-rendszerek elleni, kormányzati és a nem állami szereplők által elkövetett támadások egyértelmű és egyre nagyobb veszélyt jelentenek a demokráciára, hiszen beavatkozhatnak a szabad és tisztességes választásokba, például azáltal, hogy manipulálják a polgárok szavazatát befolyásoló tényeket és véleményeket, beavatkoznak a szavazási folyamatba és megváltozatják a szavazási eredményeket, vagy aláássák a szavazás megbízhatóságába vetett hitet.

Az előadó ezért a LIBE bizottság véleménytervezetében az alábbi, a LIBE bizottság számára fontos kérdésekben javasolja a bizottsági javaslat módosítását:

•  Az Ügynökségnek hangsúlyosabb szerepet kell játszania az arra való ösztönzésben, hogy az európai információs társadalom valamennyi szereplője elfogadjon a magánéletet óvó erős megelőző technológiákat és informatikai biztonsági intézkedéseket;

•  Az Ügynökségnek olyan szakpolitikai javaslatokat kell tennie, amelyek egyértelműen meghatározzák az ikt ökoszisztémájában részt vevő valamennyi érdekelt fél felelősségi körét és feladatait abban az esetben, ha nem járnak el kellő gondossággal az informatikai biztonságuk kapcsán, és ez komoly biztonsági hatásokat, a környezet súlyos szennyezését, vagy rendszerszintű pénzügyi vagy gazdasági válságot okozhat;

•  Az Ügynökségnek egyértelmű és kötelező alapvető információbiztonsági követelményeket kell javasolnia, konzultálva informatikai biztonsági szakértőkkel;

•  Az Ügynökségnek javaslatot kell tennie egy olyan információbiztonsági tanúsítási rendszerre, amely lehetővé teszi, hogy az eladók növeljék az átláthatóságot a fogyasztók számára a frissíthetőség és a szoftveres támogatás ideje vonatkozásában. Egy ilyen tanúsítási rendszernek dinamikusnak kell lennie, mivel a biztonság egy olyan folyamat, amely állandó fejlesztést igényel;

•  Az Ügynökségnek iránymutatások révén és a bevált gyakorlatok megosztásával könnyebbé és olcsóbbá kell tenni az ikt-termékek gyártói számára a megtervezett biztonsági elvek végrehajtását;

•  Az Ügynökségnek az uniós intézmények, szervek, hivatalok és ügynökségek, valamint a tagállamok kérésére rendszeres megelőző információbiztonsági ellenőrzéseket kell végeznie a kritikus infrastruktúrák esetében (ellenőrzéshez való jog);

•  Az Ügynökségnek haladéktalanul jelentenie kell a nyilvánosan még nem ismert informatikai biztonsági sérülékenységeket a gyártóknak. Az Ügynökség nem tusolhatja el vagy használhatja ki saját céljaira a vállalkozások és termékek még nyilvánosságra nem hozott sérülékenységeit. A kormányzati szervek a polgárok biztonságát teszik kockára, ha informatikai rendszerekben az adófizetők pénzéből kiskapukat alakítanak ki, vásárolnak meg és használnak ki. A többi érdekelt fél védelme érdekében, akik felelősen kezelik az ilyen sérülékenységeket, az Ügynökségnek szakpolitikai javaslatot kell tennie a felelős adatcserére a „zéró napokról” és más, a nyilvánosság előtt még nem ismert biztonsági sebezhetőségekről, és meg kell könnyítenie azok felszámolását;

•  Annak lehetővé tétele érdekében, hogy az EU felzárkózzon a harmadik országok informatikai biztonsági iparához, az Ügynökségnek ki kell alakítania és el kell indítania egy hosszú távú uniós informatikai biztonsági projektet, amelynek léptéke hasonló az Airbus-projekthez a légi közlekedési ágazatban;

A bizottsági javaslatnak kerülnie kellene a „kiberbiztonság” kifejezés használatát, amely jogilag homályos és bizonytalanságot szülhet. Az előadó a jogbiztonság javítása érdekében a „kiberbiztonság” helyett inkább az „információbiztonság” használatát javasolja.

MÓDOSÍTÁSOK

Az Állampolgári Jogi, Bel- és Igazságügyi Bizottság felkéri az Ipari, Kutatási és Energiaügyi Bizottságot mint illetékes bizottságot, hogy vegye figyelembe az alábbi módosításokat:

Módosítás    1

Rendeletre irányuló javaslat

Cím

A Bizottság által javasolt szöveg

Módosítás

AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

az ENISA-ról, az „Európai Uniós Kiberbiztonsági Ügynökségről”, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról („kiberbiztonsági jogszabály”)

az ENISA-ról, az „Európai Hálózat- és Információbiztonsági Ügynökségről”, az 526/2013/EU rendelet hatályon kívül helyezéséről, valamint az információs és kommunikációs technológiák biztonsági tanúsításáról („informatikai biztonsági jogszabály”)

 

(Ez a módosítás az egész szövegre érvényes.)

Indokolás

A „kiber-” előtag a ’60-as évek science-fiction irodalmából származik, és egyre inkább az internet negatív aspektusai (kibertámadás, kiberbűncselekmény stb.) vonatkozásában használják, azonban jelentése jogilag rendkívül homályos. Az előadó a jogbiztonság javítása érdekében a „kiberbiztonság” helyett az „informatikai biztonság” használatát javasolja.

Módosítás    2

Rendeletre irányuló javaslat

2 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, kiberbiztonsági szempontból nem teljesen megbízhatók. A tanúsítás korlátozott használata következtében így sem az intézményi, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek és -szolgáltatások kiberbiztonsági jellemzőiről, ami a digitális megoldásokba vetett bizalom megrendüléséhez vezethet.

(2)  A hálózati és információs rendszerek használata szerte az EU-ban széles körben elterjedt, mind a magánszemélyek, mind a vállalkozások, mind pedig a közigazgatási szervek körében. Folyamatosan nő azoknak a termékeknek és szolgáltatásoknak a száma, amelyek alapvető jellemzői a digitalizálás és a hálózatba rendeződés, és a dolgok internete is egyre elterjedtebbé válik, így a következő évtizedben várhatóan több millió, ha nem több milliárd összekapcsolt digitális eszközt fognak az EU-ban használatba venni. Egyre több berendezés kapcsolódik az internethez, de mivel ezen eszközök alapértelmezetten nincsenek megfelelő biztonsági és ellenálló képességi szintet biztosító elemekkel ellátva, az informatikai biztonság szintje nem lesz megfelelő. A tanúsítás korlátozott és széttagolt használata következtében így sem a szervezetek, sem a magánfelhasználók nem rendelkeznek kellő információval az IKT-termékek és -szolgáltatások informatikai biztonsági jellemzőiről, ami a digitális megoldásokba vetett bizalom megrendüléséhez vezethet. Az ikt-hálózatok biztosítják a polgárok életének minden aspektusát megkönnyítő és az európai gazdasági növekedés hajtóerejének számító digitális termékek és szolgáltatások gerincét. Annak biztosítása érdekében, hogy a digitális egységes piac célkitűzései maradéktalanul megvalósuljanak, be kell vezetni azokat a létfontosságú technológiai alapelemeket, amelyekre az olyan fontos területek, mint az e-egészségügy, a dolgok internete, a mesterséges intelligencia, a kvantumtechnológia, valamint az intelligens közlekedési és a korszerű gyártási rendszerek támaszkodnak.

Módosítás    3

Rendeletre irányuló javaslat

4 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, a kiberbiztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU kiberbiztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

(4)  Egyre gyakoribbak a kibertámadások, és az összekapcsoltság következtében a kiberfenyegetéseknek és -támadásoknak egyre kiszolgáltatottabbá váló gazdaság és társadalom fokozottabb és nagyobb biztonságot nyújtó védelmet igényel. Míg a kibertámadások általában nem ismernek országhatárokat, az informatikai biztonsági hatóságok szakpolitikai válaszintézkedései, akárcsak a bűnüldözési hatáskörök, túlnyomórészt nemzeti szintűek. A nagyszabású kiberbiztonsági események az egész EU-ban megzavarhatják a legalapvetőbb szolgáltatások nyújtását. Ezért hatékony uniós szintű reagálásra és válságkezelésre van szükség, melynek alapját célirányos szakpolitikai intézkedések és az európai szolidaritást és kölcsönös segítségnyújtást szolgáló gazdagabb eszköztárnak kell képeznie. Ennek megfelelően a politika formálói, a gazdasági élet szereplői és a felhasználók számára egyaránt fontos, hogy megbízható uniós adatok alapján rendszeres értékelés készüljön az EU informatikai biztonságának és ellenálló képességének mindenkori helyzetéről, továbbá szisztematikus legyen a jövőben várható fejlemények, kihívások és fenyegetések előrejelzése uniós és globális szinten egyaránt.

Módosítás    4

Rendeletre irányuló javaslat

5 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(5)  Az Unió előtt álló egyre nagyobb kiberbiztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Idetartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt a tagállamok, illetve az uniós intézmények, hivatalok és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére. További erőfeszítésekre van szükség annak érdekében is, hogy a magánszemélyek és a vállalkozások jobban tisztában legyenek a kiberbiztonsági kérdésekkel. Emellett a digitális egységes piacba vetett bizalmat is növelni kell azáltal, hogy az IKT-termékek és -szolgáltatások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő tanúsítással, amely valamennyi tagállam piacán, minden ágazatban közös kiberbiztonsági követelményeket és értékelési kritériumokat biztosít.

(5)  Az Unió előtt álló egyre nagyobb informatikai biztonsági kihívások leküzdéséhez átfogó intézkedéscsomagra van szükség, amely a korábbi uniós fellépésekre épül, és előmozdítja az egymást kölcsönösen erősítő célkitűzéseket. Idetartozik az is, hogy fokozni kell a tagállamok és a vállalkozások képességeit és felkészültségét, valamint javítani kell az együttműködést és a koordinációt a tagállamok, illetve az uniós intézmények, hivatalok és szervek között. Továbbá, tekintettel a kiberfenyegetések határok nélküli jellegére, a tagállami intézkedések kiegészítése céljával fokozni kell az uniós szintű képességeket, különösen a több országot érintő nagyszabású kiberbiztonsági események és válságok esetére. További erőfeszítésekre van szükség annak érdekében is, hogy koordinált uniós válasz szülessen, valamint hogy a magánszemélyek és a vállalkozások jobban tisztában legyenek az informatikai biztonsági kérdésekkel. Emellett a digitális egységes piacba vetett bizalmat is növelni kell azáltal, hogy az IKT-termékek és -szolgáltatások biztonsági szintjéről átlátható információkat bocsátanak rendelkezésre. Ezt a célt könnyebben el lehet érni az egész EU-ra kiterjedő tanúsítással, amely valamennyi tagállam piacán, minden ágazatban közös informatikai biztonságikövetelményeket és értékelési kritériumokat biztosít. Az egész EU-ra kiterjedő tanúsításon kívül számos önkéntes intézkedést fogadtak el széles körben a piacon a termék, a szolgáltatás, a felhasználás vagy a szabvány függvényében. Ezeket az intézkedéseket, valamint az iparági alulról felfelé építkező megközelítést – ideértve a biztonsági szempontok szerinti tervezést, a támogatásokat és a nemzetközi szabványokhoz való hozzájárulást – ösztönözni kell.

Módosítás    5

Rendeletre irányuló javaslat

7 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(7)  Az Európai Unió már eddig is fontos lépéseket tett a kiberbiztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió kiberbiztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései gyanánt az Unió 2016-ban elfogadta az első kiberbiztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv nemzeti képességekre vonatkozó követelményeket határozott meg a kiberbiztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű kiberbiztonság elérésének általános céljához.

(7)  Az Európai Unió már eddig is fontos lépéseket tett az informatikai biztonság és a digitális technológiákba vetett bizalom növelése érdekében. 2013-ban uniós szintű kiberbiztonsági stratégia elfogadására került sor, amely irányt szabott az Unió informatikai biztonsági fenyegetésekre és kockázatokra adott politikai válaszlépései kidolgozásának. Az európaiak online védelmének javítása érdekében tett erőfeszítései gyanánt az Unió 2016-ban elfogadta az első informatikai biztonsági jogalkotási aktust, a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 irányelvet (a továbbiakban: kiberbiztonsági irányelv). A kiberbiztonsági irányelv megvalósítja a digitális egységes piaci stratégiát, és egyéb eszközökkel együtt, mint például az [Európai Elektronikus Hírközlési Kódexet létrehozó] .../... irányelvvel, az (EU) 2016/679 európai parlamenti és tanácsi rendelettel1a , valamint a 2002/58/EK európai parlamenti és tanácsi irányelvvel1b együtt nemzeti képességekre vonatkozó követelményeket határozott meg az informatikai biztonság területén, kialakította az első mechanizmusokat a tagállamok közötti stratégiai és operatív együttműködés elmélyítése érdekében, és a biztonsági intézkedésekre és a biztonsági események bejelentésére vonatkozó kötelezettségeket vezetett be a gazdaság és a társadalom számára létfontosságú területeken, mint például az energia, a közlekedés, a vízellátás, a banki szolgáltatások, a pénzügyi piaci infrastruktúrák, az egészségügy, a digitális infrastruktúra, valamint a kulcsfontosságú digitális szolgáltatók (keresőprogramok, felhőalapú számítástechnikai szolgáltatások, online piacterek). Az ENISA kulcsfontosságú szerepet kapott ezen irányelv végrehajtásának támogatásában. Emellett a kiberbűnözés elleni hatékony küzdelem az európai biztonsági stratégiában is kiemelt fontosságot élvez, hiszen hozzájárul a magas szintű informatikai biztonság elérésének általános céljához.

 

_______________

 

1a Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

 

1b Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).

Módosítás    6

Rendeletre irányuló javaslat

8 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(8)  Ismert tény, hogy a 2013-as uniós kiberbiztonsági stratégia elfogadása és az Ügynökség megbízatásának legutóbbi felülvizsgálata óta az általános politikai kontextus jelentősen megváltozott, a még bizonytalanabb és kevésbé biztonságos globális környezet következtében is. Ezért az új uniós kiberbiztonsági politika keretében felül kell vizsgálni az ENISA megbízatását a megváltozott kiberbiztonsági ökoszisztémában betöltött szerepének meghatározása érdekében, és biztosítani kell, hogy hatékonyan hozzájáruljon a radikálisan új fenyegetésekből fakadó kiberbiztonsági kihívásokra adott uniós reagáláshoz, hiszen ehhez, amint az az Ügynökség értékeléséből is kiderült, jelenlegi megbízatása nem elegendő.

(8)  Ismert tény, hogy a 2013-as uniós kiberbiztonsági stratégia elfogadása és az Ügynökség megbízatásának legutóbbi felülvizsgálata óta az általános politikai kontextus jelentősen megváltozott, a még bizonytalanabb és kevésbé biztonságos globális környezet következtében is. Ezért az új uniós informatikai biztonsági politika keretében felül kell vizsgálni az ENISA megbízatását a megváltozott informatikai biztonsági ökoszisztémában betöltött szerepének meghatározása érdekében, és biztosítani kell, hogy vezető szerepet töltsön be, amellyel hatékonyan javítja a radikálisan új fenyegetésekből fakadó informatikai biztonsági kihívásokra adott uniós reagálást, hiszen ehhez, amint az az Ügynökség értékeléséből is kiderült, jelenlegi megbízatása nem elegendő.

Módosítás    7

Rendeletre irányuló javaslat

11 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(11)  Tekintettel az Unió előtt álló, egyre fokozódó kiberbiztonsági kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek kötelékében betöltött kulcsfontosságú szerepének.

(11)  Tekintettel az Unió előtt álló, egyre fokozódó informatikai biztonsági kihívásokra, növelni kell az Ügynökség számára elkülönített pénzügyi és emberi erőforrásokat annak érdekében, hogy azok mértéke megfeleljen az Ügynökség kiemelt szerepének, feladatainak és az európai digitális ökoszisztémát védő szervezetek kötelékében betöltött kulcsfontosságú szerepének. Megfelelően figyelembe kell venni az Ügynökség kapacitásának további fejlesztését.

Indokolás

Elengedhetetlen, hogy foglalkozzunk az Ügynökség kapacitáshiányával. Törekednünk kell az Ügynökség további fejlesztésére, figyelembe véve, hogy mennyire fontos napjainkban a kiberbiztonság, és még inkább azt, hogy mennyire fontos lesz „holnap”. Itt jegyezzük meg a választásokba történő orosz beavatkozást, a világ szuperhatalmai és államai kapacitásának növekedését, valamint a jelentős iparágak elkerülhetetlen digitalizálódását.

Módosítás    8

Rendeletre irányuló javaslat

11 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(11a)  Az informatikai biztonság kihívásai a digitális korban gyakran összekapcsolódnak az adatvédelmi kihívásokkal, a magánélet védelmével, valamint az elektronikus kommunikáció védelmével. Annak érdekében, hogy az Ügynökség megfelelően kezelhesse ezeket a kihívásokat, szoros együttműködésre és gyakori konzultációra van szükség a 45/2001/EK európai parlamenti és tanácsi rendeletben1a, az (EU) 2016/679 rendeletben, az (EU) 2016/680 irányelvben, valamint az 1211/2009/EK rendeletben létrehozott szervekkel, valamint az iparági szereplőkkel és a civil társadalommal.

 

________________

 

1a Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.).

Módosítás    9

Rendeletre irányuló javaslat

12 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel és hivatalokkal, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie. Ezenkívül a magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Feladatainak leírásával meg kell határozni, hogy az Ügynökségnek hogyan kell céljait elérnie, de egyben rugalmasságot is biztosítani kell működéséhez.

(12)  Az Ügynökségnek magas szintű szakértelmet kell kialakítania és fenntartania, és olyan hivatkozási alapként kell működnie, amely függetlensége, az általa nyújtott tanácsok és az általa terjesztett információk minősége, eljárásainak és működési módszereinek átláthatósága, valamint a feladatai ellátásában tanúsított gondossága révén bizalmat kelt az egységes piac iránt. Az Ügynökségnek proaktívan hozzá kell járulnia a nemzeti és uniós erőfeszítésekhez, és feladatait az uniós intézményekkel, szervekkel és hivatalokkal, valamint a tagállamokkal teljes körű együttműködés keretében kell végeznie. Ezenkívül a magánszektorral, valamint a többi érintett érdekelt féllel is együtt kell működnie, és a tőlük kapott észrevételeket is figyelembe kell vennie. Egyértelmű menetrendet kell meghatározni és világosan rögzíteni kell az Ügynökség által teljesítendő feladatokat és célokat, megfelelően figyelembe véve a működéséhez szükséges rugalmasságot is. Lehetőség szerint mindenhol a lehető legnagyobb átláthatóságot és információterjesztést kell biztosítani.

Módosítás    10

Rendeletre irányuló javaslat

14 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(14)  Az Ügynökség alapvető feladata, hogy elősegítse az idevágó jogi keretrendszer következetes végrehajtását, különösen a kiberbiztonsági irányelv eredményes alkalmazását, ami alapvető fontosságú a kibertámadásokkal szembeni ellenálló képesség javításához. Tekintettel a kiberbiztonsági fenyegetések gyorsan változó természetére, egyértelmű, hogy a tagállamokat több szakpolitikai területet is felölelő, átfogóbb megközelítéssel kell támogatni a kibertámadásokkal szembeni ellenálló képességük kialakítása érdekében.

(14)  Az Ügynökség alapvető feladata, hogy elősegítse az idevágó jogi keretrendszer következetes végrehajtását, különösen a kiberbiztonsági irányelv, az [Európai Elektronikus Hírközlési Kódexet létrehozó] .../... irányelv, az (EU) 2016/679 rendelet, valamint a 2002/58/EK irányelv eredményes alkalmazását, ami alapvető fontosságú a kibertámadásokkal szembeni ellenálló képesség javításához. Tekintettel az informatikai biztonsági fenyegetések gyorsan változó természetére, egyértelmű, hogy a tagállamokat több szakpolitikai területet is felölelő, átfogóbb megközelítéssel kell támogatni a kibertámadásokkal szembeni ellenálló képességük kialakítása érdekében.

Módosítás    11

Rendeletre irányuló javaslat

21 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(21a)  A Bizottságnak javaslatot kell tennie a tagállamok kötelező együttműködésére a kritikus információs infrastruktúrák védelme tekintetében.

Módosítás    12

Rendeletre irányuló javaslat

26 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(26)  A kiberbiztonság területén jelentkező kihívások jobb megértése érdekében, valamint a tagállamoknak és az uniós intézményeknek nyújtott hosszú távú stratégiai tanácsadás céljából az Ügynökségnek elemeznie kell mind a már ismert, mind az új keletű kockázatokat. E célból az Ügynökségnek a tagállamokkal és adott esetben a statisztikai hivatalokkal és más szervekkel együttműködésben össze kell gyűjtenie a releváns információkat, elemzéseket kell készítenie az új technológiákról, valamint tematikus értékeléseket kell végeznie a technológiai innovációknak a hálózat- és információbiztonságra, azon belül is különösen a kiberbiztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól. Az Ügynökségnek továbbá a fenyegetések és biztonsági események elemzésével támogatnia kell a tagállamokat és az uniós intézményeket, hivatalokat és szerveket az új tendenciák azonosításában és a kiberbiztonsággal kapcsolatos problémák megelőzésében.

(26)  Az informatikai biztonság területén jelentkező kihívások jobb megértése érdekében, valamint a tagállamoknak és az uniós intézményeknek nyújtott hosszú távú stratégiai tanácsadás céljából az Ügynökségnek elemeznie kell mind a már ismert, mind az új keletű kockázatokat, biztonsági eseményeket és sebezhetőségeket. E célból az Ügynökségnek a tagállamokkal és adott esetben a statisztikai hivatalokkal és más szervekkel együttműködésben össze kell gyűjtenie a releváns információkat, elemzéseket kell készítenie az új technológiákról, valamint tematikus értékeléseket kell végeznie a technológiai innovációknak a hálózat- és információbiztonságra, azon belül is különösen az informatikai biztonságra gyakorolt várható társadalmi, jogi, gazdasági és szabályozási hatásairól. Az Ügynökségnek továbbá a fenyegetések, a biztonsági események és a sebezhetőségek elemzésével támogatnia kell a tagállamokat és az uniós intézményeket, hivatalokat és szerveket az új tendenciák azonosításában és az informatikai biztonsággal kapcsolatos problémák megelőzésében.

Módosítás    13

Rendeletre irányuló javaslat

28 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(28)  Az Ügynökségnek hozzá kell járulnia a kiberbiztonsági kockázatokkal kapcsolatos tudatosság növeléséhez, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az egyéni felhasználók és szervezetek szintjén azáltal is hozzá kell járulnia a bevált módszerek és megoldások előmozdításához, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket készít abból a célból, hogy útmutatást nyújtson a vállalkozások és a magánszemélyek számára, valamint javítsa a felkészültség és az ellenálló képesség általános szintjét. Emellett a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal folytatott együttműködésben rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében, melyek célja a biztonságosabb egyéni online magatartásformák elősegítése, valamint a virtuális térben potenciálisan jelenlévő veszélyek tudatosítása – ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat is magában foglaló kiberbűnözést is –, továbbá az alapvető hitelesítési és adatvédelmi tanácsadás nyújtása. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében.

(28)  Az Ügynökségnek hozzá kell járulnia az informatikai biztonsági kockázatokkal kapcsolatos tudatosság növeléséhez, és magánszemélyeknek és szervezeteknek címzett, egyedi felhasználói iránymutatást kell nyújtania a már bevált módszerekkel kapcsolatban. Az általános felkészültség és ellenálló képesség javítása érdekében az Ügynökségnek az egyéni felhasználók és szervezetek szintjén azáltal is hozzá kell járulnia a bevált módszerek és megoldások előmozdításához, hogy összegyűjti és elemzi a jelentős biztonsági eseményekre vonatkozó, nyilvánosan elérhető információkat, valamint jelentéseket készít abból a célból, hogy útmutatást nyújtson a vállalkozások, a magánszemélyek és a releváns uniós és nemzeti szintű hatóságok számára. Emellett a tagállamokkal és az uniós intézményekkel, szervekkel és hivatalokkal folytatott együttműködésben rendszeresen kampányokat kell szerveznie a végfelhasználók tájékoztatása és oktatása érdekében. Ezen kampányok célja az informatikai biztonsággal kapcsolatos oktatás és a biztonságosabb egyéni online magatartásformák elősegítése, valamint a virtuális térben potenciálisan jelenlévő veszélyek tudatosítása – ideértve az adathalászatot, a botneteket, a pénzügyi és banki csalásokat, valamint a hamisítást és az illegális tartalmakat is magában foglaló kiberbűnözést is –, továbbá az adatvédelem előmozdítása és az adat- és személyazonosság-lopás megelőzésére irányuló alapvető hitelesítés. Az Ügynökségnek központi szerepet kell játszania az eszközök biztonságosságával kapcsolatos végfelhasználói tudatosság minél gyorsabb növelésében.

Módosítás    14

Rendeletre irányuló javaslat

28 a preambulumbekezdés (új)

A Bizottság által javasolt szöveg

Módosítás

 

(28a)  Az Ügynökségnek tudatosítania kell a nyilvánosság körében az adatcsalási biztonsági események és lopások kockázatait, amelyek súlyosan befolyásolhatják az egyének alapvető jogait, továbbá veszélyeztethetik a jogállamiságot és a demokratikus társadalmak stabilitását, beleértve a tagállamokban lévő demokratikus folyamatokat is.

Módosítás    15

Rendeletre irányuló javaslat

30 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(30)  Célkitűzéseinek maradéktalan elérése érdekében az Ügynökségnek kapcsolatot kell kialakítania a megfelelő intézményekkel, hivatalokkal és szervekkel, többek között a CERT-EU-val, az Europol keretében működő Számítástechnikai Bűnözés Elleni Európai Központtal (EC3), az Európai Védelmi Ügynökséggel (EDA), a nagy méretű informatikai rendszerek operatív irányításával foglalkozó európai ügynökséggel (eu-LISA), az Európai Repülésbiztonsági Ügynökséggel (EASA) és a kiberbiztonságban érintett bármely más uniós ügynökségekkel. Kapcsolatot kell fenntartania továbbá az adatvédelmi hatóságokkal is a szakismeretek és a bevált módszerek megosztása érdekében, valamint azért, hogy tanácsokat tudjon adni a kiberbiztonság azon vonatkozásaival kapcsolatban, amelyek hatással lehetnek a hatóságok munkájára. A nemzeti és uniós bűnüldöző és adatvédelmi hatóságok képviselőinek lehetőséget kell biztosítani arra, hogy képviseltessék magukat az Ügynökséghez tartozó érdekeltek állandó csoportjában. Az Ügynökségnek a bűnüldözési szervekkel a munkájukra esetlegesen hatást gyakorló hálózat- és információbiztonsági kérdésekre vonatkozóan folytatott együttműködés során tiszteletben kell tartania a meglévő információs csatornákat és a létező hálózatokat.

(30)  Célkitűzéseinek maradéktalan elérése érdekében az Ügynökségnek kapcsolatot kell kialakítania a megfelelő intézményekkel, hivatalokkal és szervekkel, többek között a CERT-EU-val, az Europol keretében működő Számítástechnikai Bűnözés Elleni Európai Központtal (EC3), az Európai Védelmi Ügynökséggel (EDA), a nagy méretű informatikai rendszerek operatív irányításával foglalkozó európai ügynökséggel (eu-LISA), az Európai Repülésbiztonsági Ügynökséggel (EASA), az Európai GNSS Ügynökséggel (GSA) és az informatikai biztonságban érintett bármely más uniós ügynökségekkel. Kapcsolatot kell fenntartania továbbá az európai és nemzeti adatvédelmi hatóságokkal is a szakismeretek és a bevált módszerek megosztása érdekében, valamint azért, hogy tanácsokat tudjon adni az informatikai biztonság azon vonatkozásaival kapcsolatban, amelyek hatással lehetnek a hatóságok munkájára. A nemzeti és uniós bűnüldöző és adatvédelmi hatóságok képviselőinek lehetőséget kell biztosítani arra, hogy képviseltessék magukat az Ügynökséghez tartozó érdekeltek állandó csoportjában. Az Ügynökségnek a bűnüldözési szervekkel a munkájukra esetlegesen hatást gyakorló hálózat- és információbiztonsági kérdésekre vonatkozóan folytatott együttműködés során tiszteletben kell tartania a meglévő információs csatornákat és a létező hálózatokat.

Indokolás

Mivel a Galileo kiberbiztonsági kérdéseket vet fel, különösen a földi szegmensei vonatkozásában, a GNSS Ügynökséggel történő együttműködés erősíti az ENISA szerepét, miközben növeli a Galileo hitelességét.

Módosítás    16

Rendeletre irányuló javaslat

35 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat és a szolgáltatókat általános biztonsági előírásaik javítására, hogy minden internetfelhasználó megtehesse a személyes kiberbiztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg a kiberbiztonsági szabványoknak. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások kiberbiztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat és a gyártókat szolgáltatásaik és termékeik biztonságának fokozására – ideértve a kiberbiztonságot is – szólítja fel.

(35)  Az Ügynökségnek ösztönöznie kell a tagállamokat, a hardver- és szoftvergyártókat, valamint az ikt- és online szolgáltatókat általános biztonsági előírásaik javítására, hogy minden internetfelhasználó megtehesse a személyes informatikai biztonságához szükséges lépéseket. Különösen fontos, hogy a szolgáltatók és a termékek gyártói visszavonják vagy újrahasznosítsák azokat a termékeket és szolgáltatásokat, amelyek nem felelnek meg az informatikai biztonsági szabványoknak. Az ENISA az illetékes hatóságokkal együttműködve tájékoztatást adhat a belső piacon kínált termékek és szolgáltatások informatikai biztonsági szintjéről, és figyelmeztetéseket is kiadhat, amelyekben a szolgáltatókat és a gyártókat szolgáltatásaik és termékeik informatikai biztonságának fokozására szólítja fel. Az Ügynökségnek együtt kell működnie az érdekelt felekkel egy, az egész Unióra kiterjedő megközelítés létrehozása érdekében a sebezhetőségek felelős nyilvánosságra hozatala tekintetében, előmozdítva a bevált gyakorlatokat ezen a területen.

Módosítás    17

Rendeletre irányuló javaslat

44 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(44)  A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek állandó csoportját. Az érdekeltek állandó csoportjának, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül a legfontosabb a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában megfelelő módon képviselve legyenek.

(44)  A magánszektorral, a fogyasztói szervezetekkel és más érdekeltekkel való rendszeres párbeszéd biztosítása céljából az Ügynökségen belül tanácsadó szervként indokolt létrehozni az érdekeltek állandó csoportját. Az érdekeltek állandó csoportjának, amelyet az ügyvezető igazgató javaslata alapján az igazgatótanács állít fel, az a feladata, hogy az érdekeltek számára fontos kérdésekre összpontosítson, illetve felhívja az Ügynökség figyelmét ezekre. Az érdekeltek állandó csoportjának összetételét és a csoportra bízott feladatokat, melyek közül a legfontosabb a munkaprogram-tervezet véleményezése, úgy kell meghatározni, hogy az érdekelt felek az Ügynökség munkájában megfelelő módon képviselve legyenek. Tekintettel a dolgok internetébe fektetett bizalom biztosítását célzó tanúsítási követelmények fontosságára, a Bizottságnak kifejezetten mérlegelnie kell olyan intézkedések végrehajtását, amelyek biztosítják az egész EU-ra kiterjedő biztonsági szabványok harmonizálását a dolgok internetével kapcsolatos eszközök számára.

Módosítás    18

Rendeletre irányuló javaslat

50 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(50)  Jelenleg az IKT-termékek és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák a kiberbiztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti kiberbiztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. A vállalatoknak így működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket és szolgáltatásaikat, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális kiberbiztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a biztonsági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak.

(50)  Jelenleg az IKT-termékek és -szolgáltatások esetében csak korlátozott mértékben alkalmazzák az informatikai biztonsági tanúsítást. Ha igen, akkor is főként tagállami szinten vagy az ágazat kezdeményezésére kialakított rendszerek keretében kerül sor erre. A valamely nemzeti informatikai biztonsági hatóság által kiadott tanúsítványt tehát főszabály szerint a többi tagállam nem ismeri el. A vállalatoknak így működésük helye szerint több tagállamban is tanúsíttatniuk kell termékeiket és szolgáltatásaikat, ha például nemzeti közbeszerzési eljárásokban kívánnak részt venni, ami további költségeket róhat a vállalkozásokra. Mindemellett, míg egyre újabb és újabb rendszerek jönnek létre, a horizontális informatikai biztonsági kérdések tekintetében – például a dolgok internetét illetően – nincs egységes és holisztikus megközelítés. A meglévő rendszerek az érintett termékek köre, a biztonsági szintek, az alapvető kritériumok és a gyakorlati felhasználás tekintetében jelentős hiányosságokat és különbségeket mutatnak. Eseti megközelítésre van szükség annak biztosítása érdekében, hogy a szolgáltatások és a termékek megfelelő tanúsítási rendszerek hatálya alá tartozzanak. Ezenkívül kockázatalapú megközelítésre van szükség a kockázatok hatékony azonosítása és mérséklése, valamint annak elkerülése érdekében, hogy a gyártóknak túl nagy költségei legyenek.

Módosítás    19

Rendeletre irányuló javaslat

52 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(52)  A fentiek alapján szükségesnek mutatkozik egy olyan európai kiberbiztonsági tanúsítási keretrendszer létrehozása, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai kiberbiztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymással átfedő nemzeti kiberbiztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. A rendszereknek megkülönböztetésmentesnek kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

(52)  A fentiek alapján szükségesnek mutatkozik egy olyan harmonizált európai informatikai biztonsági tanúsítási keretrendszer létrehozása, amely megállapítja, hogy milyen fő horizontális követelményeket kell kidolgozni az európai informatikai biztonsági tanúsítási rendszerekre vonatkozóan, és lehetővé teszi az IKT-termékek és -szolgáltatások tanúsítványainak valamennyi tagállamban történő elismerését és használatát. Az európai keretrendszernek kettős célt kell szolgálnia: egyrészt növelnie kell az ilyen rendszerek alapján tanúsított IKT-termékek és -szolgáltatások iránti bizalmat. Másrészt az is célja, hogy ne legyenek egymásnak ellentmondó vagy egymással átfedő nemzeti informatikai biztonsági tanúsítványok, vagyis csökkenjenek a digitális egységes piacon működő vállalkozások költségei. A rendszereknek megkülönböztetésmentesnek kell lenniük, és nemzetközi és/vagy uniós szabványokon kell alapulniuk, kivéve, ha ezek a szabványok nem hatékonyak vagy nem alkalmasak az EU e tekintetben kitűzött legitim céljainak teljesítésére.

Módosítás    20

Rendeletre irányuló javaslat

55 preambulumbekezdés

A Bizottság által javasolt szöveg

Módosítás

(55)  Az európai kiberbiztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek és -szolgáltatások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott biztonsági szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék és -szolgáltatás vonatkozásában részletesen meghatározni a kiberbiztonsági követelményeket. Az IKT-termékek és -szolgáltatások, valamint a kapcsolódó kiberbiztonsági igények olyan különbözők, hogy nagyon nehéz minden eshetőségre érvényes általános kiberbiztonsági követelményeket kialakítani. Ezért a tanúsítás céljára tág és általános kiberbiztonság-fogalmat kell elfogadni, amelyet az európai kiberbiztonsági tanúsítási rendszerek kidolgozása során figyelembe veendő, egyedi kiberbiztonsági célkitűzések egészítenek ki. Az, hogy ezeket a célkitűzéseket egyes IKT-termékek és -szolgáltatások esetében hogyan kell elérni, részleteiben a Bizottság által elfogadott egyedi tanúsítási rendszerek szintjén kerül meghatározásra, például szabványokra vagy műszaki előírásokra való hivatkozás révén.

(55)  Az európai informatikai biztonsági tanúsítási rendszerek célja annak biztosítása, hogy az ilyen rendszerek keretében tanúsított IKT-termékek és -szolgáltatások megfeleljenek a meghatározott követelményeknek. E követelmények az olyan tevékenységekkel szembeni ellenálló képességet érintik egy adott biztonsági szinten, amelyek célja, hogy veszélyeztessék az e rendelet szerinti termékek, eljárások, szolgáltatások és rendszerek által tárolt vagy továbbított vagy feldolgozott adatok, illetve az említett termékek, eljárások, szolgáltatások és rendszerek által biztosított vagy elérhetővé tett kapcsolódó funkciók vagy szolgáltatások hozzáférhetőségét, hitelességét, sértetlenségét és titkosságát. Lehetetlenség ebben a rendeletben az összes IKT-termék és -szolgáltatás vonatkozásában részletesen meghatározni az informatikai biztonsági követelményeket. Az IKT-termékek és -szolgáltatások, valamint a kapcsolódó