VERSLAG over het voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")

  17.7.2018 - (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)) - ***I

  Commissie industrie, onderzoek en energie
  Rapporteur: Angelika Niebler
  Rapporteur voor advies (*):
  Nicola Danti, Commissie interne markt en consumentenbescherming
  (*) Medeverantwoordelijke commissie – artikel 54 van het Reglement


  Procedure : 2017/0225(COD)
  Stadium plenaire behandeling
  Documentencyclus :  
  A8-0264/2018
  Ingediende teksten :
  A8-0264/2018
  Aangenomen teksten :

  ONTWERPWETGEVINGSRESOLUTIE VAN HET EUROPEES PARLEMENT

  over het voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")

  (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

  (Gewone wetgevingsprocedure: eerste lezing)

  Het Europees Parlement,

  –  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2017)0477),

  –  gezien artikel 294, lid 2, en artikel 114 van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C8-0310/2017),

  –  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

  –  gezien het advies van het Europees Economisch en Sociaal Comité van 14 februari 2018[1],

  –  gezien artikel 59 van zijn Reglement,

  –   gezien het gemotiveerde advies dat in het kader van protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid is uitgebracht door de Franse Senaat, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

  –  gezien het verslag van de Commissie industrie, onderzoek en energie en de adviezen van de Commissie interne markt en consumentenbescherming, de Begrotingscommissie en de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (A8-0264/2018),

  1.  stelt onderstaand standpunt in eerste lezing vast;

  2.  verzoekt de Commissie om hernieuwde voorlegging aan het Parlement indien zij haar voorstel vervangt, ingrijpend wijzigt of voornemens is het ingrijpend te wijzigen;

  3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie alsmede aan de nationale parlementen.

  Amendement    1

  Voorstel voor een verordening

  Overweging 1

  Door de Commissie voorgestelde tekst

  Amendement

  (1)  Netwerk- en informatiesystemen alsmede telecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie vormt de basis van de complexe systemen die maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

  (1)  Netwerk- en informatiesystemen alsmede telecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) vormt de basis van de complexe systemen die dagelijkse maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

  Amendement    2

  Voorstel voor een verordening

  Overweging 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in deze context toe dat gebruikers binnen organisaties en afzonderlijke gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen.

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in deze context toe dat gebruikers binnen organisaties en afzonderlijke gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten, -processen en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen. Deze ambitie staat centraal binnen de hervormingsagenda van de Europese Commissie voor de verwezenlijking van een digitale eengemaakte markt, aangezien ICT-netwerken de ruggengraat vormen van digitale producten en diensten die het potentieel hebben om alle aspecten van onze levens te ondersteunen en economische groei in Europa aan te jagen. Om ervoor te zorgen dat de doelstellingen van de digitale eengemaakte markt volledig worden behaald, moeten de essentiële technologische bouwstenen waarop belangrijke gebieden zoals e-gezondheid, het internet der dingen, kunstmatige intelligentie, kwantumtechnologie en intelligente vervoerssystemen zijn gebaseerd, aanwezig zijn.

  Amendement    3

  Voorstel voor een verordening

  Overweging 3

  Door de Commissie voorgestelde tekst

  Amendement

  (3)  De toenemende digitalisering en connectiviteit leiden tot grotere risico’s op het gebied van cyberbeveiliging, waardoor de maatschappij in het algemeen kwetsbaarder wordt voor cyberdreigingen en waardoor individuen, waaronder kwetsbare personen zoals kinderen, met steeds ernstigere gevaren worden geconfronteerd. Om dit risico voor de samenleving te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de EU te versterken en netwerk- en informatiesystemen, telecommunicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, overheden en bedrijven – van het mkb tot exploitanten van kritieke infrastructuurvoorzieningen – beter te beschermen tegen cyberdreigingen.

  (3)  De toenemende digitalisering en connectiviteit leiden tot grotere risico’s op het gebied van cyberbeveiliging, waardoor de maatschappij in het algemeen kwetsbaarder wordt voor cyberdreigingen en waardoor individuen, waaronder kwetsbare personen zoals kinderen, met steeds ernstigere gevaren worden geconfronteerd. Om dit risico voor de samenleving te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de EU te versterken en netwerk- en informatiesystemen, telecommunicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, overheden en bedrijven – van het mkb tot exploitanten van kritieke infrastructuurvoorzieningen – beter te beschermen tegen cyberdreigingen. In dit verband is het actieplan voor digitaal onderwijs dat op 17 januari 2018 door de Europese Commissie werd gepubliceerd, met name de EU-brede bewustmakingscampagne gericht op docenten, ouders en leerlingen ter bevordering van internetveiligheid, cyberhygiëne en mediageletterdheid, een stap in de goede richting, evenals het onderwijsinitiatief voor cyberbeveiliging dat voortbouwt op het digitalecompetentiekader voor burgers om mensen in staat te stellen technologie met vertrouwen en verantwoordelijkheid te gebruiken.

  Amendement    4

  Voorstel voor een verordening

  Overweging 3 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (3 bis)  De doelstellingen en taken van het Enisa moeten verder in overeenstemming worden gebracht met de gezamenlijke mededeling wat betreft de verwijzing daarin naar de bevordering van cyberhygiëne en bewustzijn. Cyberweerbaarheid kan door de toepassing van basisbeginselen van cyberhygiëne worden bereikt.

  Amendement    5

  Voorstel voor een verordening

  Overweging 3 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (3 ter)  Het Enisa moet meer praktische ondersteuning bieden en informatie verstrekken aan de cyberveiligheidssector van de Unie, en met name aan kmo's en start-ups, die belangrijke bronnen van innovatieve oplossingen op het gebied van cyberdefensie zijn, en moet nauwere samenwerking met instanties voor universiteitsonderzoek en andere belangrijke spelers bevorderen, teneinde de afhankelijkheid van externe bronnen voor cyberdefensieproducten te minimaliseren en een strategische voorzieningsketen binnen de Unie op te zetten.

  Amendement    6

  Voorstel voor een verordening

  Overweging 4

  Door de Commissie voorgestelde tekst

  Amendement

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen vraagt om betere en veiligere beschermingsmechanismen. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Er is een beduidende en toenemende behoefte aan opleidingen op het gebied van cyberdefensie en hieraan kan het best in samenwerkingsverband op het niveau van de Unie tegemoet worden gekomen. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  Amendement    7

  Voorstel voor een verordening

  Overweging 5

  Door de Commissie voorgestelde tekst

  Amendement

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van cyberbeveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moeten er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises. Er moeten meer inspanningen worden geleverd om de burgers en ondernemingen bewuster te maken van cyberbeveiligingskwesties. Tevens moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten. Dit kan mede mogelijk worden gemaakt door middel van EU-brede certificering met gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren.

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van cyberbeveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking, coördinatie en informatie-uitwisseling tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moet er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises, waarbij het belang van handhaving en verdere versterking van de nationale vermogens om cyberdreigingen van elke omvang het hoofd te bieden, moet worden benadrukt. Er moeten meer inspanningen worden geleverd om te zorgen voor een gecoördineerde EU-respons en de burgers en ondernemingen bewuster te maken van cyberbeveiligingskwesties. Aangezien cyberincidenten het vertrouwen in aanbieders van digitale diensten en de digitale eengemaakte markt zelf ondermijnen, zeker bij consumenten, moet tevens het vertrouwen in de digitale eengemaakte markt verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten, waarbij moet worden benadrukt dat zelfs een hoog niveau van cyberbeveiligingscertificering niet kan garanderen dat een ICT-product of -dienst volkomen veilig is. Dit kan mede mogelijk worden gemaakt door middel van EU-brede certificering met gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren en door cyberkennis te bevorderen. Naast EU-brede certificering en gezien de steeds grotere beschikbaarheid van hulpmiddelen inzake het internet der dingen moet de particuliere sector een reeks vrijwillige maatregelen treffen om het vertrouwen in de beveiliging van ICT-producten, -diensten en -processen te vergroten, zoals de toepassing van encryptie en blockchaintechnologieën. In de aan het Agentschap toegekende begroting moeten de uitdagingen waarmee we worden geconfronteerd evenredig tot uitdrukking komen om te zorgen voor optimale functionaliteit in de huidige omstandigheden.

  Amendement    8

  Voorstel voor een verordening

  Overweging 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (5 bis)  Ter versterking van Europese beveiligings- en cyberdefensiestructuren is het van belang dat de vermogens van de lidstaten om uitgebreid te reageren op cyberdreigingen, met inbegrip van grensoverschrijdende incidenten, worden gehandhaafd en ontwikkeld, en de coördinatie door het Agentschap op EU-niveau mag er niet toe leiden dat de lidstaten hun vermogens of inspanningen verminderen.

  Amendement    9

  Voorstel voor een verordening

  Overweging 5 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (5 ter)  Zowel bedrijven als individuele consumenten moeten beschikken over nauwkeurige informatie met betrekking tot het beveiligingsniveau van hun ICT-producten. Tegelijkertijd moet het duidelijk zijn dat geen enkel product cyberbeveiligd is en dat de basisregels van cyberhygiëne moeten worden bevorderd en geprioriteerd.

  Amendement    10

  Voorstel voor een verordening

  Overweging 7

  Door de Commissie voorgestelde tekst

  Amendement

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en risico's voor de cyberbeveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van cyberbeveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). Bij de NIS-richtlijn werden eisen vastgesteld betreffende nationale vermogens inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen.

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en risico's voor de cyberbeveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van cyberbeveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). Met de NIS-richtlijn, waarvan het succes sterkt afhangt van de doeltreffende tenuitvoerlegging door de lidstaten, werd de strategie voor de digitale eengemaakte markt uitgevoerd en werden samen met andere instrumenten, zoals de richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie, Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, eisen vastgesteld betreffende nationale vermogens inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen.

  Amendement    11

  Voorstel voor een verordening

  Overweging 8

  Door de Commissie voorgestelde tekst

  Amendement

  (8)  Erkend wordt dat de algehele beleidscontext aanzienlijk veranderd is sinds de EU-strategie inzake cyberbeveiliging in 2013 werd vastgesteld en het mandaat van het Agentschap de laatste keer werd herzien, onder meer doordat de omstandigheden wereldwijd minder zeker en minder veilig zijn geworden. In deze context en binnen het kader van het nieuwe EU-beleid inzake cyberbeveiliging moet het mandaat van het Enisa worden herzien teneinde de rol van het Enisa in het veranderde cyberbeveiligingsecosysteem te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op uitdagingen op het gebied van cyberbeveiliging die voortvloeien uit de radicaal gewijzigde cyberdreiging, waarvoor, zoals is gebleken uit de evaluatie van het Agentschap, het huidige mandaat niet toereikend is.

  (8)  Erkend wordt dat de algehele beleidscontext aanzienlijk veranderd is sinds de EU-strategie inzake cyberbeveiliging in 2013 werd vastgesteld en het mandaat van het Agentschap de laatste keer werd herzien, onder meer doordat de omstandigheden wereldwijd minder zeker en minder veilig zijn geworden. In deze context, in het licht van de positieve rol die het Agentschap al jaren speelt op het gebied van expertisebundeling, coördinatie en capaciteitsopbouw en binnen het kader van het nieuwe EU-beleid inzake cyberbeveiliging moet het mandaat van het Enisa worden herzien teneinde de rol van het Enisa in het veranderde cyberbeveiligingsecosysteem te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op uitdagingen op het gebied van cyberbeveiliging die voortvloeien uit de radicaal gewijzigde cyberdreiging, waarvoor, zoals is gebleken uit de evaluatie van het Agentschap, het huidige mandaat niet toereikend is.

  Amendement    12

  Voorstel voor een verordening

  Overweging 11

  Door de Commissie voorgestelde tekst

  Amendement

  (11)  Gezien de toenemende uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem.

  (11)  Gezien de toenemende bedreigingen en uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem, zodat het Enisa de bij deze verordening toegekende taken op doeltreffende wijze kan uitvoeren.

  Amendement    13

  Voorstel voor een verordening

  Overweging 12

  Door de Commissie voorgestelde tekst

  Amendement

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe het Agentschap zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten, en daarbij dubbel werk vermijden, synergie en complementariteit bevorderen en aldus een betere coördinatie en budgettaire besparingen verwezenlijken. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de particuliere en publieke sector en andere relevante belanghebbenden. Een duidelijke agenda en een reeks taken en doelstellingen, die duidelijk moeten worden gedefinieerd, moeten vaststellen hoe het Agentschap zijn doelstellingen moet verwezenlijken en tegelijkertijd moet voor de nodige flexibiliteit bij de uitvoering van zijn activiteiten worden gezorgd. Waar mogelijk moet de hoogste graad van transparantie en informatieverspreiding worden gehandhaafd.

  Amendement    14

  Voorstel voor een verordening

  Overweging 12 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (12 bis)  De rol van het Agentschap moet voortdurend worden geëvalueerd en tijdig worden herzien, met name zijn coördinerende rol ten opzichte van de lidstaten en hun nationale autoriteiten en de mogelijkheid om te functioneren als één loket voor lidstaten en EU-instanties en -instellingen. Ook de rol van het Agentschap in het vermijden van versplintering van de eengemaakte markt en de mogelijke invoering van verplichte regelingen voor cyberbeveiligingscertificering, als een dergelijke stap in de toekomstige situatie vereist zou zijn, moet worden beoordeeld, alsook zijn rol bij de beoordeling van producten van derde landen die in de EU op de markt komen en het zo nodig op de zwarte lijst plaatsen van bedrijven die niet aan de EU-criteria voldoen.

  Amendement    15

  Voorstel voor een verordening

  Overweging 12 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (12 ter)  Om gepaste ondersteuning aan de operationele samenwerking van de lidstaten te kunnen bieden moet het Enisa verder zijn eigen technische capaciteiten en deskundigheid versterken. Daartoe moet het Agentschap zijn met deze taak belaste personeel geleidelijk versterken zodat het verschillende soorten van een breed spectrum cyberdreigingen en malware kan verzamelen en analyseren, forensische analyses kan uitvoeren en de lidstaten kan bijstaan in de respons op grootschalige incidenten. Om overlapping van bestaande capaciteiten in de lidstaten te vermijden moet het Enisa zijn kennis en capaciteiten op basis van de bestaande, in de lidstaten aanwezige middelen verhogen, met name door nationale deskundigen bij het Agentschap te detacheren, door personeel uit te wisselen enz. Bij de selectie van personeel dat op dit gebied verantwoordelijk is, moet het Agentschap ervoor zorgen dat zij aan de passende criteria voldoen om de gepaste steun te verstrekken.

  Amendement    16

  Voorstel voor een verordening

  Overweging 13

  Door de Commissie voorgestelde tekst

  Amendement

  (13)  Het Agentschap moet de Commissie bijstaan met advies, standpunten en analyses over alle Unie-aangelegenheden in verband met de ontwikkeling van beleid en wetgeving en in verband met actualiseringen en herzieningen op het gebied van cyberbeveiliging, met inbegrip van de bescherming van kritieke infrastructuur en cyberweerbaarheid. Het Agentschap moet fungeren als referentiepunt voor advies en expertise ten behoeve van sectorspecifieke beleids- en wetgevingsinitiatieven van de EU in verband met cyberbeveiliging.

  (13)  Het Agentschap moet de Commissie bijstaan met advies, standpunten en analyses over alle Unie-aangelegenheden in verband met de ontwikkeling van beleid en wetgeving en in verband met actualiseringen en herzieningen op het gebied van cyberbeveiliging, met inbegrip van de bescherming van kritieke infrastructuur en cyberweerbaarheid. Het Agentschap moet fungeren als referentiepunt voor advies en expertise ten behoeve van sectorspecifieke beleids- en wetgevingsinitiatieven van de EU in verband met cyberbeveiliging. De expertise van het Agentschap zal met name nodig zijn bij het opstellen van het meerjarige werkprogramma van de Unie inzake de Europese regelingen voor cyberbeveiligingscertificering. Het Agentschap moet het Parlement regelmatig voorzien van updates, analyses en evaluaties op het gebied van cyberbeveiliging en de ontwikkeling van zijn taken.

  Amendement    17

  Voorstel voor een verordening

  Overweging 14

  Door de Commissie voorgestelde tekst

  Amendement

  (14)  De onderliggende taak van het Agentschap bestaat uit het bevorderen van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van de NIS-richtlijn die van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer alomvattende, beleidsoverschrijdende aanpak voor de opbouw van de cyberweerbaarheid.

  (14)  De onderliggende taak van het Agentschap bestaat uit het bevorderen van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van de NIS-richtlijn, de richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie, Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, hetgeen van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer alomvattende, beleidsoverschrijdende aanpak voor de opbouw van de cyberweerbaarheid.

  Amendement    18

  Voorstel voor een verordening

  Overweging 15

  Door de Commissie voorgestelde tekst

  Amendement

  (15)  Het Agentschap moet de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie helpen bij hun inspanningen om vermogens en paraatheid te ontwikkelen en te vergroten om problemen en incidenten op het gebied van cyberbeveiliging en in verband met de beveiliging van netwerk- en informatiesystemen te voorkomen, op te sporen en aan te pakken. Het Agentschap moet met name steun verlenen bij de ontwikkeling en versterking van de nationale CSIRT's om ervoor te zorgen dat deze in de Unie een hoog gemeenschappelijk maturiteitsniveau bereiken. Het Agentschap moet ook helpen bij het ontwikkelen en bijwerken van strategieën van de EU en de lidstaten voor de beveiliging van netwerk- en informatiesystemen, en met name voor cyberbeveiliging, alsmede de verspreiding ervan bevorderen en de voortgang van de uitvoering ervan volgen. Het Agentschap moet overheidsinstanties ook opleidingen en opleidingsmateriaal aanbieden en waar passend voorzien in opleidingen voor de opleiders teneinde de lidstaten te helpen bij de ontwikkeling van hun eigen opleidingscapaciteit.

  (15)  Het Agentschap moet de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie helpen bij hun inspanningen om vermogens en paraatheid te ontwikkelen en te vergroten om problemen en incidenten op het gebied van cyberbeveiliging en in verband met de beveiliging van netwerk- en informatiesystemen te voorkomen, op te sporen en aan te pakken. Het Agentschap moet met name steun verlenen bij de ontwikkeling en versterking van de nationale CSIRT's om ervoor te zorgen dat deze in de Unie een hoog gemeenschappelijk maturiteitsniveau bereiken. Het Agentschap moet ook helpen bij het ontwikkelen en bijwerken van strategieën van de EU en de lidstaten voor de beveiliging van netwerk- en informatiesystemen, en met name voor cyberbeveiliging, alsmede de verspreiding ervan bevorderen en de voortgang van de uitvoering ervan volgen. Aangezien menselijke fouten tot de grootste risico's voor cyberbeveiliging behoren, moet het Agentschap overheidsinstanties ook opleidingen en opleidingsmateriaal aanbieden en zo veel mogelijk voorzien in opleidingen voor de opleiders teneinde de lidstaten en de instellingen en agentschappen van de Unie te helpen bij de ontwikkeling van hun eigen opleidingscapaciteit. Het Agentschap moet ook functioneren als contactpunt voor de lidstaten en de instellingen van de Unie, die het Agentschap om hulp moeten kunnen vragen voor zover dit binnen de aan het Agentschap toegekende bevoegdheden en taken valt.

  Amendement    19

  Voorstel voor een verordening

  Overweging 18

  Door de Commissie voorgestelde tekst

  Amendement

  (18)  Het Agentschap moet nationale verslagen van de CSIRT's en CERT-EU verzamelen en analyseren, alsmede gemeenschappelijke regels, een taalregeling en terminologie voor de uitwisseling van informatie vaststellen. Het Agentschap moet verder zorgen voor betrokkenheid van de particuliere sector, binnen het kader van de NIS-richtlijn dat met de oprichting van het CSIRT-netwerk de basis heeft gelegd voor de vrijwillige uitwisseling van technische informatie op operationeel niveau.

  (18)  Het Agentschap moet nationale verslagen van de CSIRT's en CERT-EU verzamelen en analyseren, alsmede gemeenschappelijke regels, een taalregeling en terminologie voor de uitwisseling van informatie vaststellen. Het Agentschap moet verder zorgen voor betrokkenheid van de particuliere en publieke sector, binnen het kader van de NIS-richtlijn dat met de oprichting van het CSIRT-netwerk de basis heeft gelegd voor de vrijwillige uitwisseling van technische informatie op operationeel niveau.

  Amendement    20

  Voorstel voor een verordening

  Overweging 19

  Door de Commissie voorgestelde tekst

  Amendement

  (19)  Het Agentschap moet bijdragen tot een reactie op EU-niveau in het geval van grootschalige grensoverschrijdende cyberbeveiligingsincidenten en -crises. Tot deze functie behoort het vergaren van relevante informatie en het optreden als bemiddelaar tussen het CSIRT-netwerk enerzijds en de technische gemeenschap en de beleidsmakers die belast zijn met crisisbeheer anderzijds. Daarnaast kan het Agentschap vanuit technisch oogpunt ondersteuning bieden bij de aanpak van incidenten door de relevante technische uitwisseling van oplossingen tussen de lidstaten te faciliteren en input te leveren voor publieke communicatie. Het Agentschap moet het desbetreffende proces ondersteunen door de modaliteiten van een dergelijke samenwerking in het kader van jaarlijkse cyberbeveiligingsoefeningen te testen.

  (19)  Het Agentschap moet bijdragen tot een reactie op EU-niveau in het geval van grootschalige grensoverschrijdende cyberbeveiligingsincidenten en -crises. Tot deze functie behoort het bijeenroepen van de autoriteiten van de lidstaten en het verlenen van bijstand bij de coördinatie van hun reactie, het vergaren van relevante informatie en het optreden als bemiddelaar tussen het CSIRT-netwerk enerzijds en de technische gemeenschap en de beleidsmakers die belast zijn met crisisbeheer anderzijds. Daarnaast kan het Agentschap vanuit technisch oogpunt ondersteuning bieden bij de aanpak van incidenten, bijvoorbeeld door de relevante technische uitwisseling van oplossingen tussen de lidstaten te faciliteren en input te leveren voor publieke communicatie. Het Agentschap moet het desbetreffende proces ondersteunen door de modaliteiten van een dergelijke samenwerking in het kader van jaarlijkse cyberbeveiligingsoefeningen te testen. Het Agentschap moet de bevoegdheden van de lidstaten op het gebied van cyberbeveiliging eerbiedigen, in het bijzonder die welke samenhangen met openbare veiligheid, defensie, staatsveiligheid en activiteiten van de staat op het gebied van het strafrecht, eerbiedigen.

  Amendement    21

  Voorstel voor een verordening

  Overweging 25

  Door de Commissie voorgestelde tekst

  Amendement

  (25)  De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken medewerking te verlenen door het Agentschap de nodige informatie en bijstand te geven, zonder afbreuk te doen aan hun recht om commercieel gevoelige informatie te beschermen.

  (25)  De lidstaten kunnen de bij het incident betrokken ondernemingen verzoeken medewerking te verlenen door het Agentschap de nodige informatie en bijstand te geven, zonder afbreuk te doen aan hun recht om commercieel gevoelige informatie en informatie die relevant is voor de openbare veiligheid te beschermen.

  Amendement    22

  Voorstel voor een verordening

  Overweging 26

  Door de Commissie voorgestelde tekst

  Amendement

  (26)  Om de uitdagingen op het gebied van cyberbeveiliging beter te begrijpen en de lidstaten en de EU-instellingen strategisch langetermijnadvies te verstrekken, moet het Agentschap bestaande en opkomende risico's analyseren. Daartoe moet het Agentschap, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en anderen, relevante informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet het Agentschap de lidstaten en de EU-instellingen, -agentschappen en –organen door middel van dreigings- en incidentanalyse ondersteunen bij het constateren van nieuwe trends en het voorkomen van problemen in verband met cyberbeveiliging.

  (26)  Om de uitdagingen op het gebied van cyberbeveiliging beter te begrijpen en de lidstaten en de EU-instellingen strategisch langetermijnadvies te verstrekken, moet het Agentschap bestaande en opkomende risico's, incidenten, dreigingen en kwetsbaarheden analyseren. Daartoe moet het Agentschap, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en anderen, relevante informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet het Agentschap de lidstaten en de EU-instellingen, -agentschappen en –organen door middel van analyses van dreigingen, incidenten en kwetsbaarheden ondersteunen bij het constateren van nieuwe trends en het voorkomen van problemen in verband met cyberbeveiliging.

  Amendement    23

  Voorstel voor een verordening

  Overweging 27

  Door de Commissie voorgestelde tekst

  Amendement

  (27)  Om de weerbaarheid van de Unie te versterken, moet het Agentschap in staat zijn topprestaties te leveren op het gebied van de beveiliging van internetinfrastructuur kritieke infrastructuurvoorzieningen door het verstrekken van advies, richtsnoeren en beste praktijken. Met het oog op het waarborgen van gemakkelijkere toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en potentiële oplossingen, moet het Agentschap zorgen voor de ontwikkeling en instandhouding van het "informatiecentrum" van de Unie, een centraal portaal dat het publiek voorziet van informatie over cyberbeveiliging, afkomstig van de instellingen, agentschappen en organen van de EU en de lidstaten.

  (27)  Om de weerbaarheid van de Unie te versterken, moet het Agentschap in staat zijn topprestaties te leveren op het gebied van de beveiliging van internetinfrastructuur kritieke infrastructuurvoorzieningen door het verstrekken van advies, richtsnoeren en beste praktijken. Met het oog op het waarborgen van gemakkelijkere toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico’s en potentiële oplossingen, moet het Agentschap zorgen voor de ontwikkeling en instandhouding van het "informatiecentrum" van de Unie, een centraal portaal dat het publiek voorziet van informatie over cyberbeveiliging, afkomstig van de instellingen, agentschappen en organen van de EU en de lidstaten. Het vergemakkelijken van de toegang tot beter gestructureerde informatie over cyberbeveiligingsrisico's en potentiële oplossingen moet de lidstaten helpen hun capaciteiten te versterken en hun praktijken op elkaar af te stemmen, met als gevolg een algehele verhoogde weerbaarheid in het geval van cyberaanvallen.

  Amendement    24

  Voorstel voor een verordening

  Overweging 28

  Door de Commissie voorgestelde tekst

  Amendement

  (28)  Het Agentschap moet bijdragen tot de bewustmaking van het publiek omtrent de risico’s die samenhangen met cyberbeveiliging, en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties. Verder moet het Agentschap bijdragen tot de bevordering van beste praktijken en oplossingen op het niveau van individuen en organisaties door publiekelijk beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen op te stellen met het oog op het verstrekken van richtsnoeren aan bedrijven en burgers, waarbij het algemene niveau van paraatheid en weerbaarheid wordt verhoogd. Het Agentschap moet daarnaast regelmatig, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag te promoten, het publiek bewuster te maken van potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, en ook door fundamenteel authentificatie- en gegevensbeschermingsadvies te verlenen. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen.

  (28)  Het Agentschap moet bijdragen tot de bewustmaking van het publiek, onder meer door de bevordering van onderwijs, omtrent de cyberbeveiligingsrisico's en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers, organisaties en bedrijven. Verder moet het Agentschap bijdragen tot de bevordering van beste praktijken inzake cyberhygiëne, hetgeen betrekking heeft op verschillende praktijken die regelmatig moeten worden uitgevoerd en ten uitvoer gelegd om burgers en bedrijven online te beschermen, en oplossingen op het niveau van individuen, organisaties en bedrijven door publiekelijk beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen en gidsen op te stellen en te publiceren met het oog op het verstrekken van richtsnoeren aan bedrijven en burgers, waarbij het algemene niveau van paraatheid en weerbaarheid wordt verhoogd. Het Enisa moet er ook naar streven consumenten relevante informatie te verstrekken over toepasselijke certificeringsregelingen, bijvoorbeeld door richtsnoeren en aanbevelingen te verstrekken aan online- en offlinemarktplaatsen. Het Agentschap moet daarnaast regelmatig, overeenkomstig het actieplan voor digitaal onderwijs en in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag en digitale geletterdheid te promoten, het publiek bewuster te maken van potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, en ook door fundamenteel meervoudige authentificatie, patchen, encryptie, anonimisering en gegevensbeschermingsadvies te verlenen. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen en een veilig gebruik van diensten en bij het populariseren van ingebouwde beveiliging, ingebouwde privacy en incidenten en oplossingen op EU-niveau. Om dit doel te bereiken moet het Agentschap zo veel mogelijk gebruikmaken van de beschikbare beste praktijken en ervaringen, vooral van wetenschappelijke instellingen en onderzoekers op het gebied van IT-beveiliging. Aangezien individuele fouten en het ontbreken van bewustzijn van cyberbeveiligingsrisico's een belangrijke onzekere factor bij cyberbeveiliging vormen, moet het Agentschap worden voorzien van voldoende middelen om deze functie zo goed mogelijk te vervullen.

  Amendement    25

  Voorstel voor een verordening

  Overweging 28 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (28 bis)  Het Agentschap moet het publiek bewust maken van de risico's van incidenten met gegevensfraude en -diefstal, die ernstige gevolgen kunnen hebben voor de grondrechten van burgers, een bedreiging kunnen vormen voor de rechtsstaat, en de stabiliteit van democratische samenlevingen, waaronder ook democratische processen in de lidstaten, kunnen ondermijnen.

  Amendement    26

  Voorstel voor een verordening

  Overweging 30

  Door de Commissie voorgestelde tekst

  Amendement

  (30)  Om te waarborgen dat het Agentschap zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de relevante instellingen, agentschappen en organen, met inbegrip van CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, het Europees Defensieagentschap (EDA), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen (eu-LISA), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere EU-agentschapen die bij cyberbeveiliging zijn betrokken. Het moet overleggen met de autoriteiten die belast zijn met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die een effect kunnen hebben op hun werkzaamheden. De vertegenwoordigers van de wetshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de permanente groep van belanghebbenden van het Agentschap. Wanneer het Agentschap contact opneemt met wethandhavingsinstanties betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet het Agentschap de bestaande informatiekanalen en gevestigde netwerken respecteren.

  (30)  Om te waarborgen dat het Agentschap zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de relevante instellingen, toezichthoudende en andere bevoegde autoriteiten, agentschappen en organen in de EU, met inbegrip van CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, het Europees Defensieagentschap (EDA), het Europees GNSS-Agentschap (GSA), het Orgaan van Europese regelgevende instanties voor elektronische communicatie (Berec), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen (eu-LISA), de Europese Centrale Bank (ECB), de Europese Bankautoriteit (EBA), het Europees Comité voor gegevensbescherming (EDPB), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere EU-agentschappen die bij cyberbeveiliging zijn betrokken. Het moet overleggen met de Europese normalisatieorganisaties (ENO's), relevante belanghebbenden en de autoriteiten die belast zijn met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die een effect kunnen hebben op hun werkzaamheden. De vertegenwoordigers van de wetshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de adviesgroep van het Enisa. Wanneer het Agentschap contact opneemt met wethandhavingsinstanties betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet het Agentschap de bestaande informatiekanalen en gevestigde netwerken respecteren. Er moeten partnerschappen worden gesloten met academische instellingen die onderzoek verrichten binnen de betreffende gebieden, en er moeten geëigende kanalen zijn voor de input van consumentenorganisaties en andere organisaties, die altijd moet worden geanalyseerd.

  Amendement    27

  Voorstel voor een verordening

  Overweging 31

  Door de Commissie voorgestelde tekst

  Amendement

  (31)  Het Agentschap, dat als lid tevens het secretariaat van het CSIRT-netwerk verzorgt, moet de CSIRT's van de lidstaten en CERT-EU ondersteunen wat betreft de operationele samenwerking in verband met alle relevant taken van het CSIRT-netwerk, zoals vastgesteld in de NIS-richtlijn. In het geval van incidenten, aanvallen of storingen in netwerken of infrastructuurvoorzieningen die door de CSIRT's worden beheerd of beveiligd en waarbij ten minste twee CERT's betrokken zijn of kunnen zijn, moet het Agentschap bovendien de samenwerking bevorderen tussen de betrokken CSIRT's, daarbij terdege rekening houdend met de standaardwerkwijzen van het CSIRT-netwerk.

  (31)  Het Agentschap, dat als lid tevens het secretariaat van het CSIRT-netwerk verzorgt, moet de CSIRT's van de lidstaten en CERT-EU ondersteunen wat betreft de operationele samenwerking in verband met alle relevant taken van het CSIRT-netwerk, zoals vastgesteld in de NIS-richtlijn. In het geval van incidenten, aanvallen of storingen in netwerken of infrastructuurvoorzieningen die door de CSIRT's worden beheerd of beveiligd en waarbij ten minste twee CERT's betrokken zijn of kunnen zijn, moet het Agentschap bovendien de samenwerking bevorderen tussen de betrokken CSIRT's, daarbij terdege rekening houdend met de standaardwerkwijzen van het CSIRT-netwerk. Het Agentschap mag, op verzoek van de Commissie of een lidstaat, regelmatig onafhankelijke IT-beveiligingsaudits uitvoeren op kritieke grensoverschrijdende infrastructuur teneinde mogelijke risico's op te sporen en aanbevelingen te doen om de weerbaarheid van deze infrastructuur te vergroten.

  Amendement    28

  Voorstel voor een verordening

  Overweging 33

  Door de Commissie voorgestelde tekst

  Amendement

  (33)  Verder moet het Agentschap expertise op het gebied van cyberbeveiligingscertificering ontwikkelen en in stand houden met het oog op de ondersteuning van het EU-beleid op dit gebied. Het Agentschap moet het gebruik van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau, om de transparantie van de cyberbeveiligingszekerheid van ICT-producten en –diensten, en daarmee het vertrouwen in de digitale interne markt, te versterken.

  (33)  Verder moet het Agentschap expertise op het gebied van cyberbeveiligingscertificering ontwikkelen en in stand houden met het oog op de ondersteuning van het EU-beleid op dit gebied. Het Agentschap moet voortbouwen op bestaande beste praktijken en het gebruik van cyberbeveiligingscertificering binnen de Unie bevorderen, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau, om de transparantie van de cyberbeveiligingszekerheid van ICT-producten en ‑diensten, en daarmee het vertrouwen in de digitale interne markt, te versterken.

  Amendement    29

  Voorstel voor een verordening

  Overweging 35

  Door de Commissie voorgestelde tekst

  Amendement

  (35)  Het Agentschap moet de lidstaten en dienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen. Wanneer producten en diensten niet aan cyberbeveiligingsnormen voldoen, moeten dienstverleners en fabrikanten van producten deze intrekken of recyclen. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het cyberbeveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de beveiliging, waaronder de cyberbeveiliging, van hun producten en diensten te verbeteren.

  (35)  Het Agentschap moet de lidstaten, fabrikanten en dienstverleners stimuleren hun algemene veiligheidsnormen van hun ICT-producten, -processen, -diensten en -systemen die voldoen aan fundamentele beveiligingsvereisten overeenkomstig het beginsel van ingebouwde beveiliging en standaardbeveiliging, in het bijzonder door de nodige updates beschikbaar te stellen, op te voeren, zodat alle internetgebruikers kunnen worden beveiligd en gestimuleerd om de nodige stappen te ondernemen om voor hun eigen cyberbeveiliging te zorgen. Wanneer producten en diensten niet aan fundamentele cyberbeveiligingvereisten voldoen, moeten dienstverleners en fabrikanten van producten deze terugnemen, intrekken of recyclen, terwijl importeurs en distributeurs ervoor moeten zorgen dat de ICT-producten, -processen, -diensten en -systemen die zij in de EU op de markt brengen aan de toepasselijke vereisten voldoen en geen risico vormen voor Europese gebruikers. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het cyberbeveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de beveiliging, waaronder de cyberbeveiliging, van hun producten, processen, diensten en systemen te verbeteren. Het Agentschap moet samenwerken met belanghebbenden om een EU-brede aanpak voor verantwoorde bekendmaking van kwetsbaarheden te ontwikkelen en moet in dit verband beste praktijken bevorderen.

  Amendement    30

  Voorstel voor een verordening

  Overweging 36

  Door de Commissie voorgestelde tekst

  Amendement

  (36)  Het Agentschap moet ten volle rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder met de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging, en met name cyberbeveiliging.

  (36)  Het Agentschap moet ten volle rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder met de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging, en met name cyberbeveiliging. Meer specifiek moet er samenwerking met de Europese Onderzoeksraad (ERC) en het Europees Instituut voor innovatie en technologie (EIT) tot stand worden gebracht en moet onderzoek op het gebied van beveiliging worden opgenomen in het negende kaderprogramma voor onderzoek (KP9) en Horizon 2020.

  Amendement    31

  Voorstel voor een verordening

  Overweging 36 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (36 bis)  Normen zijn een vrijwillig marktgericht instrument dat technische voorschriften en een leidraad biedt en het resultaat is van een open, transparant en inclusief proces. Het Agentschap moet de Europese normalisatieorganisaties regelmatig raadplegen en nauw met hen samenwerken, met name wanneer het Europese regelingen voor cyberbeveiligingscertificering opstelt.

  Amendement    32

  Voorstel voor een verordening

  Overweging 37

  Door de Commissie voorgestelde tekst

  Amendement

  (37)  Problemen inzake cyberbeveiliging zijn wereldwijde problemen. Er is dan ook behoefte aan nauwere internationale samenwerking om de beveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen, en de informatie-uitwisseling te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te stimuleren. Daartoe moet het Agentschap een verregaandere betrokkenheid van de Unie en samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de desbetreffende instellingen, organen en instellingen van de Unie van de noodzakelijke expertise en analyses te voorzien.

  (37)  Problemen inzake cyberbeveiliging zijn wereldwijde problemen. Er is dan ook behoefte aan nauwere internationale samenwerking om de beveiligingsnormen, met inbegrip van de omschrijving van gemeenschappelijke gedragsnormen en -codes, de toepassing van internationale normen en informatie-uitwisseling, te verbeteren om snellere internationale samenwerking bij en een gemeenschappelijke wereldwijde aanpak van problemen op het gebied van netwerk- en informatiebeveiliging te stimuleren. Daartoe moet het Agentschap een verregaandere betrokkenheid van de Unie en samenwerking met derde landen en internationale organisaties ondersteunen door, voor zover van toepassing, de desbetreffende instellingen, organen en instellingen van de Unie van de noodzakelijke expertise en analyses te voorzien.

  Amendement    33

  Voorstel voor een verordening

  Overweging 40

  Door de Commissie voorgestelde tekst

  Amendement

  (40)  De raad van bestuur, die is samengesteld uit vertegenwoordigers van de lidstaten en van de Commissie, moet de algemene richting van de werkzaamheden van het Agentschap vaststellen en garanderen dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor de vaststelling van de begroting, de controle op de uitvoering ervan, de vaststelling van passende financiële regels, de opstelling van transparante werkprocedures voor besluitvorming door het Agentschap, de goedkeuring van het enig programmeringsdocument van het Agentschap, de vaststelling van zijn eigen reglement van orde, de benoeming van de uitvoerend directeur en de besluitvorming over de verlenging van de ambtstermijn van de uitvoerend directeur en de beëindiging ervan.

  (40)  De raad van bestuur, die de lidstaten en de Commissie, alsmede belanghebbenden bij de doelstellingen van het Agentschap vertegenwoordigt, moet de algemene richting van de werkzaamheden van het Agentschap vaststellen en garanderen dat het Agentschap zijn taken overeenkomstig deze verordening uitvoert. De raad van bestuur dient de noodzakelijke bevoegdheden toegewezen te krijgen voor de vaststelling van de begroting, de controle op de uitvoering ervan, de vaststelling van passende financiële regels, de opstelling van transparante werkprocedures voor besluitvorming door het Agentschap, de goedkeuring van het enig programmeringsdocument van het Agentschap, de vaststelling van zijn eigen reglement van orde, de benoeming van de uitvoerend directeur en de besluitvorming over de verlenging van de ambtstermijn van de uitvoerend directeur en de beëindiging ervan. Met het oog op de zeer technische en wetenschappelijke taken van het Agentschap moeten de leden van de raad van bestuur gepaste ervaring en uitgebreide expertise hebben op het gebied van de zaken die binnen de reikwijdte van de missie van het Agentschap vallen.

  Amendement    34

  Voorstel voor een verordening

  Overweging 41

  Door de Commissie voorgestelde tekst

  Amendement

  (41)  Omwille van de goede en doeltreffende werking van het Agentschap moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele deskundigheid en ervaring op functionele gebieden beschikken. De Commissie en de lidstaten dienen zich tevens in te spannen om het verloop onder hun respectievelijke vertegenwoordigers in de raad van bestuur te beperken om continuïteit in haar werk zeker te stellen.

  (41)  Omwille van de goede en doeltreffende werking van het Agentschap moeten de Commissie en de lidstaten erop toezien dat personen die worden benoemd tot de raad van bestuur over passende professionele deskundigheid en ervaring op functionele gebieden beschikken. De Commissie en de lidstaten dienen zich tevens in te spannen om het verloop onder hun respectievelijke vertegenwoordigers in de raad van bestuur te beperken om continuïteit in haar werk zeker te stellen. Gezien de hoge marktwaarde van de vaardigheden die nodig zijn voor de werkzaamheden van het Agentschap, moeten de salarissen en de sociale voorwaarden voor alle medewerkers van het Agentschap concurrerend zijn, zodat het voor de beste deskundigen een optie is om voor het Agentschap te gaan werken.

  Motivering

  Om het juiste niveau van deskundigheid tot stand te brengen, moet het Enisa een concurrerende werkgever zijn in een zeer concurrerende markt.

  Amendement    35

  Voorstel voor een verordening

  Overweging 42

  Door de Commissie voorgestelde tekst

  Amendement

  (42)  Voor een goede werking van het Agentschap is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en bestuurskundige vaardigheden, als van bekwaamheid en ervaring die relevant is voor cyberbeveiliging. Daarnaast dient hij zijn taken op volledig onafhankelijke wijze uit te voeren. De uitvoerend directeur moet een voorstel voor het werkprogramma van het Agentschap voorbereiden, na overleg met de Commissie, en alle nodige stappen ondernemen om de goede uitvoering van het werkprogramma van het Agentschap te garanderen. Hij moet een jaarverslag opstellen, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van het Agentschap opstellen en de begroting ten uitvoer leggen. De uitvoerend directeur moet over de mogelijkheid beschikken om adhocwerkgroepen op te richten voor specifieke kwesties, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. De uitvoerend directeur moet erop toezien dat de leden van de adhocwerkgroepen overeenkomstig de hoogste normen inzake deskundigheid worden geselecteerd, ermee rekening houdende dat, afhankelijk van de specifieke kwestie, een passend evenwicht moet worden bereikt tussen de overheidsinstanties van de lidstaten, de instellingen van de Unie, de private sector, inclusief het bedrijfsleven, de gebruikers en universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging.

  (42)  Voor een goede werking van het Agentschap is het noodzakelijk dat de uitvoerend directeur wordt benoemd op grond van zowel verdiensten en aantoonbare administratieve en bestuurskundige vaardigheden, als van bekwaamheid en ervaring die relevant is voor cyberbeveiliging. Daarnaast dient hij zijn taken op volledig onafhankelijke wijze uit te voeren. De uitvoerend directeur moet een voorstel voor het werkprogramma van het Agentschap voorbereiden, na overleg met de Commissie, en alle nodige stappen ondernemen om de goede uitvoering van het werkprogramma van het Agentschap te garanderen. Hij moet een jaarverslag opstellen, dat moet worden voorgelegd aan de raad van bestuur, een ontwerpverklaring van de geraamde inkomsten en uitgaven van het Agentschap opstellen en de begroting ten uitvoer leggen. De uitvoerend directeur moet over de mogelijkheid beschikken om adhocwerkgroepen op te richten voor specifieke kwesties, met name van wetenschappelijke, technische, juridische of sociaaleconomische aard. De uitvoerend directeur moet erop toezien dat de leden van de adhocwerkgroepen overeenkomstig de hoogste normen inzake deskundigheid worden geselecteerd, ermee rekening houdende dat, afhankelijk van de specifieke kwestie, een passend evenwicht en genderevenwicht moet worden bereikt tussen de overheidsinstanties van de lidstaten, de instellingen van de Unie, de private sector, inclusief het bedrijfsleven, de gebruikers en universitaire deskundigen op het gebied van netwerk- en informatiebeveiliging.

  Amendement    36

  Voorstel voor een verordening

  Overweging 44

  Door de Commissie voorgestelde tekst

  Amendement

  (44)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte permanente groep van belanghebbenden moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van het Agentschap.

  (44)  Het Agentschap moet beschikken over een adviesgroep van het Enisa als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties, academische instellingen en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte adviesgroep van het Enisa moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van het Agentschap. Gezien het belang van certificeringseisen om vertrouwen in het internet der dingen tot stand te brengen, zal de Commissie specifiek overwegen maatregelen in te voeren om ervoor te zorgen dat de veiligheidsnormen voor de apparaten van het internet der dingen in hele EU worden geharmoniseerd.

  Amendement    37

  Voorstel voor een verordening

  Overweging 44 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (44 bis)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties, academische instellingen en andere relevante belanghebbenden te waarborgen. De door de uitvoerend directeur opgerichte permanente groep van belanghebbenden moet bestaan uit een algemeen adviescomité dat input levert over de ICT-producten en -diensten die onder toekomstige Europese regelingen voor IT-beveiligingscertificering moeten vallen, en ad-hoccomités die input leveren over het voorstel, de ontwikkeling en goedkeuring van gevraagde potentiële Europese regelingen voor cyberbeveiligingscertificering.

  Amendement    38

  Voorstel voor een verordening

  Overweging 46

  Door de Commissie voorgestelde tekst

  Amendement

  (46)  Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen bijkomende en nieuwe taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan het Agentschap een toereikende eigen begroting te worden toegekend die hoofdzakelijk wordt gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap. Het merendeel van het personeel van het Agentschap moet rechtstreeks ingezet worden voor de operationele tenuitvoerlegging van het mandaat van het Agentschap. De lidstaat van vestiging of om het even welke andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van het Agentschap. De EU-begrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Bovendien controleert de Rekenkamer de rekeningen van het Agentschap teneinde transparantie en verantwoording zeker te stellen.

  (46)  Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen bijkomende en nieuwe taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan het Agentschap een toereikende eigen begroting te worden toegekend die hoofdzakelijk wordt gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap. Een passende begroting is cruciaal om te waarborgen dat het Agentschap over voldoende capaciteit beschikt om al zijn steeds omvangrijkere taken te kunnen vervullen en al zijn doelstellingen te verwezenlijken. Het merendeel van het personeel van het Agentschap moet rechtstreeks ingezet worden voor de operationele tenuitvoerlegging van het mandaat van het Agentschap. De lidstaat van vestiging of om het even welke andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van het Agentschap. De EU-begrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Bovendien controleert de Rekenkamer de rekeningen van het Agentschap teneinde transparantie, verantwoording en de efficiëntie van de uitgaven zeker te stellen.

  Amendement    39

  Voorstel voor een verordening

  Overweging 47

  Door de Commissie voorgestelde tekst

  Amendement

  (47)  Een conformiteitsbeoordeling is het proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen voor een product, proces, dienst, systeem, persoon of instantie. Voor de toepassing van deze verordening moet certificering worden beschouwd als een soort conformiteitsbeoordeling met betrekking tot de cyberbeveiligingskenmerken van een product, proces, dienst, systeem of een combinatie daarvan ("ICT-producten en -diensten") door een onafhankelijke derde partij die niet de fabrikant van het product of de dienstverlener is. Door middel van certificering kan niet per definitie worden gewaarborgd dat gecertificeerde ICT-producten en -diensten cyberbeveiligd zijn. Certificering is veeleer een procedure en een technische methode om officieel te bevestigen dat ICT-producten en -diensten zijn getest en dat deze voldoen aan bepaalde eisen op het gebied van cyberbeveiliging die elders zijn vastgesteld, bijvoorbeeld in technische normen.

  (47)  Een conformiteitsbeoordeling is het proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen voor een product, proces, dienst, systeem, persoon of instantie. Voor de toepassing van deze verordening moet certificering worden beschouwd als een soort conformiteitsbeoordeling met betrekking tot de cyberbeveiligingskenmerken van een product, proces, dienst, systeem of een combinatie daarvan ("ICT-producten, processen en -diensten") door een onafhankelijke derde partij of, indien toegelaten, door zelfbeoordeling van de fabrikant van het product of de dienstverlener. Zelfbeoordeling kan worden uitgevoerd door de fabrikant van een product, kmo's of de dienstverlener, in deze verordening gespecificeerd, en, indien van toepassing, zoals vastgelegd in en in overeenstemming met het nieuwe wetgevingskader. Bovendien kan de fabrikant van een product of exploitant zelfbeoordeling toepassen, indien het niet zeer of tamelijk waarschijnlijk wordt geacht dat zich een cyberbeveiligingsincident zal voordoen en/of dat een dergelijk incident de maatschappij of een groot deel daarvan aanzienlijke schade zal berokkenen, rekening houdend met het door de fabrikant of dienstverlener beoogde gebruik van het product of de dienst in kwestie. Door middel van certificering kan niet per definitie worden gewaarborgd dat gecertificeerde ICT-producten, -processen en -diensten cyberbeveiligd zijn, en gebruikers en bedrijven moeten hiervan op de hoogte worden gesteld. Certificering is veeleer een procedure en een technische methode om officieel te bevestigen dat ICT-producten, -processen en -diensten zijn getest en dat deze voldoen aan bepaalde eisen op het gebied van cyberbeveiliging die elders zijn vastgesteld, bijvoorbeeld in technische normen. Onder deze technische normen valt onder meer een aanwijzing of een ICT-product, -proces of -dienst ook losgekoppeld van het internet zijn gebruikelijke functies kan vervullen.

  Amendement    40

  Voorstel voor een verordening

  Overweging 48

  Door de Commissie voorgestelde tekst

  Amendement

  (48)  Cyberbeveiligingscertificering is belangrijk om het vertrouwen in en de beveiliging van ICT-producten en -diensten te verhogen. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten en diensten een bepaald niveau van zekerheid inzake cyberbeveiliging bieden. Verbonden en zelfsturende auto's, elektronische medische toestellen, besturingssystemen voor industriële automatisatie of slimme netten zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De sector waarop de NIS-richtlijn van toepassing is, zijn tevens de sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

  (48)  Europese cyberbeveiligingscertificering is van essentieel belang om het vertrouwen in en de beveiliging van ICT-producten, -processen en ‑diensten te verhogen. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten en diensten een hoog niveau van zekerheid inzake cyberbeveiliging bieden. Verbonden en zelfsturende auto's, elektronische medische toestellen, besturingssystemen voor industriële automatisatie of slimme netten zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De sector waarop de NIS-richtlijn van toepassing is, zijn tevens de sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

  Amendement    41

  Voorstel voor een verordening

  Overweging 49

  Door de Commissie voorgestelde tekst

  Amendement

  (49)  In de mededeling "Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche" van 2016 heeft de Commissie gesteld dat er behoefte is aan hoogwaardige, betaalbare en interoperabele producten en oplossingen op het gebied van cyberbeveiliging. De levering van ICT-producten en -diensten binnen de eengemaakte markt blijft in geografisch opzicht zeer versnipperd, omdat de cyberbeveiligingsbranche in Europa zich grotendeels op basis van de vraag van nationale overheden heeft ontwikkeld. Daarnaast zijn het ontbreken van interoperabele oplossingen (technische normen), praktijken en EU-wijde certificeringsmechanismen lacunes waarmee de eengemaakte markt voor cyberbeveiliging kampt. Enerzijds maakt dit het voor Europese ondernemingen moeilijk om op nationaal, Europees en mondiaal niveau te concurreren. Anderzijds hebben burgers en bedrijven hierdoor slechts toegang tot een beperkte keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën. Verder heeft de Commissie in de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale eengemaakte markt gewezen op de noodzaak van veilige verbonden producten en systemen en aangegeven dat door het opzetten van een Europees ICT-beveiligingskader met regels voor het organiseren van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet in stand kan worden gehouden als de huidige versnippering van de markt voor cyberbeveiliging kan worden aangepakt.

  (49)  In de mededeling "Versterken van het Europese cyberbeveiligingssysteem en bevorderen van een concurrerende en innovatieve cyberbeveiligingsbranche" van 2016 heeft de Commissie gesteld dat er behoefte is aan hoogwaardige, betaalbare en interoperabele producten en oplossingen op het gebied van cyberbeveiliging. De levering van ICT-producten, -processen en -diensten binnen de eengemaakte markt blijft in geografisch opzicht zeer versnipperd, omdat de cyberbeveiligingsbranche in Europa zich grotendeels op basis van de vraag van nationale overheden heeft ontwikkeld. Daarnaast zijn het ontbreken van interoperabele oplossingen (technische normen), praktijken en EU-wijde certificeringsmechanismen lacunes waarmee de eengemaakte markt voor cyberbeveiliging kampt. Enerzijds maakt dit het voor Europese ondernemingen moeilijk om op nationaal, Europees en mondiaal niveau te concurreren. Anderzijds hebben burgers en bedrijven hierdoor slechts toegang tot een beperkte keuze aan levensvatbare en bruikbare cyberbeveiligingstechnologieën. Verder heeft de Commissie in de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale eengemaakte markt gewezen op de noodzaak van veilige verbonden producten en systemen en aangegeven dat door het opzetten van een Europees ICT-beveiligingskader met regels voor het organiseren van ICT-beveiligingscertificering in de Unie zowel het vertrouwen in het internet in stand kan worden gehouden als de huidige versnippering van de markt voor cyberbeveiliging kan worden aangepakt.

  Amendement    42

  Voorstel voor een verordening

  Overweging 50

  Door de Commissie voorgestelde tekst

  Amendement

  (50)  Momenteel wordt de cyberbeveiligingscertificering van ICT-producten en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake cyberbeveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting.

  (50)  Momenteel wordt de cyberbeveiligingscertificering van ICT-producten, -processen en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten, processen en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, waardoor hun kosten oplopen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake cyberbeveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de op risico gebaseerde zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting. Wederzijdse erkenning en wederzijds vertrouwen tussen de lidstaten is hierbij van essentieel belang. Het Enisa speelt een belangrijke rol in de ondersteuning van de lidstaten bij de ontwikkeling van een stevige institutionele structuur en deskundigheid over de bescherming tegen mogelijke cyberaanvallen. Er is een aanpak op ad-hocbasis nodig om ervoor te zorgen dat diensten, processen en producten aan passende certificeringsregelingen worden onderworpen. Daarnaast is een risicogebaseerde aanpak nodig om risico's op doeltreffende wijze te identificeren en in te perken, waarbij moet worden erkend dat een standaardregeling niet werkbaar is.

  Amendement    43

  Voorstel voor een verordening

  Overweging 52

  Door de Commissie voorgestelde tekst

  Amendement

  (52)  Gezien het bovenstaande is het noodzakelijk om een Europees kader voor cyberbeveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor cyberbeveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten en diensten in alle lidstaten worden erkend en gebruikt. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. De regelingen moeten niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  (52)  Gezien het bovenstaande is het noodzakelijk om een gemeenschappelijke aanpak vast te stellen en een Europees kader voor cyberbeveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor cyberbeveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten, -processen en diensten in alle lidstaten worden erkend en gebruikt. Daarbij is het essentieel om voort te bouwen op zowel bestaande nationale en internationale regelingen als stelsels voor wederzijdse erkenning, in het bijzonder SOG-IS, en een vlotte overgang mogelijk te maken van bestaande regelingen binnen die stelsels naar regelingen binnen het nieuwe Europese kader. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten, -processen en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. Indien een Europese cyberbeveiligingscertificering een nationale regeling vervangen heeft, moeten certificaten die zijn afgegeven in het kader van de Europese regeling als geldig worden aanvaard in gevallen waarin certificering in het kader van een nationale regeling vereist was. De regelingen moeten uitgaan van het beginsel van ingebouwde beveiliging en de beginselen bedoeld in Verordening (EU) 2016/679. Verder moeten ze niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  Amendement    44

  Voorstel voor een verordening

  Overweging 52 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (52 bis)  Dit Europees kader voor cyberbeveiligingscertificering moet op homogene wijze in alle lidstaten worden opgesteld om het "certificeringsshoppen" vanwege verschillen in prijzen of in beveiligingsniveaus tussen de lidstaten, tegen te gaan.

  Amendement    45

  Voorstel voor een verordening

  Overweging 52 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (52 ter)  Er moet worden opgemerkt dat certificeringsregelingen moeten voortbouwen op wat er al op nationaal en internationaal niveau bestaat, dat er geleerd moet worden van de huidige sterke punten en dat zwakke punten moeten worden vastgesteld en gecorrigeerd.

  Amendement    46

  Voorstel voor een verordening

  Overweging 52 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (52 quater)  Aangezien het bedrijfsleven behoefte heeft aan flexibele cyberbeveiligingsoplossingen om kwaadaardige aanvallen en dreigingen voor te blijven, moet bij alle certificeringsregelingen het risico dat ze snel achterhaald zijn, worden vermeden.

  Amendement    47

  Voorstel voor een verordening

  Overweging 53

  Door de Commissie voorgestelde tekst

  Amendement

  (53)  De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor cyberbeveiligingscertificering met betrekking tot bepaalde groepen van ICT-producten en –diensten vast te stellen. De uitvoering van en het toezicht op deze regelingen moeten worden verricht door de nationale autoriteiten voor certificeringstoezicht en de in het kader van deze regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door de branche of andere particuliere organisaties worden geïmplementeerd, moeten buiten het toepassingsgebied van de verordening vallen. De organisaties die dergelijke regelingen implementeren, kunnen de Commissie echter voorstellen deze in overweging te nemen als basis voor de verbetering ervan in de vorm van een Europese regeling.

  (53)  De Commissie dient de bevoegdheid te krijgen om Europese regelingen voor cyberbeveiligingscertificering met betrekking tot bepaalde groepen van ICT-producten, - processen en –diensten vast te stellen. De uitvoering van en het toezicht op deze regelingen moeten worden verricht door de nationale autoriteiten voor certificeringstoezicht en de in het kader van deze regelingen afgegeven certificaten moeten in de hele Unie geldig zijn en worden erkend. Certificeringsregelingen die door de branche of andere particuliere organisaties worden geïmplementeerd, moeten buiten het toepassingsgebied van de verordening vallen. De organisaties die dergelijke regelingen implementeren, kunnen de Commissie echter voorstellen deze in overweging te nemen als basis voor de verbetering ervan in de vorm van een Europese regeling. Het Agentschap moet de regelingen die reeds worden gebruikt door het bedrijfsleven of particuliere organisaties, identificeren en evalueren om daaruit beste praktijken te kiezen die deel zouden kunnen uitmaken van een Europese regeling. Marktdeelnemers kunnen voordat er certificering plaatsvindt, zelfbeoordeling op hun producten of diensten toepassen en daarmee aangeven dat het certificeringsproces voor hun product of dienst van start kan gaan, indien dit vereist of gewenst is.

  Amendement    48

  Voorstel voor een verordening

  Overweging 53 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (53 bis)  Het Agentschap en de Commissie moeten zo veel mogelijk gebruikmaken van de certificeringsregelingen die reeds op EU- en/of internationaal niveau bestaan. Het Enisa moet in samenwerking met EU-normalisatieorganisaties kunnen beoordelen welke reeds toegepaste regelingen geschikt zijn en in de Europese wetgeving kunnen worden opgenomen en, voor zover mogelijk, internationaal erkend kunnen worden. Bestaande goede praktijken moeten worden geïnventariseerd en gedeeld onder de lidstaten.

  Amendement    49

  Voorstel voor een verordening

  Overweging 54

  Door de Commissie voorgestelde tekst

  Amendement

  (54)  De bepalingen van deze verordening moeten EU-wetgeving waarbij specifieke regels voor de certificering van ICT-producten en -diensten zijn vastgesteld, onverlet laten. Met name omvat de algemene verordening gegevensbescherming bepalingen betreffende het instellen van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens met als doel het aantonen van de naleving van die verordening met betrekking tot verwerkingen door verwerkingsverantwoordelijken en verwerkers. Met behulp van dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens kunnen betrokkenen beoordelen wat het beschermingsniveau van relevante producten en diensten is. De onderhavige verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig de algemene verordening gegevensbescherming, ook niet als dergelijke verwerkingen zijn geïntegreerd in producten en diensten.

  (54)  De bepalingen van deze verordening moeten EU-wetgeving waarbij specifieke regels voor de certificering van ICT-producten, -processen en -diensten zijn vastgesteld, onverlet laten. Met name omvat de algemene verordening gegevensbescherming bepalingen betreffende het instellen van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens met als doel het aantonen van de naleving van die verordening met betrekking tot verwerkingen door verwerkingsverantwoordelijken en verwerkers. Met behulp van dergelijke certificeringsmechanismen en gegevensbeschermingszegels en -merktekens kunnen betrokkenen beoordelen wat het beschermingsniveau van relevante producten en diensten is. De onderhavige verordening doet geen afbreuk aan de certificering van gegevensverwerkingen overeenkomstig de algemene verordening gegevensbescherming, ook niet als dergelijke verwerkingen zijn geïntegreerd in producten en diensten.

  Amendement    50

  Voorstel voor een verordening

  Overweging 55

  Door de Commissie voorgestelde tekst

  Amendement

  (55)  Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten en -diensten die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake cyberbeveiliging voor alle ICT-producten en -diensten in detail op te nemen. ICT-producten en -diensten en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten en -diensten moet vervolgens nauwkeuring worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties.

  (55)  Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten, -diensten en -processen die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald risiconiveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake cyberbeveiliging voor alle ICT-producten, -diensten en -processen in detail op te nemen. ICT-producten, -diensten en -processen en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten, -diensten en -processen moet vervolgens nauwkeurig worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties. Alle bij een bepaalde leveringsketen betrokken actoren moeten worden aangemoedigd om veiligheidsnormen, technische normen en beginselen van ingebouwde beveiliging te ontwikkelen en aan te nemen in alle stadia van het product, de dienst of het proces; elke Europese cyberbeveiligingsregeling moet gericht zijn op dit doel.

  Amendement    51

  Voorstel voor een verordening

  Overweging 56

  Door de Commissie voorgestelde tekst

  Amendement

  (56)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten of -diensten voor te bereiden. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door het Enisa voorgestelde potentiële regeling, de Europese regeling voor cyberbeveiligingscertificering door middel van uitvoeringshandelingen vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in door de Commissie vastgestelde Europese regelingen voor cyberbeveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en ‑diensten, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en ‑methoden alsmede het beoogde zekerheidsniveau basis, substantieel en/of hoog.

  (56)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten, -processen of -diensten voor te bereiden op basis van gerechtvaardigde redenen, namelijk bestaande nationale cyberbeveiligingscertificeringsregelingen die de eengemaakte markt versplinteren; een bestaande of verwachte behoefte aan ondersteuning van de Uniewetgeving; of het standpunt van de groep voor cyberbeveiligingscertificering van de lidstaten of de groep van belanghebbenden voor certificering. Na de beoordeling van de door het Enisa op basis van het verzoek van de Commissie voorgestelde potentiële certificeringsregelingen moet de Commissie de bevoegdheid krijgen om vervolgens de Europese regelingen voor cyberbeveiligingscertificering door middel van gedelegeerde handelingen vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in deze Europese regelingen voor cyberbeveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en ‑diensten, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en ‑methoden alsmede het beoogde zekerheidsniveau basis, substantieel en/of hoog.

  Amendement    52

  Voorstel voor een verordening

  Overweging 56 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 bis)  Het Agentschap moet het referentiepunt voor informatie over Europese regelingen voor cyberbeveiligingscertificering zijn. Het moet een website met alle relevante informatie hebben, waaronder met betrekking tot ingetrokken en vervallen certificaten en nationale certificeringen. Het Agentschap moet ervoor zorgen dat een passend deel van de inhoud van zijn website begrijpelijk is voor gewone consumenten.

  Amendement    53

  Voorstel voor een verordening

  Overweging 56 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 ter)  Het definiëren van zekerheidsniveaus voor certificaten is noodzakelijk om aan de eindgebruiker een indicatie te geven van het verwachte soort cyberbedreigingen dat de cyberbeveiligingsmaatregelen in het product, proces of de dienst willen voorkomen. Cyberdreigingen moeten worden gedefinieerd rekening houdend het verwachte risico en de capaciteiten van de auteur of auteurs van de aanval in de context van het verwachte gebruik van het behandelde ICT-product, -proces of -dienst. Zekerheidsniveau "basis" verwijst naar de capaciteit om aanvallen te weerstaan die kunnen worden voorkomen met basiscyberbeveiligingsmaatregelen en die eenvoudig kunnen worden gecontroleerd door de technische documentatie te herzien. Zekerheidsniveau "substantieel" verwijst naar de capaciteit om gekende soorten aanvallen door een aanvaller met een bepaalde mate van geavanceerdheid maar met beperkte middelen te weerstaan. Zekerheidsniveau "hoog" verwijst naar de capaciteit om ongekende kwetsbaarheden en geavanceerde aanvallen met geavanceerde technieken en aanzienlijke middelen, zoals gefinancierde multidisciplinaire teams, te weerstaan.

  Amendement    54

  Voorstel voor een verordening

  Overweging 56 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 quater)  Om fragmentatie van de interne markt ten gevolge van nationale regelingen voor cyberbeveiligingscertificering te voorkomen, toekomstige wetgeving te ondersteunen en het vertrouwen en de veiligheid te verhogen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen ten aanzien van het bepalen van prioriteiten voor Europese regelingen voor cyberbeveiligingscertificering, de goedkeuring van het lopende programma en de goedkeuring van Europese certificeringsregelingen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

  Amendement    55

  Voorstel voor een verordening

  Overweging 56 quinquies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 quinquies)  Op het niveau van de Unie moet bij de evaluatiemethoden en beoordelingsprocedures voor elke Europese regeling voor cyberbeveiligingscertificering bijzondere aandacht worden besteed aan "ethisch hacken", dat tot doel heeft zwakke punten in en kwetsbaarheden van apparaten en informatiesystemen op te sporen door te anticiperen op de beoogde handelingen en vaardigheden van kwaadwillende hackers.

  Amendement    56

  Voorstel voor een verordening

  Overweging 57

  Door de Commissie voorgestelde tekst

  Amendement

  (57)  De toepassing van Europese regelingen voor cyberbeveiligingscertificering moet vrijwillig blijven, tenzij anders is bepaald in EU-wetgeving of nationale wetgeving. Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te vermijden, moeten nationale regelingen of procedures voor cyberbeveiligingscertificering voor de ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, geen effect meer hebben vanaf de door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien moeten de lidstaten geen nieuwe nationale regelingen voor cyberbeveiligingscertificering invoeren die voorzien in cyberbeveiliging voor ICT-producten en -diensten die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen.

  (57)  De toepassing van Europese regelingen voor cyberbeveiligingscertificering moet vrijwillig blijven, tenzij anders is bepaald in EU-wetgeving of nationale wetgeving. Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te vermijden, moeten nationale regelingen of procedures voor cyberbeveiligingscertificering voor de ICT-producten, -processen en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, geen effect meer hebben vanaf de door de Commissie bij de gedelegeerde handeling vastgestelde datum. Bovendien moeten de lidstaten geen nieuwe nationale regelingen voor cyberbeveiligingscertificering invoeren die voorzien in cyberbeveiliging voor ICT-producten en -diensten die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen. Deze verordening laat echter nationale regelingen die lidstaten beheren voor ICT-producten, -processen en -diensten die worden gebruikt voor de behoeften binnen het eigen soevereine domein, onverlet.

  Amendement    57

  Voorstel voor een verordening

  Overweging 57 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (57 bis)  Om de consument meer informatie te verschaffen en in staat te stellen een goed geïnformeerde keuze te maken, wordt de verplichting ingevoerd om een productverklaring af te geven met gestructureerde informatie over de certificering van het product, het proces of de dienst.

  Amendement    58

  Voorstel voor een verordening

  Overweging 57 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (57 ter)  Bij voorstellen voor nieuwe Europese cyberbeveiligingsregelingen moeten het Enisa en andere betrokken instanties de nodige aandacht besteden aan de concurrentiedynamiek van het voorstel, en indien er in de betrokken sector veel kleine en middelgrote ondernemingen actief zijn, zoals in de softwareontwikkeling, moeten zij er in het bijzonder voor zorgen dat de certificeringsregelingen geen belemmering vormen voor startende ondernemingen en innovaties.

  Amendement    59

  Voorstel voor een verordening

  Overweging 57 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (57 quater)  Europese cyberbeveiligingsregelingen zullen bijdragen aan de harmonisatie en gelijkschakeling van cyberbeveiligingspraktijken in de Unie. Ze moeten echter niet het minimumniveau van cyberbeveiliging worden. Bij het ontwerp van Europese cyberbeveiligingsregelingen moet ook de ontwikkeling van nieuwe innovaties op het gebied van cyberbeveiliging in aanmerking worden genomen en mogelijk zijn.

  Amendement    60

  Voorstel voor een verordening

  Overweging 58

  Door de Commissie voorgestelde tekst

  Amendement

  (58)  Zodra een Europese regeling voor cyberbeveiligingscertificering is vastgesteld, moeten fabrikanten van ICT-producten of aanbieders van ICT-diensten bij een conformiteitsbeoordelingsinstantie van hun keuze een aanvraag indienen voor de certificering van hun producten of diensten. Conformiteitsbeoordelingsinstanties moeten door een accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie aan de vereisten voldoet. Accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer door een conformiteitsbeoordelingsinstantie ondernomen acties indruisen tegen deze verordening.

  (58)  Zodra een Europese regeling voor cyberbeveiligingscertificering is vastgesteld, moeten fabrikanten van ICT-producten of aanbieders van ICT-processen of -diensten bij een conformiteitsbeoordelingsinstantie van hun keuze, waar dan ook in de Unie, een aanvraag indienen voor de certificering van hun producten of diensten. Conformiteitsbeoordelingsinstanties moeten door een accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie aan de vereisten voldoet. Accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer door een conformiteitsbeoordelingsinstantie ondernomen acties indruisen tegen deze verordening. Teneinde regelgevingsarbitrage te voorkomen moet het Agentschap controles verrichten om te zorgen voor een gelijk kwaliteits- en zorgvuldigheidsniveau van conformiteitsbeoordelingsinstanties. De resultaten hiervan moeten aan het Agentschap, de Commissie en het Parlement worden medegedeeld en openbaar worden gemaakt.

  Amendement    61

  Voorstel voor een verordening

  Overweging 58 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (58 bis)  Het verplichte gebruik van Europese cyberbeveiligingscertificering moet worden beperkt tot gevallen waarin risicoanalyse de kosten voor het bedrijfsleven, de burgers en de consumenten rechtvaardigt. Incidenten die essentiële diensten verstoren, kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen. Het verplichte gebruik van Europese cyberbeveiligingscertificering door exploitanten van essentiële diensten moet worden beperkt tot die elementen die essentieel zijn voor hun werking en moet niet worden uitgebreid tot producten, processen en diensten van algemeen gebruik, hetgeen een ongerechtvaardigde kost voor het bedrijfsleven en de consumenten zou scheppen. De Commissie moet samenwerken met de krachtens artikel 11 van Richtlijn (EU) 2016/1148 opgerichte samenwerkingsgroep om een lijst van categorieën van producten, processen en diensten vast te stellen die specifiek bestemd zijn voor gebruik door aanbieders van essentiële diensten en waarvan de storing in geval van een incident een aanzienlijk verstorend effect kan hebben op de essentiële dienst. Die lijst moet geleidelijk worden opgesteld en moet worden bijgewerkt, indien nodig. Alleen producten, processen en diensten op die lijst moeten verplicht zijn voor de exploitanten van essentiële vereisten.

  Amendement    62

  Voorstel voor een verordening

  Overweging 58 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (58 ter)  Het bestaan van kruisverwijzingen in nationale wetgeving naar een nationale norm die geen rechtsgevolgen meer heeft wegens de inwerkingtreding van een Europese certificeringsregeling, kan een mogelijke bron van verwarring zijn voor fabrikanten en eindgebruikers. Om te vermijden dat fabrikanten specificaties blijven toepassen die overeenkomen met nationale certificaten die niet meer van kracht zijn, moeten de lidstaten, overeenkomstig hun verplichtingen krachtens de Verdragen, hun nationale wetgeving aanpassen aan de vaststelling van een Europese certificeringsregeling.

  Amendement    63

  Voorstel voor een verordening

  Overweging 59

  Door de Commissie voorgestelde tekst

  Amendement

  (59)  Alle lidstaten moeten worden verplicht om één autoriteit voor cyberbeveiligingscertificeringstoezicht aan te wijzen die erop toeziet dat de conformiteitsbeoordelingsinstanties en de door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties afgegeven certificaten voldoen aan de vereisten van deze verordening en de desbetreffende regelingen voor cyberbeveiligingscertificering. De nationale autoriteiten voor certificeringstoezicht moeten klachten van natuurlijke of rechtspersonen behandelen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, de inhoud van de klacht onderzoeken in de mate waarin dat gepast is, en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Verder moeten zij samenwerken met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door uitwisseling van informatie over mogelijke niet-naleving door ICT-producten en -diensten van de vereisten van deze verordening of van specifieke regelingen voor cyberbeveiliging.

  (59)  Alle lidstaten moeten worden verplicht om één autoriteit voor cyberbeveiligingscertificeringstoezicht aan te wijzen die erop toeziet dat de conformiteitsbeoordelingsinstanties en de door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties afgegeven certificaten voldoen aan de vereisten van deze verordening en de desbetreffende regelingen voor cyberbeveiligingscertificering, en om ervoor te zorgen dat de Europese cyberbeveiligingscertificaten op hun grondgebied worden erkend. De nationale autoriteiten voor certificeringstoezicht moeten klachten van natuurlijke of rechtspersonen behandelen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, of over het niet erkennen van certificaten op hun grondgebied, de inhoud van de klacht onderzoeken in de mate waarin dat gepast is, en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Verder moeten zij samenwerken met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door uitwisseling van informatie over mogelijke niet-naleving door ICT-producten, -processen en -diensten van de vereisten van deze verordening of van specifieke regelingen voor cyberbeveiliging, of over het niet erkennen van Europese cyberbeveiligingscertificaten. Bovendien moeten zij toezicht houden op en controles uitvoeren van de overeenstemming van de eigen conformiteitsverklaringen, en nagaan of de Europese cyberbeveiligingscertificaten zijn uitgegeven door conformiteitsbeoordelingsinstanties volgens de in deze verordening vastgelegde voorschriften, met inbegrip van de regels die zijn vastgesteld door de Europese Groep voor cyberbeveiligingscertificering en de voorschriften die zijn vastgelegd in de bijbehorende Europese regeling voor cyberbeveiligingscertificering. De doeltreffende samenwerking tussen nationale autoriteiten voor certificeringstoezicht is cruciaal voor de goede tenuitvoerlegging van Europese regelingen voor cyberbeveiligingscertificering en de oplossing van technische kwesties met betrekking tot de cyberbeveiliging van ICT-producten en -diensten. De Commissie moet die informatie-uitwisseling bevorderen door een algemeen elektronisch informatieondersteuningssysteem ter beschikking te stellen, bijvoorbeeld het informatie- en communicatiesysteem voor markttoezicht (ICSMS) en het systeem voor snelle uitwisseling van informatie over gevaarlijke non-foodproducten (Rapex) die overeenkomstig Verordening (EG) nr. 765/2008 al door markttoezichtautoriteiten worden gebruikt.

  Amendement    64

  Voorstel voor een verordening

  Overweging 60

  Door de Commissie voorgestelde tekst

  Amendement

  (60)  Om de consistente toepassing van het Europees kader voor cyberbeveiligingscertificering te waarborgen moet een Europese Groep voor cyberbeveiligingscertificering ("de Groep") worden opgericht die is samengesteld uit de nationale autoriteiten voor certificeringstoezicht. De voornaamste taken van de Groep moeten zijn: de Commissie adviseren en bijstaan bij haar werkzaamheden ter waarborging van een samenhangende uitvoering en toepassing van het Europees kader voor cyberbeveiligingscertificering, het Agentschap bijstaan en er nauw mee samenwerken bij de voorbereiding van potentiële regelingen voor cyberbeveiligingscertificering, aanbevelen dat de Commissie het Agentschap verzoekt om een potentiële Europese regeling voor cyberbeveiligingscertificering voor te bereiden, en aan de Commissie gerichte adviezen uitbrengen met betrekking tot het onderhoud en de herziening van bestaande Europese regelingen voor cyberbeveiligingscertificering.

  (60)  Om de consistente toepassing van het Europees kader voor cyberbeveiligingscertificering te waarborgen moet een Groep voor cyberbeveiligingscertificering van de lidstaten worden opgericht die is samengesteld uit de nationale autoriteiten voor certificeringstoezicht. De voornaamste taken van de Groep voor cyberbeveiligingscertificering van de lidstaten moeten zijn: de Commissie adviseren en bijstaan bij haar werkzaamheden ter waarborging van een samenhangende uitvoering en toepassing van het Europees kader voor cyberbeveiligingscertificering, het Agentschap bijstaan en er nauw mee samenwerken bij de voorbereiding van potentiële regelingen voor cyberbeveiligingscertificering, aanbevelen dat de Commissie het Agentschap verzoekt om een potentiële Europese regeling voor cyberbeveiligingscertificering voor te bereiden, en aan de Commissie gerichte adviezen uitbrengen met betrekking tot het onderhoud en de herziening van bestaande Europese regelingen voor cyberbeveiligingscertificering.

  Amendement    65

  Voorstel voor een verordening

  Overweging 60 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (60 bis)  Om te waarborgen dat conformiteitsbeoordelingsinstanties een gelijkwaardig bekwaamheidsniveau hebben, de wederzijdse erkenning te vergemakkelijken en om de algemene acceptatie van de certificaten en conformiteitsbeoordelingsresultaten van conformiteitsbeoordelingsinstanties te bevorderen, moeten de nationale autoriteiten voor certificeringstoezicht een strikt en transparant systeem van collegiale toetsing hanteren en zelf regelmatig een dergelijke toetsing ondergaan.

  Amendement    66

  Voorstel voor een verordening

  Overweging 60 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (60 ter)  Een doeltreffende samenwerking tussen de nationale autoriteiten voor certificeringstoezicht is van fundamenteel belang voor de goede werking van de collegiale toetsing en voor grensoverschrijdende accreditatie. Omwille van de transparantie moeten nationale autoriteiten voor certificeringstoezicht dus verplicht worden onderling informatie uit te wisselen en relevante informatie aan de nationale autoriteiten en de Commissie door te geven. Ook bijgewerkte en precieze informatie over de beschikbaarheid van accreditatieactiviteiten van nationale accreditatie-instanties moeten worden bekendgemaakt en daarom met name voor de conformiteitsbeoordelingsinstanties toegankelijk zijn.

  Amendement    67

  Voorstel voor een verordening

  Overweging 61

  Door de Commissie voorgestelde tekst

  Amendement

  (61)  Om toekomstige EU-regelingen voor cyberbeveiliging onder de aandacht te brengen en de acceptatie ervan te bevorderen, kan de Europese Commissie algemene of sectorspecifieke richtsnoeren inzake cyberbeveiliging uitbrengen, bijv. betreffende goede praktijken op het gebied van cyberbeveiliging of verantwoordelijk cyberbeveiligingsgedrag, waarbij wordt gewezen op het gunstige effect van het gebruik van gecertificeerde ICT-producten en -diensten.

  (61)  Om toekomstige EU-regelingen voor cyberbeveiliging onder de aandacht te brengen en de acceptatie ervan te bevorderen, kan de Europese Commissie algemene of sectorspecifieke richtsnoeren inzake cyberbeveiliging uitbrengen, bijv. betreffende goede praktijken op het gebied van cyberbeveiliging of verantwoordelijk cyberbeveiligingsgedrag, waarbij wordt gewezen op het gunstige effect van het gebruik van gecertificeerde ICT-producten, -processen en -diensten.

  Amendement    68

  Voorstel voor een verordening

  Overweging 63

  Door de Commissie voorgestelde tekst

  Amendement

  (63)  Om de criteria voor de accreditatie van conformiteitsbeoordelingsinstanties verder te specificeren, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Bij haar voorbereidende werkzaamheden moet de Commissie passend overleg plegen, onder meer op het niveau van de deskundigen. Dergelijke raadplegingen moeten worden uitgevoerd overeenkomstig de beginselen van het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016. Om met name te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, moeten het Europees Parlement en de Raad alle documenten op hetzelfde moment ontvangen als de deskundigen van de lidstaten, en moeten hun deskundigen systematisch toegang hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

  (63)  Om de criteria voor de accreditatie van conformiteitsbeoordelingsinstanties verder te specificeren, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Bij haar voorbereidende werkzaamheden moet de Commissie passend overleg plegen, onder meer op het niveau van de deskundigen en met relevante belanghebbenden, indien van toepassing. Dergelijke raadplegingen moeten worden uitgevoerd overeenkomstig de beginselen van het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016. Om met name te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, moeten het Europees Parlement en de Raad alle documenten op hetzelfde moment ontvangen als de deskundigen van de lidstaten, en moeten hun deskundigen systematisch toegang hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

  Amendement    69

  Voorstel voor een verordening

  Overweging 65

  Door de Commissie voorgestelde tekst

  Amendement

  (65)  De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten, inzake modaliteiten betreffende door het Agentschap uit te voeren onderzoeken, alsmede voor de omstandigheden, formaten en procedures voor kennisgeving betreffende geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale autoriteiten voor certificeringstoezicht aan de Commissie.

  (65)  Verder kunnen gedelegeerde handelingen worden vastgesteld inzake Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten, -processen en -diensten, inzake modaliteiten betreffende door het Agentschap uit te voeren onderzoeken, alsmede voor de omstandigheden, formaten en procedures voor kennisgeving betreffende geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale autoriteiten voor certificeringstoezicht aan de Commissie.

  Amendement    70

  Voorstel voor een verordening

  Overweging 66

  Door de Commissie voorgestelde tekst

  Amendement

  66.  Het optreden van het Agentschap moet aan een onafhankelijke evaluatie worden onderworpen. Deze evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van het Agentschap, zijn werkmethoden en de relevantie van zijn taken. Bij de evaluatie moeten tevens de impact, de doeltreffendheid en de efficiëntie van het Europees kader voor cyberbeveiligingscertificering worden beoordeeld.

  (66)  Het optreden van het Agentschap moet continu aan een onafhankelijke evaluatie worden onderworpen. Deze evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van het Agentschap, zijn werkmethoden en de relevantie van zijn taken, met name zijn coördinerende rol ten opzichte van de lidstaten en hun nationale autoriteiten. In geval van een herziening moet de Commissie de mogelijkheid beoordelen van het Agentschap om als één loket voor lidstaten en EU-instanties en -instellingen te functioneren.

  Amendement    71

  Voorstel voor een verordening

  Overweging 66 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (66 bis)  Bij de evaluatie moeten tevens de impact, de doeltreffendheid en de efficiëntie van het Europees kader voor cyberbeveiligingscertificering worden beoordeeld. In geval van een herziening zou de Commissie een rol voor het Agentschap kunnen beoordelen om producten en diensten uit derde landen die de markt van de Unie binnenkomen te beoordelen en de mogelijkheid om bedrijven die de Unievoorschriften niet naleven, op een zwarte lijst te plaatsen.

  Amendement    72

  Voorstel voor een verordening

  Overweging 66 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (66 ter)  Bij de beoordeling moet het niveau van cyberbeveiliging van in de Unie verkochte producten en diensten worden geanalyseerd. In geval van een herziening moet de Commissie beoordelen of essentiële vereisten inzake cyberbeveiliging moeten worden opgenomen als voorwaarde voor toegang tot de interne markt.

  Amendement    73

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  de doelstellingen, taken en organisatorische aspecten van het Enisa, het "agentschap van de Europese Unie voor cyberbeveiliging", hierna "het Agentschap" genoemd; en

  (a)  de doelstellingen, taken en organisatorische aspecten van het "Europees Agentschap voor netwerk- en informatiebeveiliging", hierna "het Agentschap" genoemd; en

  Amendement    74

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  een kader voor de vaststelling van Europese regelingen voor cyberbeveiligingscertificering met als doel het waarborgen van een toereikend cyberbeveiligingsniveau van ICT-producten en -diensten in de Unie. Dit kader is van toepassing onverminderd specifieke bepalingen inzake vrijwillige of verplichte certificering in andere handelingen van de Unie.

  (b)  een kader voor de vaststelling van Europese regelingen voor cyberbeveiligingscertificering met als doel het voorkomen van een fragmentatie van de certificeringsregelingen in de Unie en het waarborgen van een toereikend cyberbeveiligingsniveau van ICT-producten, -processen en -diensten in de Unie, dat van toepassing is onverminderd specifieke bepalingen inzake vrijwillige en, indien van toepassing, verplichte certificering waarin wordt voorzien in deze verordening of in andere handelingen van de Unie.

  Amendement    75

  Voorstel voor een verordening

  Artikel 1 – alinea 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Het Agentschap voert zijn taken uit zonder afbreuk te doen aan de bevoegdheden van de lidstaten betreffende cyberbeveiliging en in het bijzonder , de bevoegdheden van de lidstaten op het gebied van openbare beveiliging, defensie, staatsveiligheid en het strafrecht.

  Amendement    76

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 1

  Door de Commissie voorgestelde tekst

  Amendement

  (1)  "cyberbeveiliging": alle activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers daarvan en betrokken personen te beschermen tegen cyberdreigingen;

  (Niet van toepassing op de Nederlandse versie)  

  Amendement    77

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  "netwerk- en informatiesysteem": een systeem in de zin van artikel 4, punt 1), van Richtlijn (EU) 2016/1148;

  (2)  "netwerk- en informatiesysteem": een netwerk- en informatiesysteem als gedefinieerd in artikel 4, punt 1), van Richtlijn (EU) 2016/1148;

  Amendement    78

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 3

  Door de Commissie voorgestelde tekst

  Amendement

  (3)  "nationale strategie voor de beveiliging van netwerk- en informatiesystemen": een kader in de zin van artikel 4, punt 3), van Richtlijn (EU) 2016/1148;

  (3)  "nationale strategie voor de beveiliging van netwerk- en informatiesystemen": een nationale strategie voor de beveiliging van netwerk- en informatiesystemen als gedefinieerd in artikel 4, punt 3), van Richtlijn (EU) 2016/1148;

  Amendement    79

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 4

  Door de Commissie voorgestelde tekst

  Amendement

  (4)  "aanbieder van essentiële diensten": een publieke of private entiteit als bedoeld in artikel 4, punt 4), van Richtlijn (EU) 2016/1148;

  (4)  "aanbieder van essentiële diensten": een aanbieder van essentiële diensten als gedefinieerd in artikel 4, punt 4), van Richtlijn (EU) 2016/1148;

  Amendement    80

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 5

  Door de Commissie voorgestelde tekst

  Amendement

  (5)  "digitaledienstverlener": elke rechtspersoon die een digitale dienst aanbiedt als bedoeld in artikel 4, punt 6), van Richtlijn (EU) 2016/1148;

  (5)  "digitaledienstverlener": een digitaledienstverlener als gedefinieerd in artikel 4, punt 6, van Richtlijn (EU) 2016/1148;

  Amendement    81

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 6

  Door de Commissie voorgestelde tekst

  Amendement

  (6)  "incident": elke gebeurtenis als bedoeld in artikel 4, punt 7), van Richtlijn (EU) 2016/1148;

  (6)  "incident": een incident als gedefinieerd in artikel 4, punt 7), van Richtlijn (EU) 2016/1148;

  Amendement    82

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 7

  Door de Commissie voorgestelde tekst

  Amendement

  (7)  "incidentenbehandeling": elke procedure als bedoeld in artikel 4, punt 8), van Richtlijn (EU) 2016/1148;

  (7)  "incidentenbehandeling": incidentenbehandeling als gedefinieerd in artikel 4, punt 8), van Richtlijn (EU) 2016/1148;

  Amendement    83

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 8

  Door de Commissie voorgestelde tekst

  Amendement

  (8)  "cyberdreiging": elke potentiële omstandigheid of gebeurtenis die schadelijk kan zijn voor netwerk- en informatiesystemen, de gebruikers daarvan en betrokken personen;

  (8)  "cyberdreiging": elke potentiële omstandigheid, gebeurtenis of opzettelijke actie, met inbegrip van een geautomatiseerd commando, die netwerk- en informatiesystemen, de gebruikers daarvan en betrokken personen kan schaden, kan verstoren of op andere wijze negatief kan beïnvloeden;

  Amendement    84

  Voorstel voor een verordening

  Artikel 2 – lid 1 – punt 8 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (8 bis)  "cyberhygiëne": eenvoudige routinemaatregelen die, wanneer zij regelmatig door gebruikers en bedrijven online worden toegepast en uitgevoerd, hun blootstelling aan risico's van cyberdreigingen verminderen.

  Amendement    85

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 9

  Door de Commissie voorgestelde tekst

  Amendement

  (9)  "Europese regeling voor cyberbeveiligingscertificering": de uitvoerige reeks voorschriften, technische vereisten, normen en procedures die op EU-niveau zijn gedefinieerd en die van toepassing zijn op de certificering van producten en diensten op het gebied van informatie- en communicatietechnologie (ICT) die onder het toepassingsgebied van die specifieke regeling vallen;

  (9)  "Europese regeling voor cyberbeveiligingscertificering": de uitvoerige reeks voorschriften, technische vereisten, normen en procedures die op EU-niveau zijn gedefinieerd, in overeenstemming zijn met de internationale en Europese normen en ICT-specificaties die door het Agentschap zijn geïdentificeerd en van toepassing zijn op de certificering van producten, diensten en processen op het gebied van informatie- en communicatietechnologie (ICT) die onder het toepassingsgebied van die specifieke regeling vallen;

  Amendement    86

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 10

  Door de Commissie voorgestelde tekst

  Amendement

  (10)  "Europees cyberbeveiligingscertificaat": een door een conformiteitsbeoordelingsinstantie afgegeven document dat bevestigt dat een bepaald ICT-product of een bepaalde ICT-dienst voldoet aan de specifieke, in een Europese regeling voor cyberbeveiligingscertificering vastgestelde vereisten;

  (10)  "Europees cyberbeveiligingscertificaat": een door een conformiteitsbeoordelingsinstantie afgegeven document dat bevestigt dat een bepaald ICT-product, -proces of een bepaalde ICT-dienst voldoet aan de specifieke, in een Europese regeling voor cyberbeveiligingscertificering vastgestelde vereisten;

  Amendement    87

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 11 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (11 bis)  "ICT-proces": een reeks activiteiten die wordt uitgevoerd om een ICT‑product of ‑dienst te ontwerpen, te ontwikkelen, te onderhouden en te leveren;

  Amendement    88

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 11 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (11 ter)  "elektronisch apparaat van consumenten": een apparaat bestaande uit hardware en software dat persoonsgegevens verwerkt of een verbinding met het internet tot stand brengt voor de werking van domotica en regelsystemen voor woningen, kantoorapparatuur, routeringsapparatuur, en toestellen die met een netwerk worden verbonden zoals slimme televisies, speelgoed of spelconsoles, virtuele of persoonlijk assistenten, verbonden streamingapparatuur, draagbare systemen, spraakcommandosystemen en "virtual reality"-systemen;

  Amendement    89

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16

  Door de Commissie voorgestelde tekst

  Amendement

  (16)  "norm": een norm als bedoeld in artikel 2, punt 1), van Verordening (EU) nr. 1025/2012.

  (16)  "norm, technische specificatie en technische ICT-specificatie": een norm, technische specificatie of technische ICT-specificatie als gedefinieerd in artikel 2, punten 1), 4) en 5), van Verordening (EU) nr. 1025/2012;

  Amendement    90

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (16 bis)  "nationale autoriteiten voor certificeringstoezicht": een door elke lidstaat in overeenstemming met artikel 50 van deze verordening aangewezen orgaan;

  Amendement    91

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (16 ter)  "zelfbeoordeling": de verklaring van conformiteit waarmee de fabrikant verklaart dat aan specifieke vereisten in een regeling voor certificering met betrekking tot producten, processen en diensten is voldaan;

  Amendement    92

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (16 quater)  "standaardbeveiliging": een situatie waarbij als een product, software of proces op een manier kan worden geïnstalleerd met een hogere mate van beveiliging, de eerste gebruiker de standaardconfiguratie moet ontvangen met de meest beveiligde instellingen mogelijk. Als uit een risico- en bruikbaarheidsanalyse geval per geval blijkt dat een dergelijke instelling niet haalbaar is, moeten gebruikers worden aangespoord voor de meest beveiligde instelling te kiezen.

  Amendement    93

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16 quinquies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (16 quinquies)  "aanbieders van essentiële diensten": publieke of private entiteiten als gedefinieerd in artikel 4, punt 4), van Richtlijn (EU) 2016/1148;

  Amendement    94

  Voorstel voor een verordening

  Artikel 3 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Het Agentschap verricht de bij deze verordening aan hem toegewezen taken met als doel bij te dragen tot een hoog niveau van cyberbeveiliging binnen de Unie.

  1.  Het Agentschap verricht de bij deze verordening aan hem toegewezen taken en wordt versterkt met als doel bij te dragen tot het bereiken van een hoog gemeenschappelijk niveau van cyberbeveiliging, teneinde cyberaanvallen binnen de Unie te voorkomen; fragmentatie in de eengemaakte markt te verminderen en de werking ervan te verbeteren; en consistentie te waarborgen door rekening te houden met de samenwerkingsresultaten van de lidstaten in het kader van de richtlijn inzake netwerk- en informatiebeveiliging.

  Amendement    95

  Voorstel voor een verordening

  Artikel 4 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Het Agentschap is een expertisecentrum voor cyberbeveiliging door zijn onafhankelijkheid, de wetenschappelijke en technische kwaliteit van zijn advies en bijstand, de informatie die het verstrekt, de transparantie van zijn werkwijzen en -methoden, en de toewijding bij de uitvoering van zijn taken.

  1.  Het Agentschap is een centrum voor theoretische en praktische expertise over cyberbeveiliging door zijn onafhankelijkheid, de wetenschappelijke en technische kwaliteit van zijn advies en bijstand, de informatie die het verstrekt, de transparantie van zijn werkwijzen en -methoden, en de toewijding bij de uitvoering van zijn taken.

  Amendement    96

  Voorstel voor een verordening

  Artikel 4 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Het Agentschap verleent bijstand aan de EU-instellingen, -agentschappen en -organen alsmede aan de lidstaten bij de ontwikkeling en uitvoering van beleid inzake cyberbeveiliging.

  2.  Het Agentschap verleent bijstand aan de EU-instellingen, -agentschappen en -organen alsmede aan de lidstaten bij de ontwikkeling en uitvoering van beleid inzake cyberbeveiliging en voorlichting aan burgers en bedrijven.

  Amendement    97

  Voorstel voor een verordening

  Artikel 4 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Het Agentschap ondersteunt de capaciteitsopbouw en de paraatheid in de hele Unie door bijstand te verlenen aan de Unie, de lidstaten alsmede publieke en private belanghebbenden teneinde de bescherming van hun netwerk- en informatiesystemen te verbeteren, bij te dragen tot de ontwikkeling van vaardigheden en kennis op het gebied van cyberbeveiliging, en cyberweerbaarheid te kweken.

  3.  Het Agentschap ondersteunt de capaciteitsopbouw en de paraatheid in alle instellingen, agentschappen en organen van de Unie door bijstand te verlenen aan de Unie, de lidstaten alsmede publieke en private belanghebbenden teneinde de bescherming van hun netwerk- en informatiesystemen te verbeteren, de cyberweerbaarheid en het cyberreactievermogen te ontwikkelen en te verbeteren, bewustzijn te kweken en bij te dragen tot de ontwikkeling van vaardigheden en kennis op het gebied van cyberbeveiliging en cyberweerbaarheid te kweken.

  Amendement    98

  Voorstel voor een verordening

  Artikel 4 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Het Agentschap bevordert de samenwerking en coördinatie op EU-niveau tussen de lidstaten, de EU-instellingen, -agentschappen en -organen, en relevante belanghebbenden, met inbegrip van de particuliere sector, betreffende kwesties op het gebied van cyberbeveiliging.

  4.  Het Agentschap bevordert de samenwerking, coördinatie en informatie-uitwisseling op EU-niveau tussen de lidstaten, de EU-instellingen, -agentschappen en -organen, en relevante belanghebbenden betreffende kwesties op het gebied van cyberbeveiliging.

  Amendement    99

  Voorstel voor een verordening

  Artikel 4 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Het Agentschap zorgt ervoor dat de vermogens inzake cyberbeveiliging op EU-niveau worden versterkt als aanvulling op maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten.

  5.  Het Agentschap draagt bij tot de versterking van de vermogens inzake cyberbeveiliging op EU-niveau als aanvulling op maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten, en met het oog op zijn taak om EU-instellingen te ondersteunen bij de ontwikkeling van cyberbeveiligingsbeleid.

  Amendement    100

  Voorstel voor een verordening

  Artikel 4 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Het Agentschap bevordert het gebruik van certificering, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau overeenkomstig titel III van deze verordening, zodat de transparantie van de cyberbeveiligingszekerheid van ICT-producten en -diensten en daarmee het vertrouwen in de digitale interne markt worden versterkt.

  6.  Het Agentschap bevordert, met het oog op het verbeteren van de werking van de interne markt en het vermijden van fragmentatie, het gebruik van certificering, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau overeenkomstig titel III van deze verordening, zodat de transparantie van de cyberbeveiligingszekerheid van ICT-producten, ‑diensten en -processen en daarmee het vertrouwen in de digitale interne markt worden versterkt en de compatibiliteit tussen bestaande nationale en internationale certificeringsregelingen kan worden vergroot.

  Amendement    101

  Voorstel voor een verordening

  Artikel 4 – lid 7

  Door de Commissie voorgestelde tekst

  Amendement

  7.  Het Agentschap draagt ertoe bij dat burgers en bedrijven zich in grote mate bewust worden van kwesties op het gebied van cyberbeveiliging.

  7.  Het Agentschap stimuleert en steunt projecten die ertoe bijdragen dat burgers en bedrijven zich in grote mate bewust worden van kwesties op het gebied van cyberbeveiliging en dat hun cyberhygiëne en cyberkennis toenemen.

  Amendement    102

  Voorstel voor een verordening

  Artikel 5 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  bijstand te verlenen en raad te geven, met name door het verstrekken van onafhankelijke adviezen en het verrichten van voorbereidende werkzaamheden, bij de ontwikkeling en herziening van EU-beleid en -wetgeving op het gebied van cyberbeveiliging en van sectorspecifieke beleids- en wetgevingsinitiatieven die verband houden met cyberbeveiliging;

  1.  bijstand te verlenen en raad te geven, met name door het verstrekken van onafhankelijke adviezen en analyses van relevante activiteiten in de cyberruimte, en het verrichten van voorbereidende werkzaamheden, bij de ontwikkeling en herziening van EU-beleid en -wetgeving op het gebied van cyberbeveiliging en van sectorspecifieke beleids- en wetgevingsinitiatieven die verband houden met cyberbeveiliging;

  Amendement    103

  Voorstel voor een verordening

  Artikel 5 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  de lidstaten bij te staan bij de consistente uitvoering van het EU-beleid en de EU-wetgeving inzake cyberbeveiliging, met name in verband met Richtlijn (EU) 2016/1148, onder meer door middel van adviezen, richtsnoeren, raadgeving en beste praktijken op gebieden als risicobeheer, melding van incidenten en uitwisseling van informatie, alsmede door bevordering van de uitwisseling van beste praktijken tussen op dat gebied bevoegde autoriteiten;

  2.  de lidstaten bij te staan bij de consistente uitvoering van het EU-beleid en de EU-wetgeving inzake cyberbeveiliging, met name in verband met Richtlijn (EU) 2016/1148, Richtlijn .../... [tot vaststelling van het Europees wetboek voor elektronische communicatie], Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, onder meer door middel van adviezen, richtsnoeren, raadgeving en beste praktijken op gebieden als ontwikkeling van veilige software en systemen, risicobeheer, melding van incidenten en uitwisseling van informatie, technische en organisatorische maatregelen, met name de opstelling van gecoördineerde programma's voor bekendmaking van kwetsbaarheden, alsmede door bevordering van de uitwisseling van beste praktijken tussen op dat gebied bevoegde autoriteiten;

  Amendement    104

  Voorstel voor een verordening

  Artikel 5 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  de ontwikkeling en bevordering van beleidsmaatregelen die de algemene beschikbaarheid of integriteit van de openbare kern van het open internet behouden, die de essentiële functionaliteit van het internet als geheel vormen en die de normale werking ervan ondersteunen, met inbegrip van, maar niet beperkt tot, de beveiliging en stabiliteit van belangrijke protocollen (met name DNS, BGP en IPv6), de werking van het domeinnaamsysteem (met inbegrip van die van alle topniveaudomeinen) en de werking van de "root zone";

  Amendement    105

  Voorstel voor een verordening

  Artikel 5 – alinea 1 - punt 4 – punt 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  de bevordering van een verhoogd beveiligingsniveau van elektronische communicatie, onder meer door expertise en advies te verstrekken en de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te bevorderen;

  (2)  de bevordering van een verhoogd beveiligingsniveau van elektronische communicatie, gegevensopslag en gegevensverwerking, onder meer door expertise en advies te verstrekken en de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te bevorderen;

  Amendement    106

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  5 bis.  de lidstaten bij te staan bij de consistente tenuitvoerlegging van EU-beleid en -wetgeving inzake gegevensbescherming, vooral Verordening (EU) 2016/679, en het Europees Comité voor gegevensbescherming (EDPB) bij te staan bij de ontwikkeling van richtsnoeren voor de tenuitvoerlegging van Verordening (EU) 2016/679 voor cyberbeveiligingsdoeleinden. Het EDPB raadpleegt het Agentschap altijd als het een advies of een besluit uitvaardigt met betrekking tot de tenuitvoerlegging van de algemene verordening gegevensbescherming en cyberbeveiliging, niet uitsluitend bij kwesties in verband met privacyeffectbeoordelingen, kennisgeving van inbreuken op gegevens, beveiligingsverwerking, beveiligingsvereisten en ingebouwde privacy.

  Amendement    107

  Voorstel voor een verordening

  Artikel 6 – lid 1 – letter a bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (a bis)  de lidstaten en instellingen van de Unie bij de opstelling en tenuitvoerlegging van gecoördineerde beleidsmaatregelen voor openbaarmaking van kwetsbaarheden en evaluatieprocessen voor de openbaarmaking van kwetsbaarheden door regeringen, waarvan de praktijken en bepalingen transparant en onderworpen aan onafhankelijk toezicht moeten zijn;

  Amendement    108

  Voorstel voor een verordening

  Artikel 6 – lid 1 – letter a ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (a ter)  Het Agentschap faciliteert, in samenwerking met de Europese Onderzoeksraad (ERC) en het Europees Instituut voor innovatie en technologie (EIT) en met inachtneming van de onderzoeksprogramma's van de Unie, de opzet en lancering van een Europees langetermijnproject op het gebied van IT-beveiliging om verder onderzoek naar cyberbeveiliging in de Unie en de lidstaten te bevorderen.

  Amendement    109

  Voorstel voor een verordening

  Artikel 1 – lid 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  de lidstaten door jaarlijks grootschalige oefeningen op het gebied van cyberbeveiliging op EU-niveau te organiseren overeenkomstig artikel 7, lid 6, en door beleidsaanbevelingen te verstrekken op basis van de evaluatie van de oefeningen en de daaruit getrokken lessen;

  (g)  de lidstaten door regelmatig en ten minste jaarlijks grootschalige oefeningen op het gebied van cyberbeveiliging op EU-niveau te organiseren overeenkomstig artikel 7, lid 6, en door beleidsaanbevelingen te verstrekken en beste praktijken uit te wisselen op basis van de evaluatie van de oefeningen en de daaruit getrokken lessen;

  Amendement    110

  Voorstel voor een verordening

  Artikel 6 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Het Agentschap vergemakkelijkt de oprichting van sectorale centra voor informatie-uitwisseling en -analyse (ISAC's) en zorgt voor permanente steun aan deze centra, met name in de in bijlage II bij Richtlijn (EU) 2016/1148 genoemde sectoren, door beste praktijken en richtsnoeren te verstrekken over beschikbare instrumenten en procedures, en over de manier waarop regelgevingsvraagstukken in verband met informatie-uitwisseling kunnen worden opgelost.

  2.  Het Agentschap vergemakkelijkt de oprichting van sectorale centra voor informatie-uitwisseling en -analyse (ISAC's) en zorgt voor permanente steun aan deze centra, met name in de in bijlage II bij Richtlijn (EU) 2016/1148 genoemde sectoren, door beste praktijken en richtsnoeren te verstrekken over beschikbare instrumenten en procedures, de beginselen van cyberhygiëne en over de manier waarop regelgevingsvraagstukken in verband met informatie-uitwisseling kunnen worden opgelost.

  Amendement    111

  Voorstel voor een verordening

  Artikel 7 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Het Agentschap ondersteunt de operationele samenwerking tussen de bevoegde overheidsinstanties en tussen de belanghebbenden.

  1.  Het Agentschap ondersteunt de operationele samenwerking tussen de lidstaten, instellingen, agentschappen en organen van de Unie en tussen de belanghebbenden, met het oog op de versterking daarvan, door bestaande nationale regelingen te analyseren en te beoordelen, een plan te ontwikkelen en uit te voeren en door de juiste instrumenten te gebruiken om het hoogst mogelijke niveau van cyberbeveiligingscertificering in de Unie en de lidstaten te bewerkstelligen.

  Amendement    112

  Voorstel voor een verordening

  Artikel 7 – lid 4 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  op hun verzoek technische bijstand te verlenen in het geval van incidenten met aanzienlijke of substantiële gevolgen;

  (b)  op hun verzoek technische bijstand te verlenen in de vorm van het delen van informatie en expertise in het geval van incidenten met aanzienlijke of substantiële gevolgen;

  Amendement    113

  Voorstel voor een verordening

  Artikel 7 – lid 4 – alinea 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  Indien een situatie urgente actie vereist wanneer een incident een aanzienlijk verstorend effect heeft, kan een lidstaat de hulp van deskundigen van het Agentschap inroepen om de situatie te beoordelen. In het verzoek wordt een beschrijving opgenomen van de situatie, de mogelijke doelen en de verwachte behoeften;

  Amendement    114

  Voorstel voor een verordening

  Artikel 7 – lid 5 – alinea 1

  Door de Commissie voorgestelde tekst

  Amendement

  Op verzoek van twee of meer betrokken lidstaten, en met als enig doel advies te verstrekken voor de preventie van toekomstige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan twee lidstaten.

  Op verzoek van een of meer betrokken lidstaten, en met als enig doel bijstand te verlenen in de vorm van advies voor de preventie van toekomstige incidenten, of in de vorm van bijstand bij de reactie op actuele grootschalige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht bovenstaande activiteiten op grond van relevante informatie van de betrokken lidstaten en door gebruik te maken van zijn eigen middelen op het gebied van dreigingsanalyse en middelen voor de reactie op incidenten. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan één lidstaat. Het Agentschap garandeert hierbij dat de acties die door de lidstaten worden ondernomen niet openbaar worden gemaakt, zodat hun essentiële staatsfuncties worden gewaarborgd, met name die welke betrekking hebben op de staatsveiligheid.

  Amendement    115

  Voorstel voor een verordening

  Artikel 7 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Het Agentschap organiseert jaarlijkse cyberbeveiligingsoefeningen op EU-niveau en ondersteunt de EU-instellingen,- agentschappen en -organen op hun verzoek bij het organiseren van oefeningen. De jaarlijkse oefeningen op EU-niveau omvatten technische, operationele en strategische elementen en dragen bij tot de voorbereiding van de gezamenlijke reactie op EU-niveau op grootschalige grensoverschrijdende cyberbeveiligingsincidenten. Het Agentschap draagt in voorkomend geval ook bij tot sectorale cyberbeveiligingsoefeningen, en helpt deze te organiseren, samen met de betrokken ISAC's, en staat toe dat de ISAC's ook deelnemen aan cyberbeveiligingsoefeningen op EU-niveau.

  6.  Het Agentschap organiseert regelmatige, en in ieder geval ten minste jaarlijkse, cyberbeveiligingsoefeningen op EU-niveau en ondersteunt de EU‑instellingen, agentschappen en ‑organen op hun verzoek bij het organiseren van oefeningen. De jaarlijkse oefeningen op EU-niveau omvatten technische, operationele en strategische elementen en dragen bij tot de voorbereiding van de gezamenlijke reactie op EU-niveau op grootschalige grensoverschrijdende cyberbeveiligingsincidenten. Het Agentschap draagt in voorkomend geval ook bij tot sectorale cyberbeveiligingsoefeningen, en helpt deze te organiseren, samen met de betrokken ISAC's, en staat toe dat de ISAC's ook deelnemen aan cyberbeveiligingsoefeningen op EU-niveau.

  Amendement    116

  Voorstel voor een verordening

  Artikel 7 – lid 7

  Door de Commissie voorgestelde tekst

  Amendement

  7.  Het Agentschap stelt regelmatig een technisch situatieverslag inzake de EU-cyberbeveiliging op met betrekking tot incidenten en dreigingen, waarbij het gebruikmaakt van publiek beschikbare informatie, eigen analyses en verslagen die ter beschikking worden gesteld door onder meer de CSIRT's van de lidstaten (op vrijwillige basis), de bij de NIS-richtlijn opgerichte centrale contactpunten (overeenkomstig artikel 14, lid 5, van de NIS-richtlijn), het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol en CERT-EU.

  7.  Het Agentschap stelt regelmatig een diepgaand technisch situatieverslag inzake de EU-cyberbeveiliging op met betrekking tot incidenten en dreigingen, waarbij het gebruikmaakt van publiek beschikbare informatie, eigen analyses en verslagen die ter beschikking worden gesteld door onder meer de CSIRT's van de lidstaten (op vrijwillige basis), de bij de NIS-richtlijn opgerichte centrale contactpunten (overeenkomstig artikel 14, lid 5, van de NIS-richtlijn), het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol en CERT-EU. De uitvoerend directeur legt de openbare bevindingen zo nodig voor aan het Europees Parlement.

  Amendement    117

  Voorstel voor een verordening

  Artikel 7 – lid 7 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  7 bis.  Indien nodig en na goedkeuring van de Commissie draagt het Agentschap bij aan cybersamenwerking met het Kenniscentrum voor cyberdefensie van de NAVO en de Academie voor communicatie en informatie van de NAVO.

  Amendement    118

  Voorstel voor een verordening

  Artikel 7 – alinea 1 - letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  verslagen van nationale bronnen te bundelen om tot de totstandbrenging van een gemeenschappelijk situatiebewustzijn bij te dragen;

  (a)  verslagen van nationale bronnen te analyseren en te bundelen om tot de totstandbrenging van een gemeenschappelijk situatiebewustzijn bij te dragen;

  Amendement    119

  Voorstel voor een verordening

  Artikel 7 – lid 8 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  de technische afhandeling van een incident of crisis te ondersteunen, onder meer door de uitwisseling van technische oplossingen tussen de lidstaten te bevorderen;

  (c)  de technische afhandeling van een incident of crisis te ondersteunen, op basis van zijn eigen onafhankelijke expertise en middelen, onder meer door de vrijwillige uitwisseling van technische oplossingen tussen de lidstaten te bevorderen;

  Amendement    120

  Voorstel voor een verordening

  Artikel 7 – lid 8 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  8 bis.  Het Agentschap zorgt zo nodig voor een gedachtewisseling en verleent de autoriteiten van de lidstaten bijstand bij de coördinatie van hun reactie, in overeenstemming met de beginselen van subsidiariteit en evenredigheid.

  Amendement    121

  Voorstel voor een verordening

  Artikel 7 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 7 bis

   

  Technische vermogens van het Agentschap

   

  1. Ter verwezenlijking van de in artikel 7 beschreven doelstellingen en in overeenstemming met het werkprogramma van het Agentschap ontwikkelt het Agentschap onder meer de volgende technische vermogens en vaardigheden:

   

  (a) het vermogen om informatie over cyberbeveiligingsdreigingen uit open bronnen te verzamelen; en

   

  (b) het vermogen om vanop afstand technische apparatuur, instrumenten en expertise in te zetten.

   

  2. Om over de in lid 1 van dit artikel bedoelde technische vermogens te beschikken en met het oog op de ontwikkeling van de desbetreffende vaardigheden:

   

  (a) zorgt het Agentschap ervoor dat de vereiste verschillende technische vaardigheden in zijn aanwervingsprocessen worden opgenomen; en

   

  (b) werkt het Agentschap samen met CERT-EU en Europol, overeenkomstig artikel 7, lid 2, van deze verordening.

  Amendement    122

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  ondersteunt en bevordert de ontwikkeling en uitvoering van het EU-beleid inzake cyberbeveiligingscertificering van ICT-producten en -diensten, zoals vastgesteld in titel III van deze verordening, door:

  (a)  ondersteunt en bevordert de ontwikkeling en uitvoering van het EU-beleid inzake cyberbeveiligingscertificering van ICT-producten, -diensten en -processen, zoals vastgesteld in titel III van deze verordening, door:

  Amendement    123

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt -1 (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (-1)  permanent normen, technische specificaties en technische ICT-specificaties te identificeren;

  Amendement    124

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1

  Door de Commissie voorgestelde tekst

  Amendement

  (1)  potentiële Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten overeenkomstig artikel 44 van deze verordening voor te bereiden;

  (1)  in samenwerking met belanghebbenden uit de sector en normalisatie-organisaties en door middel van een formeel, gestandaardiseerd en transparant proces potentiële Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten, ‑diensten en ‑processen overeenkomstig artikel 44 van deze verordening voor te bereiden;

  Amendement    125

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (1 bis)  in samenwerking met de in artikel 53 van deze verordening bedoelde groep voor certificering van de lidstaten beoordelingen uit te voeren van de procedures voor de afgifte van Europese cyberbeveiligingscertificaten die zijn ingesteld door de in artikel 51 van deze verordening bedoelde conformiteitsbeoordelingsinstanties, om te zorgen voor een eenvormige toepassing van deze verordening door de conformiteitsbeoordelingsinstanties wanneer zij certificaten afgeven;

  Amendement    126

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (1 ter)  achteraf onafhankelijke periodieke controles van de overeenstemming van gecertificeerde ICT-producten, -processen en -diensten met Europese regelingen voor cyberbeveiligingscertificering uit te voeren;

  Amendement    127

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  de Commissie bijstand te verlenen bij het verzorgen van het secretariaat voor de Europese Groep voor cyberbeveiligingscertificering overeenkomstig artikel 53 van deze verordening;

  (2)  de Commissie bijstand te verlenen bij het verzorgen van het secretariaat voor de groep voor certificering van de lidstaten overeenkomstig artikel 53 van deze verordening;

  Amendement    128

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 3

  Door de Commissie voorgestelde tekst

  Amendement

  (3)  richtsnoeren op te stellen en te publiceren en goede praktijken te ontwikkelen in verband met de cyberbeveiligingsvereisten van ICT-producten en -diensten, in samenwerking met de nationale autoriteiten voor certificeringstoezicht en de branche;

  (3)  richtsnoeren op te stellen en te publiceren en goede praktijken te ontwikkelen, ook inzake de beginselen van cyberhygiëne, in verband met de cyberbeveiligingsvereisten van ICT-producten, -processen en -diensten, in samenwerking met de nationale autoriteiten voor certificeringstoezicht en de branche in een formeel, gestandaardiseerd en transparant proces;

  Amendement    129

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  bevordert de vaststelling en toepassing van Europese en internationale normen inzake risicobeheersing en inzake de beveiliging van ICT-producten en -diensten, en stelt in samenwerking met de lidstaten advies en richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële diensten en digitaledienstverleners, en met betrekking tot reeds bestaande normen, met inbegrip van nationale normen van de lidstaten, overeenkomstig artikel 19, lid 2, van Richtlijn (EU) 2016/1148;

  (b)  bevordert de vaststelling en toepassing van Europese en internationale normen inzake risicobeheersing en inzake de beveiliging van ICT-producten, -processen en -diensten, en stelt in samenwerking met de lidstaten en de branche advies en richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële diensten en digitaledienstverleners, en met betrekking tot reeds bestaande normen, met inbegrip van nationale normen van de lidstaten, overeenkomstig artikel 19, lid 2, van Richtlijn (EU) 2016/1148 en deelt die informatie met de lidstaten;

  Amendement    130

  Voorstel voor een verordening

  Artikel 9 – alinea 1 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  verstrekt, in samenwerking met deskundigen van autoriteiten van de lidstaten, advies, richtsnoeren en beste praktijken voor de beveiliging van netwerk- en informatiesystemen, met name voor de beveiliging van internetinfrastructuur en de infrastructuurvoorzieningen die de in bijlage II bij Richtlijnen (EU) 2016/1148 genoemde sectoren ondersteunen;

  (c)  verstrekt, in samenwerking met deskundigen van autoriteiten van de lidstaten en relevante belanghebbenden, advies, richtsnoeren en beste praktijken voor de beveiliging van netwerk- en informatiesystemen, met name voor de beveiliging van internetinfrastructuur en de infrastructuurvoorzieningen die de in bijlage II bij Richtlijnen (EU) 2016/1148 genoemde sectoren ondersteunen;

  Amendement    131

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  draagt bij tot de bewustmaking van het publiek omtrent risico’s inzake cyberbeveiliging en verstrekt richtsnoeren inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties;

  (e)  draagt bij tot de bewustmaking van het publiek en kweekt voortdurend meer bewustzijn omtrent risico’s inzake cyberbeveiliging en verstrekt opleidingen en richtsnoeren inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties en bevordert de vaststelling van preventieve en sterke IT-beveiligingsmaatregelen en maatregelen voor een betrouwbare gegevensbescherming en privacy;

  Amendement    132

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  organiseert, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en agentschappen, regelmatig publieke voorlichtingscampagnes teneinde de cyberbeveiliging en de zichtbaarheid ervan in de Unie te versterken.

  (g)  organiseert, in samenwerking met de lidstaten en de EU‑instellingen, ‑organen, ‑instanties en agentschappen, regelmatig communicatiecampagnes teneinde een breed publiek debat op gang te brengen;

  Amendement    133

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  ondersteunt nauwere coördinatie en de uitwisseling van beste praktijken tussen de lidstaten met betrekking tot voorlichting en kennis over cyberbeveiliging, cyberhygiëne en bewustmaking.

  Amendement    134

  Voorstel voor een verordening

  Artikel 10 – alinea 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging om doelmatig te kunnen reageren op bestaande en opkomende risico’s en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  (a)  voorafgaande raadpleging van relevante gebruikersgroepen waarborgen en advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging, gegevensbescherming en privacy om doelmatig te kunnen reageren op bestaande en opkomende risico’s en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  Amendement    135

  Voorstel voor een verordening

  Artikel 10 – alinea 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  opdracht geven voor zijn eigen onderzoeksactiviteiten op aandachtsgebieden die nog niet door bestaande onderzoeksprogramma's van de Unie worden bestreken, waar er een duidelijk vastgestelde Europese meerwaarde bestaat.

  Amendement    136

  Voorstel voor een verordening

  Artikel 11 – alinea 1 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  in samenwerking met de op grond van artikel 53 ingestelde groep voor certificering van de lidstaten advies en steun aan de Commissie te verlenen inzake aangelegenheden in verband met overeenkomsten met derde landen betreffende wederzijdse erkenning van cyberbeveiligingscertificaten.

  Amendement    137

  Voorstel voor een verordening

  Artikel 12 – alinea 1 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  een permanente groep van belanghebbenden, die de in artikel 20 vastgestelde taken uitvoert.

  (d)  een Enisa-adviesgroep, die de in artikel 20 vastgestelde taken uitvoert.

  Amendement    138

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  beoordeelt het geconsolideerde jaarverslag over de activiteiten van het Agentschap en keurt het goed, en doet het verslag en zijn beoordeling daarvan uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer. Het jaarverslag bevat de rekeningen en beschrijft hoe het Agentschap zijn prestatie-indicatoren heeft nageleefd. Dit jaarverslag wordt openbaar gemaakt;

  (e)  beoordeelt het geconsolideerde jaarverslag over de activiteiten van het Agentschap en keurt het goed, en doet het verslag en zijn beoordeling daarvan uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer. Het jaarverslag bevat de rekeningen, beschrijft de doeltreffendheid van de uitgaven en beoordeelt hoe efficiënt het Agentschap heeft geopereerd en in hoeverre het zijn prestatie-indicatoren heeft nageleefd. Dit jaarverslag wordt openbaar gemaakt;

  Amendement    139

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter m

  Door de Commissie voorgestelde tekst

  Amendement

  (m)  benoemt de uitvoerend directeur en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  (m)  benoemt de uitvoerend directeur via een op professionele criteria gebaseerde selectieprocedure en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  Amendement    140

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter o

  Door de Commissie voorgestelde tekst

  Amendement

  (o)  neemt alle beslissingen in verband met het opzetten van de interne structuren van het Agentschap en, waar nodig, de wijziging ervan, rekening houdend met de activiteitenbehoeften van het Agentschap en met het oog op een gezond begrotingsbeheer;

  (o)  neemt alle beslissingen in verband met het opzetten van de interne structuren van het Agentschap en, waar nodig, de wijziging ervan, rekening houdend met de activiteitenbehoeften van het Agentschap, zoals vermeld in deze verordening, en met het oog op een gezond begrotingsbeheer;

  Amendement    141

  Voorstel voor een verordening

  Artikel 16 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Op uitnodiging van de voorzitter kunnen leden van de permanente groep van belanghebbenden zonder stemrecht deelnemen aan de vergaderingen van de raad van bestuur.

  4.  Op uitnodiging van de voorzitter kunnen leden van de Enisa-adviesgroep zonder stemrecht deelnemen aan de vergaderingen van de raad van bestuur.

  Amendement    142

  Voorstel voor een verordening

  Artikel 18 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Het dagelijks bestuur bestaat uit vijf uit de raad van bestuur benoemde leden, onder wie de voorzitter van de raad van bestuur, die ook het dagelijks bestuur kan voorzitten, en een van de vertegenwoordigers van de Commissie. De uitvoerend directeur neemt deel aan de vergaderingen van het dagelijks bestuur, maar heeft geen stemrecht.

  3.  Het dagelijks bestuur bestaat uit vijf uit de raad van bestuur benoemde leden, onder wie de voorzitter van de raad van bestuur, die ook het dagelijks bestuur kan voorzitten, en een van de vertegenwoordigers van de Commissie. De uitvoerend directeur neemt deel aan de vergaderingen van het dagelijks bestuur, maar heeft geen stemrecht. Bij de benoemingen in het dagelijks bestuur wordt een genderevenwicht nagestreefd.

  Motivering

  Bij benoemingen in het dagelijks bestuur moet ook een genderevenwicht worden nagestreefd, overeenkomstig de bepalingen voor de raad van bestuur in artikel 13, lid 3.

  Amendement    143

  Voorstel voor een verordening

  Artikel 19 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De uitvoerend directeur brengt desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

  2.  De uitvoerend directeur brengt jaarlijks of desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

  Amendement    144

  Voorstel voor een verordening

  Artikel 19 – lid 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  5 bis.  De uitvoerend directeur heeft ook het recht om op te treden als institutioneel speciaal adviseur inzake cyberbeveiligingsbeleid voor de voorzitter van de Europese Commissie, met een mandaat zoals beschreven in Besluit C(2014) 541 van de Commissie van 6 februari 2014.

  Amendement    145

  Voorstel voor een verordening

  Artikel 20 – titel

  Door de Commissie voorgestelde tekst

  Amendement

  Permanente groep van belanghebbenden

  Enisa-adviesgroep

   

  (Dit amendement is van toepassing op de gehele tekst. Bij aanneming van dit amendement moet deze wijziging in de gehele tekst worden doorgevoerd.)

  Amendement    146

  Voorstel voor een verordening

  Artikel 20 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, op transparante wijze een Enisa-adviesgroep op, samengesteld uit erkende beveiligingsdeskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, met inbegrip van kmo's, exploitanten van essentiële diensten overeenkomstig de richtlijn inzake netwerk- en informatiebeveiliging, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging, Europese normalisatie-organisaties (ENO's), EU-agentschappen en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming. De raad van bestuur zorgt voor een gepast evenwicht tussen de verschillende groepen van belanghebbenden.

  Amendement    147

  Voorstel voor een verordening

  Artikel 20 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Procedures voor de permanente groep van belanghebbenden, met name betreffende het aantal, de samenstelling en de benoeming van zijn leden door de raad van bestuur, het voorstel van de uitvoerend directeur en de werking van de groep, worden in het huishoudelijk reglement van het Agentschap vastgesteld en gepubliceerd.

  2.  Procedures voor de Enisa-adviesgroep, met name betreffende het aantal, de samenstelling en de benoeming van zijn leden door de raad van bestuur, het voorstel van de uitvoerend directeur en de werking van de groep, worden in het huishoudelijk reglement van het Agentschap vastgesteld en gepubliceerd.

  Amendement    148

  Voorstel voor een verordening

  Artikel 20 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  De permanente groep van belanghebbenden wordt voorgezeten door de uitvoerend directeur of door een andere persoon die door de uitvoerend directeur per geval wordt benoemd.

  3.  De Enisa-adviesgroep wordt voorgezeten door de uitvoerend directeur of door een andere persoon die door de uitvoerend directeur per geval wordt benoemd.

  Amendement    149

  Voorstel voor een verordening

  Artikel 20 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  De ambtstermijn van de leden van de permanente groep van belanghebbenden bedraagt tweeënhalf jaar. Leden van de raad van bestuur kunnen geen lid zijn van de permanente groep van belanghebbenden. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de permanente groep van belanghebbenden bijwonen en aan de werkzaamheden ervan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de permanente groep van belanghebbenden, mogen worden uitgenodigd op de vergaderingen van de permanente groep van belanghebbenden en deelnemen aan de werkzaamheden ervan.

  4.  De ambtstermijn van de leden van de Enisa-adviesgroep bedraagt tweeënhalf jaar. Leden van de raad van bestuur kunnen geen lid zijn van de Enisa-adviesgroep. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de Enisa-adviesgroep bijwonen en aan de werkzaamheden ervan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de Enisa-adviesgroep, mogen worden uitgenodigd op de vergaderingen van de Enisa-adviesgroep en deelnemen aan de werkzaamheden ervan.

  Amendement    150

  Voorstel voor een verordening

  Artikel 20 – lid 4 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  4 bis.  De Enisa-adviesgroep verstrekt gedurende het hele jaar regelmatig updates van haar planning en beschrijft de doelstellingen in haar werkprogramma, dat omwille van de transparantie om de zes maanden wordt gepubliceerd.

  Amendement    151

  Voorstel voor een verordening

  Artikel 20 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De permanente groep van belanghebbenden adviseert het Agentschap met betrekking tot de uitvoering van zijn activiteiten. De permanente groep van belanghebbenden adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het werkprogramma van het Agentschap en met betrekking tot de communicatie met de relevante belanghebbenden over alle met het werkprogramma verband houdende kwesties.

  5.  De Enisa-adviesgroep adviseert het Agentschap met betrekking tot de uitvoering van zijn activiteiten, met uitzondering van de toepassing van titel III van deze verordening. De permanente groep van belanghebbenden adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het werkprogramma van het Agentschap en met betrekking tot de communicatie met de relevante belanghebbenden over met het werkprogramma verband houdende kwesties.

  Amendement    152

  Voorstel voor een verordening

  Artikel 20 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 20 bis

   

  Groep van belanghebbenden voor certificering

   

  1.   De uitvoerend directeur richt een groep van belanghebbenden voor certificering op, samengesteld uit een algemeen adviescomité dat algemeen advies verleent over de toepassing van titel III van deze verordening, en richt ad-hoccomités op voor het voorstel, de ontwikkeling en de goedkeuring van elke potentiële regeling. De leden van deze groep worden gekozen onder erkende beveiligingsdeskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, met inbegrip van kmo's, exploitanten van essentiële diensten overeenkomstig de richtlijn inzake netwerk- en informatiebeveiliging, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging, Europese normalisatie-organisaties (ENO's) en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

   

  2.   De procedures voor de groep van belanghebbenden voor certificering, met name betreffende het aantal, de samenstelling en de benoeming van haar leden door de uitvoerend directeur, worden in het huishoudelijk reglement van het Agentschap vastgesteld, volgen de beste praktijken om een eerlijke vertegenwoordiging en gelijke rechten voor alle belanghebbenden te waarborgen en worden gepubliceerd.

   

  3.   Leden van de raad van bestuur kunnen geen lid zijn van de groep van belanghebbenden voor certificering. Leden van de Enisa-adviesgroep kunnen ook lid zijn van de groep van belanghebbenden voor certificering. Deskundigen van de Commissie en van de lidstaten mogen, op uitnodiging, de vergaderingen van de groep van belanghebbenden voor certificering bijwonen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen mogen worden uitgenodigd voor de vergaderingen van de groep van belanghebbenden voor certificering en deelnemen aan de werkzaamheden daarvan.

   

  4.   De groep van belanghebbenden voor certificering adviseert het Agentschap over de uitvoering van zijn activiteiten met betrekking tot titel III van deze verordening. In het bijzonder heeft de groep het recht om de voorbereiding van een potentiële Europese regeling voor cyberbeveiligingscertificering voor te stellen aan de Commissie, zoals bepaald in artikel 44 van deze verordening, en om deel te nemen aan de procedures voor de goedkeuring van dergelijke regelingen als bedoeld in de artikelen 43 tot en met 48 en artikel 53 van deze verordening.

  Amendement    153

  Voorstel voor een verordening

  Artikel 21 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 21 bis

   

  Verzoek aan het Agentschap

   

  1. Het Agentschap moet één loket instellen en beheren waar verzoeken om advies en bijstand, voor zover die onder de doelstellingen en taken van het Agentschap vallen, worden behandeld. Deze verzoeken moeten vergezeld gaan van achtergrondinformatie over het te beoordelen vraagstuk. Het Agentschap moet de potentiële gevolgen voor de middelen vaststellen en, te zijner tijd, maatregelen nemen naar aanleiding van de verzoeken. Indien het Agentschap een verzoek afwijst, motiveert het dit besluit.

   

  2. De in lid 1 genoemde verzoeken kunnen worden ingediend door:

   

  (a) het Europees Parlement;

   

  (b) de Raad;

   

  (c) de Commissie; en

   

  (d) elke bevoegde instantie die door de lidstaten is aangewezen, zoals een nationale regelgevende instantie volgens de definitie van Richtlijn 2002/21/EG, artikel 2.

   

  3. De praktische regelingen voor de toepassing van de leden 1 en 2, in het bijzonder met betrekking tot de indiening, de vaststelling van prioriteiten, de follow-up en de informatie, worden door de raad van bestuur vastgesteld in het huishoudelijk reglement van het Agentschap.

  Amendement    154

  Voorstel voor een verordening

  Artikel 24 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De leden van de raad van bestuur, de uitvoerend directeur, de leden van de permanente groep van belanghebbenden, de externe deskundigen die deelnemen aan ad-hocwerkgroepen en de personeelsleden van het Agentschap, met inbegrip van de door de lidstaten tijdelijk gedetacheerde ambtenaren, leven na het beëindigen van hun functie de geheimhoudingsplicht uit hoofde van artikel 339 van het Verdrag betreffende de werking van de Europese Unie (VWEU) na.

  2.  De leden van de raad van bestuur, de uitvoerend directeur, de leden van de Enisa-adviesgroep, de externe deskundigen die deelnemen aan ad-hocwerkgroepen en de personeelsleden van het Agentschap, met inbegrip van de door de lidstaten tijdelijk gedetacheerde ambtenaren, leven na het beëindigen van hun functie de geheimhoudingsplicht uit hoofde van artikel 339 van het Verdrag betreffende de werking van de Europese Unie (VWEU) na.

  Amendement    155

  Voorstel voor een verordening

  Artikel 26 – lid 1 – alinea 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  De voorlopige ontwerpraming stoelt op de doelstellingen en verwachte resultaten van het enig programmeringsdocument zoals bedoeld in artikel 21, lid 1, van deze verordening en houdt rekening met de financiële middelen die nodig zijn voor het verwezenlijken van die doelstellingen en verwachte resultaten, in overeenstemming met het beginsel van resultaatgericht begroten.

  Amendement    156

  Voorstel voor een verordening

  Artikel 30 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De Rekenkamer is bevoegd om bij alle begunstigden van subsidies, contractanten en subcontractanten die van het Agentschap middelen van de Unie hebben ontvangen, controles op stukken of controles ter plaatse te verrichten.

  2.  De Rekenkamer is bevoegd om bij alle begunstigden van subsidies, contractanten en subcontractanten die van het Agentschap middelen van de Unie hebben ontvangen, controles op stukken of inspecties ter plaatse te verrichten.

  Amendement    157

  Voorstel voor een verordening

  Artikel 36 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap.

  5.  De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap. Het Agentschap zorgt voor de effectieve aanwerving van personeel.

  Amendement    158

  Voorstel voor een verordening

  Artikel 37 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De voor het functioneren van het agentschap vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie.

  2.  De voor het functioneren van het Agentschap vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie of andere verrichters van vertaaldiensten in overeenstemming met de aanbestedingsregels en binnen de grenzen van de toepasselijke financiële regels.

  Amendement    159

  Voorstel voor een verordening

  Artikel 39 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Voor zover noodzakelijk voor de verwezenlijking van de doelstellingen van deze verordening, kan het Agentschap samenwerken met de bevoegde autoriteiten van derde landen en/of met internationale organisaties. Daartoe kan het Agentschap, onder voorbehoud van voorafgaande goedkeuring door de Commissie, werkregelingen treffen met de autoriteiten van derde landen en met internationale organisaties. Deze regelingen scheppen geen wettelijke verplichtingen voor de Unie en haar lidstaten.

  1.  Voor zover noodzakelijk voor de verwezenlijking van de doelstellingen van deze verordening, kan het Agentschap samenwerken met de bevoegde autoriteiten van derde landen en/of met internationale organisaties. Daartoe kan het Agentschap, onder voorbehoud van voorafgaande goedkeuring door de Commissie, werkregelingen treffen met de autoriteiten van derde landen en met internationale organisaties. Als er samenwerking met de NAVO plaatsvindt, kan deze bestaan uit gezamenlijke cyberbeveiligingsoefeningen en een gecoördineerde respons op cyberincidenten. Deze regelingen scheppen geen wettelijke verplichtingen voor de Unie en haar lidstaten.

  Motivering

  Gezien de grensoverschrijdende aard van cyberincidenten, moet het Enisa waar dit gepast is, samenwerken met cyberbeveiligingsactoren in Europa zoals de NAVO. Dit is vooral van belang omdat de NAVO cybervermogens kan bezitten die het Enisa niet heeft en vice versa. Omdat cyberaanvallen steeds vaker tegen staten in hun geheel zijn gericht, is het voor de veiligheid van Europa noodzakelijk dat het Enisa op internationaal niveau samenwerkt met internationale organisaties als de NAVO.

  Amendement    160

  Voorstel voor een verordening

  Artikel 41 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De lidstaat van vestiging van het Agentschap verschaft zo goed mogelijke voorwaarden om een goede werking van het Agentschap te waarborgen, met inbegrip van de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

  2.  De lidstaat van vestiging van het Agentschap verschaft zo goed mogelijke voorwaarden om een goede werking van het Agentschap te waarborgen, met inbegrip van een unieke locatie voor het gehele Agentschap, de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

  Motivering

  De huidige structuur van het Agentschap, met administratieve zetel in Heraklion en operationele basis in Athene, is ondoeltreffend en duur gebleken. Alle personeelsleden van Enisa moeten dan ook in dezelfde stad werken. Gezien de in deze paragraaf genoemde criteria moet het Agentschap worden gevestigd in Athene.

  Amendement    161

  Voorstel voor een verordening

  Artikel 43 – alinea 1

  Door de Commissie voorgestelde tekst

  Amendement

  Een Europese regeling voor cyberbeveiliging bevestigt dat de ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, voldoen aan specifieke vereisten met betrekking tot hun vermogen om met een gegeven zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens en de functies of diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen.

  Een Europese regeling voor cyberbeveiligingscertificering bevestigt dat de ICT-producten, -processen en -diensten die eronder vallen, op het moment van certificering geen bekende zwakke punten bevatten en voldoen aan specifieke vereisten die kunnen verwijzen naar Europese en internationale normen, technische specificaties en technische ICT-specificaties met betrekking tot hun vermogen om gedurende hun volledige levenscyclus met een gegeven zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens en de functies of diensten die via deze producten, processen en diensten worden aangeboden of toegankelijk zijn, in gevaar te brengen, en voldoen aan de gespecificeerde beveiligingsdoelstellingen.

  Amendement    162

  Voorstel voor een verordening

  Artikel 44 – lid -1 (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  -1.  De Commissie stelt overeenkomstig artikel 55 bis gedelegeerde handelingen vast tot aanvulling van deze verordening met een voortschrijdend werkprogramma van de Unie voor Europese regelingen voor cyberbeveiligingscertificering. In deze gedelegeerde handelingen worden op Unieniveau te ondernemen gemeenschappelijke acties alsook strategische prioriteiten vastgesteld. In het voortschrijdend werkprogramma van de Unie wordt in het bijzonder een prioritaire lijst opgenomen van ICT-producten, ‑processen en ‑diensten die geschikt zijn om te worden onderworpen aan Europese regelingen voor cyberbeveiligingscertificering, alsook een analyse die laat zien of de beoordelingsinstanties en nationale autoriteiten voor certificeringstoezicht een gelijkwaardig niveau van kwaliteit, knowhow en expertise hebben en, indien noodzakelijk, een voorstel voor maatregelen om dat niveau van gelijkwaardigheid te bereiken.

   

  Het initiële voortschrijdend werkprogramma van de Unie wordt uiterlijk ... [zes maanden na de datum van inwerkingtreding van deze verordening] opgesteld en wordt daarna zo nodig maar in elk geval ten minste om de twee jaar bijgewerkt. Het voortschrijdend werkprogramma van de Unie wordt openbaar gemaakt.

   

  Voordat het voortschrijdend werkprogramma van de Unie wordt vastgesteld of bijgewerkt, raadpleegt de Commissie de groep voor certificering van de lidstaten, het Agentschap en de groep van belanghebbenden voor certificering door middel van een open, transparante en inclusieve raadpleging.

  Amendement    163

  Voorstel voor een verordening

  Artikel 44 – lid -1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  -1 bis.  Indien gerechtvaardigd kan de Commissie het Agentschap verzoeken een potentiële Europese regeling voor cyberbeveiligingscertificering op te stellen. Het verzoek is gebaseerd op het voortschrijdend werkprogramma van de Unie.

  Amendement    164

  Voorstel voor een verordening

  Artikel 44 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Naar aanleiding van een verzoek van de Commissie bereidt het Enisa een potentiële Europese regeling voor cyberbeveiligingscertificering voor die voldoet aan de vereisten van de artikelen 45, 46 en 47 van deze verordening. De lidstaten of de bij artikel 53 ingestelde Europese Groep voor cyberbeveiligingscertificering ("de Groep") kunnen de Commissie voorstellen een potentiële regeling voor cyberbeveiligingscertificering voor te bereiden.

  1.  Het verzoek om een potentiële Europese regeling voor cyberbeveiligingscertificering omvat het toepassingsgebied, de relevante beveiligingsdoelstellingen als bedoeld in artikel 45, de relevante elementen als bedoeld in artikel 47, en een termijn waarbinnen de specifieke potentiële regeling in werking moet treden. Bij het opstellen van het verzoek kan de Commissie het Agentschap, de groep voor certificering van de lidstaten en de groep van belanghebbenden voor certificering raadplegen.

  Amendement    165

  Voorstel voor een verordening

  Artikel 44 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Bij de voorbereiding van potentiële regelingen als bedoeld in lid 1 van dit artikel, raadpleegt het Enisa alle betrokken partijen en werkt het nauw samen met de Groep. De Groep staat het Enisa bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken.

  2.  Bij de voorbereiding van de potentiële regelingen als bedoeld in lid -1 (nieuw), raadpleegt het Agentschap alle betrokken partijen door middel van een formeel, open, transparant en inclusief raadplegingsproces en werkt het nauw samen met de groep voor certificering van de lidstaten, de groep van belanghebbenden voor certificering, ad-hoccomités overeenkomstig artikel 20 bis van deze verordening en de Europese normalisatie-instanties. Zij staan het Agentschap bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken.

  Amendement    166

  Voorstel voor een verordening

  Artikel 44 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Het Enisa dient de potentiële Europese regeling voor cyberbeveiligingscertificering, opgesteld in overeenstemming met lid 2 van dit artikel, in bij de Commissie.

  3.  Het Agentschap dient de potentiële regeling, opgesteld in overeenstemming met de leden 1 en 2 van dit artikel, in bij de Commissie.

  Amendement    167

  Voorstel voor een verordening

  Artikel 44 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Op basis van de door het Enisa voorgestelde potentiële regeling kan de Commissie uitvoeringshandelingen vaststellen overeenkomstig artikel 55, lid 1, om te voorzien in Europese regelingen voor cyberbeveiligingscertificering van ICT-producten en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47 van deze verordening.

  4.  Op basis van de door het Agentschap voorgestelde potentiële regeling kan de Commissie overeenkomstig artikel 55 bis gedelegeerde handelingen vaststellen tot aanvulling van deze verordening met Europese regelingen voor cyberbeveiligingscertificering van ICT-producten, -processen en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47.

  Amendement    168

  Voorstel voor een verordening

  Artikel 44 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Het Enisa beheert een specifieke website met informatie en publiciteit over Europese regelingen voor cyberbeveiligingscertificering.

  5.  Het Agentschap beheert een specifieke website met informatie en publiciteit over Europese regelingen voor cyberbeveiligingscertificering, mede met betrekking tot teruggetrokken en verlopen certificaten en eronder vallende nationale certificaten.

   

  Als een Europese regeling voor cyberbeveiligingscertificering voldoet aan de eisen waaraan zij beoogt te voldoen overeenkomstig de desbetreffende harmonisatiewetgeving van de Unie, maakt de Commissie er onverwijld een referentie van bekend in het Publicatieblad van de Europese Unie, of op andere wijze, overeenkomstig de voorwaarden die in de overeenkomstige harmonisatiewetgeving van de Unie zijn vastgesteld.

  Amendement    169

  Voorstel voor een verordening

  Artikel 44 – lid 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  5 bis.  Het Agentschap evalueert aan de hand van de structuur die in het kader van deze verordening is opgezet, de vastgestelde regelingen aan het eind van hun geldigheidstermijn overeenkomstig artikel 47, lid 1, onder a ter, of op verzoek van de Commissie, en houdt hierbij rekening met de feedback die het ontvangt van relevante belanghebbenden.

  Amendement    170

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  Bij de opzet van een Europese regeling voor cyberbeveiligingscertificering wordt, in voorkomend geval, rekening gehouden met de volgende doelstellingen:

  Bij de opzet van een Europese regeling voor cyberbeveiligingscertificering wordt, in voorkomend geval, rekening gehouden met doelstellingen ter waarborging:

  Amendement    171

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  opgeslagen, doorgegeven of anderszins bewerkte gegevens beschermen tegen accidentele of onbevoegde opslag, verwerking, toegang of openbaarmaking;

  (a)  van de vertrouwelijkheid, integriteit, beschikbaarheid en privacy van diensten, functies en gegevens;

  Amendement    172

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  opgeslagen, doorgegeven of anderszins bewerkte gegevens beschermen tegen accidentele of onbevoegde vernietiging, accidenteel verlies of wijziging;

  (b)  dat alleen bevoegde personen en/of bevoegde systemen en programma's toegang hebben tot en gebruik kunnen maken van diensten, functies en gegevens;

  Amendement    173

  Voorstel voor een verordening

  Artikel 45 – alinea 1 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  ervoor zorgen dat bevoegde personen, programma’s of machines uitsluitend toegang hebben tot gegevens, diensten of functies waarvoor hun recht van toegang geldt;

  (c)  dat er een proces is voor het identificeren en documenteren van alle afhankelijkheden en bekende kwetsbaarheden in ICT-producten, ‑processen en ‑diensten;

  Amendement    174

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  registreren welke gegevens, functies of diensten op welk tijdstip en door wie zijn meegedeeld;

  (d)  dat ICT-producten, ‑processen en ‑diensten geen bekende kwetsbaarheden bevatten;

  Amendement    175

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  ervoor zorgen dat kan worden nagegaan wie op welk tijdstip toegang heeft gehad of gebruik heeft gemaakt van welke gegevens, diensten of functies;

  (e)  dat er een proces is dat moet worden gevolgd wanneer nieuwe kwetsbaarheden in ICT-producten, ‑processen en ‑diensten worden ontdekt;

  Amendement    176

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter f

  Door de Commissie voorgestelde tekst

  Amendement

  (f)  de beschikbaarheid van en toegang tot gegevens, diensten en functies tijdig herstellen in het geval van een fysiek of technisch incident;

  (f)  dat ICT-producten, ‑processen en ‑diensten door standaardinstellingen en door ontwerp veilig zijn;

  Amendement    177

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  ervoor zorgen dat ICT-producten en -diensten worden geleverd met geüpdatete software die geen bekende kwetsbaarheden bevat en met mechanismen voor veilige software-updates.

  (g)  dat ICT-producten en -diensten worden geleverd met geüpdatete software die geen bekende kwetsbaarheden bevat en met mechanismen voor veilige software-updates.

  Amendement    178

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  dat andere risico's in verband met cyberincidenten, zoals risico's met betrekking tot leven, gezondheid, milieu en andere belangrijke juridische belangen, tot een minimum worden beperkt.

  Amendement    179

  Voorstel voor een verordening

  Artikel 46 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Voor ICT-producten en -diensten die op grond van een Europese regeling voor cyberbeveiligingscertificering zijn gecertificeerd, kunnen in die regeling een of meer van de volgende zekerheidsniveaus worden gespecificeerd: basis, substantieel en/of hoog.

  1.  Binnen een Europese regeling voor cyberbeveiligingscertificering kunnen een of meer van de volgende op risico gebaseerde zekerheidsniveaus worden gespecificeerd in overeenstemming met de context en het beoogde doel van de ICT-producten, ‑processen en ‑diensten: basis, substantieel en/of hoog.

  Amendement    180

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  het zekerheidsniveau “basis” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een beperkte mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten te verkleinen;

  (a)  het zekerheidsniveau “basis” komt overeen met een laag risico inzake probabiliteit en schade met betrekking tot een ICT-product, -proces en -dienst in het licht van het beoogde gebruik en de context. Het zekerheidsniveau “basis” biedt het vertrouwen dat weerstand kan worden geboden aan de bekende basisrisico's van cyberincidenten.

  Amendement    181

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  het zekerheidsniveau “substantieel” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een substantiële mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten substantieel te verkleinen;

  (b)  het zekerheidsniveau “substantieel” komt overeen met een hoger risico inzake probabiliteit en schade met betrekking tot een ICT-product, -proces en -dienst. Het zekerheidsniveau “substantieel” biedt het vertrouwen dat bekende risico's van cyberincidenten kunnen worden voorkomen en dat er ook weerstand kan worden geboden aan cyberaanvallen met beperkte middelen.

  Amendement    182

  Voorstel voor een verordening

  Artikel 46 – lid 2 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  het zekerheidsniveau “hoog” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een hogere mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt dan certificaten met zekerheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben cyberincidenten te voorkomen.

  (c)  het zekerheidsniveau “hoog” komt overeen met een hoog risico inzake schade met betrekking tot een ICT-product, -proces en -dienst. Het zekerheidsniveau “hoog” biedt het vertrouwen dat risico's van cyberincidenten kunnen worden voorkomen en dat er ook weerstand kan worden geboden aan geavanceerde cyberaanvallen met aanzienlijke middelen.

  Amendement    183

  Voorstel voor een verordening

  Artikel 46 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 46 bis

   

  Evaluatie van zekerheidsniveaus van Europese regelingen voor cyberbeveiligingscertificering

   

  1.   Voor het zekerheidsniveau "basis" kan de fabrikant of leverancier van ICT-producten, -processen en -diensten onder zijn eigen verantwoordelijkheid een zelfbeoordeling van conformiteit uitvoeren.

   

  2.   Voor het zekerheidsniveau "substantieel" wordt bij de evaluatie ten minste een vergelijking gemaakt tussen de beveiligingsfuncties van het product, het proces of de dienst en de technische documentatie om de conformiteit te verifiëren.

   

  3.   Voor het zekerheidsniveau "hoog" gaat de evaluatiemethode ten minste vergezeld van een efficiëntietest ter beoordeling van de bestandheid van de beveiligingsfuncties tegen aanvallers die toegang hebben tot aanzienlijke middelen.

  Amendement    184

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  het onderwerp en het toepassingsgebied van de certificering, met inbegrip van het type of de categorieën van ICT-producten en -diensten die hieronder vallen;

  (a)  het onderwerp en het toepassingsgebied van de certificering, met inbegrip van het type of de categorieën van ICT-producten, -processen en -diensten die hieronder vallen;

  Amendement    185

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter a bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (a bis)  het toepassingsgebied en de vereisten inzake cyberbeveiliging, en in voorkomend geval weerspiegelen dat toepassingsgebied en die vereisten die van de nationale cyberbeveiligingscertificeringen welke zij vervangen, of worden zij bepaald in rechtshandelingen;

  Amendement    186

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter a ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (a ter)  de geldigheidsduur van de certificeringsregeling;

  Amendement    187

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  gedetailleerde specificatie van de voorschriften voor cyberbeveiliging op basis waarvan de specifieke ICT-producten en -diensten worden beoordeeld, bijvoorbeeld door verwijzing naar Europese of internationale normen of technische specificaties;

  (b)  gedetailleerde specificatie van de voorschriften voor cyberbeveiliging op basis waarvan de specifieke ICT-producten, -processen en -diensten worden beoordeeld, bijvoorbeeld door verwijzing naar Europese of internationale normen, technische specificaties of technische ICT-specificaties, die zodanig zijn vastgesteld dat certificering kan worden geïntegreerd in of worden gebaseerd op de systematische beveiligingsprocessen van de producent die worden gevolgd bij de ontwikkeling en de levenscyclus van het product of de dienst in kwestie;

  Amendement    188

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  informatie over bekende cyberdreigingen die niet onder de certificering en de richtsnoeren voor de omgang ermee vallen;

  Amendement    189

  Voorstel voor een verordening

  Artikel 47 – lid 1 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  in voorkomend geval, één of meer zekerheidsniveaus;

  (c)  in voorkomend geval, één of meer zekerheidsniveaus, rekening houdend met onder meer een op risico gebaseerde benadering;

  Amendement    190

  Voorstel voor een verordening

  Artikel 1 – lid 1 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  vermelding of een zelfbeoordeling van conformiteit toelaatbaar is binnen de regeling, en de toepasselijke procedure voor de conformiteitsbeoordeling, een eigen conformiteitsverklaring of beide;

  Amendement    191

  Voorstel voor een verordening

  Artikel 47 – alinea 1 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  de specifieke evaluatiecriteria en -methoden, met inbegrip van soorten evaluaties, die worden gebruikt om aan te tonen dat de in artikel 45 genoemde specifieke doelstellingen worden verwezenlijkt;

  (d)  de specifieke evaluatiecriteria, soorten conformiteitsbeoordelingen en methoden om aan te tonen dat de in artikel 45 genoemde specifieke doelstellingen worden verwezenlijkt;

  Amendement    192

  Voorstel voor een verordening

  Artikel 47 – alinea 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  de door een aanvrager aan de conformiteitsbeoordelingsinstantie te verstrekken informatie die nodig is voor certificering;

  (e)  de door een aanvrager aan de conformiteitsbeoordelingsinstantie te verstrekken informatie die nodig is voor certificering;

  Amendement    193

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter f

  Door de Commissie voorgestelde tekst

  Amendement

  (f)  indien de regeling voorziet in merktekens of labels, de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt;

  (f)  informatie inzake cyberveiligheid krachtens artikel 47 van deze verordening;

  Amendement    194

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  indien toezicht onderdeel uitmaakt van de regeling, de regels voor het toezicht op de naleving van de certificeringseisen, met inbegrip van mechanismen om de blijvende naleving van de gespecificeerde cyberbeveiligingseisen aan te tonen;

  (g)  de regels voor het toezicht op de naleving van de certificeringseisen, met inbegrip van mechanismen om de blijvende naleving van de gespecificeerde cyberbeveiligingseisen aan te tonen;

  Amendement    195

  Voorstel voor een verordening

  Artikel 1 – lid 1 – letter h

  Door de Commissie voorgestelde tekst

  Amendement

  (h)  voorwaarden voor de toekenning, handhaving, voortzetting, uitbreiding en beperking van het toepassingsgebied van de certificering;

  (h)  voorwaarden voor de toekenning, handhaving, voortzetting, herziening, uitbreiding en beperking van het toepassingsgebied en de geldigheidsduur van het certificaat;

  Amendement    196

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter h bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (h bis)  regels gericht op het behandelen van zwakke punten die kunnen ontstaan nadat het certificaat is uitgegeven, middels de totstandbrenging van een dynamisch en voortdurend organisatorisch proces, waarbij dienstverleners en gebruikers betrokken zijn;

  Amendement    197

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter i

  Door de Commissie voorgestelde tekst

  Amendement

  (i)  regels over de gevolgen wanneer gecertificeerde ICT-producten en -diensten niet voldoen aan de certificeringseisen;

  (i)  regels over de gevolgen wanneer zelf-geëvalueerde en gecertificeerde ICT-producten en -diensten niet voldoen aan de certificeringseisen;

  Amendement    198

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter j

  Door de Commissie voorgestelde tekst

  Amendement

  (j)  regels over de manier waarop voorheen onopgemerkte zwakke punten in de cyberbeveiliging van ICT-producten en -diensten moeten worden gemeld en aangepakt;

  (j)  regels over de manier waarop niet publiekelijk bekende zwakke punten in de cyberbeveiliging van ICT-producten en -diensten moeten worden gemeld en aangepakt zodra ze zijn gedetecteerd;

  Amendement    199

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter l

  Door de Commissie voorgestelde tekst

  Amendement

  (l)  identificatie van nationale regelingen voor cyberbeveiligingscertificering die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten en -diensten;

  (l)  identificatie van nationale of internationale regelingen voor cyberbeveiligingscertificering die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten, -processen en -diensten, beveiligingseisen en evaluatiecriteria en -methoden;

  Amendement    200

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter m bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (m bis)  voorwaarden voor de wederzijdse erkenning van certificeringsregelingen met derde landen.

  Amendement    201

  Voorstel voor een verordening

  Artikel 47 – lid 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  1 bis.  Onderhoudsprocessen met updates maken de certificering niet ongeldig, tenzij die updates een substantieel negatief effect hebben op de beveiliging van het ICT-product, het ICT-proces of de ICT-dienst.

  Amendement    202

  Voorstel voor een verordening

  Artikel 47 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 47 bis

   

  Informatie inzake cyberbeveiliging voor gecertificeerde producten, processen en diensten

   

  1.   De fabrikant of leverancier van ICT-producten, -processen en ‑diensten die krachtens deze verordening onder een certificeringsregeling vallen, verstrekken de eindgebruiker een elektronisch of papieren document dat ten minste de volgende informatie bevat: het zekerheidsniveau van het certificaat met betrekking tot het beoogde gebruik van het ICT-product, het ICT-proces of de ICT-dienst; een beschrijving van de risico's betreffende welke het certificaat vertrouwen biedt dat er weerstand aan kan worden geboden; aanbevelingen over de manier waarop gebruikers de cyberbeveiliging van het product, het proces of de dienst verder kunnen bevorderen, de regelmaat van updates en de daaropvolgende ondersteuningsperiode; indien van toepassing, informatie over de manier waarop gebruikers de belangrijkste aspecten van het product, het proces of de dienst bij een aanval in stand kunnen houden.

   

  2.   Het in lid 1 van dit artikel bedoelde document is beschikbaar gedurende de hele levenscyclus van het product, het proces of de dienst tot zij van de markt worden gehaald, en voor een minimumperiode van vijf jaar.

   

  3.   De Commissie stelt middels uitvoeringshandelingen een model voor het document vast. De Commissie kan het Agentschap verzoeken een potentieel model voor te stellen. Deze uitvoeringshandeling wordt vastgesteld volgens de in artikel 55 van deze verordening bedoelde onderzoeksprocedure.

  Amendement    203

  Voorstel voor een verordening

  Artikel 48 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  ICT-producten en -diensten die zijn gecertificeerd in het kader van een overeenkomstig artikel 44 vastgestelde Europese regeling voor cyberbeveiligingscertificering, worden geacht te voldoen aan de vereisten van een dergelijke regeling.

  1.  ICT-producten, -processen en -diensten die zijn gecertificeerd in het kader van een overeenkomstig artikel 44 vastgestelde Europese regeling voor cyberbeveiligingscertificering, worden geacht te voldoen aan de vereisten van een dergelijke regeling.

  Amendement    204

  Voorstel voor een verordening

  Artikel 48 – lid 4 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  4.  In afwijking van lid 3 en in naar behoren gemotiveerde gevallen kan een bepaalde Europese regeling voor cyberbeveiliging erin voorzien dat een Europees cyberbeveiligingscertificaat dat voortvloeit uit die regeling alleen door een overheidsinstantie kan worden afgegeven. Die overheidsinstantie is een van de volgende organen:

  4.  In afwijking van lid 3 en uitsluitend in naar behoren gemotiveerde gevallen, zoals om nationale veiligheidsredenen, kan een bepaalde Europese regeling voor cyberbeveiligingscertificering erin voorzien dat een Europees cyberbeveiligingscertificaat dat voortvloeit uit die regeling alleen door een overheidsinstantie kan worden afgegeven. Die overheidsinstantie is een orgaan dat overeenkomstig artikel 51, lid 1, van deze verordening als een conformiteitsbeoordelingsinstantie is geaccrediteerd. De natuurlijke persoon of rechtspersoon die zijn ICT-producten of -diensten aan het certificeringsmechanisme onderwerpt, stelt de in artikel 51 bedoelde conformiteitsbeoordelingsinstantie alle informatie ter beschikking die nodig is om de certificeringsprocedure uit te voeren.

  Amendement    205

  Voorstel voor een verordening

  Artikel 48 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De natuurlijke persoon of rechtspersoon die zijn ICT-producten of -diensten aan het certificeringsmechanisme onderwerpt, geeft de in artikel 51 bedoelde conformiteitsbeoordelingsinstantie alle informatie die nodig is om de certificeringsprocedure uit te voeren.

  5.  De natuurlijke persoon of rechtspersoon die zijn ICT-producten, -diensten of -processen aan het certificeringsmechanisme onderwerpt, geeft de in artikel 51 bedoelde conformiteitsbeoordelingsinstantie alle informatie die nodig is om de certificeringsprocedure uit te voeren, met inbegrip van informatie over bekende zwakke punten in de beveiliging. De onderwerping aan het certificeringsmechanisme is mogelijk bij elke conformiteitsbeoordelingsinstantie als bedoeld in artikel 51.

  Amendement    206

  Voorstel voor een verordening

  Artikel 48 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Certificaten worden afgegeven voor een maximumperiode van drie jaar en kunnen onder dezelfde voorwaarden worden verlengd, mits nog steeds aan de desbetreffende eisen wordt voldaan.

  6.  Certificaten worden afgegeven voor een afzonderlijk voor elke regeling te bepalen maximumperiode, rekening houdend met een redelijke levenscyclus, die in geen geval meer dan vijf jaar mag bedragen, en kunnen onder dezelfde voorwaarden worden verlengd, mits nog steeds aan de desbetreffende eisen wordt voldaan.

  Motivering

  Dit garandeert flexibiliteit om de geldigheidsduur te kunnen aanpassen aan het beoogde gebruik.

  Amendement    207

  Voorstel voor een verordening

  Artikel 48 – lid 7

  Door de Commissie voorgestelde tekst

  Amendement

  7.  Een op grond van dit artikel afgegeven Europees cyberbeveiligingscertificaat wordt in alle lidstaten erkend.

  7.  Een op grond van dit artikel afgegeven Europees cyberbeveiligingscertificaat wordt in alle lidstaten erkend als beantwoordend aan lokale cyberbeveiligingseisen ten aanzien van ICT-producten en -processen en consumentenelektronica die onder dat certificaat vallen, rekening houdend met het gespecificeerde zekerheidsniveau als bedoeld in artikel 46 en zonder enige vorm van discriminatie tussen dergelijke certificaten op grond van de lidstaat van oorsprong of de conformiteitsbeoordelingsinstantie die het certificaat afgeeft als bedoeld in artikel 51.

  Motivering

  Teneinde versnippering in de erkenning en/of conformiteit van EU-regelingen voor cyberbeveiligingscertificering te voorkomen, moet in het artikel worden beklemtoond dat de plaats van afgifte van een certificaat niet het voorwerp van discriminatie mag vormen.

  Amendement    208

  Voorstel voor een verordening

  Artikel 48 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 48 bis

   

  Certificeringsregelingen voor aanbieders van essentiële diensten

   

  1.   Wanneer overeenkomstig lid 2 van dit artikel Europese regelingen voor cyberbeveiligingscertificering zijn vastgesteld, gebruiken aanbieders van essentiële diensten, teneinde te voldoen aan de beveiligingsvereisten uit hoofde van artikel 14 van Richtlijn (EU) 2016/1148, producten, processen en diensten die onder die certificeringsregelingen vallen.

   

  2.   Uiterlijk [één jaar na de inwerkingtreding van deze verordening] stelt de Commissie, na raadpleging van de samenwerkingsgroep als bedoeld in artikel 11 van Richtlijn (EU) 2016/1148, overeenkomstig artikel 55 bis gedelegeerde handelingen vast tot aanvulling van deze verordening met een lijst van de categorieën producten, processen en diensten die aan elk van de volgende criteria voldoen:

   

  (a)  ze zijn bestemd voor gebruik door aanbieders van essentiële diensten; en

   

  (b)  de storing ervan zou een aanzienlijk verstorend effect hebben op de verlening van de essentiële dienst.

   

  3.   De Commissie stelt overeenkomstig artikel 55 bis gedelegeerde handelingen vast tot wijziging van deze verordening door de in lid 3 van dit artikel bedoelde lijst van de categorieën producten, processen en diensten zo nodig bij te werken.

   

  4.   De Commissie verzoekt het Agentschap overeenkomstig artikel 44, lid -1, van deze verordening een potentiële Europese regeling voor cyberbeveiliging op te stellen voor de in de leden 2 en 3 van dit artikel bedoelde lijst van categorieën producten, processen en diensten zodra die lijst is vastgesteld of bijgewerkt. De krachtens dergelijke Europese regelingen voor cyberbeveiligingscertificering afgegeven certificaten hebben een zekerheidsniveau "hoog".

  Amendement    209

  Voorstel voor een verordening

  Artikel 48 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 48 ter

   

  Formele bezwaren met betrekking tot Europese regelingen voor cyberbeveiligingscertificering

   

  1.  Wanneer een lidstaat van mening is dat een Europese regeling voor cyberbeveiligingscertificering niet volledig beantwoordt aan de eisen waaraan zij beoogt te voldoen en die worden beschreven in de desbetreffende harmonisatiewetgeving van de Unie, brengt deze de Commissie daarvan op de hoogte en geeft hierbij een uitvoerige toelichting. De Commissie besluit, na in voorkomend geval de op grond van de desbetreffende harmonisatiewetgeving van de Unie opgerichte commissie of sectorale deskundigen te hebben geraadpleegd:

   

  (a)  de referenties aan de desbetreffende Europese regeling voor cyberbeveiliging wel of niet of met beperkingen in het Publicatieblad van de Europese Unie bekend te maken;

   

  (b)  de referenties aan de desbetreffende Europese regeling voor cyberbeveiliging in het Publicatieblad van de Europese Unie te handhaven, te handhaven met beperkingen of in te trekken.

   

  2.  De Commissie publiceert op haar website informatie over de Europese regelingen voor cyberbeveiliging waarop het in lid 1 van dit artikel bedoelde besluit betrekking heeft.

   

  3.  De Commissie brengt het Agentschap op de hoogte van het in lid 1 van dit artikel bedoelde besluit en verzoekt, indien nodig, dat de desbetreffende Europese regeling voor cyberbeveiliging wordt herzien.

   

  4.  Het in lid 1, onder a), van dit artikel bedoelde besluit wordt overeenkomstig de in artikel 55, lid 2, van deze verordening bedoelde raadplegingsprocedure vastgesteld.

   

  5.  Het in lid 1, onder b), van dit artikel bedoelde besluit wordt overeenkomstig de in artikel 55, lid 2 bis (nieuw), van deze verordening bedoelde onderzoeksprocedure vastgesteld.

  Amendement    210

  Voorstel voor een verordening

  Artikel 49 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Onverminderd lid 3 hebben nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, niet langer gevolgen vanaf de datum die wordt bepaald in de overeenkomstig artikel 44, lid 4, vastgestelde uitvoeringshandeling. Bestaande nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die niet onder een Europese regeling voor cyberbeveiligingscertificering vallen, blijven bestaan.

  1.  Onverminderd lid 3 hebben nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten, -processen en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, niet langer gevolgen vanaf de datum die wordt bepaald in de overeenkomstig artikel 44, lid 4, vastgestelde uitvoeringshandeling. Bestaande nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten, -processen en -diensten die niet onder een Europese regeling voor cyberbeveiligingscertificering vallen, blijven bestaan.

  Amendement    211

  Voorstel voor een verordening

  Artikel 49 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De lidstaten voeren geen nieuwe nationale regelingen voor cyberbeveiligingscertificering in voor ICT-producten en -diensten die onder een van kracht zijnde Europese regeling voor cyberbeveiligingscertificering vallen.

  2.  De lidstaten voeren geen nieuwe nationale regelingen voor cyberbeveiligingscertificering in voor ICT-producten, -processen en -diensten die onder een van kracht zijnde Europese regeling voor cyberbeveiligingscertificering vallen.

  Amendement    212

  Voorstel voor een verordening

  Artikel 49 – lid 3 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  3 bis.  De lidstaten brengen de Commissie op de hoogte van alle verzoeken om nationale certificeringsregelingen voor cyberbeveiliging en lichten de beweegredenen voor het opstellen daarvan toe.

  Amendement    213

  Voorstel voor een verordening

  Artikel 49 – lid 3 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  3 ter.  Op verzoek zenden de lidstaten ontwerpen van nationale certificeringsregelingen voor cyberbeveiliging op zijn minst in elektronische vorm aan de andere lidstaten, het Agentschap of de Commissie.

  Amendement    214

  Voorstel voor een verordening

  Artikel 49 – lid 3 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  3 quater.  Onverminderd Richtlijn (EU) 2015/1535 antwoorden de lidstaten binnen drie maanden op van andere lidstaten, het Agentschap of de Commissie ontvangen opmerkingen met betrekking tot een in lid 3 ter van dit artikel bedoelde ontwerpregeling en nemen zij deze opmerkingen naar behoren in acht.

  Amendement    215

  Voorstel voor een verordening

  Artikel 49 – lid 3 quinquies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  3 quinquies.  Wanneer uit op grond van lid 3 quater van dit artikel ontvangen opmerkingen blijkt dat een ontwerp van nationale certificeringsregeling voor cyberbeveiliging waarschijnlijk een negatief effect zal hebben op de goede werking van de interne markt, raadpleegt de ontvangende lidstaat het Agentschap en de Commissie en houdt hij zo veel mogelijk rekening met hun opmerkingen alvorens de ontwerpregeling vast te stellen.

  Amendement    216

  Voorstel voor een verordening

  Artikel 50 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Met het oog op de effectieve uitvoering van deze verordening is het wenselijk dat deze autoriteiten op een actieve, effectieve, efficiënte en betrouwbare manier deelnemen aan de overeenkomstig artikel 53 ingestelde Europese Groep voor cyberbeveiligingscertificering.

  5.  Met het oog op de effectieve uitvoering van deze verordening is het wenselijk dat deze autoriteiten op een actieve, effectieve, efficiënte en betrouwbare manier deelnemen aan de overeenkomstig artikel 53 ingestelde groep voor certificering van de lidstaten.

  Amendement    217

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  monitoren en handhaven de toepassing van de bepalingen van deze titel op nationaal niveau en zien erop toe dat de certificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties die op hun respectieve grondgebieden zijn gevestigd, voldoen aan de vereisten van deze titel en de betrokken Europese regeling voor cyberbeveiligingscertificering;

  (a)  monitoren en handhaven de toepassing van de bepalingen van deze titel op nationaal niveau en verifiëren, in overeenstemming met de door de Europese Groep voor cyberbeveiligingscertificering vastgestelde regels krachtens artikel 53, lid 3, onder d bis), of:

   

  i)   de certificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties die op hun grondgebied zijn gevestigd, voldoen aan de vereisten van deze titel en de bijbehorende Europese regeling voor cyberbeveiligingscertificering; en

   

  ii)   eigen conformiteitsverklaringen worden opgesteld in het kader van een regeling voor een ICT-proces, -product of ‑dienst;

  Amendement    218

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  monitoren en houden toezicht op de werkzaamheden van de conformiteitsbeoordelingsinstanties voor de toepassing van deze verordening, onder meer met betrekking tot de aanmelding van conformiteitsbeoordelingsinstanties en de daarmee verband houdende taken als bedoeld in artikel 52 van deze verordening;

  (b)  monitoren, houden toezicht op en beoordelen ten minste om de twee jaar de werkzaamheden van de conformiteitsbeoordelingsinstanties voor de toepassing van deze verordening, onder meer met betrekking tot de aanmelding van conformiteitsbeoordelingsinstanties en de daarmee verband houdende taken als bedoeld in artikel 52 van deze verordening;

  Amendement    219

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  voeren audits uit om te garanderen dat in de hele Unie gelijkwaardige normen gelden, en brengen aan het Agentschap en de Groep verslag uit over de resultaten;

  Motivering

  Dit helpt te garanderen dat in de hele EU een uniform niveau van dienstverlening en kwaliteit wordt toegepast, en te voorkomen dat bedrijven de certificeringen kiezen die voor hen het aantrekkelijkst zijn ("certification shopping").

  Amendement    220

  Voorstel voor een verordening

  Artikel 50 – lid 6 - letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  behandelen klachten van natuurlijke of rechtspersonen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, onderzoeken de inhoud van de klacht in de mate waarin dat gepast is, en stellen de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek;

  (c)  behandelen klachten van natuurlijke of rechtspersonen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties of over eigen conformiteitsverklaringen, onderzoeken de inhoud van de klacht in de mate waarin dat gepast is, en stellen de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek;

  Amendement    221

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  brengen aan het Agentschap en aan de Europese Groep voor cyberbeveiligingscertificering verslag uit over de resultaten van de verificaties als bedoeld onder a) en de beoordelingen als bedoeld onder b);

  Amendement    222

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming van ICT-producten en -diensten met de vereisten van deze verordening of met specifieke Europese regelingen voor cyberbeveiliging;

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, zoals nationale toezichthoudende autoriteiten op het gebied van gegevensbescherming, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming van ICT-producten, -processen en -diensten met de vereisten van deze verordening of met specifieke Europese regelingen voor cyberbeveiliging;

  Amendement    223

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming van ICT-producten en -diensten met de vereisten van deze verordening of met specifieke Europese regelingen voor cyberbeveiliging;

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, zoals nationale toezichthoudende autoriteiten op het gebied van gegevensbescherming, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming van ICT-producten en -diensten met de vereisten van deze verordening of met specifieke Europese regelingen voor IT-beveiliging;

  Motivering

  Afkomstig uit het advies van de EDPS.

  Amendement    224

  Voorstel voor een verordening

  Artikel 50 – lid 7 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  de accreditatie intrekken van conformiteitsbeoordelingsinstanties die deze verordening niet naleven;

  Amendement    225

  Voorstel voor een verordening

  Artikel 50 – lid 7 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  certificaten die niet in overeenstemming zijn met deze verordening of een Europese regeling voor cyberbeveiligingscertificering intrekken conform het nationale recht;

  (e)  certificaten die niet in overeenstemming zijn met deze verordening of een Europese regeling voor cyberbeveiligingscertificering intrekken conform het nationale recht en de nationale accreditatie-instanties daarvan op de hoogte brengen;

  Amendement    226

  Voorstel voor een verordening

  Artikel 50 – lid 8

  Door de Commissie voorgestelde tekst

  Amendement

  8.  Nationale autoriteiten voor certificeringstoezicht werken samen met elkaar en met de Commissie en wisselen met name informatie, ervaringen en goede praktijken uit op het vlak van cyberbeveiligingscertificering en technische kwesties met betrekking tot de cyberbeveiliging van ICT-producten en -diensten.

  8.  Nationale autoriteiten voor certificeringstoezicht werken samen met elkaar en met de Commissie en wisselen met name informatie, ervaringen en goede praktijken uit op het vlak van cyberbeveiligingscertificering en technische kwesties met betrekking tot de cyberbeveiliging van ICT-producten, -processen en -diensten.

  Amendement    227

  Voorstel voor een verordening

  Artikel 50 – lid 8 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  8 bis.  Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor elke nationale autoriteit voor certificeringstoezicht en elk lid en personeelslid van elke nationale autoriteit voor certificeringstoezicht zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig het Unierecht of het lidstatelijke recht.

  Amendement    228

  Voorstel voor een verordening

  Artikel 50 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 50 bis

   

  Collegiale toetsing

   

  1.  Nationale autoriteiten voor certificeringstoezicht zijn onderworpen aan collegiale toetsing ten aanzien van de door het Agentschap georganiseerde activiteiten die zij uitvoeren krachtens artikel 50.

   

  2.   De collegiale toetsing vindt plaats op basis van deugdelijke en transparante evaluatiecriteria en -procedures, met name op het gebied van de eisen inzake structuur, personeel en processen, vertrouwelijkheid en klachten. Er wordt voorzien in passende procedures om in beroep te gaan tegen beslissingen die naar aanleiding van het resultaat van de toetsing zijn genomen.

   

  3.   Collegiale toetsingen hebben betrekking op beoordelingen van de door nationale autoriteiten voor certificeringstoezicht ingestelde procedures, met name de procedures voor het controleren of de certificaten voldoen, de procedures voor het volgen van en toezien op de werkzaamheden van de conformiteitsbeoordelingsinstanties, de bekwaamheid van het personeel, de juistheid van de controles en de inspectiemethode en de juistheid van de resultaten. In het kader van collegiale toetsingen wordt ook beoordeeld of de nationale autoriteiten voor certificeringstoezicht in kwestie beschikken over voldoende middelen voor de goede uitvoering van hun taken, zoals vereist uit hoofde van artikel 50, lid 4.

   

  4.   Collegiale toetsingen van een nationale autoriteit voor certificeringstoezicht worden verricht door twee nationale autoriteiten voor certificeringstoezicht van andere lidstaten en de Commissie, en worden ten minste om de vijf jaar uitgevoerd. Het Agentschap kan deelnemen aan de collegiale toetsing en beslist daarover op basis van een risicobeoordelingsanalyse.

   

  5.   De Commissie kan overeenkomstig artikel 55 bis gedelegeerde handelingen vaststellen tot aanvulling van deze verordening met een plan voor de collegiale toetsingen gedurende een periode van ten minste vijf jaar, waarin criteria worden vastgesteld voor de samenstelling van het collegialetoetsingsteam, de voor de collegiale toetsing gebruikte methode, het tijdschema, de periodiciteit en de andere taken in verband met de collegiale toetsing. Bij het vaststellen van die gedelegeerde handelingen houdt de Commissie terdege rekening met de overwegingen van de groep voor certificering van de lidstaten.

   

  6.   De resultaten van de collegiale toetsing worden door de groep voor certificering van de lidstaten bestudeerd. Het Agentschap stelt een samenvatting van de resultaten op en verstrekt zo nodig richtsnoeren en documenten over beste praktijken en maakt deze openbaar.

  Amendement    229

  Voorstel voor een verordening

  Artikel 51 – lid 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  1 bis.  Voor het zekerheidsniveau "hoog" moet de conformiteitsbeoordelingsinstantie, naast te zijn geaccrediteerd, zijn aangemeld door de nationale autoriteit voor certificeringstoezicht ten aanzien van haar bevoegdheid en deskundigheid op het gebied van beoordeling van de cyberbeveiliging. De nationale autoriteit voor certificeringstoezicht moet regelmatig audits uitvoeren van de deskundigheid en bevoegdheden van de aangemelde conformiteitsbeoordelingsinstanties.

  Motivering

  Voor het zekerheidsniveau "hoog" zijn efficiëntietests vereist. De deskundigheid en bevoegdheden van de conformiteitsbeoordelingsinstanties die efficiëntietests uitvoeren, moeten regelmatig worden geaudit om met name de kwaliteit van de tests te waarborgen.

  Amendement    230

  Voorstel voor een verordening

  Artikel 51 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Er worden audits uitgevoerd om te garanderen dat in de hele Unie gelijkwaardige normen gelden. Over de resultaten van deze audits wordt aan het Agentschap en aan de Groep verslag uitgebracht.

  Amendement    231

  Voorstel voor een verordening

  Artikel 51 – lid 2 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 ter.  Indien fabrikanten kiezen voor een eigen conformiteitsverklaring overeenkomstig artikel 48, lid 3, ondernemen de conformiteitsbeoordelingsinstanties aanvullende stappen om de interne procedures te controleren die door de fabrikant zijn toegepast om te waarborgen dat zijn producten en/of diensten voldoen aan de vereisten van de Europese regeling voor cyberbeveiligingscertificering.

  Amendement    232

  Voorstel voor een verordening

  Artikel 52 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De Commissie kan door middel van uitvoeringshandelingen de omstandigheden, formaten en procedures van de in lid 1 van dit artikel bedoelde aanmeldingen vaststellen. Deze uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 55, lid 2, bedoelde onderzoeksprocedure.

  5.  De Commissie kan door middel van gedelegeerde handelingen de omstandigheden, formaten en procedures van de in lid 1 van dit artikel bedoelde aanmeldingen vaststellen. Deze gedelegeerde handelingen worden vastgesteld overeenkomstig de in artikel 55, lid 2, bedoelde onderzoeksprocedure.

  Amendement    233

  Voorstel voor een verordening

  Artikel 53 – titel

  Door de Commissie voorgestelde tekst

  Amendement

  Europese Groep voor cyberbeveiligingscertificering

  Groep voor certificering van de lidstaten

   

  (Dit amendement is van toepassing op de gehele tekst. Bij aanneming van dit amendement moet deze wijziging in de gehele tekst worden doorgevoerd.)

  Amendement    234

  Voorstel voor een verordening

  Artikel 53 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De Europese Groep voor cyberbeveiligingscertificering (hierna “de Groep” genoemd) wordt opgericht.

  1.  De Groep voor certificering van de lidstaten wordt opgericht.

  Amendement    235

  Voorstel voor een verordening

  Artikel 53 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De groep bestaat uit de nationale autoriteiten voor certificeringstoezicht. De autoriteiten worden vertegenwoordigd door de hoofden of andere hooggeplaatste vertegenwoordigers van de nationale autoriteiten voor certificeringstoezicht.

  2.  De groep voor certificering van de lidstaten bestaat uit de nationale autoriteiten voor certificeringstoezicht van elke lidstaat. De autoriteiten worden vertegenwoordigd door de hoofden of andere hooggeplaatste vertegenwoordigers van de nationale autoriteiten voor certificeringstoezicht. Leden van de groep van belanghebbenden voor certificering mogen worden uitgenodigd op de vergaderingen van de groep en deelnemen aan de werkzaamheden ervan.

  Amendement    236

  Voorstel voor een verordening

  Artikel 53 – lid 3 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  3.  De groep heeft de volgende taken:

  3.  De groep voor certificering van de lidstaten heeft de volgende taken:

  Amendement    237

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  bijstand en advies verlenen aan en samenwerken met het Enisa in het kader van de voorbereiding van een potentiële regeling overeenkomstig artikel 44 van deze verordening;

  (b)  bijstand en advies verlenen aan en samenwerken met het Agentschap in het kader van de voorbereiding van een potentiële regeling overeenkomstig artikel 44 van deze verordening;

  Amendement    238

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter d bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (d bis)  aanbevelingen vaststellen ter bepaling van de frequentie waarmee nationale autoriteiten voor certificeringstoezicht verificaties van certificaten en eigen conformiteitsverklaringen moeten uitvoeren, en van de criteria, schaal en draagwijdte van deze verificaties, en gezamenlijke regels en normen voor rapportering vaststellen overeenkomstig artikel 50, lid 6;

  Amendement    239

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering bestuderen en goede praktijken op het gebied van regelingen voor cyberbeveiligingscertificering uitwisselen;

  (e)  de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering bestuderen en informatie en goede praktijken op het gebied van regelingen voor cyberbeveiligingscertificering uitwisselen;

  Amendement    240

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f bis)  de onderlinge afstemming van Europese regelingen voor cyberbeveiligingscertificering en internationaal erkende normen vergemakkelijken, onder andere door bestaande Europese regelingen voor cyberbeveiligingscertificering te herzien en waar nodig aanbevelingen te doen aan het Agentschap om betrekkingen met relevante internationale normalisatieorganisaties aan te knopen om tekortkomingen of hiaten in beschikbare internationaal erkende normen aan te pakken;

  Amendement    241

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f ter)  een proces voor collegiale toetsing opzetten. Dit proces heeft in het bijzonder betrekking op de vereiste technische expertise van nationale autoriteiten voor certificeringstoezicht bij de uitvoering van hun taken als bedoeld in de artikelen 48 en 50, en behelst indien nodig de ontwikkeling van richtsnoeren en documenten voor beste praktijken ter verbetering van de naleving van deze verordening door nationale autoriteiten voor certificeringstoezicht;

  Amendement    242

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f quater)  toezicht houden op de monitoring en het onderhoud van certificaten;

  Amendement    243

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f quinquies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f quinquies)  rekening houden met de resultaten van het proces van raadpleging van belanghebbenden dat ter voorbereiding van een potentiële regeling is uitgevoerd, overeenkomstig artikel 44.

  Amendement    244

  Voorstel voor een verordening

  Artikel 53 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  De Commissie zit de groep voor en verzorgt het secretariaat, bijgestaan door het Enisa overeenkomstig artikel 8, onder a).

  4.  De Commissie zit de groep voor certificering van de lidstaten voor en verzorgt het secretariaat, bijgestaan door het Agentschap overeenkomstig artikel 8, onder a).

  Amendement    245

  Voorstel voor een verordening

  Artikel 53 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 53 bis

   

  Recht op een doeltreffende voorziening in rechte tegen een toezichthoudende autoriteit of conformiteitsbeoordelingsinstantie

   

  1.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft elke natuurlijke persoon of rechtspersoon het recht om een doeltreffende voorziening in rechte in te stellen:

   

  (a)  tegen een besluit van een conformiteitsbeoordelingsinstantie of nationale autoriteit voor certificeringstoezicht dat hem of haar aangaat, in voorkomend geval ook met betrekking tot de afgifte, niet-afgifte of erkenning van een Europees cyberbeveiligingscertificaat dat die persoon bezit; en

   

  (b)  wanneer een nationale autoriteit voor certificeringstoezicht een klacht niet behandelt waarvoor zij bevoegd is.

   

  2.  Procedures tegen een conformiteitsbeoordelingsinstantie of een nationale autoriteit voor certificeringstoezicht worden ingesteld bij de rechtbanken van de lidstaat waar de conformiteitsbeoordelingsinstantie of de nationale autoriteit voor certificeringstoezicht is gevestigd.

  Amendement    246

  Voorstel voor een verordening

  Artikel 55 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

  Amendement    247

  Voorstel voor een verordening

  Artikel 55 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 55 bis

   

  Uitoefening van de bevoegdheidsdelegatie

   

  1.   De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

   

  2.   De in de artikelen 44 en 48 bis bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van ... [datum van inwerkingtreding van de basiswetgevingshandeling].

   

  3.   Het Europees Parlement of de Raad kan de in de artikelen 44 en 48 bis bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

   

  4.   Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

   

  5.   Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

   

  6.   Een overeenkomstig de artikelen 44 en 48 bis vastgestelde gedelegeerde handeling treedt alleen in werking wanneer noch het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

  Amendement    248

  Voorstel voor een verordening

  Artikel 56 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Uiterlijk vijf jaar na de in artikel 58 bedoelde datum en vervolgens om de vijf jaar beoordeelt de Commissie de impact, doeltreffendheid en doelmatigheid van het Agentschap, zijn werkmethoden, de eventuele noodzaak om het mandaat van het Agentschap te wijzigen en de financiële gevolgen van een dergelijke wijziging. Bij de evaluatie wordt rekening gehouden met feedback die aan het Agentschap is gegeven naar aanleiding van zijn activiteiten. Als de Commissie van oordeel is dat het voortbestaan van het Agentschap niet langer gerechtvaardigd is in het licht van zijn doelstellingen, mandaat en taken, kan zij voorstellen om de bepalingen van deze verordening die betrekking hebben op het Agentschap, te wijzigen.

  1.  Uiterlijk twee jaar na de in artikel 58 bedoelde datum en vervolgens om de twee jaar beoordeelt de Commissie de impact, doeltreffendheid en doelmatigheid van het Agentschap, zijn werkmethoden, de eventuele noodzaak om het mandaat van het Agentschap te wijzigen en de financiële gevolgen van een dergelijke wijziging. Bij de evaluatie wordt rekening gehouden met feedback die aan het Agentschap is gegeven naar aanleiding van zijn activiteiten. Als de Commissie van oordeel is dat het voortbestaan van het Agentschap niet langer gerechtvaardigd is in het licht van zijn doelstellingen, mandaat en taken, kan zij voorstellen om de bepalingen van deze verordening die betrekking hebben op het Agentschap, te wijzigen.

  Amendement    249

  Voorstel voor een verordening

  Artikel 56 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Bij de evaluatie wordt ook gekeken naar de impact, doeltreffendheid en doelmatigheid van de bepalingen van titel III met betrekking tot de doelstellingen om een passend niveau van cyberbeveiliging van ICT-producten en -diensten in de Unie te waarborgen en de werking van de interne markt te verbeteren.

  2.  Bij de evaluatie wordt ook gekeken naar de impact, doeltreffendheid en doelmatigheid van de bepalingen van titel III met betrekking tot de doelstellingen om een passend niveau van cyberbeveiliging van ICT-producten, -processen en -diensten in de Unie te waarborgen en de werking van de interne markt te verbeteren.

  Amendement    250

  Voorstel voor een verordening

  Artikel 56 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Bij de evaluatie wordt beoordeeld of er voor cyberbeveiliging essentiële vereisten voor toegang tot de interne markt nodig zijn om te voorkomen dat producten, diensten en processen die niet aan de basisvereisten inzake cyberbeveiliging voldoen, de markt van de Unie binnenkomen.

  Amendement    251

  Voorstel voor een verordening

  Bijlage -I (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  BIJLAGE -I

   

  Bij de invoering van het EU-kader voor cyberbeveiligingscertificering wordt de aandacht waarschijnlijk gericht op gebieden van imminent belang om het hoofd te bieden aan de uitdaging van opkomende technologieën. Het gebied van het internet der dingen is van bijzonder belang, aangezien het een rol speelt bij eisen van de consument alsook van de sector. De volgende prioriteitenlijst voor opneming in het certificeringskader wordt voorgesteld:

   

  (1) certificering van clouddienstverlening;

   

  (2) certificering van apparaten van het internet der dingen, waaronder:

   

  a. apparaten op individueel niveau, zoals "smart wearables",

   

  b. apparaten op gemeenschapsniveau, zoals slimme wagens, slimme huizen, gezondheidsapparaten,

   

  c. apparaten op samenlevingsniveau, zoals slimme steden en slimme netten;

   

  (3) "Industry 4.0" met slimme, onderling verbonden cyberfysieke systemen die alle fasen van industriële activiteiten automatiseren, variërend van ontwerp en fabricage tot bedrijf, toelevering en onderhoud;

   

  (4) certificering van technologieën en producten die in het dagelijks leven worden gebruikt. Een voorbeeld hiervan zijn netwerkapparaten, zoals routers voor thuisinternet.

  Amendement    252

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  5 bis.  Indien een conformiteitsbeoordelingsinstantie in eigendom is van of wordt geëxploiteerd door een openbare entiteit of instelling, worden de onafhankelijkheid en de afwezigheid van belangenconflicten tussen de nationale autoriteit voor certificeringstoezicht enerzijds en de conformiteitsbeoordelingsinstantie anderzijds gewaarborgd en gedocumenteerd.

  Amendement    253

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 8

  Door de Commissie voorgestelde tekst

  Amendement

  8.  Een conformiteitsbeoordelingsinstantie is in staat alle taken in verband met conformiteitsbeoordeling te vervullen die haar bij deze verordening zijn toegewezen, ongeacht of deze taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht.

  8.  Een conformiteitsbeoordelingsinstantie is in staat alle taken in verband met conformiteitsbeoordeling te vervullen die haar bij deze verordening zijn toegewezen, ongeacht of deze taken door de conformiteitsbeoordelingsinstantie zelf dan wel namens haar en onder haar verantwoordelijkheid worden verricht. Elke uitbesteding of raadpleging van extern personeel wordt naar behoren gedocumenteerd, brengt geen tussenpersonen met zich mee en geschiedt bij schriftelijke overeenkomst waarin onder meer de vertrouwelijkheid en belangenconflicten worden geregeld. De conformiteitsbeoordelingsinstantie in kwestie neemt de volledige verantwoordelijkheid op zich voor de verrichte taken.

  Amendement    254

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 12

  Door de Commissie voorgestelde tekst

  Amendement

  12.  De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden en het beoordelingspersoneel is gewaarborgd.

  12.  De onpartijdigheid van de conformiteitsbeoordelingsinstanties, hun hoogste leidinggevenden, het beoordelingspersoneel en onderaannemers is gewaarborgd.

  Amendement    255

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 15

  Door de Commissie voorgestelde tekst

  Amendement

  15.  Het personeel van een conformiteitsbeoordelingsinstantie is gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan het kennisneemt bij de uitoefening van zijn taken uit hoofde van deze verordening of overeenkomstig bepalingen van nationaal recht die daaraan uitvoering geven, behalve ten opzichte van de bevoegde autoriteiten van de lidstaat waarin de werkzaamheden plaatsvinden.

  15.  De conformiteitsbeoordelingsinstantie en haar personeel, comités, dochterondernemingen, onderaannemers en aanverwante instanties of personeel van externe organisaties van een conformiteitsbeoordelingsinstantie zijn verplicht tot geheimhouding en zijn gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan zij kennisnemen bij de uitoefening van hun taken uit hoofde van deze verordening of overeenkomstig bepalingen van nationaal recht die daaraan uitvoering geven, behalve wanneer bekendmaking wordt vereist door de wetgeving van de Unie of van de lidstaat waaronder zij vallen en behalve ten opzichte van de bevoegde autoriteiten van de lidstaat waarin de werkzaamheden plaatsvinden. De eigendomsrechten worden beschermd. De conformiteitsbeoordelingsinstantie beschikt over gedocumenteerde procedures met betrekking tot de vereisten van dit punt 15.

  Amendement    256

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 15 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  15 bis.  Met uitzondering van punt 15 sluiten de voorschriften van deze bijlage op geen enkele wijze de uitwisseling uit van technische inlichtingen en regelgevingsrichtsnoeren tussen een conformiteitsbeoordelingsinstantie en een persoon die certificering aanvraagt of dit overweegt.

  Amendement    257

  Voorstel voor een verordening

  Bijlage I – alinea 1 – punt 15 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  15 ter.  Conformiteitsbeoordelingsinstanties handelen in overeenstemming met een reeks consistente, billijke en redelijke voorwaarden, met inachtneming van de belangen van kleine en middelgrote ondernemingen als omschreven in Aanbeveling 2003/361/EG met betrekking tot vergoedingen.

  • [1]  PB C 227 van 28.6.2018 blz.86.

  TOELICHTING

  Het is een feit dat de wereldwijde digitale revolutie vaste voet krijgt binnen onze economieën, samenlevingen en overheden en zich snel uitbreidt. Al onze gegevens zijn kwetsbaar. Consumenten, het bedrijfsleven, instellingen en democratieën op lokaal, nationaal, Europees en mondiaal niveau zijn het slachtoffer geweest van cyberaanvallen, cyberspionage en cybersabotage en we zijn ons er allemaal van bewust dat dit in de komende jaren aanzienlijk vaker zal voorkomen.

  Er worden miljarden apparaten met het internet verbonden en deze apparaten communiceren op een niveau en schaal die we nog niet eerder hebben gezien. Deze apparaten en verwante diensten kunnen gunstig zijn voor de levenskwaliteit van burgers en voor onze economieën. Maar mensen en organisaties kunnen pas volledig deel (gaan) uitmaken van de digitale wereld als ze vertrouwen hebben in digitale technologieën. Om dit vertrouwen te kweken, is het noodzakelijk dat de apparaten, processen en diensten van het internet der dingen veilig zijn en goed beveiligd worden.

  Om deze doelstellingen te realiseren heeft de Commissie de "cyberbeveiligingsverordening" voorgesteld. Deze verordening vormt een belangrijk onderdeel en belangrijk instrument van de nieuwe strategie van de Europese Unie inzake cyberbeveiliging, waarmee wordt beoogd een langetermijnvisie met betrekking tot cyberbeveiliging voor Europa te verschaffen en het vertrouwen in digitale technologieën te garanderen. De verordening moet worden gezien in het kader van de reeds bestaande wetgeving. De EU heeft namelijk al een Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) opgericht en een richtlijn inzake netwerk- en informatiebeveiliging (de NIS-richtlijn) aangenomen, die momenteel door de lidstaten wordt omgezet.

  De "cyberbeveiligingsverordening" bestaat uit twee delen: In het eerste gedeelte worden de rol en het mandaat van het Enisa gespecificeerd met als doel om het Agentschap te versterken. In het tweede gedeelte wordt een Europees cybercertificeringsregeling ingevoerd in de vorm van een vrijwillig kader om de beveiliging van verbonden apparaten en digitale producten en diensten te verbeteren.

  In het algemeen is de rapporteur ingenomen met het voorstel van de Commissie voor de Europese cyberbeveiligingsverordening, aangezien deze cruciaal is om risico's en dreigingen voor informatiebeveiliging en netwerksystemen tot een minimum te beperken en ervoor te zorgen dat de consumenten meer vertrouwen hebben in IT-oplossingen, in het bijzonder met betrekking tot het internet der dingen. De rapporteur is ervan overtuigd dat Europa een koploper kan worden op het gebied van cyberbeveiliging. Europa heeft een sterke industriële basis en dus is het werken aan het verbeteren van cyberbeveiliging met betrekking tot consumentengoederen, industriële applicaties en kritieke infrastructuur in het belang van zowel consumenten als het bedrijfsleven.

  Het voorstel van de Commissie moet in beide gedeelten, het gedeelte over het Enisa en het gedeelte over certificering, worden gewijzigd:

  Wat betreft het Enisa is de rapporteur van mening dat het cruciaal is om het juiste kader te verschaffen om ervoor te kunnen zorgen dat het agentschap daadkrachtig is en goed functioneert. De rapporteur ziet graag een sterkere rol voor het Enisa, in de vorm van een permanent mandaat en een uitbreiding van begroting en personeel, maar vindt dat er ook een realistische aanpak nodig is, aangezien het aantal deskundigen dat bij het Enisa in dienst is klein is vergeleken met het aantal personeelsleden van sommige nationale autoriteiten voor certificeringstoezicht. Het moet de taak van het Enisa blijven om operationele samenwerking mogelijk te maken door de expertise te benutten die is opgedaan in het kader van de NIS-richtlijn, capaciteitsopbouw in de lidstaten te steunen en te fungeren als informatiebron. Verder moet het Enisa een grotere rol spelen bij de ontwikkeling van Europese regelingen voor cyberbeveiliging, samen met de lidstaten en andere relevante belanghebbenden.

  Wat certificering betreft, is de rapporteur voorstander van een duidelijker toepassingsgebied van het voorstel. Ten eerste moeten niet alleen producten en diensten onder deze verordening vallen, maar de hele levenscyclus. Daarom moeten ook processen worden opgenomen in het toepassingsgebied. Anderzijds moeten bevoegdheidsgebieden van de lidstaten duidelijk worden uitgesloten, namelijk wanneer het om openbare veiligheid, defensie, staatsveiligheid of strafrecht gaat.

  Wat de Europese cybercertificeringsregeling betreft, stelt de rapporteur voor een meer gedetailleerde, op risicoanalyses gebaseerde aanpak uit te werken in plaats van een standaardcertificeringsregeling. Verder is de rapporteur voorstander van een vrijwillig systeem, maar alleen voor de zekerheidsniveaus "basis" en "substantieel". Voor producten, processen of diensten die onder het hoogste zekerheidsniveau vallen moet volgens de rapporteur de voorkeur worden gegeven aan een verplichte regeling. Wat betreft de evaluatie van digitale technologieën die onder het zekerheidsniveau "basis" vallen, stelt de rapporteur verder voor een koppeling te maken met de benadering van het nieuwe wetgevingskader. Hierdoor wordt zelfbeoordeling mogelijk, een goedkoper en minder omslachtig systeem dat bewezen heeft goed te werken op verschillende specifieke gebieden.

  De rapporteur is van mening dat de fabrikant of leverancier van ICT-producten, -processen en -diensten moet worden verplicht een productverklaring af te geven met gestructureerde informatie met betrekking tot certificering, waarin bijvoorbeeld moet worden aangegeven of er updates beschikbaar zijn en informatie moet worden verschaft over de interoperabiliteit van het gecertificeerde product, het gecertificeerde proces of de gecertificeerde dienst. Zo beschikken de consumenten over nuttige informatie wanneer ze een apparaat kiezen. De rapporteur ziet een dergelijke productverklaring liever dan een etiket of markering, aangezien deze misleidend kunnen zijn voor consumenten.

  De rapporteur is ervan overtuigd dat de bestuursstructuur die door de Commissie wordt voorgesteld moet worden verbeterd zodat deze voor alle betrokken belanghebbenden transparanter is. De rapporteur stelt daarom voor een meerjarig werkprogramma voor de Unie vast te stellen waarin gemeenschappelijke acties worden geïdentificeerd die moeten worden genomen op Unieniveau en waarin wordt aangegeven op welke gebieden met een hoge prioriteit Europese certificeringsregelingen moeten worden ontwikkeld en of het niveau van knowhow en expertise van de beoordelings- en toezichthoudende instanties in de lidstaten vergelijkbaar is. Een sterkere governance betekent ook een grotere participatie van lidstaten en het bedrijfsleven in het certificeringsproces. De rol van de lidstaten kan worden versterkt indien de Groep die op grond van artikel 53 van het voorstel is opgericht en bestaat uit nationale autoriteiten voor certificeringstoezicht, bij de voorbereiding van een certificeringsregeling op gelijke voet met de Commissie komt te staan. De Groep zal ook een potentiële Europese regeling moeten goedkeuren. Ten derde moet ook de participatie van het bedrijfsleven in het certificeringsproces worden vergroot. Dit kan worden bereikt door de samenstelling van de permanente groep van belanghebbenden te verduidelijken en door het Enisa ad-hocadviesgroepen te laten oprichten om expertise en knowhow te verkrijgen van het bedrijfsleven en andere relevante belanghebbenden tijdens het certificeringsproces. De rapporteur is van mening dat al deze maatregelen zullen bijdragen aan grotere rol van kmo's in het proces.

  Verder moeten Europese normalisatie-organisaties als CEN en Cenelec nauwer worden betrokken bij het Europese certificeringssysteem wanneer er nieuwe regelingen worden ontwikkeld. Zo kan worden gegarandeerd dat bestaande en wereldwijd aanvaarde internationale normen de boventoon voeren.

  ADVIES van de Commissie interne markt en consumentenbescherming (22.5.2018)

  aan de Commissie industrie, onderzoek en energie

  inzake het voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")
  (COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

  Rapporteur voor advies: (*) Nicola Danti

  (*)  Procedure met medeverantwoordelijke commissies – artikel 54 van het Reglement

  BEKNOPTE MOTIVERING

  In het digitale tijdperk is cyberbeveiliging een cruciaal element voor het concurrentievermogen en de beveiliging van de Europese Unie en voor de integriteit van onze vrije en democratische samenlevingen en de processen waarop ze steunen. Een hoog niveau van cyberweerbaarheid in de EU garanderen is uiterst belangrijk om ervoor te zorgen dat consumenten vertrouwen hebben in de digitale eengemaakte markt en om voort te bouwen aan een innovatiever en concurrerender Europa.

  Cyberdreigingen en wereldwijde cyberaanvallen zoals "Wannacry" en "Meltdown" zijn zonder twijfel problemen die steeds meer aan belang winnen in onze steeds sterker gedigitaliseerde samenleving. Volgens een Eurobarometer-onderzoek van juli 2017 ziet 87 % van de respondenten cybercriminaliteit als een belangrijke uitdaging voor de interne beveiliging van de EU, en een meerderheid van hen is bezorgd slachtoffer te worden van een vorm van cybercriminaliteit. Bovendien vinden sinds het begin van 2016 dagelijks wereldwijd meer dan 4 000 aanvallen met ransomware plaats, wat een stijging van 300 % is ten opzichte van 2015, en 80 % van de bedrijven in de EU is al door een aanval getroffen. Deze feiten en conclusies tonen duidelijk aan dat de EU weerbaarder en doeltreffender moet zijn in de strijd tegen cyberaanvallen en haar capaciteiten om de burgers, bedrijven en overheidsinstellingen van Europa beter te beschermen, moet versterken.

  Eén jaar na de inwerkingtreding van de NIS-richtlijn heeft de Europese Commissie in het kader van de EU-strategie inzake cyberbeveiliging een verordening voorgesteld die tot doel heeft de cyberweerbaarheid, -afschrikking en -defensie van de EU verder te versterken. De Commissie heeft op 13 september 2017 de "cyberbeveiligingsverordening" voorgesteld die is gebaseerd op twee pijlers:

  1) een permanent en sterker mandaat voor het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) om de lidstaten te ondersteunen bij het doeltreffend voorkomen van en reageren op cyberaanvallen, en 2) de oprichting van een EU-kader voor cyberbeveiligingscertificering om te garanderen dat ICT-producten en -diensten cyberbeveiligd zijn.

  Over het algemeen is de rapporteur tevreden met de door de Europese Commissie voorgestelde aanpak en vooral met de invoering in de hele EU van regelingen voor cyberbeveiligingscertificering, die de veiligheid van ICT-producten en -diensten moeten verbeteren en de dure versnippering van de eengemaakte markt op dit cruciale gebied moeten voorkomen. Hoewel het voorlopig een vrijwillig instrument moet blijven, hoopt de rapporteur dat een EU-kader voor cyberbeveiligingscertificering en de bijbehorende procedures een noodzakelijk hulpmiddel zullen worden om het vertrouwen van onze burgers en gebruikers te versterken en de beveiliging van de producten en diensten die in de eengemaakte markt circuleren, te verhogen.

  Hij is er ook van overtuigd dat een aantal punten van het voorstel moet worden verduidelijkt en verbeterd.

  •  Ten eerste moeten belanghebbenden meer betrokken worden bij de verschillende fasen van het governancestelsel voor de opstelling van potentiële certificeringsregelingen door het Enisa: volgens de rapporteur is het cruciaal om de belangrijkste belanghebbenden – zoals ICT-sectoren, consumentenorganisaties, het mkb, normalisatie-instellingen van de EU, sectorale agentschappen van de EU, enz. – hierbij formeel te betrekken en hen in staat te stellen om nieuwe potentiële regelingen voor te stellen, met hun deskundigheid het Enisa te adviseren of met het Enisa samen te werken bij de opstelling van een potentiële regeling.

  •  Ten tweede moet de coördinatiefunctie van de Europese Groep voor cyberbeveiligingscertificering (die is samengesteld uit nationale autoriteiten, ondersteund door de Commissie en het Enisa) worden versterkt met aanvullende taken om strategische begeleiding te bieden, om een werkprogramma op te zetten voor gezamenlijke acties die op Unieniveau moeten worden uitgevoerd op het gebied van certificering, en om een prioritaire lijst met ICT-producten en -diensten op te stellen en regelmatig bij te werken waarvoor een Europese regeling voor cyberbeveiligingscertificering noodzakelijk wordt geacht.

  •  De rapporteur is ervan overtuigd dat we de praktijk van "shoppen" van EU-certificeringen, zoals in andere sectoren al is gebeurd, moeten vermijden. De bepalingen voor controle en toezicht van het Enisa en de nationale autoriteiten voor certificeringstoezicht moeten aanzienlijk worden versterkt om te waarborgen dat een Europees certificaat dat in een lidstaat is afgegeven aan dezelfde normen en vereisten voldoet als een certificaat dat is afgegeven in een andere lidstaat. Daarom stelt hij het volgende voor:

  1)  de toezichtbevoegdheden van het Enisa versterken: samen met de Europese Groep voor cyberbeveiligingscertificering moet het Enisa de procedures beoordelen die zijn ingesteld door de autoriteiten die verantwoordelijk zijn voor de afgifte van EU-certificaten;

  2)  de nationale autoriteiten voor certificeringstoezicht moeten regelmatig (ten minste elke twee jaar) de door conformiteitsbeoordelingsinstanties afgegeven EU-certificaten beoordelen;

  3)  gemeenschappelijke bindende criteria invoeren die door de Europese Groep voor cyberbeveiligingscertificering moeten worden vastgelegd om de schaal, het toepassingsgebied en de frequentie vast te stellen waaraan de in punt 2 genoemde beoordelingen van de nationale autoriteiten voor certificeringstoezicht voldoen.

  •  De rapporteur is van mening dat er een verplicht EU-vertrouwenskeurmerk moet worden ingevoerd voor gecertificeerde ICT-producten en -diensten die bestemd zijn voor eindgebruikers. Dit keurmerk kan bijdragen tot de bewustwording rond cyberbeveiliging en bedrijven met een goede reputatie op het vlak van cyberbeveiliging een concurrentievoordeel opleveren.

  •  De rapporteur sluit zich aan bij de eenvormige en geharmoniseerde aanpak van de Commissie, maar is van oordeel dat die flexibeler moet zijn en gemakkelijker moet kunnen worden aangepast aan specifieke kenmerken en kwetsbaarheden in elk product of elke dienst – dus geen "one size-fits-all"-principe. Daarom vindt de rapporteur dat zekerheidsniveaus een andere naam moeten krijgen en dat bij het gebruik ervan ook rekening moet worden gehouden met het beoogde gebruik van de ICT-producten en -diensten. Zo moet de geldigheidsduur van het certificaat ook per regeling worden bepaald.

  •  Elke certificeringsregeling moet zo worden ontworpen dat alle betrokken actoren in de desbetreffende sector worden gestimuleerd en aangespoord om in alle fasen van de levenscyclus van het product of de dienst beveiligings- en technische normen en beginselen van ingebouwde veiligheid en ingebouwde privacy te ontwikkelen en te hanteren.

  AMENDEMENTEN

  De Commissie interne markt en consumentenbescherming verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

  Amendement    1

  Voorstel voor een verordening

  Overweging 1

  Door de Commissie voorgestelde tekst

  Amendement

  (1)  Netwerk- en informatiesystemen alsmede telecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie vormt de basis van de complexe systemen die maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

  (1)  Netwerk- en informatiesystemen alsmede telecommunicatienetwerken en -diensten spelen een cruciale rol in de maatschappij en zijn de ruggengraat van de economische groei geworden. Informatie- en communicatietechnologie (ICT) vormt de basis van de complexe systemen die dagelijkse maatschappelijke activiteiten ondersteunen en onze economieën draaiende houden in essentiële sectoren zoals gezondheid, energie, financiën en vervoer, en met name de werking van de interne markt ondersteunen.

  Amendement    2

  Voorstel voor een verordening

  Overweging 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in deze context toe dat gebruikers binnen organisaties en afzonderlijke gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen.

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in deze context toe dat gebruikers binnen organisaties en afzonderlijke gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen, dat evenwel essentieel is voor de verwezenlijking van de digitale eengemaakte markt.

  Amendement    3

  Voorstel voor een verordening

  Overweging 3

  Door de Commissie voorgestelde tekst

  Amendement

  (3)  De toenemende digitalisering en connectiviteit leiden tot grotere risico’s op het gebied van cyberbeveiliging, waardoor de maatschappij in het algemeen kwetsbaarder wordt voor cyberdreigingen en waardoor individuen, waaronder kwetsbare personen zoals kinderen, met steeds ernstigere gevaren worden geconfronteerd. Om dit risico voor de samenleving te beperken, moeten alle noodzakelijke maatregelen worden genomen om de cyberbeveiliging in de EU te versterken en netwerk- en informatiesystemen, telecommunicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, overheden en bedrijven – van het mkb tot exploitanten van kritieke infrastructuurvoorzieningen – beter te beschermen tegen cyberdreigingen.

  (3)  De toenemende digitalisering en connectiviteit leiden tot aanzienlijk grotere risico's op het gebied van cyberbeveiliging, waardoor de maatschappij in het algemeen kwetsbaarder wordt voor cyberdreigingen en waardoor individuen, waaronder kwetsbare personen zoals kinderen, met steeds ernstigere gevaren worden geconfronteerd. Niet alleen de samenleving als geheel, maar ook cybercriminelen zullen de transformerende kracht van kunstmatige intelligentie en machinaal leren benutten. Om deze risico's voor de samenleving te beperken, moeten alle noodzakelijke maatregelen worden genomen om de beveiliging tegen cyberaanvallen in de EU te versterken en netwerk- en informatiesystemen, telecommunicatienetwerken, digitale producten, diensten en toestellen die worden gebruikt door burgers, overheden en bedrijven – van het mkb tot exploitanten van kritieke infrastructuurvoorzieningen – beter te beschermen tegen cyberdreigingen.

  Amendement    4

  Voorstel voor een verordening

  Overweging 4

  Door de Commissie voorgestelde tekst

  Amendement

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd en beveiligd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  Amendement    5

  Voorstel voor een verordening

  Overweging 5

  Door de Commissie voorgestelde tekst

  Amendement

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van cyberbeveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moeten er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises. Er moeten meer inspanningen worden geleverd om de burgers en ondernemingen bewuster te maken van cyberbeveiligingskwesties. Tevens moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten. Dit kan mede mogelijk worden gemaakt door middel van EU-brede certificering met gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren.

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van cyberbeveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moeten er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises. Er moeten meer inspanningen worden geleverd om de burgers en ondernemingen bewuster te maken van cyberbeveiligingskwesties. Aangezien cyberincidenten het vertrouwen in aanbieders van digitale diensten en de digitale eengemaakte markt zelf ondermijnen, zeker bij consumenten, moet het vertrouwen tevens verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten. Dit kan mede mogelijk worden gemaakt door middel van EU-brede genormaliseerde certificering op basis van Europese of internationale normen en met gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren. Naast de voor de hele Unie geldende certificering is er een scala aan vrijwillige maatregelen die de privésector kan nemen om het vertrouwen in de beveiliging van ICT-producten en -diensten aan te wakkeren, zeker wat betreft de toenemende beschikbaarheid van IoT-apparaten. Er moet bijvoorbeeld doeltreffender gebruik worden gemaakt van encryptie en andere technologieën, alsmede van technologieën om succesvolle cyberaanvallen zoals blockchain te voorkomen teneinde de beveiliging van de gegevens en de communicatie van eindgebruikers en de algemene beveiliging van netwerk- en informatiesystemen in de Unie te verbeteren.

  Amendement    6

  Voorstel voor een verordening

  Overweging 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (5 bis)  Hoewel certificering en andere vormen van conformiteitsbeoordeling voor ICT-processen, -producten en -diensten een belangrijke rol spelen, vereist de verbetering van de cyberbeveiliging een veelzijdige aanpak die betrekking heeft op mensen, processen en technologieën. De EU moet ook andere inspanningen sterk blijven benadrukken en bevorderen, waaronder onderwijs, opleiding en ontwikkeling van vaardigheden op het gebied van cyberbeveiliging; bewustmaking bij directies en raden van bestuur in het bedrijfsleven; bevordering van het vrijwillig delen van informatie over cyberdreigingen; en de overstap van de EU van een reactieve naar een proactieve aanpak van dreigingen door de nadruk te leggen op de preventie van succesvolle cyberaanvallen.

  Amendement    7

  Voorstel voor een verordening

  Overweging 7

  Door de Commissie voorgestelde tekst

  Amendement

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en risico's voor de cyberbeveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van cyberbeveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). Bij de NIS-richtlijn werden eisen vastgesteld betreffende nationale vermogens inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen.

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en risico's voor de cyberbeveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van cyberbeveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). Bij de NIS-richtlijn, waarvan het succes sterk zal afhangen van de doeltreffendheid waarmee de lidstaten de richtlijn ten uitvoer leggen, werden eisen vastgesteld betreffende nationale vermogens inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen.

  Amendement    8

  Voorstel voor een verordening

  Overweging 11

  Door de Commissie voorgestelde tekst

  Amendement

  (11)  Gezien de toenemende uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem.

  (11)  Gezien de toenemende bedreigingen en uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem.

  Amendement    9

  Voorstel voor een verordening

  Overweging 28

  Door de Commissie voorgestelde tekst

  Amendement

  (28)  Het Agentschap moet bijdragen tot de bewustmaking van het publiek omtrent de risico’s die samenhangen met cyberbeveiliging, en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties. Verder moet het Agentschap bijdragen tot de bevordering van beste praktijken en oplossingen op het niveau van individuen en organisaties door publiekelijk beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen op te stellen met het oog op het verstrekken van richtsnoeren aan bedrijven en burgers, waarbij het algemene niveau van paraatheid en weerbaarheid wordt verhoogd. Het Agentschap moet daarnaast regelmatig, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag te promoten, het publiek bewuster te maken van potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, en ook door fundamenteel authentificatie- en gegevensbeschermingsadvies te verlenen. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen.

  (28)  Het Agentschap moet bijdragen tot de bewustmaking van het publiek omtrent de risico’s die samenhangen met cyberbeveiliging, en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties. Verder moet het Agentschap bijdragen tot de bevordering van beste praktijken en oplossingen op het vlak van cyberhygiëne, d.w.z. eenvoudige routinemaatregelen die individuen en organisaties kunnen nemen om de risico's van cyberdreigingen tot een minimum te beperken, zoals meervoudige authentificatie, patchen, encryptie en toegangsbeheer. Het Agentschap moet dit doen door publiekelijk beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen en handleidingen op te stellen en te publiceren met het oog op het verstrekken van richtsnoeren aan bedrijven en burgers, waarbij het algemene niveau van paraatheid en weerbaarheid wordt verhoogd. Het Agentschap moet daarnaast regelmatig, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag te promoten, het publiek bewuster te maken van maatregelen die kunnen worden genomen om bescherming te bieden tegen potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, ransomwareaanvallen, kaping, botnets, financiële en bankfraude, en ook door advies te verlenen over fundamentele meervoudige authentificatie, encryptie, patchen, beginselen inzake toegangsbeheer, gegevensbescherming en andere technologieën en anonimiseringsinstrumenten die de beveiliging en privacy verbeteren. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen en een veilig gebruik van diensten, door op het niveau van de Unie ingebouwde beveiliging, die essentieel is om verbonden toestellen beter te beveiligen, vooral voor kwetsbare eindgebruikers zoals kinderen, en ingebouwde privacy te bevorderen. Het Agentschap moet alle eindgebruikers aansporen passende stappen te ondernemen om de impact van incidenten op de beveiliging van hun netwerken en informatiesystemen te voorkomen en tot een minimum te beperken. Er moeten partnerschappen worden opgericht met academische instellingen die onderzoek verrichten op de desbetreffende gebieden van cyberbeveiliging.

  Amendement    10

  Voorstel voor een verordening

  Overweging 35

  Door de Commissie voorgestelde tekst

  Amendement

  (35)  Het Agentschap moet de lidstaten en dienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen. Wanneer producten en diensten niet aan cyberbeveiligingsnormen voldoen, moeten dienstverleners en fabrikanten van producten deze intrekken of recyclen. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het cyberbeveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de beveiliging, waaronder de cyberbeveiliging, van hun producten en diensten te verbeteren.

  (35)  Het Agentschap moet de lidstaten en dienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen IT-beveiliging te zorgen. Wanneer producten en diensten niet aan cyberbeveiligingsnormen voldoen, moeten dienstverleners en fabrikanten van producten deze intrekken of recyclen. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het cyberbeveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de beveiliging, waaronder de cyberbeveiliging, van hun producten te verbeteren. Het Enisa moet dergelijke waarschuwingen publiceren op de website die specifiek is opgezet om informatie te verschaffen over certificeringsregelingen. Het Agentschap moet richtsnoeren opstellen voor minimale beveiligingsvereisten voor alle IT-apparaten die in de Unie worden verkocht of uit de Unie worden uitgevoerd. Op grond van dergelijke richtsnoeren kan van fabrikanten worden geëist dat zij een schriftelijke verklaring afgeven waarmee wordt bevestigd dat een apparaat geen hardware-, software- of firmwarecomponenten bevat met een bekende exploiteerbare zwakke plek op het gebied van beveiliging noch is voorzien van onveranderbare of niet-versleutelde wachtwoorden of toegangscodes, dat het apparaat betrouwbare en behoorlijk geauthenticeerde beveiligingsupdates kan ontvangen, dat het antwoord van verkopers van een getroffen apparaat een adequate hiërarchie van rechtsmiddelen omvat en dat verkopers eindgebruikers op de hoogte stellen wanneer de ondersteuning van de beveiliging van een apparaat afloopt.

  Amendement    11

  Voorstel voor een verordening

  Overweging 36 a (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (36 bis)  Normen zijn een vrijwillig marktgericht instrument dat technische voorschriften en een leidraad biedt en het resultaat is van een open, transparant en inclusief proces. Het gebruik van normen bevordert de overeenstemming van goederen en diensten met het Unierecht en ondersteunt Europese beleidsmaatregelen overeenkomstig Verordening (EU) nr. 1025/2012 betreffende Europese normalisatie. Het Agentschap moet de Europese normalisatieorganisaties regelmatig raadplegen en met hen samenwerken, met name wanneer het Europese regelingen voor cyberbeveiligingscertificering opstelt.

  Amendement    12

  Voorstel voor een verordening

  Overweging 44

  Door de Commissie voorgestelde tekst

  Amendement

  (44)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte permanente groep van belanghebbenden moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van het Agentschap.

  (44)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties, academische instellingen en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte permanente groep van belanghebbenden moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. Om te zorgen voor een goede betrokkenheid van belanghebbenden bij het kader voor cyberbeveiligingscertificering, moet de permanente groep van belanghebbenden ook advies verstrekken over welke ICT-producten en -diensten in toekomstige Europese regelingen voor cyberbeveiligingscertificering moeten worden opgenomen, en voorstellen formuleren voor de Commissie die het Agentschap verzoekt potentiële regelingen voor die ICT-producten en -diensten op te stellen, hetzij op eigen initiatief hetzij aan de hand van een voorstel van belanghebbenden. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden op efficiënte en billijke wijze worden vertegenwoordigd in de werkzaamheden van het Agentschap.

  Amendement    13

  Voorstel voor een verordening

  Overweging 46

  Door de Commissie voorgestelde tekst

  Amendement

  (46)  Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen bijkomende en nieuwe taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan het Agentschap een toereikende eigen begroting te worden toegekend die hoofdzakelijk wordt gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap. Het merendeel van het personeel van het Agentschap moet rechtstreeks ingezet worden voor de operationele tenuitvoerlegging van het mandaat van het Agentschap. De lidstaat van vestiging of om het even welke andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van het Agentschap. De EU-begrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Bovendien controleert de Rekenkamer de rekeningen van het Agentschap teneinde transparantie en verantwoording zeker te stellen.

  (46)  Om de volledige autonomie en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen bijkomende en nieuwe taken te verrichten, waaronder onvoorziene noodmaatregelen, dient aan het Agentschap een toereikende eigen begroting te worden toegekend die hoofdzakelijk wordt gefinancierd uit een bijdrage van de Unie en bijdragen van derde landen die deelnemen aan de werkzaamheden van het Agentschap. Het merendeel van het personeel van het Agentschap moet rechtstreeks ingezet worden voor de operationele tenuitvoerlegging van het mandaat van het Agentschap. De lidstaat van vestiging of om het even welke andere lidstaat mag een vrijwillige bijdrage leveren aan de inkomsten van het Agentschap. De EU-begrotingsprocedure blijft van toepassing op eventuele subsidies die ten laste van de algemene begroting van de Unie komen. Bovendien controleert de Rekenkamer de rekeningen van het Agentschap teneinde transparantie, verantwoording, efficiëntie en doeltreffende uitgaven zeker te stellen.

  Amendement    14

  Voorstel voor een verordening

  Overweging 47

  Door de Commissie voorgestelde tekst

  Amendement

  (47)  Een conformiteitsbeoordeling is het proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen voor een product, proces, dienst, systeem, persoon of instantie. Voor de toepassing van deze verordening moet certificering worden beschouwd als een soort conformiteitsbeoordeling met betrekking tot de cyberbeveiligingskenmerken van een product, proces, dienst, systeem of een combinatie daarvan ("ICT-producten en -diensten") door een onafhankelijke derde partij die niet de fabrikant van het product of de dienstverlener is. Door middel van certificering kan niet per definitie worden gewaarborgd dat gecertificeerde ICT-producten en -diensten cyberbeveiligd zijn. Certificering is veeleer een procedure en een technische methode om officieel te bevestigen dat ICT-producten en -diensten zijn getest en dat deze voldoen aan bepaalde eisen op het gebied van cyberbeveiliging die elders zijn vastgesteld, bijvoorbeeld in technische normen.

  (47)  Een conformiteitsbeoordeling is het proces waarin wordt aangetoond of voldaan is aan de vastgestelde eisen voor een product, proces, dienst, systeem, persoon of instantie. Voor de toepassing van deze verordening moet certificering worden beschouwd als een soort conformiteitsbeoordeling met betrekking tot de cyberbeveiligingskenmerken en -praktijken van een product, proces, dienst, systeem of een combinatie daarvan ("ICT-producten en -diensten") door een onafhankelijke derde partij of aan de hand van een procedure voor een eigen verklaring van conformiteit. Door middel van certificering kan niet per definitie worden gewaarborgd dat gecertificeerde ICT-producten en -diensten cyberbeveiligd zijn, waarvan ook de eindgebruiker op de hoogte moet worden gesteld. Certificering is veeleer een procedure en een technische methode om officieel te bevestigen dat ICT-producten en -diensten en de onderliggende processen en systemen zijn getest en dat deze voldoen aan bepaalde eisen op het gebied van cyberbeveiliging die elders zijn vastgesteld, bijvoorbeeld in technische normen.

  Amendement    15

  Voorstel voor een verordening

  Overweging 48

  Door de Commissie voorgestelde tekst

  Amendement

  (48)  Cyberbeveiligingscertificering is belangrijk om het vertrouwen in en de beveiliging van ICT-producten en -diensten te verhogen. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten en diensten een bepaald niveau van zekerheid inzake cyberbeveiliging bieden. Verbonden en zelfsturende auto's, elektronische medische toestellen, besturingssystemen voor industriële automatisatie of slimme netten zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De sector waarop de NIS-richtlijn van toepassing is, zijn tevens de sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

  (48)  Europese cyberbeveiligingscertificering is van essentieel belang om het vertrouwen in en de beveiliging van ICT-producten en -diensten te verhogen. De digitale eengemaakte markt, en met name de data-economie en het internet der dingen, kan enkel gedijen als het grote publiek er vertrouwen in heeft dat dergelijke producten en diensten een hoog niveau van zekerheid inzake cyberbeveiliging bieden. Verbonden en zelfsturende auto's, elektronische medische toestellen, besturingssystemen voor industriële automatisatie of slimme netten zijn slechts enkele voorbeelden van sectoren waarin certificering reeds op grote schaal wordt gebruikt of naar verwachting in de toekomst zal worden gebruikt. De sector waarop de NIS-richtlijn van toepassing is, zijn tevens de sectoren waarin cyberbeveiligingscertificering van cruciaal belang is.

  Amendement    16

  Voorstel voor een verordening

  Overweging 50

  Door de Commissie voorgestelde tekst

  Amendement

  (50)  Momenteel wordt de cyberbeveiligingscertificering van ICT-producten en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake cyberbeveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting.

  (50)  Momenteel wordt de cyberbeveiligingscertificering van ICT-producten en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, waardoor hun kosten oplopen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake cyberbeveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de op risico gebaseerde zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting.

  Amendement    17

  Voorstel voor een verordening

  Overweging 52

  Door de Commissie voorgestelde tekst

  Amendement

  (52)  Gezien het bovenstaande is het noodzakelijk om een Europees kader voor cyberbeveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor cyberbeveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten en diensten in alle lidstaten worden erkend en gebruikt. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. De regelingen moeten niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  (52)  Gezien het bovenstaande is het noodzakelijk om een gemeenschappelijke aanpak vast te stellen en een Europees kader voor cyberbeveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor cyberbeveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten en diensten in alle lidstaten worden erkend en gebruikt. Daarbij is het essentieel om voort te bouwen op zowel bestaande nationale en internationale regelingen als stelsels voor wederzijdse erkenning, in het bijzonder SOG-IS, en een vlotte overgang mogelijk te maken van bestaande regelingen binnen die stelsels naar regelingen binnen het nieuwe Europese kader. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. Indien een Europese cyberbeveiligingscertificering een nationale regeling vervangen heeft, moeten certificaten die zijn afgegeven in het kader van de Europese regeling als geldig worden aanvaard in gevallen waarin certificering in het kader van een nationale regeling vereist was. De regelingen moeten uitgaan van ingebouwde beveiliging en de beginselen bedoeld in Verordening (EU) 2016/679. Verder moeten ze niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  Amendement    18

  Voorstel voor een verordening

  Overweging 52 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (52 bis)  Dit Europees kader voor cyberbeveiligingscertificering moet op homogene wijze in alle lidstaten worden opgesteld om het "shoppen" van certificeringen vanwege verschillen in prijs of beveiligingsniveaus tussen de lidstaten, tegen te gaan.

  Amendement    19

  Voorstel voor een verordening

  Overweging 55

  Door de Commissie voorgestelde tekst

  Amendement

  (55)  Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten en -diensten die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake cyberbeveiliging voor alle ICT-producten en -diensten in detail op te nemen. ICT-producten en -diensten en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten en -diensten moet vervolgens nauwkeuring worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties.

  (55)  Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben om bij te dragen tot een hoog beschermingsniveau van de eindgebruiker en een beter Europees concurrentievermogen, en om het beveiligingsniveau binnen de digitale eengemaakte markt te versterken, en meer in het bijzonder te waarborgen dat ICT-producten en -diensten die door middel van een regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze processen, producten, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake cyberbeveiliging voor alle ICT-producten en -diensten in detail op te nemen. ICT-producten en -diensten en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten en -diensten moet vervolgens nauwkeuring worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties. Het is van wezenlijk belang dat elke Europese regeling voor cyberbeveiligingscertificering zo is ontworpen dat alle betrokken actoren in de desbetreffende sector worden gestimuleerd en aangespoord om in alle fasen van de levenscyclus van het product of de dienst beveiligings- en technische normen en beginselen van ingebouwde beveiliging te ontwikkelen en te hanteren. Indien de certificeringsregeling voorziet in merktekens of labels, moeten de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt, uiteengezet worden. Op een dergelijk label, dat een digitaal logo of een QR-code kan zijn, zouden de risico's van de werking en het gebruik van ICT-producten en -diensten worden vermeld, en deze labels moeten voor de eindgebruiker duidelijk en eenvoudig te begrijpen zijn.

  Amendement    20

  Voorstel voor een verordening

  Overweging 55 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (55 bis)  Gezien innovatietrends en het feit dat IoT-apparaten steeds beter toegankelijk worden en voortdurend in aantal toenemen in alle sectoren van de samenleving, moet bijzondere aandacht worden besteed aan de veiligheid van alle en zelfs de meest eenvoudige IoT-apparaten. Aangezien certificering een cruciale methode is om het vertrouwen in de markt te vergroten en de beveiliging en weerbaarheid te verhogen, moet in het nieuwe EU-kader voor cyberbeveiligingscertificering de nadruk worden gelegd op IoT-producten en -diensten, om deze minder kwetsbaar en veiliger te maken voor consumenten en bedrijven.

  Amendement    21

  Voorstel voor een verordening

  Overweging 56

  Door de Commissie voorgestelde tekst

  Amendement

  (56)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten of -diensten voor te bereiden. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door het Enisa voorgestelde potentiële regeling, de Europese regeling voor cyberbeveiligingscertificering door middel van uitvoeringshandelingen vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in door de Commissie vastgestelde Europese regelingen voor cyberbeveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en -diensten, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en -methoden alsmede het beoogde zekerheidsniveau (dat wil zeggen basis, substantieel en/of hoog).

  (56)  Het Enisa moet een website over dit thema onderhouden met een gemakkelijk te gebruiken onlinetoepassing die informatie over vastgestelde regelingen, potentiële regelingen en door de Commissie aangevraagde regelingen weergeeft. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in door de Commissie vastgestelde Europese regelingen voor cyberbeveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en -diensten, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en -methoden in verband met de werking en het gebruik van een ICT-product, -proces of -dienst, het inherente risico daarvan alsmede het beoogde zekerheidsniveau: functioneel beveiligd, d.w.z. een zekerheidsniveau met een functionele, substantiële of sterke mate van beveiliging, of een combinatie daarvan. De zekerheidsniveaus mogen geen absolute beveiliging suggereren om de eindgebruiker niet te misleiden. Er moet tevens rekening worden gehouden met de volledige levenscyclus van het product. Teneinde te verduidelijken tegen welke risico's een bepaald product of bepaalde dienst bij ontwerp bestand moet zijn, moet het Enisa zorg dragen voor de coördinatie van de samenstelling van een controlelijst met de verwachte risico's voor het ICT-proces, het ICT-product of de ICT-dienst per categorie gebruikers in een bepaalde omgeving.

  Amendement    22

  Voorstel voor een verordening

  Overweging 56 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 bis)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten of -diensten op te stellen. Aan de Commissie dient de bevoegdheid te worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen ten aanzien van het opstellen van Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen. Wanneer de Commissie gedelegeerde handelingen vaststelt, moet zij de regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten opstellen op basis van door het Enisa voorgestelde relevante potentiële regelingen, om het vertrouwen in en de voorspelbaarheid van het kader voor cyberbeveiligingscertificering te vergroten en meer bewustzijn onder de bevolking te creëren.

  Amendement    23

  Voorstel voor een verordening

  Overweging 56 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (56 ter)  Op het niveau van de Unie moet bij de evaluatiemethoden en beoordelingsprocedures voor elke Europese regeling voor cyberbeveiligingscertificering bijzondere aandacht worden besteed aan "ethisch hacken", dat tot doel heeft zwakke plekken in en kwetsbaarheden van apparaten en informatiesystemen op te sporen door te anticiperen op de beoogde handelingen en vaardigheden van kwaadwillende hackers.

  Amendement    24

  Voorstel voor een verordening

  Overweging 58

  Door de Commissie voorgestelde tekst

  Amendement

  (58)  Zodra een Europese regeling voor cyberbeveiligingscertificering is vastgesteld, moeten fabrikanten van ICT-producten of aanbieders van ICT-diensten bij een conformiteitsbeoordelingsinstantie van hun keuze een aanvraag indienen voor de certificering van hun producten of diensten. Conformiteitsbeoordelingsinstanties moeten door een accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie aan de vereisten voldoet. Accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer door een conformiteitsbeoordelingsinstantie ondernomen acties indruisen tegen deze verordening.

  (58)  Zodra een Europese regeling voor cyberbeveiligingscertificering is vastgesteld, moeten fabrikanten van ICT-producten of aanbieders van ICT-diensten bij een conformiteitsbeoordelingsinstantie van hun keuze een aanvraag indienen voor de certificering van hun processen, producten of diensten, of zelf verklaren dat hun producten of diensten voldoen aan de desbetreffende Europese regeling voor cyberbeveiligingscertificering. Conformiteitsbeoordelingsinstanties moeten door een accreditatie-instantie worden geaccrediteerd indien zij aan bepaalde, in deze verordening vastgestelde specifieke vereisten voldoen. De accreditatie moet worden afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits de conformiteitsbeoordelingsinstantie aan de vereisten voldoet. Accreditatie-instanties moeten de accreditatie van een conformiteitsbeoordelingsinstantie intrekken wanneer niet of niet meer aan de voorwaarden voor de accreditatie wordt voldaan of wanneer door een conformiteitsbeoordelingsinstantie ondernomen acties indruisen tegen deze verordening. Om te verzekeren dat accreditatie binnen de hele Europese Unie op uniforme wijze wordt uitgevoerd, moeten nationale autoriteiten voor certificeringstoezicht worden onderworpen aan een collegiale toetsing van de procedures voor de controle van de conformiteit van producten die onder cyberbeveiligingscertificering vallen.

  Amendement    25

  Voorstel voor een verordening

  Overweging 59

  Door de Commissie voorgestelde tekst

  Amendement

  (59)  Alle lidstaten moeten worden verplicht om één autoriteit voor cyberbeveiligingscertificeringstoezicht aan te wijzen die erop toeziet dat de conformiteitsbeoordelingsinstanties en de door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties afgegeven certificaten voldoen aan de vereisten van deze verordening en de desbetreffende regelingen voor cyberbeveiligingscertificering. De nationale autoriteiten voor certificeringstoezicht moeten klachten van natuurlijke of rechtspersonen behandelen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, de inhoud van de klacht onderzoeken in de mate waarin dat gepast is, en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Verder moeten zij samenwerken met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door uitwisseling van informatie over mogelijke niet-naleving door ICT-producten en -diensten van de vereisten van deze verordening of van specifieke regelingen voor cyberbeveiliging.

  (59)  Alle lidstaten moeten worden verplicht om één autoriteit voor cyberbeveiligingscertificeringstoezicht aan te wijzen die erop toeziet dat de conformiteitsbeoordelingsinstanties en de door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties afgegeven certificaten voldoen aan de vereisten van deze verordening en de desbetreffende regelingen voor cyberbeveiligingscertificering. De nationale autoriteiten voor certificeringstoezicht moeten klachten van natuurlijke of rechtspersonen behandelen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, de inhoud van de klacht onderzoeken in de mate waarin dat gepast is, en de klager binnen een redelijke termijn in kennis stellen van de vooruitgang en het resultaat van het onderzoek. Verder moeten zij samenwerken met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door uitwisseling van informatie over mogelijke niet-naleving door ICT-producten en -diensten van de vereisten van deze verordening of van specifieke regelingen voor cyberbeveiliging. Bovendien moeten zij toezicht houden op en controles uitvoeren van de overeenstemming van de eigen conformiteitsverklaringen, en nagaan of de Europese cyberbeveiligingscertificaten zijn uitgegeven door conformiteitsbeoordelingsinstanties volgens de in deze verordening vastgelegde voorschriften, met inbegrip van de regels die zijn vastgesteld door de Europese Groep voor cyberbeveiligingscertificering en de voorschriften die zijn vastgelegd in de bijbehorende Europese regeling voor cyberbeveiligingscertificering. De doeltreffende samenwerking tussen nationale autoriteiten voor certificeringstoezicht is cruciaal voor de goede tenuitvoerlegging van Europese regelingen voor cyberbeveiligingscertificering en de oplossing van technische kwesties met betrekking tot de cyberbeveiliging van ICT-producten en -diensten. De Commissie moet die informatie-uitwisseling bevorderen door een algemeen elektronisch informatieondersteuningssysteem ter beschikking te stellen, bijvoorbeeld het informatie- en communicatiesysteem voor markttoezicht (ICSMS) en het systeem voor snelle uitwisseling van informatie over gevaarlijke non-foodproducten (Rapex) die overeenkomstig Verordening (EG) nr. 765/2008 al door markttoezichtautoriteiten worden gebruikt.

  Amendement    26

  Voorstel voor een verordening

  Overweging 63

  Door de Commissie voorgestelde tekst

  Amendement

  (63)  Om de criteria voor de accreditatie van conformiteitsbeoordelingsinstanties verder te specificeren, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Bij haar voorbereidende werkzaamheden moet de Commissie passend overleg plegen, onder meer op het niveau van de deskundigen. Dergelijke raadplegingen moeten worden uitgevoerd overeenkomstig de beginselen van het Interinstitutioneel Akkoord over beter wetgeven van 13 april 2016. Om met name te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, moeten het Europees Parlement en de Raad alle documenten op hetzelfde moment ontvangen als de deskundigen van de lidstaten, en moeten hun deskundigen systematisch toegang hebben tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van gedelegeerde handelingen.

  Schrappen

  Amendement    27

  Voorstel voor een verordening

  Overweging 65

  Door de Commissie voorgestelde tekst

  Amendement

  (65)  De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten, inzake modaliteiten betreffende door het Agentschap uit te voeren onderzoeken, alsmede voor de omstandigheden, formaten en procedures voor kennisgeving betreffende geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale autoriteiten voor certificeringstoezicht aan de Commissie.

  (65)  De onderzoeksprocedure moet worden toegepast voor de vaststelling van uitvoeringshandelingen inzake Europese regelingen voor cyberbeveiligingscertificering voor ICT-processen, -producten en -diensten, inzake modaliteiten betreffende door het Agentschap uit te voeren onderzoeken, alsmede voor de omstandigheden, formaten en procedures voor kennisgeving betreffende geaccrediteerde conformiteitsbeoordelingsinstanties door de nationale autoriteiten voor certificeringstoezicht aan de Commissie, rekening houdend met de aangetoonde doeltreffendheid van het instrument voor elektronische kennisgeving "New Approach Notified and Designated Organisations" (NANDO).

  Amendement    28

  Voorstel voor een verordening

  Overweging 66

  Door de Commissie voorgestelde tekst

  Amendement

  (66)  Het optreden van het Agentschap moet aan een onafhankelijke evaluatie worden onderworpen. Deze evaluatie moet betrekking hebben op de verwezenlijking van de doelstellingen van het Agentschap, zijn werkmethoden en de relevantie van zijn taken. Bij de evaluatie moeten tevens de impact, de doeltreffendheid en de efficiëntie van het Europees kader voor cyberbeveiligingscertificering worden beoordeeld.

  (66)  Het optreden van het Agentschap moet aan een onafhankelijke evaluatie worden onderworpen. Deze evaluatie moet ingaan op de legitimiteit en doeltreffendheid van de uitgaven van het Agentschap en de efficiëntie bij de verwezenlijking van zijn doelstellingen, en moet een beschrijving van zijn werkmethoden en de relevantie van zijn taken omvatten. Bij de evaluatie moeten tevens de impact, de doeltreffendheid en de efficiëntie van het Europees kader voor cyberbeveiligingscertificering worden beoordeeld.

  Amendement    29

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 11

  Door de Commissie voorgestelde tekst

  Amendement

  (11)  "ICT-product en -dienst": elk element of elke groep elementen van netwerk- en informatiesystemen;

  (11)  "ICT-proces, -product en -dienst": een product, dienst, proces, systeem of combinatie daarvan dat/die een element van netwerk- en informatiesystemen vormt;

   

  (Dit amendement is van toepassing op de gehele tekst. Bij aanneming van dit amendement moet deze wijziging in de gehele tekst worden doorgevoerd.)

  Amendement    30

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 11 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (11 bis)  "nationale autoriteit voor certificeringstoezicht": een autoriteit van een lidstaat, die verantwoordelijk is voor controle, handhaving en toezicht met betrekking tot cyberbeveiligingscertificering op haar grondgebied;

  Amendement    31

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 16 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (16 bis)  "eigen conformiteitsverklaring": een verklaring door de fabrikant dat zijn ICT-proces, -product of -dienst in overeenstemming is met een gespecificeerde Europese regeling voor cyberbeveiligingscertificering.

  Amendement    32

  Voorstel voor een verordening

  Artikel 3 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Het Agentschap verricht de bij deze verordening aan hem toegewezen taken met als doel bij te dragen tot een hoog niveau van cyberbeveiliging binnen de Unie.

  1.  Het Agentschap verricht de bij deze verordening aan hem toegewezen taken met als doel bij te dragen tot het bereiken van een hoog gemeenschappelijk niveau van cyberbeveiliging om cyberaanvallen binnen de Unie te voorkomen, versnippering van de interne markt tegen te gaan en de werking ervan te verbeteren.

  Amendement    33

  Voorstel voor een verordening

  Artikel 4 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Het Agentschap zorgt ervoor dat de vermogens inzake cyberbeveiliging op EU-niveau worden versterkt als aanvulling op maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten.

  5.  Het Agentschap draagt ertoe bij dat de vermogens inzake cyberbeveiliging op EU-niveau worden versterkt als aanvulling op en aanscherping van maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten.

  Amendement    34

  Voorstel voor een verordening

  Artikel 4 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Het Agentschap bevordert het gebruik van certificering, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau overeenkomstig titel III van deze verordening, zodat de transparantie van de cyberbeveiligingszekerheid van ICT-producten en -diensten en daarmee het vertrouwen in de digitale interne markt worden versterkt.

  6.  Het Agentschap bevordert het gebruik van certificering en voorkomt tegelijk versnippering die wordt veroorzaakt door een gebrek aan coördinatie tussen de bestaande certificeringsregelingen in de Unie. Het Agentschap draagt bij aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau overeenkomstig artikelen 43 tot en met 54 [titel III], zodat de transparantie van de cyberbeveiligingszekerheid van ICT-producten en -diensten en daarmee het vertrouwen in de digitale eengemaakte markt worden versterkt.

  Amendement    35

  Voorstel voor een verordening

  Artikel 4 – lid 7

  Door de Commissie voorgestelde tekst

  Amendement

  7.  Het Agentschap draagt ertoe bij dat burgers en bedrijven zich in grote mate bewust worden van kwesties op het gebied van cyberbeveiliging.

  7.  Het Agentschap draagt ertoe bij dat burgers, autoriteiten en bedrijven zich in grote mate bewust worden van kwesties op het gebied van cyberbeveiliging.

  Amendement    36

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  bijstand te verlenen en raad te geven, met name door het verstrekken van onafhankelijke adviezen en het verrichten van voorbereidende werkzaamheden, bij de ontwikkeling en herziening van EU-beleid en -wetgeving op het gebied van cyberbeveiliging en van sectorspecifieke beleids- en wetgevingsinitiatieven die verband houden met cyberbeveiliging;

  1.  bijstand te verlenen en raad te geven bij de ontwikkeling en herziening van EU-beleid en -wetgeving op het gebied van cyberbeveiliging en van sectorspecifieke beleids- en wetgevingsinitiatieven die verband houden met cyberbeveiliging;

  Motivering

  Het Agentschap moet vrij de instrumenten kunnen kiezen om zijn taken uit te voeren.

  Amendement    37

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  het Europees Comité voor gegevensbescherming dat is opgericht bij Verordening (EU) 2016/679 bij te staan bij de opstelling van richtsnoeren om op technisch niveau de voorwaarden vast te leggen voor het wettelijke gebruik van persoonsgegevens door gegevenscontroleurs voor IT-beveiligingsdoeleinden met als doel hun infrastructuur te beschermen door aanvallen op hun informatiesystemen op te sporen en te blokkeren in de context van: (i) Verordening (EU) 2016/6791 bis; (ii)Richtlijn (EU) 2016/11481 ter; en (iii) Richtlijn 2002/58/EG1 quater;

   

  _________________

   

  1 bis Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

   

  1 ter Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

   

  1 quater Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

  Motivering

  Voor de oprichting van passende samenwerkingsmechanismen.

  Amendement    38

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 4 – punt 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  de bevordering van een verhoogd beveiligingsniveau van elektronische communicatie, onder meer door expertise en advies te verstrekken en de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te bevorderen;

  (2)  de bevordering van een verhoogd beveiligingsniveau van elektronische communicatie, gegevensopslag en gegevensverwerking, onder meer door expertise en advies te verstrekken en de uitwisseling van beste praktijken tussen de bevoegde autoriteiten te bevorderen;

  Amendement    39

  Voorstel voor een verordening

  Artikel 6 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Het Agentschap faciliteert de vaststelling en start van een langetermijnproject van de EU op het gebied van cyberbeveiliging om de groei van een onafhankelijke cyberbeveiligingssector van de EU te ondersteunen en om cyberbeveiliging te integreren in alle ICT-ontwikkelingen van de EU.

  Motivering

  Het Enisa moet wetgevers adviseren over de opstelling van beleidsmaatregelen om de EU in staat te stellen op gelijke hoogte te komen met IT-beveiligingsbranches in derde landen. Het project moet in omvang vergelijkbaar zijn met wat eerder is bereikt in de luchtvaartsector (voorbeeld: Airbus). Dit is nodig om een sterkere, soevereine en betrouwbare ICT-sector in de EU te ontwikkelen (zie onderzoek PE 614.531 van de afdeling Wetenschappelijke Toekomstverkenningen (STOA)).

  Amendement    40

  Voorstel voor een verordening

  Artikel 7 – lid 5 – alinea 1

  Door de Commissie voorgestelde tekst

  Amendement

  Op verzoek van twee of meer betrokken lidstaten, en met als enig doel advies te verstrekken voor de preventie van toekomstige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan twee lidstaten.

  Op verzoek van een of meer betrokken lidstaten, en met als enig doel advies te verstrekken voor de preventie van toekomstige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan twee lidstaten.

  Amendement    41

  Voorstel voor een verordening

  Artikel 7 – lid 8 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  verslagen van nationale bronnen te bundelen om tot de totstandbrenging van een gemeenschappelijk situatiebewustzijn bij te dragen;

  (a)  verslagen van nationale en internationale bronnen te bundelen om tot de totstandbrenging van een gemeenschappelijk situatiebewustzijn bij te dragen;

  Amendement    42

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (1 bis)  in samenwerking met de Europese Groep voor cyberbeveiligingscertificering beoordelingen uit te voeren van de procedures om de door de in artikel 51 vermelde Europese conformiteitsbeoordelingsinstanties ingestelde cyberbeveiligingscertificaten af te geven, teneinde een eenvormige toepassing van deze verordening door de conformiteitsbeoordelingsinstanties te waarborgen wanneer zij certificaten afgeven;

  Amendement    43

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (1 ter)  achteraf onafhankelijke periodieke controles uit te voeren van de overeenstemming van gecertificeerde ICT-producten en -diensten met Europese regelingen voor cyberbeveiligingscertificering;

  Amendement    44

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 3

  Door de Commissie voorgestelde tekst

  Amendement

  (3)  richtsnoeren op te stellen en te publiceren en goede praktijken te ontwikkelen in verband met de cyberbeveiligingsvereisten van ICT-producten en -diensten, in samenwerking met de nationale autoriteiten voor certificeringstoezicht en de branche;

  (3)  richtsnoeren op te stellen en te publiceren en goede praktijken te ontwikkelen, zo ook over de beginselen van cyberhygiëne en de ontmoediging van geheime achterdeurtjes, in verband met de cyberbeveiligingsvereisten van ICT-producten en -diensten, in samenwerking met de nationale autoriteiten voor certificeringstoezicht en de branche in een formeel, genormaliseerd en transparant proces;

  Amendement    45

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  bevordert de vaststelling en toepassing van Europese en internationale normen inzake risicobeheersing en inzake de beveiliging van ICT-producten en -diensten, en stelt in samenwerking met de lidstaten advies en richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële diensten en digitaledienstverleners, en met betrekking tot reeds bestaande normen, met inbegrip van nationale normen van de lidstaten, overeenkomstig artikel 19, lid 2, van Richtlijn (EU) 2016/1148;

  (b)  raadpleegt de internationale normalisatie-instanties en de Europese normalisatieorganisaties over de ontwikkeling van normen om de geschiktheid te waarborgen van de normen die in Europese regelingen voor cyberbeveiligingscertificering worden gebruikt, en bevordert de vaststelling en toepassing van relevante Europese en internationale normen inzake risicobeheersing en inzake de beveiliging van ICT-producten en -diensten, en stelt in samenwerking met de lidstaten advies en richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële diensten en digitaledienstverleners, en met betrekking tot reeds bestaande normen, met inbegrip van nationale normen van de lidstaten, overeenkomstig artikel 19, lid 2, van Richtlijn (EU) 2016/1148;

  Amendement    46

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  stelt richtsnoeren op voor de manier en het tijdstip waarop de lidstaten elkaar moeten informeren wanneer zij kennis krijgen van een niet publiekelijk bekende zwakke plek in een ICT-proces, -product of -dienst dat/die is gecertificeerd overeenkomstig titel III van deze verordening, waaronder richtsnoeren voor de coördinatie van beleidsmaatregelen op het vlak van openbaarmaking van kwetsbaarheden;

  Amendement    47

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter b ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b ter)  stelt richtsnoeren op voor minimale beveiligingsvereisten voor alle IT-apparaten die in de Unie op de markt worden gebracht of uit de Unie worden uitgevoerd;

  Amendement    48

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  bundelt en organiseert door middel van een hiervoor bestemd portaal door de EU-instellingen, -agentschappen en -organen verstrekt informatie over cyberbeveiliging, en maakt deze openbaar;

  (d)  bundelt en organiseert door middel van een hiervoor bestemd portaal door de EU-instellingen, -agentschappen en -organen verstrekt informatie over cyberbeveiliging, met inbegrip van informatie over ingrijpende incidenten op het gebied van cyberbeveiliging en gevallen van ernstige inbreuk op gegevens, en maakt deze openbaar;

  Amendement    49

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  draagt bij tot de bewustmaking van het publiek omtrent risico’s inzake cyberbeveiliging en verstrekt richtsnoeren inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties;

  (e)  draagt bij tot de bewustmaking van het publiek omtrent risico’s inzake cyberbeveiliging, verstrekt richtsnoeren inzake goede praktijken voor gebruikers, gericht op burgers en organisaties en bevordert de vaststelling van preventieve en sterke IT-beveiligingsmaatregelen en maatregelen voor een betrouwbare gegevensbescherming en privacy;

  Amendement    50

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  ondersteunt nauwere samenwerking en de uitwisseling van beste praktijken onder de lidstaten met betrekking tot voorlichting en bewustzijn op het vlak van cyberbeveiliging en cyberhygiëne;

  Amendement    51

  Voorstel voor een verordening

  Artikel 10 – alinea 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging om doelmatig te kunnen reageren op bestaande en opkomende risico’s en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  (a)  voorafgaande raadpleging van relevante gebruikersgroepen waarborgen en advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging om doelmatig te kunnen reageren op bestaande en opkomende risico's en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  Amendement    52

  Voorstel voor een verordening

  Artikel 13 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat en twee door de Commissie benoemde vertegenwoordigers. Alle vertegenwoordigers hebben stemrecht.

  1.  De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat en twee door de Commissie en het Europees Parlement benoemde vertegenwoordigers. Alle vertegenwoordigers hebben stemrecht.

  Amendement    53

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  e)  beoordeelt het geconsolideerde jaarverslag over de activiteiten van het Agentschap en keurt het goed, en doet het verslag en zijn beoordeling daarvan uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer. Het jaarverslag bevat de rekeningen en beschrijft hoe het Agentschap zijn prestatie-indicatoren heeft nageleefd. Dit jaarverslag wordt openbaar gemaakt;

  e)  beoordeelt het geconsolideerde jaarverslag over de activiteiten van het Agentschap en keurt het goed, en doet het verslag en zijn beoordeling daarvan uiterlijk op 1 juli van het volgende jaar toekomen aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer. Het jaarverslag bevat de rekeningen, beschrijft de doeltreffendheid van de uitgaven en beoordeelt hoe efficiënt het Agentschap heeft geopereerd en in hoeverre het zijn prestatie-indicatoren heeft nageleefd. Dit jaarverslag wordt openbaar gemaakt;

  Amendement    54

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter m

  Door de Commissie voorgestelde tekst

  Amendement

  (m)  benoemt de uitvoerend directeur en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  (m)  benoemt de uitvoerend directeur via een op professionele criteria gebaseerde selectieprocedure en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  Amendement    55

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter o

  Door de Commissie voorgestelde tekst

  Amendement

  (o)  neemt alle beslissingen in verband met het opzetten van de interne structuren van het Agentschap en, waar nodig, de wijziging ervan, rekening houdend met de activiteitenbehoeften van het Agentschap en met het oog op een gezond begrotingsbeheer;

  (o)  neemt alle beslissingen in verband met het opzetten van de interne structuren van het Agentschap en, waar nodig, de wijziging ervan, rekening houdend met de activiteitenbehoeften van het Agentschap, zoals vermeld in deze verordening, en met het oog op een gezond begrotingsbeheer;

  Amendement    56

  Voorstel voor een verordening

  Artikel 19 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De uitvoerend directeur brengt desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

  2.  De uitvoerend directeur brengt jaarlijks of desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

  Amendement    57

  Voorstel voor een verordening

  Artikel 20 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie en aanbieders van openbare elektronische communicatienetwerken of -diensten, met name de Europese ICT-industrie en aanbieders, verenigingen van kleine en middelgrote ondernemingen, consumentenorganisaties en -verenigingen, universitaire deskundigen op het gebied van cyberbeveiliging, de Europese normalisatieorganisaties zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) nr. 1025/2012, de desbetreffende sectorale agentschappen en organen van de Unie, en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

  Amendement    58

  Voorstel voor een verordening

  Artikel 20 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  De ambtstermijn van de leden van de permanente groep van belanghebbenden bedraagt tweeënhalf jaar. Leden van de raad van bestuur kunnen geen lid zijn van de permanente groep van belanghebbenden. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de permanente groep van belanghebbenden bijwonen en aan de werkzaamheden ervan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de permanente groep van belanghebbenden, mogen worden uitgenodigd op de vergaderingen van de permanente groep van belanghebbenden en deelnemen aan de werkzaamheden ervan.

  4.  De ambtstermijn van de leden van de permanente groep van belanghebbenden bedraagt tweeënhalf jaar. Leden van de raad van bestuur en van het dagelijks bestuur, met uitzondering van de uitvoerend directeur, kunnen geen lid zijn van de permanente groep van belanghebbenden. Deskundigen van de Commissie en van de lidstaten mogen de vergaderingen van de permanente groep van belanghebbenden bijwonen en aan de werkzaamheden ervan deelnemen. Vertegenwoordigers van andere door de uitvoerend directeur relevant geachte organen, die geen lid zijn van de permanente groep van belanghebbenden, mogen worden uitgenodigd op de vergaderingen van de permanente groep van belanghebbenden en deelnemen aan de werkzaamheden ervan.

  Amendement    59

  Voorstel voor een verordening

  Artikel 20 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De permanente groep van belanghebbenden adviseert het Agentschap met betrekking tot de uitvoering van zijn activiteiten. De permanente groep van belanghebbenden adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het werkprogramma van het Agentschap en met betrekking tot de communicatie met de relevante belanghebbenden over alle met het werkprogramma verband houdende kwesties.

  5.  De permanente groep van belanghebbenden adviseert het Agentschap met betrekking tot de uitvoering van zijn activiteiten. De permanente groep van belanghebbenden adviseert met name de uitvoerend directeur met betrekking tot de opstelling van een voorstel voor het werkprogramma van het Agentschap en met betrekking tot de communicatie met de relevante belanghebbenden over alle met het werkprogramma verband houdende kwesties. De permanente groep van belanghebbenden kan ook voorstellen dat de Commissie in overeenstemming met artikel 44 het Agentschap verzoekt een potentiële Europese regeling voor cyberbeveiligingscertificering op te stellen. De groep kan dit doen op eigen initiatief of aan de hand van een voorstel van belanghebbenden.

  Amendement    60

  Voorstel voor een verordening

  Artikel 20 – lid 5 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  5 bis.  De permanente groep van belanghebbenden adviseert het Agentschap bij de opstelling van een potentiële Europese regeling voor cyberbeveiligingscertificering.

  Amendement    61

  Voorstel voor een verordening

  Artikel 23 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Het Agentschap ziet erop toe dat geïnteresseerden en alle belanghebbenden van passende, objectieve, betrouwbare en gemakkelijk toegankelijke informatie worden voorzien, in het bijzonder met betrekking tot de resultaten van zijn werkzaamheden. Tevens maakt het de overeenkomstig artikel 22 afgelegde belangenverklaringen openbaar.

  2.  Het Agentschap ziet erop toe dat geïnteresseerden en alle belanghebbenden van passende, objectieve, betrouwbare en gemakkelijk toegankelijke informatie worden voorzien, in het bijzonder met betrekking tot de debatten en de resultaten van zijn werkzaamheden. Tevens maakt het de overeenkomstig artikel 22 afgelegde belangenverklaringen openbaar.

  Motivering

  Transparantie moet afdwingbaar zijn, rekening houdend met de toepassing van artikel 24.

  Amendement    62

  Voorstel voor een verordening

  Artikel 43 – alinea 1

  Door de Commissie voorgestelde tekst

  Amendement

  Een Europese regeling voor cyberbeveiliging bevestigt dat de ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, voldoen aan specifieke vereisten met betrekking tot hun vermogen om met een gegeven zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens en de functies of diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen.

  Een Europese regeling voor cyberbeveiliging wordt opgesteld om het beveiligingsniveau binnen de digitale eengemaakte markt te versterken en een geharmoniseerde aanpak op EU-niveau van Europese certificering te hanteren zodat ICT-producten, -diensten en -systemen bestand zijn tegen cyberaanvallen.

  Deze regeling bevestigt dat de ICT-processen, -producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, voldoen aan specifieke gemeenschappelijke vereisten en eigenschappen met betrekking tot hun vermogen om met een gegeven zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens en de functies of diensten die via deze processen, producten, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen.

  Amendement    63

  Voorstel voor een verordening

  Artikel 43 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 43 bis

   

  Werkprogramma

   

  Na de Europese Groep voor cyberbeveiligingscertificering en de permanente groep van belanghebbenden te hebben geraadpleegd en na goedkeuring van de Commissie stelt het Enisa een werkprogramma op voor gezamenlijke acties die op Unieniveau moeten worden uitgevoerd om deze titel consistent toe te passen, en die bestaat uit een prioritaire lijst met ICT-producten en -diensten waarvoor het een Europese regeling voor cyberbeveiligingscertificering nodig acht.

   

  Het werkprogramma wordt uiterlijk [zes maanden na de datum van inwerkingtreding van deze verordening] opgesteld en nieuwe werkprogramma's worden vervolgens om de twee jaar opgesteld. Het werkprogramma wordt openbaar gemaakt.

  Amendement    64

  Voorstel voor een verordening

  Artikel 44 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Naar aanleiding van een verzoek van de Commissie bereidt het Enisa een potentiële Europese regeling voor cyberbeveiligingscertificering voor die voldoet aan de vereisten van de artikelen 45, 46 en 47 van deze verordening. De lidstaten of de bij artikel 53 ingestelde Europese Groep voor cyberbeveiligingscertificering ("de Groep") kunnen de Commissie voorstellen een potentiële regeling voor cyberbeveiligingscertificering voor te bereiden.

  1.  Naar aanleiding van een verzoek van de Commissie bereidt het Enisa een potentiële Europese regeling voor cyberbeveiligingscertificering voor die voldoet aan de vereisten van de artikelen 45, 46 en 47 van deze verordening. De lidstaten, de bij artikel 53 ingestelde Europese Groep voor cyberbeveiligingscertificering ("de Groep") of de bij artikel 20 ingestelde permanente groep van belanghebbenden kunnen de Commissie voorstellen een potentiële regeling voor cyberbeveiligingscertificering voor te bereiden.

  Amendement    65

  Voorstel voor een verordening

  Artikel 44 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Bij de voorbereiding van potentiële regelingen als bedoeld in lid 1 van dit artikel, raadpleegt het Enisa alle betrokken partijen en werkt het nauw samen met de Groep. De Groep staat het Enisa bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken.

  2.  Bij de voorbereiding van potentiële regelingen als bedoeld in lid 1 van dit artikel, raadpleegt het Enisa de permanente groep van belanghebbenden, met name de Europese normalisatieorganisaties, en alle andere betrokken partijen, waaronder consumentenorganisaties, in een formeel, genormaliseerd en transparant proces, en werkt het nauw samen met de Groep, daarbij rekening houdend met reeds bestaande nationale en internationale normen. Bij de voorbereiding van elke potentiële regeling stelt het Enisa een controlelijst op van risico's en de bijbehorende cyberbeveiligingskenmerken.

   

  De Groep staat het Enisa bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken.

   

  Indien relevant kan het Enisa ook een deskundigengroep voor de raadpleging van belanghebbenden oprichten die bestaat uit leden van de permanente groep van belanghebbenden en andere relevante belanghebbenden met specifieke deskundigheid op het gebied van een bepaalde potentiële regeling, teneinde aanvullende steun en nader advies te verlenen.

  Amendement    66

  Voorstel voor een verordening

  Artikel 44 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Het Enisa dient de potentiële Europese regeling voor cyberbeveiligingscertificering, opgesteld in overeenstemming met lid 2 van dit artikel, in bij de Commissie.

  3.  Het Enisa dient de potentiële Europese regeling voor cyberbeveiligingscertificering, opgesteld in overeenstemming met lid 2 van dit artikel, in bij de Commissie, die vervolgens beoordeelt of de regeling geschikt is om de doelstellingen van het in lid 1 genoemde verzoek te halen.

  Amendement    67

  Voorstel voor een verordening

  Artikel 44 – lid 3 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  3 bis.  Het Enisa neemt het beroepsgeheim in acht met betrekking tot alle informatie die het heeft verkregen bij de uitvoering van zijn taken in het kader van deze verordening.

  Amendement    68

  Voorstel voor een verordening

  Artikel 44 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Op basis van de door het Enisa voorgestelde potentiële regeling kan de Commissie uitvoeringshandelingen vaststellen overeenkomstig artikel 55, lid 1, om te voorzien in Europese regelingen voor cyberbeveiligingscertificering van ICT-producten en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47 van deze verordening.

  4.  De Commissie is bevoegd overeenkomstig artikel 55 bis, gedelegeerde handelingen vast te stellen met betrekking tot de opstelling van Europese regelingen voor cyberbeveiligingscertificering van ICT-producten en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47 van deze verordening. Bij de vaststelling van die gedelegeerde handelingen baseert de Commissie de regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten op een door het Enisa voorgestelde, relevante potentiële regeling. De Commissie kan het Europees Comité voor gegevensbescherming raadplegen en rekening houden met diens standpunt alvorens deze gedelegeerde handelingen vast te stellen.

  Amendement    69

  Voorstel voor een verordening

  Artikel 44 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Het Enisa beheert een specifieke website met informatie en publiciteit over Europese regelingen voor cyberbeveiligingscertificering.

  5.  Het Enisa beheert een specifieke website met informatie en publiciteit over Europese regelingen voor cyberbeveiligingscertificering, waaronder informatie over alle potentiële regelingen die op verzoek van de Commissie door het Enisa worden opgesteld.

  Amendement    70

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  Bij de opzet van een Europese regeling voor cyberbeveiligingscertificering wordt, in voorkomend geval, rekening gehouden met de volgende doelstellingen:

  Bij de opzet van elke Europese regeling voor cyberbeveiligingscertificering wordt rekening gehouden met ten minste de volgende doelstellingen, voor zover deze relevant zijn:

  Amendement    71

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  ervoor zorgen dat ICT-producten en -diensten worden geleverd met geüpdatete software die geen bekende kwetsbaarheden bevat en met mechanismen voor veilige software-updates.

  (g)  ervoor zorgen dat ICT-producten en -diensten worden geleverd met geüpdatete software en hardware die geen bekende kwetsbaarheden bevat; ervoor zorgen dat ze op zodanige wijze zijn ontworpen en uitgevoerd dat de vatbaarheid daarvan voor kwetsbaarheden doeltreffend wordt beperkt, en ervoor zorgen dat ze worden geleverd met mechanismen voor veilige software-updates, met inbegrip van hardware-updates en automatische beveiligingsupdates;

  Amendement    72

  Voorstel voor een verordening

  Artikel 45 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  ervoor zorgen dat ICT-producten en -diensten zodanig worden ontwikkeld en geëxploiteerd dat een hoog niveau van cyberbeveiliging en gegevensbescherming standaard vooraf wordt geconfigureerd volgens het beginsel van ingebouwde veiligheid.

  Amendement    73

  Voorstel voor een verordening

  Artikel 46 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  In een Europese regeling voor cyberbeveiligingscertificering kunnen een of meer van de volgende zekerheidsniveaus worden gespecificeerd: basis, substantieel en/of hoog, voor ICT-producten en -diensten die in het kader van die regelingen zijn uitgegeven.

  1.  In elke Europese regeling voor cyberbeveiligingscertificering kunnen een of meer van de volgende op risico gebaseerde zekerheidsniveaus worden gespecificeerd: "functioneel beveiligd"; "substantieel beveiligd" en/of "sterk beveiligd", voor ICT-producten en -diensten die in het kader van die regelingen zijn uitgegeven.

   

  De zekerheidsniveaus voor elke potentiële Europese regeling voor cyberbeveiligingscertificering moet worden bepaald aan de hand van de risico's die zijn vastgesteld in de in artikel 44, lid 2, opgenomen controlelijst en de beschikbaarheid van cyberbeveiligingskenmerken om die risico's m.b.t. de ICT-producten en -diensten waarop de certificeringsregeling van toepassing is, tegen te gaan.

  Amendement    74

  Voorstel voor een verordening

  Artikel 46 – lid 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  1 bis.  Elke regeling geeft de beoordelingsmethodologie of het evaluatieproces aan die/dat moet worden gevolgd voor het afgeven van certificaten op elk zekerheidsniveau, afhankelijk van het beoogde gebruik en het risico dat inherent is aan de ICT-producten en -diensten in het kader van die regeling.

  Amendement    75

  Voorstel voor een verordening

  Artikel 46 – lid 2 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De zekerheidsniveaus basis, substantieel en hoog voldoen respectievelijk aan de volgende criteria:

  2.  De zekerheidsniveaus "functioneel beveiligd", "substantieel beveiligd" en/of "sterk beveiligd" voldoen respectievelijk aan de volgende criteria:

  Amendement    76

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  het zekerheidsniveau “basis” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een beperkte mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten te verkleinen;

  (a)  het zekerheidsniveau "functioneel beveiligd" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een voldoende mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-proces, -product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten te verkleinen;

  Amendement    77

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  het zekerheidsniveau “substantieel” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een substantiële mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten substantieel te verkleinen;

  (b)  het zekerheidsniveau "substantieel beveiligd" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een substantiële mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-proces, -product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten substantieel te verkleinen;

  Amendement    78

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  het zekerheidsniveau “hoog” betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een hogere mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt dan certificaten met zekerheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben cyberincidenten te voorkomen.

  (c)  het zekerheidsniveau "sterk beveiligd" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een hogere mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-proces, -product of -dienst biedt dan certificaten met zekerheidsniveau "substantieel beveiligd", en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben cyberincidenten te voorkomen. Dit geldt met name voor producten en diensten die bedoeld zijn voor gebruik door aanbieders van essentiële diensten als gedefinieerd in artikel 4, lid 4, van Richtlijn (EU) 2016/1148.

  Amendement    79

  Voorstel voor een verordening

  Artikel 47 – lid 1 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Een Europese regeling voor cyberbeveiligingscertificering omvat de volgende elementen:

  1.  Elke Europese regeling voor cyberbeveiligingscertificering omvat in voorkomend geval ten minste de volgende elementen:

  Amendement    80

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  het onderwerp en het toepassingsgebied van de certificering, met inbegrip van het type of de categorieën van ICT-producten en -diensten die hieronder vallen;

  (a)  het onderwerp en het toepassingsgebied van de certificeringsregeling, met inbegrip van specifieke sectoren en het type of de categorieën van ICT-producten en -diensten die hieronder vallen;

  Amendement    81

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  gedetailleerde specificatie van de voorschriften voor cyberbeveiliging op basis waarvan de specifieke ICT-producten en -diensten worden beoordeeld, bijvoorbeeld door verwijzing naar Europese of internationale normen of technische specificaties;

  (b)  gedetailleerde specificatie van de voorschriften voor cyberbeveiliging op basis waarvan de specifieke ICT-producten en -diensten worden beoordeeld, met name door verwijzing naar Europese of nationale normen of technische specificaties;

  Amendement    82

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  gedetailleerde specificatie indien een verleende certificering alleen op een individueel product van toepassing kan zijn of op een reeks producten kan worden toegepast, bijvoorbeeld verschillende versies of modellen van het basisproduct;

  Amendement    83

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  vermelding of een eigen conformiteitsverklaring toelaatbaar is binnen de regeling, en de toepasselijke procedure voor een conformiteitsbeoordeling, een eigen conformiteitsverklaring of beide;

  Amendement    84

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter c ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c ter)  certificeringsvoorschriften die zodanig zijn vastgesteld dat certificering kan worden geïntegreerd in of worden gebaseerd op de systematische cyberbeveiligingsprocessen van de producent, die worden gevolgd bij het ontwerp, de ontwikkeling en de levenscyclus van het ICT-proces, het ICT-product of de ICT-dienst;

  Amendement    85

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter f

  Door de Commissie voorgestelde tekst

  Amendement

  (f)  indien de regeling voorziet in merktekens of labels, de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt;

  (f)  indien de regeling voorziet in merktekens of labels, zoals een EU-label voor cyberbeveiligingsconformiteit, waarmee wordt aangegeven dat een ICT-proces, -product of -dienst voldoet aan de criteria van een regeling, de voorwaarden waaronder dergelijke merktekens of labels mogen worden gebruikt;

  Amendement    86

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  indien toezicht onderdeel uitmaakt van de regeling, de regels voor het toezicht op de naleving van de certificeringseisen, met inbegrip van mechanismen om de blijvende naleving van de gespecificeerde cyberbeveiligingseisen aan te tonen;

  (g)  de regels voor het toezicht op de naleving van de certificeringseisen, met inbegrip van mechanismen om de blijvende naleving van de gespecificeerde cyberbeveiligingseisen aan te tonen, zoals, waar relevant en mogelijk, verplichte updates, upgrades of patches van het ICT-proces of -product of de ICT-dienst in kwestie;

  Amendement    87

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter h

  Door de Commissie voorgestelde tekst

  Amendement

  (h)  voorwaarden voor de toekenning, handhaving, voortzetting, uitbreiding en beperking van het toepassingsgebied van de certificering;

  (h)  voorwaarden voor de toekenning, handhaving, voortzetting, vernieuwing, uitbreiding en beperking van het toepassingsgebied van de certificering;

  Amendement    88

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter i

  Door de Commissie voorgestelde tekst

  Amendement

  (i)  regels over de gevolgen wanneer gecertificeerde ICT-producten en -diensten niet voldoen aan de certificeringseisen;

  (i)  regels over de gevolgen wanneer gecertificeerde ICT-producten en -diensten niet voldoen aan de certificeringseisen, en algemene informatie over straffen als vastgelegd in artikel 54 van deze verordening;

  Amendement    89

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter j

  Door de Commissie voorgestelde tekst

  Amendement

  (j)  regels over de manier waarop voorheen onopgemerkte zwakke punten in de cyberbeveiliging van ICT-producten en -diensten moeten worden gemeld en aangepakt;

  (j)  regels over de manier waarop voorheen onopgemerkte zwakke punten in de cyberbeveiliging van ICT-producten en -diensten moeten worden gemeld en aangepakt, onder andere aan de hand van gecoördineerde openbaarmakingsprocessen voor kwetsbaarheden;

  Amendement    90

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter l

  Door de Commissie voorgestelde tekst

  Amendement

  (l)  identificatie van nationale regelingen voor cyberbeveiligingscertificering die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten en -diensten;

  (l)  identificatie van nationale of internationale regelingen voor cyberbeveiligingscertificering, of bestaande internationale overeenkomsten inzake wederzijdse erkenning, die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten en -diensten;

  Amendement    91

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter m bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (m bis)  de geldigheidsduur van certificaten;

  Amendement    92

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter m ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (m ter)  regels inzake resistentie- en weerbaarheidstests voor het zekerheidsniveaus "sterk beveiligd".

  Amendement    93

  Voorstel voor een verordening

  Artikel 47 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Indien een specifieke handeling van de Unie daarin voorziet, kan certificering in het kader van een Europese regeling voor cyberbeveiligingscertificering worden gebruikt om het vermoeden van conformiteit met de vereisten van die handeling aan te tonen.

  3.  Indien een specifieke toekomstige handeling van de Unie daarin voorziet, kan certificering in het kader van een Europese regeling voor cyberbeveiligingscertificering worden gebruikt om het vermoeden van conformiteit met de vereisten van die handeling aan te tonen.

  Amendement    94

  Voorstel voor een verordening

  Artikel 48 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De certificering gebeurt vrijwillig, tenzij anders is gespecificeerd in de wetgeving van de Unie.

  2.  Certificering in het kader van een Europese regeling voor cyberbeveiligingscertificering is verplicht voor ICT-producten en -diensten met een hoog inherent risico, die specifiek bestemd zijn voor gebruik door aanbieders van essentiële diensten als gedefinieerd in artikel 4, lid 4, van Richtlijn (EU) 2016/1148. Voor alle andere ICT-producten en -diensten gebeurt de certificering vrijwillig, tenzij anders is gespecificeerd in de wetgeving van de Unie.

  Amendement    95

  Voorstel voor een verordening

  Artikel 48 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Een Europees cyberbeveiligingscertificaat als bedoeld in dit artikel wordt afgegeven door de in artikel 51 bedoelde conformiteitsbeoordelingsinstanties op basis van de criteria in de overeenkomstig artikel 44 vastgestelde Europese regeling voor cyberbeveiligingscertificering.

  3.  Europese cyberbeveiligingscertificaten als bedoeld in dit artikel worden afgegeven door de in artikel 51 bedoelde conformiteitsbeoordelingsinstanties op basis van de criteria in de overeenkomstig artikel 44 vastgestelde Europese regeling voor cyberbeveiligingscertificering.

   

  Als alternatief voor certificering door conformiteitsbeoordelingsinstanties kunnen fabrikanten van producten en dienstverleners als de regeling in kwestie in een dergelijke mogelijkheid voorziet, een eigen conformiteitsverklaring opstellen waarin ze verklaren dat een proces, product of dienst voldoet aan de criteria van de certificeringsregeling. In dergelijke gevallen verstrekt de fabrikant van het product of de dienstverlener de eigen conformiteitsverklaring op verzoek aan de verzoekende nationale autoriteit voor certificeringstoezicht en het Enisa.

  Amendement    96

  Voorstel voor een verordening

  Artikel 48 – lid 4 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  4.  In afwijking van lid 3 en in naar behoren gemotiveerde gevallen kan een bepaalde Europese regeling voor cyberbeveiliging erin voorzien dat een Europees cyberbeveiligingscertificaat dat voortvloeit uit die regeling alleen door een overheidsinstantie kan worden afgegeven. Die overheidsinstantie is een van de volgende organen:

  4.  In afwijking van lid 3 en in naar behoren gemotiveerde gevallen, zoals om nationale veiligheidsredenen, kan een bepaalde Europese regeling voor cyberbeveiligingscertificering erin voorzien dat een Europees cyberbeveiligingscertificaat dat voortvloeit uit die regeling alleen door een overheidsinstantie kan worden afgegeven. Die overheidsinstantie is een van de volgende organen:

  Amendement    97

  Voorstel voor een verordening

  Artikel 48 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De natuurlijke persoon of rechtspersoon die zijn ICT-producten of -diensten aan het certificeringsmechanisme onderwerpt, geeft de in artikel 51 bedoelde conformiteitsbeoordelingsinstantie alle informatie die nodig is om de certificeringsprocedure uit te voeren.

  5.  De natuurlijke persoon of rechtspersoon die zijn ICT-producten of -diensten aan het certificeringsmechanisme onderwerpt, geeft de in artikel 51 bedoelde conformiteitsbeoordelingsinstantie alle informatie die nodig is om de certificeringsprocedure uit te voeren, met inbegrip van informatie over bekende kwetsbaarheden van de beveiliging.

  Amendement    98

  Voorstel voor een verordening

  Artikel 48 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Certificaten worden afgegeven voor een maximumperiode van drie jaar en kunnen onder dezelfde voorwaarden worden verlengd, mits nog steeds aan de desbetreffende eisen wordt voldaan.

  6.  Certificaten worden afgegeven en blijven geldig voor een maximumperiode die wordt bepaald in elke certificeringsregeling en kunnen onder dezelfde voorwaarden worden verlengd, mits nog steeds aan de desbetreffende eisen van die regeling, met inbegrip van eventuele herziene of gewijzigde voorschriften, wordt voldaan.

  Amendement    99

  Voorstel voor een verordening

  Artikel 48 – lid 6 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  6 bis.  Certificaten blijven geldig voor alle nieuwe versies van een proces, product of dienst, met als voornaamste reden voor de nieuwe versie het patchen, fixen of op een andere manier aanpakken van bekende of potentiële kwetsbaarheden van de beveiliging of gevaren voor de veiligheid.

  Amendement    100

  Voorstel voor een verordening

  Artikel 49 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  Onverminderd lid 3 hebben nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, niet langer gevolgen vanaf de datum die wordt bepaald in de overeenkomstig artikel 44, lid 4, vastgestelde uitvoeringshandeling. Bestaande nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die niet onder een Europese regeling voor cyberbeveiligingscertificering vallen, blijven bestaan.

  1.  Onverminderd lid 3 hebben nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, niet langer gevolgen vanaf de datum die wordt bepaald in de overeenkomstig artikel 44, lid 4, vastgestelde gedelegeerde handeling. De Commissie hoedt toezicht op de naleving van deze bepaling om het bestaan van gelijktijdige regelingen te vermijden. Bestaande nationale regelingen voor cyberbeveiligingscertificering en de daaraan verbonden procedures voor ICT-producten en -diensten die niet onder een Europese regeling voor cyberbeveiligingscertificering vallen, blijven bestaan.

  Amendement    101

  Voorstel voor een verordening

  Artikel 49 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Bestaande certificaten die zijn afgegeven op grond van nationale regelingen voor cyberbeveiligingscertificering, blijven geldig tot hun vervaldatum.

  3.  Bestaande certificaten die zijn afgegeven op grond van nationale regelingen voor cyberbeveiligingscertificering die vallen onder een Europese regeling voor cyberbeveiligingscertificering, blijven geldig tot hun vervaldatum.

  Amendement    102

  Voorstel voor een verordening

  Artikel 50 – lid 3

  Door de Commissie voorgestelde tekst

  Amendement

  3.  Elke nationale autoriteit voor certificeringstoezicht is op het vlak van haar organisatie, financieringsbeslissingen, rechtsstructuur en besluitvorming onafhankelijk van de entiteiten waarop zij toezicht houdt.

  3.  Elke nationale autoriteit voor certificeringstoezicht is op het vlak van haar organisatie, financieringsbeslissingen, rechtsstructuur en besluitvorming onafhankelijk van de entiteiten waarop zij toezicht houdt en is geen conformiteitsbeoordelingsinstantie of nationale accreditatie-instantie.

  Amendement    103

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  monitoren en handhaven de toepassing van de bepalingen van deze titel op nationaal niveau en zien erop toe dat de certificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties die op hun respectieve grondgebieden zijn gevestigd, voldoen aan de vereisten van deze titel en de betrokken Europese regeling voor cyberbeveiligingscertificering;

  (a)  monitoren en handhaven de toepassing van de bepalingen van deze titel op nationaal niveau en zien erop toe dat, in overeenstemming met de door de Europese Groep voor cyberbeveiligingscertificering vastgestelde regels krachtens artikel 53, lid 3, onder d bis):

   

  (i)  de certificaten die zijn afgegeven door conformiteitsbeoordelingsinstanties die op hun grondgebied zijn gevestigd, voldoen aan de vereisten van deze titel en de bijbehorende Europese regeling voor cyberbeveiligingscertificering; alsmede

   

  (ii)  eigen conformiteitsverklaringen worden opgesteld in het kader van een regeling voor een ICT-proces, -product of -dienst;

  Amendement    104

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  monitoren en houden toezicht op de werkzaamheden van de conformiteitsbeoordelingsinstanties voor de toepassing van deze verordening, onder meer met betrekking tot de aanmelding van conformiteitsbeoordelingsinstanties en de daarmee verband houdende taken als bedoeld in artikel 52 van deze verordening;

  (b)  monitoren, houden toezicht op en beoordelen ten minste om de twee jaar de werkzaamheden van de conformiteitsbeoordelingsinstanties voor de toepassing van deze verordening, onder meer met betrekking tot de aanmelding van conformiteitsbeoordelingsinstanties en de daarmee verband houdende taken als bedoeld in artikel 52 van deze verordening;

  Amendement    105

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  behandelen klachten van natuurlijke of rechtspersonen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties, onderzoeken de inhoud van de klacht in de mate waarin dat gepast is, en stellen de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek;

  (c)  behandelen klachten van natuurlijke of rechtspersonen over certificaten die zijn afgegeven door op hun grondgebied gevestigde conformiteitsbeoordelingsinstanties of over ingediende eigen conformiteitsverklaringen, onderzoeken de inhoud van de klacht in de mate waarin dat gepast is, en stellen de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek;

  Amendement    106

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  brengen verslag uit over de resultaten van de verificaties als bedoeld onder a) en de beoordelingen als bedoeld onder b) aan het Enisa en aan de Europese Groep voor cyberbeveiligingscertificering;

  Amendement    107

  Voorstel voor een verordening

  Artikel 50 – lid 6 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht of andere overheidsinstanties, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming van ICT-producten en -diensten met de vereisten van deze verordening of met specifieke Europese regelingen voor cyberbeveiliging;

  (d)  werken samen met andere nationale autoriteiten voor certificeringstoezicht, nationale accreditatie-instanties of andere overheidsinstanties, onder meer door informatie uit te wisselen over de mogelijke niet-overeenstemming, waaronder misleidende, foutieve of frauduleuze certificeringsclaims, van ICT-producten, -diensten of -processen met de vereisten van deze verordening of met specifieke Europese regelingen voor cyberbeveiliging;

  Amendement    108

  Voorstel voor een verordening

  Artikel 50 – lid 7 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  de accreditatie intrekken van conformiteitsbeoordelingsinstanties die deze verordening niet naleven;

  Amendement    109

  Voorstel voor een verordening

  Artikel 50 – lid 7 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  certificaten die niet in overeenstemming zijn met deze verordening of een Europese regeling voor cyberbeveiligingscertificering intrekken conform het nationale recht;

  (e)  certificaten die niet in overeenstemming zijn met deze verordening of een Europese regeling voor cyberbeveiligingscertificering intrekken conform het nationale recht en de nationale accreditatie-instanties daarvan op de hoogte brengen;

  Amendement    110

  Voorstel voor een verordening

  Artikel 50 – lid 7 – letter f bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f bis)  deskundigen van het Enisa voorstellen om deel te nemen aan de in artikel 44, lid 2, genoemde deskundigengroep voor de raadpleging van belanghebbenden.

  Amendement    111

  Voorstel voor een verordening

  Artikel 50 – lid 8 – alinea 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  De Commissie stelt voor die uitwisseling een algemeen elektronisch informatieondersteuningssysteem ter beschikking.

  Amendement    112

  Voorstel voor een verordening

  Artikel 50 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 50 bis

   

  Collegiale toetsing

   

  1.  Nationale autoriteiten voor certificeringstoezicht worden onderworpen aan een collegiale toetsing met betrekking tot elke activiteit die zij uitvoeren overeenkomstig artikel 50 van deze verordening.

   

  2.  Collegiale toetsingen hebben betrekking op beoordelingen van de door nationale autoriteiten voor certificeringstoezicht ingestelde procedures, met name de procedures voor de controle van de conformiteit van producten waarop regelingen voor cyberbeveiligingscertificering, de bekwaamheid van het personeel, de juistheid van de controles, de inspectiemethode en de juistheid van de resultaten van toepassing zijn. In het kader van collegiale toetsingen wordt ook beoordeeld of de nationale autoriteiten voor certificeringstoezicht in kwestie beschikken over voldoende middelen voor de goede uitvoering van hun taken, zoals vereist uit hoofde van artikel 50, lid 4.

   

  3.  Collegiale toetsingen van een nationale autoriteit voor certificeringstoezicht worden uitgevoerd door twee nationale autoriteiten voor certificeringstoezicht van andere lidstaten en de Commissie en wordt ten minste elke vijf jaar uitgevoerd. Het Enisa kan deelnemen aan de collegiale toetsing en beslist daarover op basis van een risicobeoordelingsanalyse.

   

  4.  De Commissie is bevoegd overeenkomstig artikel 55 bis, gedelegeerde handelingen vast te stellen met betrekking tot de opstelling van een plan voor collegiale toetsingen gedurende een periode van ten minste vijf jaar, waarin criteria worden vastgelegd voor de samenstelling van het team voor collegiale toetsing, de voor de toetsing gebruikte methode, het schema, de periodiciteit en de andere taken in verband met de collegiale toetsing. Bij de vaststelling van die gedelegeerde handelingen houdt de Commissie terdege rekening met de beraadslagingen van de Groep.

   

  5.  De resultaten van de collegiale toetsingen worden door de Groep bestudeerd. Het Enisa stelt een samenvatting van de resultaten op en maakt deze openbaar.

  Amendement    113

  Voorstel voor een verordening

  Artikel 51 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Indien fabrikanten kiezen voor een eigen conformiteitsverklaring overeenkomstig artikel 48, lid 3, ondernemen de conformiteitsbeoordelingsinstanties aanvullende stappen om de interne procedures te controleren die door de fabrikant zijn toegepast om te waarborgen dat hun producten en/of diensten voldoen aan de vereisten van de Europese regeling voor cyberbeveiligingscertificering.

  Amendement    114

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter d bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (d bis)  bindende regels toepassen die de tussenpozen bepalen waarmee nationale autoriteiten voor certificeringstoezicht controles van certificaten en eigen conformiteitsverklaringen moeten uitvoeren alsmede de criteria, schaal en draagwijdte van die controles, en gezamenlijke regels en normen voor rapportering vaststellen, overeenkomstig artikel 50, lid 6;

  Amendement    115

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering bestuderen en goede praktijken op het gebied van regelingen voor cyberbeveiligingscertificering uitwisselen;

  (e)  de relevante ontwikkelingen op het gebied van cyberbeveiligingscertificering bestuderen en informatie en goede praktijken op het gebied van regelingen voor cyberbeveiligingscertificering uitwisselen;

  Amendement    116

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f bis)  beste praktijken uitwisselen over de onderzoeken naar conformiteitsbeoordelingsinstanties, houders van een Europees cyberbeveiligingscertificaat en fabrikanten en dienstverleners die een eigen conformiteitsverklaring hebben opgesteld;

  Amendement    117

  Voorstel voor een verordening

  Artikel 53 – alinea 3 – letter f ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f ter)  de afstemming van Europese regelingen voor cyberbeveiligingscertificeringen en internationaal erkende normen vergemakkelijken en in voorkomend geval aanbevelingen doen aan het Enisa over gebieden waarop het betrekkingen met relevante internationale en Europese normalisatie-organisaties moet aanknopen om tekortkomingen of hiaten in internationaal erkende normen aan te pakken;

  Amendement    118

  Voorstel voor een verordening

  Artikel 53 – lid 3 – letter f quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f quater)  advies geven aan het Enisa bij het in artikel 43 bis bedoelde werkprogramma over een prioritaire lijst met ICT-producten en -diensten waarvoor het een Europese regeling voor cyberbeveiligingscertificering nodig acht;

  Amendement    119

  Voorstel voor een verordening

  Artikel 53 – lid 4 – alinea 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Het Enisa draagt er zorg voor dat de agenda, de notulen en de genomen beslissingen worden opgetekend en dat gepubliceerde versies van die documenten na elke bijeenkomst van de Groep op de website van het Enisa beschikbaar worden gesteld aan het publiek.

  Amendement    120

  Voorstel voor een verordening

  Artikel 55 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 55 bis

   

  Uitoefening van de bevoegdheidsdelegatie

   

  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

   

  De in artikel 44, lid 4, en artikel 50 bis, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van [datum van inwerkingtreding van de basiswetgevingshandeling]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

   

  Het Europees Parlement of de Raad kan de in artikel 44, lid 4, en artikel 50 bis, lid 4, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

   

  Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

   

  Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

   

  Een overeenkomstig artikel 44, lid 4, of artikel 50 bis, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie heeft medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met [twee maanden] verlengd.

  PROCEDURE VAN DE ADVISERENDE COMMISSIE

  Titel

  Verordening inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")

  Document‑ en procedurenummers

  COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

  Bevoegde commissie

         Datum bekendmaking

  ITRE

  23.10.2017

   

   

   

  Advies uitgebracht door

         Datum bekendmaking

  IMCO

  23.10.2017

  Medeverantwoordelijke commissies - datum bekendmaking

  18.1.2018

  Rapporteur voor advies

         Datum benoeming

  Nicola Danti

  25.9.2017

  Behandeling in de commissie

  21.2.2018

  21.3.2018

   

   

  Datum goedkeuring

  17.5.2018

   

   

   

  Uitslag eindstemming

  +:

  –:

  0:

  31

  2

  1

  Bij de eindstemming aanwezige leden

  John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

  Bij de eindstemming aanwezige vaste plaatsvervangers

  Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

  Bij de eindstemming aanwezige plaatsvervangers (art. 200, lid 2)

  Inés Ayala Sender, Flavio Zanonato

  HOOFDELIJKE EINDSTEMMING IN DE ADVISERENDE COMMISSIE

  31

  +

  ALDE

  ECR

  EFDD

  GUE/NGL

  PPE

   

  S&D

   

   

  Verts/ALE

  Dita Charanzová, Kaja Kallas, Jasenko Selimovic

  Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

  Marco Zullo

  Dennis de Jong

  Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

  Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

  Jan Philipp Albrecht, Pascal Durand

  2

  -

  EFDD

  John Stuart Agnew, Robert Jarosław Iwaszkiewicz

  1

  0

  ENF

  Mylène Troszczynski

  Verklaring van de gebruikte tekens:

  +  :  voor

  -  :  tegen

  0  :  onthouding

  ADVIES van de Begrotingscommissie (16.5.2018)

  aan de Commissie industrie, onderzoek en energie

  inzake het voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")
  (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

  Rapporteur voor advies: Jens Geier

  BEKNOPTE MOTIVERING

  De rapporteur is over het algemeen ingenomen met het voorstel van de Commissie voor een "cyberbeveiligingsverordening" om de rol van het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) verder te vergroten, aangezien cyberbeveiliging duidelijk een onderwerp van grensoverschrijdende aard is en een meer Europese benadering passend is. De rapporteur is in het bijzonder ingenomen met het voorstel van de Commissie om Enisa een permanent mandaat te verlenen, gezien de toegenomen rol van het agentschap, en om de personeelsleden van het agentschap zekerheid te geven. De Commissie stelt een toename van het AD/AST-personeel met 41 posten tegen 2022[1] en een verhoging van het jaarlijkse budget van het agentschap tot 23 miljoen EUR tegen 2022 voor[2].

  De rapporteur is van mening dat de huidige manier waarop de zetel geregeld is, namelijk dat het agentschap op meer dan één plek is gevestigd, in Heraklion en Athene, het agentschap hindert bij het efficiënt uitvoeren van zijn mandaat. De interinstitutionele werkgroep voor de middelen van agentschappen, die is opgericht na de overeenkomst over de begroting voor 2014, beveelt "de Commissie aan om een evaluatie uit te voeren van de agentschappen met meerdere locaties (dubbele zetels, technische locaties naast de zetel, plaatselijke kantoren en detachering van personeel buiten de hoofdzetel) op basis van een consistente aanpak en van duidelijke en transparante criteria, met name met het oog op de beoordeling van hun toegevoegde waarde, mede in het licht van de gemaakte kosten". Alle EU-instellingen zijn akkoord gegaan met deze aanbeveling, en de rapporteur is van mening dat deze evaluatie snel moet worden uitgevoerd. Na deze evaluatie moeten de instellingen onverwijld de nodige conclusies trekken.

  De rapporteur is voorts van mening dat het mandaat van het agentschap voor het bieden van expertise verder kan worden versterkt door het agentschap te voorzien van zijn eigen begroting voor activiteiten voor onderzoek en ontwikkeling. Voor deze begroting moet het agentschap worden voorzien van de noodzakelijke middelen.

  Er kan nog meer worden bespaard door het agentschap toe te staan vertaaldiensten van andere dienstverleners te ontvangen. De democratische controle op het agentschap kan worden versterkt door een vertegenwoordiger van het Europees Parlement te benoemen in de raad van bestuur, overeenkomstig de gemeenschappelijke aanpak inzake agentschappen.

  AMENDEMENTEN

  De Begrotingscommissie verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

  Amendement    1

  Voorstel voor een verordening

  Overweging 3 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (3 bis)  Het Enisa moet meer praktische ondersteuning bieden en informatie verstrekken aan de cyberveiligheidssector van de EU, en met name aan kmo's en start-ups, die belangrijke bronnen van innovatieve oplossingen op het gebied van cyberdefensie zijn, en moet nauwere samenwerking met instanties voor universiteitsonderzoek en andere belangrijke spelers bevorderen, teneinde de afhankelijkheid van externe bronnen voor cyberdefensieproducten te minimaliseren en een strategische voorzieningsketen binnen de Unie op te zetten;

  Amendement    2

  Voorstel voor een verordening

  Overweging 4

  Door de Commissie voorgestelde tekst

  Amendement

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Er is een beduidende en toenemende behoefte aan opleidingen op het gebied van cyberdefensie en hieraan kan het best in samenwerkingsverband op het niveau van de Unie tegemoet worden gekomen. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  Amendement    3

  Voorstel voor een verordening

  Overweging 10

  Door de Commissie voorgestelde tekst

  Amendement

  (10)  Binnen het kader van Besluit 2004/97/EG, Euratom, vastgesteld tijdens de Europese Raad van 13 december 2003, hebben de vertegenwoordigers van de lidstaten besloten dat het Enisa zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de vlotte en doeltreffende werking van het Agentschap. Met het oog op de goede en doeltreffende uitvoering van zijn taken, het aanwerven en behouden van zijn personeel en efficiëntere netwerkactiviteiten is het noodzakelijk dat het Agentschap op een passende locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en passende faciliteiten voorhanden zijn voor echtgenoten en kinderen die meereizen met de leden van het personeel van het Agentschap. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen het Agentschap en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van het Agentschap daarmee heeft ingestemd.

  (10)  Binnen het kader van Besluit 2004/97/EG, Euratom, vastgesteld tijdens de Europese Raad van 13 december 2003, hebben de vertegenwoordigers van de lidstaten besloten dat het Enisa zou worden gevestigd in een door de Griekse regering aan te wijzen stad in Griekenland. De lidstaat van vestiging moet zorgen voor zo gunstig mogelijke voorwaarden voor de vlotte en doeltreffende werking van het Agentschap. Met het oog op de goede en doeltreffende uitvoering van zijn taken, het aanwerven en behouden van zijn personeel en efficiëntere netwerkactiviteiten is het noodzakelijk dat het Agentschap op een passende locatie wordt gehuisvest, waar onder meer goede vervoersverbindingen en passende faciliteiten voorhanden zijn voor echtgenoten en kinderen die meereizen met de leden van het personeel van het Agentschap. De noodzakelijke bepalingen moeten worden vastgelegd in een overeenkomst tussen het Agentschap en de lidstaat van vestiging, die wordt gesloten nadat de raad van bestuur van het Agentschap daarmee heeft ingestemd. Deze overeenkomst moet na de door de Commissie uitgevoerde evaluatie worden herzien, zoals aanbevolen door de interinstitutionele werkgroep voor de middelen van agentschappen, met het oog op het verhogen van de efficiëntie van het Agentschap, en de locatie van het Agentschap moet worden geëvalueerd.

  Amendement    4

  Voorstel voor een verordening

  Overweging 12

  Door de Commissie voorgestelde tekst

  Amendement

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe het Agentschap zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten, en daarbij dubbel werk vermijden, synergie en complementariteit bevorderen en aldus een betere coördinatie en budgettaire besparingen verwezenlijken. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe het Agentschap zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

  Amendement    5

  Voorstel voor een verordening

  Overweging 15 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (15 bis)  Het internationaal recht is van toepassing op cyberspace en de verslagen van de groep van regeringsdeskundigen van de Verenigde Naties (UN GGE) van 2013 en 2015 bevatten relevante richtsnoeren, met name betreffende het verbod voor landen om bewust bij te dragen aan cyberactiviteiten die krachtens internationale bepalingen in strijd zijn met de verplichtingen van de desbetreffende landen, of deze zelf uit te voeren. De relevantie van het Handboek van Tallinn 2.0 is een uitstekende basis voor een debat over de toepasselijkheid van het internationale recht op cyberspace, en het is tijd dat de lidstaten een begin maken met de analyse en de tenuitvoerlegging van het Handboek.

  Amendement    6

  Voorstel voor een verordening

  Overweging 36

  Door de Commissie voorgestelde tekst

  Amendement

  (36)  Het Agentschap moet ten volle rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder met de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging, en met name cyberbeveiliging.

  (36)  Het Agentschap moet ten volle rekening houden met de lopende activiteiten op het gebied van onderzoek, ontwikkeling en technologiebeoordeling, en in het bijzonder met de activiteiten van de verschillende onderzoeksinitiatieven van de Unie om de instellingen, organen en instanties van de Unie en in voorkomend geval de lidstaten op hun verzoek te adviseren over onderzoeksbehoeften op het gebied van netwerk- en informatiebeveiliging, en met name cyberbeveiliging. Er moeten bijkomende begrotingsmiddelen voor onderzoeks- en ontwikkelingsactiviteiten aan het Agentschap worden toegewezen, in aanvulling op bestaande onderzoeksprogramma's van de Unie.

  Amendement    7

  Voorstel voor een verordening

  Overweging 46 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (46 bis)  Bij het opstellen van de begroting van het Agentschap moet het beginsel van resultaatgericht begroten in acht worden genomen, met oog voor de doelstellingen en de verwachte resultaten van het werk van het Agentschap.

  Amendement    8

  Voorstel voor een verordening

  Artikel 4 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Het Agentschap bevordert de samenwerking en coördinatie op EU-niveau tussen de lidstaten, de EU-instellingen, -agentschappen en -organen, en relevante belanghebbenden, met inbegrip van de particuliere sector, betreffende kwesties op het gebied van cyberbeveiliging.

  4.  Het Agentschap bevordert de samenwerking en coördinatie op EU-niveau tussen de lidstaten, de EU-instellingen, -agentschappen en -organen, en relevante belanghebbenden, met inbegrip van de particuliere sector, betreffende kwesties op het gebied van cyberbeveiliging, om aldus een betere coördinatie en budgettaire besparingen te verwezenlijken, dubbel werk te vermijden en synergie en complementariteit van de werkzaamheden te bevorderen.

  Amendement    9

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  zijn activiteiten en de resultaten van zijn werkzaamheden bekendmaken en promoten, met het oog op een grotere zichtbaarheid en bewustmaking onder de burgers.

  Amendement    10

  Voorstel voor een verordening

  Artikel 10 – alinea 1 – letter b bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (b bis)  opdracht geven voor zijn eigen onderzoeksactiviteiten op aandachtsgebieden die nog niet door bestaande onderzoeksprogramma's van de Unie worden bestreken, waar er een duidelijk vastgestelde Europese meerwaarde bestaat.

  Amendement    11

  Voorstel voor een verordening

  Artikel 13 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat en twee door de Commissie benoemde vertegenwoordigers. Alle vertegenwoordigers hebben stemrecht.

  1.  De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat, één door het Europees Parlement benoemde vertegenwoordiger en twee door de Commissie benoemde vertegenwoordigers. Alle vertegenwoordigers hebben stemrecht.

  Amendement    12

  Voorstel voor een verordening

  Artikel 26 – lid 1 – alinea 1 (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  De voorlopige ontwerpraming stoelt op de doelstellingen en verwachte resultaten van het enig programmeringsdocument zoals bedoeld in artikel 21, lid 1, en houdt rekening met de financiële middelen die nodig zijn voor het verwezenlijken van die doelstellingen en verwachte resultaten, in overeenstemming met het beginsel van resultaatgericht begroten.

  Amendement    13

  Voorstel voor een verordening

  Artikel 36 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap.

  5.  De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap ten aanzien van het Agentschap is geregeld bij de desbetreffende bepalingen die van toepassing zijn op het personeel van het Agentschap. Het Agentschap zorgt voor de effectieve aanwerving van personeel.

  Amendement    14

  Voorstel voor een verordening

  Artikel 37 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De voor het functioneren van het agentschap vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie.

  2.  De voor het functioneren van het Agentschap vereiste vertaaldiensten worden geleverd door het Vertaalbureau voor de organen van de Europese Unie of andere verrichters van vertaaldiensten in overeenstemming met de aanbestedingsregels en binnen de grenzen van de toepasselijke financiële regels.

  Amendement    15

  Voorstel voor een verordening

  Artikel 41 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De lidstaat van vestiging van het Agentschap verschaft zo goed mogelijke voorwaarden om een goede werking van het Agentschap te waarborgen, met inbegrip van de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

  2.  De lidstaat van vestiging van het Agentschap verschaft zo goed mogelijke voorwaarden om een goede werking van het Agentschap te waarborgen, met inbegrip van één enkele locatie voor het gehele Agentschap, de bereikbaarheid van de locatie, de aanwezigheid van passende onderwijsvoorzieningen voor de kinderen van personeelsleden en passende arbeidsmogelijkheden, sociale zekerheid en medische zorg voor kinderen en echtgenoten van personeelsleden.

  Motivering

  De huidige structuur van het Agentschap, met administratieve zetel in Heraklion en operationele basis in Athene, is ondoeltreffend en duur gebleken. Alle personeelsleden van het Enisa moeten dan ook in dezelfde stad werken. Gezien de in deze paragraaf genoemde criteria moet het Agentschap worden gevestigd in Athene.

  Amendement    16

  Voorstel voor een verordening

  Artikel 41 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Na de evaluatie door de Commissie zoals aanbevolen door de interinstitutionele werkgroep voor de middelen van agentschappen, wordt de vestigingsovereenkomst van het Agentschap herzien en wordt de locatie van het Agentschap dienovereenkomstig geëvalueerd.

  PROCEDURE VAN DE ADVISERENDE COMMISSIE

  Titel

  Verordening inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiling van informatie- en communicatietechnologie (”de cyberbeveiligingsverordening”)

  Document- en procedurenummers

  COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

  Bevoegde commissie

         Datum bekendmaking

  ITRE

  23.10.2017

   

   

   

  Advies uitgebracht door

         Datum bekendmaking

  BUDG

  23.10.2017

  Rapporteur voor advies

         Datum benoeming

  Jens Geier

  26.9.2017

  Behandeling in de commissie

  21.3.2018

   

   

   

  Datum goedkeuring

  16.5.2018

   

   

   

  Uitslag eindstemming

  +:

  –:

  0:

  22

  4

  0

  Bij de eindstemming aanwezige leden

  Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

  Bij de eindstemming aanwezige vaste plaatsvervangers

  Ivana Maletić, Andrey Novakov

  HOOFDELIJKE EINDSTEMMINGIN DE ADVISERENDE COMMISSIE

  22

  +

  ALDE

  Nedzhmi Ali, Jean Arthuis, Gérard Deprez

  ECR

  Bernd Kölmel

  PPE

  Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

  S&D

  Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

  Verts/ALE

  Jordi Solé

  4

  -

  ENF

  André Elissen, Marco Zanni, Stanisław Żółtek

  GUE/NGL

  Liadh Ní Riada

  0

  0

   

   

  Verklaring van de gebruikte tekens:

  +  :  voor

  -  :  tegen

  0  :  onthouding

  • [1]  Dit omvat 26 AD, 6 AST en 9 gedetacheerde nationale deskundigen. De toename is exclusief de geraamde behoeften voor het toezichthoudende directoraat-generaal, arbeidscontractanten en externe contractanten.
  • [2]  Als schatting, behoudens de EU-financiering na 2020.

  ADVIES van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (16.3.2018)

  aan de Commissie industrie, onderzoek en energie

  inzake het voorstel voor een verordening van het Europees Parlement en de Raad inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")
  (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

  Rapporteur voor advies: Jan Philipp Albrecht

  BEKNOPTE MOTIVERING

  De rapporteur is verheugd over het voorstel van de Commissie voor een cyberbeveiligingsverordening[1], omdat hierin beter de rol wordt gedefinieerd van het Enisa in het veranderde ecosysteem op het gebied van IT-beveiliging en maatregelen worden ontwikkeld inzake cyberbeveiligingsnormen, -certificering en -etikettering om op ICT gebaseerde systemen, met inbegrip van gekoppelde objecten, cyberveiliger te maken.

  De rapporteur is evenwel van mening dat verbeteringen kunnen worden aangebracht. De rapporteur is er vast van overtuigd dat informatiebeveiliging van essentieel belang is voor de bescherming van de fundamentele rechten van de burgers, zoals vastgelegd in het Handvest van de grondrechten van de EU, alsmede voor de bestrijding van cybercriminaliteit en de bescherming van de democratie en de rechtsstaat.

  Grondrechten: Onbeveiligde systemen kunnen leiden tot gegevenslekken of identiteitsfraude, die reële schade en leed kunnen veroorzaken aan personen, inclusief gevaar voor hun leven, privacy, waardigheid of eigendom. Zo kunnen getuigen het risico lopen van intimidatie en fysiek letsel of vrouwen het slachtoffer worden van huiselijk geweld, als hun adres bekend wordt gemaakt. Voor het internet der dingen, dat ook fysieke actuatoren omvat en niet alleen sensoren, kan de lichamelijke integriteit en het leven van personen gevaar lopen door aanvallen op informatiesystemen. De door de rapporteur voorgestelde amendementen hebben met name betrekking op de bescherming van de artikelen 1, 2, 3, 6, 7, 8, 11 en 17 van het Handvest van de grondrechten van de EU. Er is zelfs nieuwe grondwettelijke jurisprudentie die een speciaal "fundamenteel recht op vertrouwelijkheid en integriteit van informatietechnische systemen"[2] laat voortvloeien uit de algemene persoonlijkheidsrechten, door een aanpassing aan de huidige digitale wereld.

  Bestrijding van cybercriminaliteit: Sommige vormen van misdrijven die worden gepleegd via internet, zoals phishing of financiële en bankfraude, komen neer op een misbruik van vertrouwen, dat niet door IT-beveiligingsmaatregelen kan worden tegengegaan – voor deze vormen van criminaliteit is de rapporteur verheugd over het voorstel voor op eindgebruikers gerichte campagnes op het gebied van informatie en publieksvoorlichting, die regelmatig door het Enisa moeten worden georganiseerd. Andere vormen van misdrijven via internet omvatten aanvallen op informatiesystemen, zoals hacking of verstikkingsaanvallen (Distributed Denial of Service, DDoS) – voor deze vormen van misdrijven is de rapporteur van mening dat een opvoering van de IT-beveiliging de bestrijding en met name voorkoming van cybercriminaliteit effectief zal verbeteren.

  Democratie en rechtsstaat: Aanvallen op IT-systemen van overheden en niet-overheidsactoren vormen een duidelijke en toenemende bedreiging van de democratie, doordat er inmenging ontstaat in vrije en eerlijke verkiezingen, bijvoorbeeld door feiten en meningen te manipuleren en zo het stemgedrag van de burgers te beïnvloeden, het verkiezingsproces te verstoren en de uitslag van de stemming te veranderen of het vertrouwen in de integriteit van de stemming aan te tasten.

  Daarom stelt de rapporteur in zijn ontwerpadvies van de LIBE-commissie voor het voorstel van de Commissie te wijzigen, met focus op de volgende voor de commissie essentiële kwesties:

  •  het Agentschap moet een grotere rol spelen bij het bevorderen van de goedkeuring door alle actoren van de Europese informatiemaatschappij van preventieve, krachtige privacybevorderende technologieën en IT-beveiligingsmaatregelen;

  •  het Agentschap moet beleidsmaatregelen voorstellen om duidelijke verantwoordelijkheden en verplichtingen vast te stellen voor alle belanghebbenden die deelnemen aan ICT-ecosystemen, waar, als niet zorgvuldig wordt gehandeld op het gebied van IT-beveiliging, ernstige veiligheidseffecten kunnen ontstaan, enorme vernielingen kunnen worden aangebracht in het milieu en een systemische financiële of economische crisis kan worden teweeggebracht;

  •  het Agentschap moet duidelijke, bindende basisvereisten op het gebied van IT-beveiliging voorstellen, in overleg met deskundigen op het gebied van IT-beveiliging;

  •  het Agentschap moet een certificeringsregeling voorstellen voor IT-beveiliging om ervoor te zorgen dat ICT-verkopers de consumenten meer transparantie kunnen bieden met betrekking tot upgrademogelijkheden en de duur van de software-ondersteuning. Deze certificeringsregeling moet een dynamisch karakter hebben, omdat beveiliging een proces is dat permanent verbetering behoeft;

  •  het Agentschap moet het voor fabrikanten van ICT-producten gemakkelijker en goedkoper maken de beginselen inzake beveiliging door ontwerp (Security by Design) in de praktijk te brengen, door de publicatie van richtsnoeren en beste praktijken;

  •  het Agentschap moet op verzoek van de instellingen, organen, instanties en agentschappen van de Unie, alsmede op verzoek van de lidstaten geregeld preventieve controles uitvoeren van de IT-beveiliging van hun kritieke infrastructuur (controlerecht);

  •  het Agentschap moet zwakke plekken in de IT-beveiliging die nog niet algemeen bekend zijn, onmiddellijk ter kennis brengen van de fabrikanten. Het Agentschap mag onbekende zwakke plekken in ondernemingen en producten niet verborgen houden of gebruiken voor eigen doeleinden. Door het ontwikkelen, opkopen en gebruiken van achterdeurtjes in IT-systemen met het geld van de belastingbetaler brengen overheidsinstanties de veiligheid van de burgers in gevaar. Om andere belanghebbenden te beschermen die deze zwakke plekken op verantwoorde wijze aanpakken, moet het Agentschap beleidsmaatregelen voorstellen voor een verantwoorde uitwisseling van informatie over beveiligingslekken van "nul dagen" en andere soorten van zwakke plekken op het gebied van beveiliging die nog niet algemeen bekend zijn, om het dichten van lekken te faciliteren;

  •  om de EU in staat te stellen haar achterstand goed te maken ten opzichte van de IT-beveiligingssectoren in derde landen moet het Agentschap een langetermijnproject van de EU op het gebied van IT-beveiliging identificeren en de start hiervan initiëren, met een omvang die vergelijkbaar is met hetgeen voor de luchtvaartsector is ondernomen met Airbus;

  In het Commissievoorstel moet het gebruik worden vermeden van de term cyberveiligheid, omdat die juridisch vaag is en kan leiden tot onzekerheid. In plaats hiervan stelt de rapporteur "IT-beveiliging" voor, om de rechtszekerheid te vergroten.

  AMENDEMENTEN

  De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken verzoekt de bevoegde Commissie industrie, onderzoek en energie onderstaande amendementen in aanmerking te nemen:

  Amendement    1

  Voorstel voor een verordening

  Titel

  Door de Commissie voorgestelde tekst

  Amendement

  VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

  VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

  inzake Enisa, het agentschap van de Europese Unie voor cyberbeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie ("de cyberbeveiligingsverordening")

  inzake Enisa, het Europees Agentschap voor netwerk- en informatiebeveiliging, tot intrekking van Verordening (EU) nr. 526/2013, en inzake de certificering van de IT-beveiliging van informatie- en communicatietechnologie ("de IT-beveiligingsverordening")

   

  (Dit amendement is van toepassing op de gehele tekst.)

  Motivering

  Het voorvoegsel "cyber-", afkomstig uit sciencefictionwerken uit de jaren '60, wordt steeds vaker gebruikt als aanduiding van de negatieve aspecten van het internet (cyberaanval, cybercriminaliteit enz.) maar is juridisch erg vaag. De rapporteur stelt voor de term "cyberbeveiliging" te vervangen door "IT-beveiliging", ter wille van de rechtszekerheid.

  Amendement    2

  Voorstel voor een verordening

  Overweging 2

  Door de Commissie voorgestelde tekst

  Amendement

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de cyberbeveiliging te wensen overlaat. Het beperkte gebruik van certificering leidt er in deze context toe dat gebruikers binnen organisaties en afzonderlijke gebruikers te weinig informatie hebben over de cyberbeveiligingskenmerken van ICT-producten en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen.

  (2)  Burgers, ondernemingen en regeringen in de hele Unie maken alom gebruik van netwerk- en informatiesystemen. Digitalisering en connectiviteit zijn cruciale kenmerken van steeds meer producten en diensten, en door de opkomst van het internet der dingen zullen naar verwachting de volgende tien jaar in de hele EU miljoenen, zo niet miljarden verbonden digitale toestellen worden gebruikt. Er worden weliswaar steeds meer toestellen met het internet verbonden, maar bij het ontwerp wordt onvoldoende rekening gehouden met de beveiliging en de weerbaarheid, waardoor de IT-beveiliging te wensen overlaat. Het beperkte en gefragmenteerde gebruik van certificering leidt er in deze context toe dat organisaties en afzonderlijke gebruikers te weinig informatie hebben over de IT-beveiligingskenmerken van ICT-producten en -diensten, hetgeen schadelijk is voor het vertrouwen in digitale oplossingen. ICT-netwerken vormen het fundament voor digitale producten en diensten die de mogelijkheid in zich bergen om alle aspecten van het leven van de burgers te ondersteunen en de economische groei van Europa te bevorderen. Om ervoor te zorgen dat de doelstellingen van de digitale interne markt volledig worden behaald, moeten de essentiële technologische bouwstenen waarop belangrijke gebieden zoals e-gezondheid, het internet der dingen, kunstmatige intelligentie, kwantumtechnologie, alsmede intelligente vervoerssystemen en geavanceerde fabricage gebaseerd zijn, aanwezig zijn.

  Amendement    3

  Voorstel voor een verordening

  Overweging 4

  Door de Commissie voorgestelde tekst

  Amendement

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen moet beter worden beschermd. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen cyberbeveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de cyberbeveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  (4)  Cyberaanvallen komen steeds vaker voor, en een verbonden economie en samenleving die kwetsbaarder is voor cyberdreigingen en -aanvallen vraagt om betere en veiligere beschermingsmechanismen. Hoewel cyberaanvallen vaak grensoverschrijdend zijn, nemen IT-beveiligingsautoriteiten en wetshandhavingsinstanties vaak op nationaal niveau beleidsmaatregelen. Grootschalige cyberincidenten kunnen de voorziening van essentiële diensten in de hele EU verstoren. Dit vereist doeltreffende respons en crisisbeheer op EU-niveau, gebaseerd op specifiek beleid en bredere instrumenten voor Europese solidariteit en wederzijdse bijstand. Bovendien is een regelmatige beoordeling van de staat van de IT-beveiliging en -weerbaarheid in de Unie, op basis van betrouwbare EU-gegevens, alsmede een systematische prognose van toekomstige ontwikkelingen, uitdagingen en dreigingen, zowel op EU- als op mondiaal niveau, belangrijk voor beleidmakers, het bedrijfsleven en de gebruikers.

  Amendement    4

  Voorstel voor een verordening

  Overweging 5

  Door de Commissie voorgestelde tekst

  Amendement

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van cyberbeveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moeten er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises. Er moeten meer inspanningen worden geleverd om de burgers en ondernemingen bewuster te maken van cyberbeveiligingskwesties. Tevens moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten. Dit kan mede mogelijk worden gemaakt door middel van EU-brede certificering met gemeenschappelijke cyberbeveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren.

  (5)  Gezien de toegenomen uitdagingen waarmee de Unie op het vlak van IT-beveiliging wordt geconfronteerd, moet een uitvoerige reeks maatregelen worden genomen die voortbouwen op eerdere EU-maatregelen en die bijdragen tot doelstellingen die elkaar wederzijds versterken. Zo moeten de vermogens en paraatheid van de lidstaten en het bedrijfsleven worden versterkt en moet de samenwerking en coördinatie tussen de lidstaten en de EU-instellingen, -agentschappen en -organen worden verbeterd. Aangezien cyberdreigingen zich niet door grenzen laten tegenhouden, moeten er een versterking komen van de vermogens op EU-niveau die een aanvulling kunnen vormen op maatregelen van de lidstaten, met name in het geval van grootschalige grensoverschrijdende cyberincidenten en -crises. Er moeten meer inspanningen worden geleverd om te zorgen voor een gecoördineerde EU-respons en de burgers en ondernemingen bewuster te maken van IT-beveiligingskwesties. Tevens moet het vertrouwen in de digitale eengemaakte markt verder worden versterkt door transparante informatie te verstrekken over het beveiligingsniveau van ICT-producten en -diensten. Dit kan mede mogelijk worden gemaakt door middel van EU-brede certificering met gemeenschappelijke IT-beveiligingsvereisten en evaluatiecriteria, ongeacht de nationale markten en sectoren. Naast Unie-brede certificering is er een reeks vrijwillige maatregelen die, afhankelijk van het product, de dienst, het gebruik of de norm, in de markt algemeen aanvaard wordt. Deze maatregelen, evenals een bottom-upbenadering in de sector, met inbegrip van het gebruik van ingebouwde beveiliging, die gebruikmaakt van en bijdraagt tot internationale normen, moeten worden aangemoedigd.

  Amendement    5

  Voorstel voor een verordening

  Overweging 7

  Door de Commissie voorgestelde tekst

  Amendement

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor cyberbeveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op cyberdreigingen en risico's voor de cyberbeveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van cyberbeveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). Bij de NIS-richtlijn werden eisen vastgesteld betreffende nationale vermogens inzake cyberbeveiliging, werden de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en werden verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog cyberbeveiligingsniveau tot stand te brengen.

  (7)  De EU heeft reeds belangrijke maatregelen genomen om voor IT-beveiliging te zorgen en om het vertrouwen in digitale technologieën te vergroten. In 2013 werd de EU-strategie inzake cyberbeveiliging goedgekeurd als leidraad voor de beleidsreactie van de Unie op IT-bedreigingen en risico's voor de IT-beveiliging. Om ervoor te zorgen dat de Europeanen online beter worden beschermd, heeft de Unie in 2016 de eerste wetgevingshandeling op het gebied van IT-beveiliging vastgesteld, Richtlijn (EU) 2016/1148 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn"). De NIS-richtlijn geeft invulling aan de strategie voor de digitale eengemaakte markt. Samen met andere instrumenten, zoals Richtlijn .../... [tot vaststelling van het Europees wetboek voor elektronische communicatie], Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad1bis en Richtlijn 2002/58/EG van het Europees Parlement en de Raad1ter, worden bij de NIS-richtlijn eisen vastgesteld betreffende nationale vermogens inzake IT-beveiliging, de eerste mechanismen opgezet om de strategische en operationele samenwerking tussen de lidstaten te versterken, en verplichtingen ingevoerd met betrekking tot beveiligingsmaatregelen en melding van incidenten in alle sectoren die van vitaal belang zijn voor de economie en de samenleving, zoals energie, vervoer, water, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, digitale infrastructuur en belangrijke digitaledienstverleners (zoekmachines, cloudcomputingdiensten en onlinemarktplaatsen). Aan het Enisa werd een cruciale rol toegewezen in het ondersteunen van de implementatie van deze richtlijn. Daarnaast is de doeltreffende bestrijding van cybercriminaliteit een belangrijke prioriteit in de Europese Veiligheidsagenda, hetgeen bijdraagt tot de algemene doelstelling om een hoog IT-beveiligingsniveau tot stand te brengen.

   

  _______________

   

  1 bis Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

   

  1 ter Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

  Amendement    6

  Voorstel voor een verordening

  Overweging 8

  Door de Commissie voorgestelde tekst

  Amendement

  (8)  Erkend wordt dat de algehele beleidscontext aanzienlijk veranderd is sinds de EU-strategie inzake cyberbeveiliging in 2013 werd vastgesteld en het mandaat van het Agentschap de laatste keer werd herzien, onder meer doordat de omstandigheden wereldwijd minder zeker en minder veilig zijn geworden. In deze context en binnen het kader van het nieuwe EU-beleid inzake cyberbeveiliging moet het mandaat van het Enisa worden herzien teneinde de rol van het Enisa in het veranderde cyberbeveiligingsecosysteem te bepalen en te waarborgen dat het op doeltreffende wijze bijdraagt tot de respons van de Unie op uitdagingen op het gebied van cyberbeveiliging die voortvloeien uit de radicaal gewijzigde cyberdreiging, waarvoor, zoals is gebleken uit de evaluatie van het Agentschap, het huidige mandaat niet toereikend is.

  (8)  Erkend wordt dat de algehele beleidscontext aanzienlijk veranderd is sinds de EU-strategie inzake cyberbeveiliging in 2013 werd vastgesteld en het mandaat van het Agentschap de laatste keer werd herzien, onder meer doordat de omstandigheden wereldwijd minder zeker en minder veilig zijn geworden. In deze context en binnen het kader van het nieuwe EU-beleid inzake IT-beveiliging moet het mandaat van het Enisa worden herzien teneinde de rol van het Enisa in het veranderde IT-beveiligingsecosysteem te bepalen en te waarborgen dat het een leidende rol inneemt die een doeltreffende verbetering teweegbrengt van de respons van de Unie op uitdagingen op het gebied van IT-beveiliging die voortvloeien uit de radicaal gewijzigde dreiging, waarvoor, zoals is gebleken uit de evaluatie van het Agentschap, het huidige mandaat niet toereikend is.

  Amendement    7

  Voorstel voor een verordening

  Overweging 11

  Door de Commissie voorgestelde tekst

  Amendement

  (11)  Gezien de toenemende uitdagingen op het gebied van cyberbeveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem.

  (11)  Gezien de toenemende uitdagingen op het gebied van IT-beveiliging waarmee de Unie wordt geconfronteerd, moeten de financiële en personele middelen die aan het Agentschap worden toegewezen, worden uitgebreid om recht te doen aan zijn versterkte rol en taken en zijn kritieke positie bij de verdediging van het Europese digitale ecosysteem. Ook moet worden overwogen de capaciteit van het Agentschap verder uit te breiden.

  Motivering

  Het is van essentieel belang dat we iets doen aan het capaciteitstekort van het Agentschap. We moeten ook plannen maken voor de verdere ontwikkeling van het Agentschap, gezien de cruciale rol die cyberbeveiliging tegenwoordig speelt en – nog belangrijker – in de toekomst zal spelen. Denk aan de Russische inmenging in verkiezingen, de groeiende capaciteiten van grootmachten en staten in de wereld, en aan de op handen zijnde digitalisering van belangrijke sectoren.

  Amendement    8

  Voorstel voor een verordening

  Overweging 11 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (11 bis)  De uitdagingen op het gebied van IT-beveiliging zijn in het digitale tijdperk vaak op hechte wijze onderling verbonden met uitdagingen op het gebied van gegevensbescherming, de bescherming van de persoonlijke levenssfeer en de bescherming van elektronische communicatie. Om het Agentschap in staat te stellen deze uitdagingen op de juiste wijze te kunnen aanpakken, moet voor nauwe samenwerking en regelmatig overleg met de bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad1bis, Verordening (EU) nr. 2016/679, Richtlijn (EU) 2016/680 en Verordening (EG) nr. 1211/2009 opgerichte organen, alsook met de sector en het maatschappelijk middenveld, worden gezorgd.

   

  ________________

   

  1 bis Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

  Amendement    9

  Voorstel voor een verordening

  Overweging 12

  Door de Commissie voorgestelde tekst

  Amendement

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector en andere relevante belanghebbenden. In een reeks taken moet worden vastgesteld hoe het Agentschap zijn doelstellingen moet verwezenlijken en toch flexibel kan functioneren.

  (12)  Het Agentschap moet een hoog expertiseniveau ontwikkelen en handhaven, als referentiepunt fungeren en vertrouwen in de eengemaakte markt scheppen door zijn onafhankelijkheid, de kwaliteit van zijn advies en informatie, de transparantie van zijn procedures en werkmethoden, en de toewijding bij de uitvoering van zijn taken. Het Agentschap moet proactief bijdragen tot nationale en EU-inspanningen en daarbij zijn taken uitvoeren in nauwe samenwerking met de instellingen, organen, instanties en agentschappen van de Unie en de lidstaten. Bovendien moet het Agentschap voortbouwen op de input van en de samenwerking met de privésector en andere relevante belanghebbenden. Er moeten een duidelijke agenda en een reeks door het Agentschap te verwezenlijken taken en doelstellingen worden vastgesteld, en tegelijkertijd moet voor de nodige flexibiliteit bij de uitvoering van zijn activiteiten worden gezorgd. Waar mogelijk moet de hoogste graad van transparantie en informatieverspreiding worden gehandhaafd.

  Amendement    10

  Voorstel voor een verordening

  Overweging 14

  Door de Commissie voorgestelde tekst

  Amendement

  (14)  De onderliggende taak van het Agentschap bestaat uit het bevorderen van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van de NIS-richtlijn die van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende cyberdreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer alomvattende, beleidsoverschrijdende aanpak voor de opbouw van de cyberweerbaarheid.

  (14)  De onderliggende taak van het Agentschap bestaat uit het bevorderen van de consistente uitvoering van het desbetreffende juridische kader, en met name de doeltreffende uitvoering van de NIS-richtlijn, Richtlijn .../... [tot vaststelling van het Europees wetboek voor elektronische communicatie], Verordening (EU) nr. 2016/679 en Richtlijn 2002/58/EG, hetgeen van essentieel belang is om de cyberweerbaarheid te versterken. Gezien het snel veranderende IT-dreigingslandschap is het duidelijk dat de lidstaten moeten worden ondersteund met een meer alomvattende, beleidsoverschrijdende aanpak voor de opbouw van de cyberweerbaarheid.

  Amendement    11

  Voorstel voor een verordening

  Overweging 21 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (21 bis)  De Commissie moet voorstellen verplichte samenwerking tussen de lidstaten op het gebied van de bescherming van kritieke informatie-infrastructuur in te voeren.

  Amendement    12

  Voorstel voor een verordening

  Overweging 26

  Door de Commissie voorgestelde tekst

  Amendement

    Om de uitdagingen op het gebied van cyberbeveiliging beter te begrijpen en de lidstaten en de EU-instellingen strategisch langetermijnadvies te verstrekken, moet het Agentschap bestaande en opkomende risico's analyseren. Daartoe moet het Agentschap, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en anderen, relevante informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van cyberbeveiliging. Ook moet het Agentschap de lidstaten en de EU-instellingen, -agentschappen en -organen door middel van dreigings- en incidentanalyse ondersteunen bij het constateren van nieuwe trends en het voorkomen van problemen in verband met cyberbeveiliging.

    Om de uitdagingen op het gebied van IT-beveiliging beter te begrijpen en de lidstaten en de EU-instellingen strategisch langetermijnadvies te verstrekken, moet het Agentschap bestaande en opkomende risico's, incidenten en kwetsbaarheden analyseren. Daartoe moet het Agentschap, in samenwerking met de lidstaten en, wanneer passend, met bureaus voor de statistiek en anderen, relevante informatie verzamelen, opkomende technologieën analyseren en themaspecifieke beoordelingen verstrekken over de verwachte maatschappelijke, juridische, economische en regelgevende gevolgen van technologische innovaties op het vlak van netwerk- en informatiebeveiliging, en met name op het vlak van IT-beveiliging. Ook moet het Agentschap de lidstaten en de EU-instellingen, -agentschappen en –organen door middel van analyses van dreigingen, incidenten en kwetsbaarheden ondersteunen bij het constateren van nieuwe trends en het voorkomen van problemen in verband met IT-beveiliging.

  Amendement    13

  Voorstel voor een verordening

  Overweging 28

  Door de Commissie voorgestelde tekst

  Amendement

    Het Agentschap moet bijdragen tot de bewustmaking van het publiek omtrent de risico's die samenhangen met cyberbeveiliging, en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties. Verder moet het Agentschap bijdragen tot de bevordering van beste praktijken en oplossingen op het niveau van individuen en organisaties door publiekelijk beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen op te stellen met het oog op het verstrekken van richtsnoeren aan bedrijven en burgers, waarbij het algemene niveau van paraatheid en weerbaarheid wordt verhoogd. Het Agentschap moet daarnaast regelmatig, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten om een veiliger individueel online-gedrag te promoten, het publiek bewuster te maken van potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, en ook door fundamenteel authentificatie- en gegevensbeschermingsadvies te verlenen. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen.

    Het Agentschap moet bijdragen tot de bewustmaking van het publiek omtrent de risico's die samenhangen met IT-beveiliging, en richtsnoeren verstrekken inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties. Teneinde het algemene niveau van paraatheid en weerbaarheid te verhogen, moet het Agentschap verder bijdragen tot de bevordering van beste praktijken en oplossingen op het niveau van individuen en organisaties door beschikbare informatie over significante incidenten te verzamelen en te analyseren, en door verslagen op te stellen met het oog op het verstrekken van richtsnoeren aan bedrijven, burgers en betrokken autoriteiten op Uniaal en nationaal niveau. Het Agentschap moet daarnaast regelmatig, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en -agentschappen, aan de eindgebruikers gerichte voorlichtingscampagnes opzetten. Deze campagnes moeten onderwijs met betrekking tot IT-beveiliging en een veiliger individueel online-gedrag promoten, het publiek bewuster maken van potentiële gevaren in de cyberruimte, waaronder cybermisdaden zoals phishing-aanvallen, botnets, financiële en bankfraude, vervalsing en illegale inhoud, en ook gegevensbescherming en fundamentele authentificatie promoten om gegevens- en identiteitsdiefstal te voorkomen. Het Agentschap moet een centrale rol spelen bij de snellere voorlichting van de eindgebruikers over de beveiliging van toestellen.

  Amendement    14

  Voorstel voor een verordening

  Overweging 28 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (28 bis)  Het Agentschap moet het publiek bewust maken van de risico's van incidenten met gegevensfraude en -diefstal, die ernstige gevolgen kunnen hebben voor de grondrechten van burgers, een bedreiging kunnen vormen voor de rechtsstaat, en de stabiliteit van democratische samenlevingen, waaronder ook democratische processen in de lidstaten, kunnen ondermijnen.

  Amendement    15

  Voorstel voor een verordening

  Overweging 30

  Door de Commissie voorgestelde tekst

  Amendement

  (30)  Om te waarborgen dat het Agentschap zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de relevante instellingen, agentschappen en organen, met inbegrip van CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, het Europees Defensieagentschap (EDA), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen (eu-LISA), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA) en alle andere EU-agentschappen die bij cyberbeveiliging zijn betrokken. Het moet overleggen met de autoriteiten die belast zijn met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over cyberbeveiligingsaspecten die een effect kunnen hebben op hun werkzaamheden. De vertegenwoordigers van de wetshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de permanente groep van belanghebbenden van het Agentschap. Wanneer het Agentschap contact opneemt met wetshandhavingsinstanties betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet het Agentschap de bestaande informatiekanalen en gevestigde netwerken respecteren.

  (30)  Om te waarborgen dat het Agentschap zijn doelstellingen volledig verwezenlijkt, moet het overleggen met de relevante instellingen, agentschappen en organen, met inbegrip van CERT-EU, het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) van Europol, het Europees Defensieagentschap (EDA), het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen (eu-LISA), het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA), het Agentschap van het Europese wereldwijde satellietnavigatiesysteem (GSA) en alle andere EU-agentschappen die bij IT-beveiliging zijn betrokken. Het moet overleggen met de Uniale en nationale autoriteiten die belast zijn met gegevensbescherming teneinde kennis en beste praktijken uit te wisselen en advies te geven over IT-beveiligingsaspecten die een effect kunnen hebben op hun werkzaamheden. De vertegenwoordigers van de wetshandhavings- en gegevensbeschermingsautoriteiten van de lidstaten en de Unie moeten recht hebben op vertegenwoordiging in de permanente groep van belanghebbenden van het Agentschap. Wanneer het Agentschap contact opneemt met wetshandhavingsinstanties betreffende netwerk- en informatiebeveiligingsaspecten die van invloed kunnen zijn op hun werkzaamheden, moet het Agentschap de bestaande informatiekanalen en gevestigde netwerken respecteren.

  Motivering

  Aangezien Galileo te maken heeft met problemen in verband met cyberbeveiliging, met name in de grondsegmenten, zal samenwerking met het Agentschap van het Europese wereldwijde satellietnavigatiesysteem in feite de rol van het Enisa versterken en tegelijkertijd de geloofwaardigheid van Galileo verbeteren.

  Amendement    16

  Voorstel voor een verordening

  Overweging 35

  Door de Commissie voorgestelde tekst

  Amendement

  (35)  Het Agentschap moet de lidstaten en dienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen cyberbeveiliging te zorgen. Wanneer producten en diensten niet aan cyberbeveiligingsnormen voldoen, moeten dienstverleners en fabrikanten van producten deze intrekken of recyclen. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het cyberbeveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de beveiliging, waaronder de cyberbeveiliging, van hun producten en diensten te verbeteren.

  (35)  Het Agentschap moet de lidstaten, hardware- en softwareproducenten en IT- en onlinedienstverleners stimuleren hun algemene veiligheidsnormen op te voeren, zodat alle internetgebruikers de nodige stappen kunnen ondernemen om voor hun eigen IT-beveiliging te zorgen. Wanneer producten en diensten niet aan IT-beveiligingsnormen voldoen, moeten dienstverleners en fabrikanten van producten deze intrekken of recyclen. In samenwerking met de bevoegde autoriteiten kan het Enisa informatie verspreiden over het IT-beveiligingsniveau van de producten en diensten die op de interne markt worden aangeboden, en kan het aanbieders en fabrikanten waarschuwen en hen verplichten de IT-beveiliging van hun producten en diensten te verbeteren. Het Agentschap moet samenwerken met belanghebbenden om een Unie-brede aanpak voor verantwoorde bekendmaking van kwetsbaarheden te ontwikkelen en in dit verband beste praktijken bevorderen.

  Amendement    17

  Voorstel voor een verordening

  Overweging 44

  Door de Commissie voorgestelde tekst

  Amendement

  (44)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte permanente groep van belanghebbenden moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van het Agentschap.

  (44)  Het Agentschap moet beschikken over een permanente groep van belanghebbenden als adviserend orgaan teneinde regelmatig overleg met de private sector, consumentenorganisaties en andere relevante belanghebbenden te waarborgen. De op voorstel van de uitvoerend directeur door de raad van bestuur opgerichte permanente groep van belanghebbenden moet zich richten op voor de belanghebbenden relevante kwesties en deze onder de aandacht van het Agentschap brengen. De samenstelling van de permanente groep van belanghebbenden, de aan deze groep toegewezen taken en het feit dat de groep moet worden geraadpleegd met betrekking tot het ontwerp van het werkprogramma, moeten waarborgen dat de belanghebbenden voldoende worden vertegenwoordigd in de werkzaamheden van het Agentschap. Gezien het belang van certificeringseisen om vertrouwen in het internet der dingen tot stand te brengen, moet de Commissie specifiek overwegen maatregelen in te voeren om ervoor te zorgen dat de veiligheidsnormen voor de apparaten van het internet der dingen in hele Unie worden geharmoniseerd.

  Amendement    18

  Voorstel voor een verordening

  Overweging 50

  Door de Commissie voorgestelde tekst

  Amendement

  (50)  Momenteel wordt de cyberbeveiligingscertificering van ICT-producten en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale cyberbeveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake cyberbeveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting.

  (50)  Momenteel wordt de IT-beveiligingscertificering van ICT-producten en -diensten slechts in beperkte mate gebruikt. Indien deze certificering bestaat, is dat meestal op het niveau van de lidstaten of in het kader van regelingen die op initiatief van het bedrijfsleven zijn opgezet. In deze context wordt een certificaat dat is afgegeven door een nationale IT-beveiligingsautoriteit in principe niet erkend door andere lidstaten. Bijgevolg moeten bedrijven hun producten en diensten wellicht laten certificeren in de verschillende lidstaten waarin zij actief zijn, bijvoorbeeld met het oog op deelname aan nationale aanbestedingsprocedures, en deze procedures kunnen voor bedrijven aanvullende kosten met zich meebrengen. Er worden weliswaar nieuwe regelingen opgezet, maar er schijnt geen samenhangende en alomvattende benadering te zijn met betrekking tot horizontale kwesties inzake IT-beveiliging, bijvoorbeeld op het gebied van het internet der dingen. Bestaande regelingen omvatten aanzienlijke tekortkomingen en verschillen wat betreft de producten waarop ze van toepassing zijn, de zekerheidsniveaus, de materiële criteria en de daadwerkelijke benutting. Een aanpak op ad-hocbasis moet ervoor zorgen dat diensten en producten aan passende certificeringsregelingen worden onderworpen. Daarnaast is een risicogebaseerde aanpak nodig om risico's op doeltreffende wijze te identificeren en in te perken, en om bijkomende kosten voor fabrikanten te vermijden.

  Amendement    19

  Voorstel voor een verordening

  Overweging 52

  Door de Commissie voorgestelde tekst

  Amendement

  (52)  Gezien het bovenstaande is het noodzakelijk om een Europees kader voor cyberbeveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor cyberbeveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten en diensten in alle lidstaten worden erkend en gebruikt. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale cyberbeveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. De regelingen moeten niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  (52)  Gezien het bovenstaande is het noodzakelijk om een geharmoniseerd Europees kader voor IT-beveiliging op te zetten waarin de voornaamste horizontale vereisten voor te ontwikkelen Europese regelingen voor IT-beveiligingscertificering worden vastgesteld, en dat het mogelijk maakt dat certificaten voor ICT-producten en diensten in alle lidstaten worden erkend en gebruikt. Het Europees kader moet een tweeledig doel hebben: enerzijds moet het bijdragen aan een groter vertrouwen in ICT-producten en -diensten die door middel van dergelijke regelingen zijn gecertificeerd, anderzijds moet het voorkomen dat er meerdere tegenstrijdige of elkaar overlappende nationale IT-beveiligingscertificeringen bestaan, en zodoende zorgen voor lagere kosten voor ondernemingen die actief zijn op de digitale interne markt. De regelingen moeten niet-discriminerend zijn en zijn gebaseerd op internationale en/of EU-normen, tenzij dergelijke normen met het oog op het verwezenlijken van de desbetreffende legitieme EU-doelstellingen niet doeltreffend of niet passend zijn.

  Amendement    20

  Voorstel voor een verordening

  Overweging 55

  Door de Commissie voorgestelde tekst

  Amendement

  (55)  Europese regelingen voor cyberbeveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten en -diensten die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake cyberbeveiliging voor alle ICT-producten en -diensten in detail op te nemen. ICT-producten en -diensten en de daarmee verband houdende behoeften inzake cyberbeveiliging zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende cyberbeveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van cyberbeveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake cyberbeveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor cyberbeveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten en -diensten moet vervolgens nauwkeurig worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties.

  (55)  Europese regelingen voor IT-beveiligingscertificering moeten tot doel hebben te waarborgen dat ICT-producten en -diensten die door middel van een dergelijke regeling zijn gecertificeerd, aan gespecificeerde vereisten voldoen. Dergelijke vereisten hebben betrekking op het vermogen om op een bepaald zekerheidsniveau weerstand te bieden aan acties die erop zijn gericht de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden gegevens en de daaraan gerelateerde diensten die via deze producten, processen, diensten en systemen worden aangeboden of toegankelijk zijn, in gevaar te brengen. Het is niet mogelijk om in deze verordening de vereisten inzake IT-beveiliging voor alle ICT-producten en -diensten in detail op te nemen. ICT-producten en -diensten en de daarmee verband houdende behoeften inzake IT-beveiliging, alsook hun levenscyclus zijn zodanig uiteenlopend dat het zeer moeilijk is te voorzien in algemene, in alle gevallen geldende IT-beveiligingsvoorschriften. Met het oog op certificering is daarom een breed en algemeen begrip van IT-beveiliging noodzakelijk, aangevuld met een reeks specifieke doelstellingen inzake IT-beveiliging waarmee rekening moet worden gehouden bij het opzetten van Europese regelingen voor IT-beveiligingscertificering. De manier waarop deze doelstellingen zullen worden verwezenlijkt in specifieke ICT-producten en -diensten moet vervolgens nauwkeurig worden gespecificeerd op het niveau van de afzonderlijke, door de Commissie in nauw overleg met de lidstaten en belanghebbenden uit de sector vastgestelde certificeringsregeling, bijvoorbeeld door middel van verwijzing naar normen of technische specificaties. De afzonderlijke certificeringsregelingen moeten zodanig worden ontworpen dat alle actoren die bij de ontwikkeling van betreffende ICT-producten en -diensten betrokken zijn, worden aangemoedigd standaarden, normen en beginselen te ontwikkelen en toe te passen, die het hoogst mogelijke veiligheidsniveau gedurende de hele levenscyclus garanderen.

  Amendement    21

  Voorstel voor een verordening

  Overweging 55 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (55 bis)  Het Enisa moet een certificeringsregeling op basis van een wereldwijd perspectief ontwikkelen teneinde toekomstige handelsbelemmeringen te voorkomen. Bij de ontwikkeling van de criteria voor de certificeringsregeling moet het Enisa een dialoog met de betrokken partners in de sector voeren om commerciële haalbaarheid te waarborgen.

  Amendement    22

  Voorstel voor een verordening

  Overweging 56

  Door de Commissie voorgestelde tekst

  Amendement

  (56)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten of -diensten voor te bereiden. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door het Enisa voorgestelde potentiële regeling, de Europese regeling voor cyberbeveiligingscertificering door middel van uitvoeringshandelingen vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in door de Commissie vastgestelde Europese regelingen voor cyberbeveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de cyberbeveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en -diensten, de gedetailleerde specificatie van de eisen inzake cyberbeveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en -methoden alsmede het beoogde zekerheidsniveau (dat wil zeggen basis, substantieel en/of hoog).

  (56)  De Commissie moet de bevoegdheid krijgen om het Enisa te vragen potentiële regelingen voor specifieke ICT-producten of -diensten voor te bereiden. De Commissie moet de bevoegdheid krijgen om vervolgens, op basis van de door het Enisa voorgestelde potentiële regeling, de Europese regeling voor IT-beveiligingscertificering door middel van uitvoeringshandelingen vast te stellen. Rekening houdend met het algemene doel en de beveiligingsdoelstellingen die in deze verordening zijn opgenomen, moet in door de Commissie vastgestelde Europese regelingen voor IT-beveiligingscertificering een minimale reeks elementen worden gespecificeerd die betrekking hebben op het onderwerp, het toepassingsgebied en de werking van de afzonderlijke regeling. Daartoe moeten onder meer het toepassingsgebied en het onderwerp van de IT-beveiligingscertificering behoren, met inbegrip van de betrokken categorieën ICT-producten en -diensten, de gedetailleerde specificatie van de eisen inzake IT-beveiliging, bijvoorbeeld onder verwijzing naar de relevante normen of technische specificaties, de specifieke evaluatiecriteria en -methoden alsmede het beoogde zekerheidsniveau (dat wil zeggen basis, substantieel en/of hoog). De zekerheidsniveaus moeten op ad-hocbasis worden vastgesteld om ervoor te zorgen dat ICT-diensten en -producten onder passende certificeringsregelingen vallen, en er moet rekening worden gehouden met de verschillende gevallen van individueel gebruik, alsook met de eigen verantwoordelijkheid en de voorlichting aan gebruikers.

  Amendement    23

  Voorstel voor een verordening

  Overweging 57

  Door de Commissie voorgestelde tekst

  Amendement

  (57)  De toepassing van Europese regelingen voor cyberbeveiligingscertificering moet vrijwillig blijven, tenzij anders is bepaald in EU-wetgeving of nationale wetgeving. Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te vermijden, moeten nationale regelingen of procedures voor cyberbeveiligingscertificering voor de ICT-producten en -diensten die onder een Europese regeling voor cyberbeveiligingscertificering vallen, geen effect meer hebben vanaf de door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien moeten de lidstaten geen nieuwe nationale regelingen voor cyberbeveiligingscertificering invoeren die voorzien in cyberbeveiliging voor ICT-producten en -diensten die reeds onder een bestaande Europese regeling voor cyberbeveiligingscertificering vallen.

  (57)  De toepassing van Europese regelingen voor IT-beveiligingscertificering moet vrijwillig blijven, tenzij anders is bepaald in EU-wetgeving of nationale wetgeving. Na deze eerste fase, en afhankelijk van de voortgang van de tenuitvoerlegging in de lidstaten en de vraag hoe kritiek een product of dienst is, kunnen voor de toekomstige generaties van technologie en in reactie op de beleidsdoelstellingen van morgen geleidelijk potentieel verplichte regelingen voor bepaalde ICT-producten en -diensten worden geïntroduceerd. Om de doelstellingen van deze verordening te verwezenlijken en de versnippering van de interne markt te vermijden, moeten nationale regelingen of procedures voor IT-beveiligingscertificering voor de ICT-producten en -diensten die onder een Europese regeling voor IT-beveiligingscertificering vallen, geen effect meer hebben vanaf de door de Commissie bij de uitvoeringshandeling vastgestelde datum. Bovendien moeten de lidstaten geen nieuwe nationale regelingen voor IT-beveiligingscertificering invoeren die voorzien in cyberbeveiliging voor ICT-producten en -diensten die reeds onder een bestaande Europese regeling voor IT-beveiligingscertificering vallen.

  Amendement    24

  Voorstel voor een verordening

  Overweging 58 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (58 bis)  Duidelijke basisvereisten op het gebied van IT-beveiliging moeten door het Agentschap worden ontworpen en moeten aan de Commissie worden voorgesteld als uitvoeringshandelingen, indien nodig, voor alle IT-apparaten die in de Unie worden verkocht of uit de Unie worden uitgevoerd. Deze vereisten moeten vervolgens elke twee jaar worden herzien, teneinde ze voortdurend te verbeteren. Deze basisvereisten op het gebied van IT-beveiliging moeten onder andere omvatten dat het apparaat geen bekende exploiteerbare zwakke plek op het gebied van beveiliging heeft, dat het betrouwbare beveiligingsupdates kan ontvangen, dat de verkoper de bevoegde instanties op de hoogte brengt van bekende zwakke plekken, en dat hij het getroffen apparaat herstelt of vervangt tot het moment dat de verkoper meedeelt dat de ondersteuning van de beveiliging van het apparaat eindigt.

  Amendement    25

  Voorstel voor een verordening

  Artikel 1 – alinea 1 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  een kader voor de vaststelling van Europese regelingen voor cyberbeveiligingscertificering met als doel het waarborgen van een toereikend cyberbeveiligingsniveau van ICT-producten en -diensten in de Unie. Dit kader is van toepassing onverminderd specifieke bepalingen inzake vrijwillige of verplichte certificering in andere handelingen van de Unie.

  (b)  een kader voor de vaststelling van Europese regelingen voor IT-beveiligingscertificering met als doel het waarborgen van een toereikend IT-beveiligingsniveau van ICT-producten en -diensten in de Unie. Dit kader is van toepassing onverminderd specifieke bepalingen inzake vrijwillige of verplichte certificering in andere handelingen van de Unie.

  Motivering

  Louter taalkundig amendement om het pleonasme in het Commissievoorstel te verwijderen.

  Amendement    26

  Voorstel voor een verordening

  Artikel 2 – alinea 1 – punt 8

  Door de Commissie voorgestelde tekst

  Amendement

  (8)  "cyberdreiging": elke potentiële omstandigheid of gebeurtenis die schadelijk kan zijn voor netwerk- en informatiesystemen, de gebruikers daarvan en betrokken personen;

  (8)  "cyberdreiging": elke potentiële omstandigheid, capaciteit of gebeurtenis die schadelijk kan zijn voor netwerk- en informatiesystemen, de gebruikers daarvan en betrokken personen;

  Motivering

  Toevoeging van een belangrijk aspect, met name ten aanzien van de beoordeling van dreigingen.

  Amendement    27

  Voorstel voor een verordening

  Artikel 4 – lid 3 – alinea 1 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Het Agentschap moet zich inspannen om kritieke kwetsbaarheden van zowel het IT-beveiligingsnetwerk van de Unie als geheel, als dat van de afzonderlijke lidstaten vast te stellen. Indien het Agentschap dit noodzakelijk acht, moeten deze kwetsbaarheden aan het Europees Parlement worden gerapporteerd.

  Amendement    28

  Voorstel voor een verordening

  Artikel 4 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Het Agentschap zorgt ervoor dat de vermogens inzake cyberbeveiliging op EU-niveau worden versterkt als aanvulling op maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten.

  5.  Het Agentschap zorgt ervoor dat de vermogens inzake IT-beveiliging op EU-niveau worden versterkt als aanvulling op en ondersteuning van maatregelen van de lidstaten om cyberdreigingen te voorkomen en erop te reageren, met name in het geval van grensoverschrijdende incidenten.

  Amendement    29

  Voorstel voor een verordening

  Artikel 4 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Het Agentschap bevordert het gebruik van certificering, onder meer door bij te dragen aan de totstandbrenging en instandhouding van een kader voor cyberbeveiligingscertificering op EU-niveau overeenkomstig titel III van deze verordening, zodat de transparantie van de cyberbeveiligingszekerheid van ICT-producten en -diensten en daarmee het vertrouwen in de digitale interne markt worden versterkt.

  6.  Het Agentschap bevordert het gebruik van certificering, onder meer door bij te dragen aan de ontwikkeling van Uniale en internationale normen inzake IT-beveiliging, de totstandbrenging en instandhouding van een kader voor IT-beveiligingscertificering op EU-niveau overeenkomstig titel III van deze verordening, zodat de transparantie van de IT-beveiligingszekerheid van ICT-producten en -diensten en daarmee het vertrouwen in de digitale interne markt worden versterkt.

  Amendement    30

  Voorstel voor een verordening

  Artikel 4 – lid 7

  Door de Commissie voorgestelde tekst

  Amendement

  7.  Het Agentschap draagt ertoe bij dat burgers en bedrijven zich in grote mate bewust worden van kwesties op het gebied van cyberbeveiliging.

  7.  Het Agentschap draagt bij aan een hoog niveau van bewustzijn over kwesties op het gebied van IT-beveiliging.

  Motivering

  Er moet niet alleen bewustzijn worden gecreëerd onder burgers en bedrijven, maar onder alle belanghebbenden in de maatschappij, inclusief autoriteiten en wetgevers. Via dit amendement wordt de doelgroep van deze bewustmaking doelbewust niet gespecificeerd.

  Amendement    31

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  de lidstaten bij te staan bij de consistente uitvoering van het EU-beleid en de EU-wetgeving inzake cyberbeveiliging, met name in verband met Richtlijn (EU) 2016/1148, onder meer door middel van adviezen, richtsnoeren, raadgeving en beste praktijken op gebieden als risicobeheer, melding van incidenten en uitwisseling van informatie, alsmede door bevordering van de uitwisseling van beste praktijken tussen op dat gebied bevoegde autoriteiten;

  2.  de lidstaten bij te staan bij de consistente uitvoering van het EU-beleid en de EU-wetgeving inzake IT-beveiliging, met name in verband met Richtlijn (EU) 2016/1148, Richtlijn .../... [tot vaststelling van het Europees wetboek voor elektronische communicatie], Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, onder meer door middel van adviezen, richtsnoeren, raadgeving en beste praktijken op gebieden als risicobeheer, melding van incidenten en uitwisseling van informatie, alsmede door bevordering van de uitwisseling van beste praktijken tussen op dat gebied bevoegde autoriteiten;

  Amendement    32

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  het Europees Comité voor gegevensbescherming dat is opgericht door Verordening (EU) nr. 2016/679 om bij te staan bij de opstelling van richtsnoeren om op technisch niveau de voorwaarden vast te leggen voor het wettelijke gebruik van persoonsgegevens door gegevenscontroleurs voor IT-beveiligingsdoeleinden met als doel hun infrastructuur te beschermen door aanvallen op hun informatiesystemen op te sporen en te blokkeren in de context van:

   

  (i) Verordening (EU) nr. 2016/679;

   

  (ii) Richtlijn (EU) 2016/1148; en

   

  (iii) Richtlijn 2002/58/EG;

  Amendement    33

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 ter (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 ter.  richtsnoeren voor te stellen om ervoor te zorgen dat ICT-verkopers zorgvuldigheid betrachten met betrekking tot de tijdige reparatie van zwakke plekken in de IT-beveiliging in hun producten en diensten, zodat de gebruikers hiervan niet worden blootgesteld aan cyberdreigingen;

  Amendement    34

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 quater (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 quater.  richtsnoeren voor te stellen voor de vaststelling van een sterk verantwoordelijkheids- en aansprakelijkheidskader voor alle belanghebbenden (inclusief eindgebruikers) die aan ICT-ecosystemen deelnemen;

  Amendement    35

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 quinquies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 quinquies.  richtsnoeren, in overeenstemming met het nationaal recht, voor te stellen met betrekking tot de verantwoordelijkheden van exploitanten van kritieke netwerkinfrastructuren in geval van een aanval tegen hun informatiesystemen die gevolgen heeft voor hun gebruikers door een gebrek aan zorgvuldigheid bij sommige gebruikers of bij de exploitant zelf, wanneer de exploitant heeft nagelaten redelijke maatregelen te nemen om het incident te voorkomen of de gevolgen ervan voor alle gebruikers te beperken;

  Amendement    36

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 sexies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 sexies.  richtsnoeren voor te stellen ter beperking van de aankoop en het gebruik van "nul dagen" door overheden met als doel informatiesystemen aan te vallen; softwareaudits te bevorderen en deskundig personeel te financieren;

  Amendement    37

  Voorstel voor een verordening

  Artikel 5 – alinea 1 – punt 2 septies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 septies.  richtsnoeren voor te stellen voor overheidsinstanties, particuliere bedrijven, onderzoekers, universiteiten en andere belanghebbenden om alle kritieke zwakke plekken die nog niet algemeen bekend zijn, te publiceren in het kader van een verantwoordelijke openbaarmaking;

  Amendement    38

  Voorstel voor een verordening

  Artikel 5 – alinea 1 - punt 2 octies (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 octies.  richtsnoeren voor te stellen om het gebruik uit te breiden van "verifieerbare opensourcecode" voor IT-oplossingen in de publieke sector, alsmede het daarmee verband houdende gebruik van geautomatiseerde instrumenten voor een gemakkelijkere evaluatie van de broncode en een eenvoudige controle van de afwezigheid van achterdeurtjes en andere mogelijke zwakke plekken in de beveiliging;

  Amendement    39

  Voorstel voor een verordening

  Artikel 6 – lid 1 – letter f bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (f bis)  en, waar noodzakelijk, samen te werken met de nationale autoriteiten voor toezicht op gegevensbescherming;

  Amendement    40

  Voorstel voor een verordening

  Artikel 6 – lid 2 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  2 bis.  Het Agentschap faciliteert de vaststelling en start van een langetermijnproject van de EU op het gebied van IT-beveiliging om de groei te ondersteunen van een onafhankelijke IT-beveiligingssector van de EU en om IT-beveiliging in alle IT-ontwikkelingen van de EU te integreren.

  Motivering

  Het Enisa moet de wetgevers adviseren met betrekking tot het opstellen van beleidsmaatregelen om de EU in staat te stellen haar achterstand goed te maken ten opzichte van de IT-beveiligingssectoren in derde landen. Het project moet in omvang vergelijkbaar zijn met wat eerder is gerealiseerd in de luchtvaartsector (het voorbeeld van Airbus). Dit is nodig om te komen tot een krachtigere, soevereine en betrouwbare ICT-sector in de EU (zie studie PE 614.531 van de afdeling Wetenschappelijke Toekomstverkenningen).

  Amendement    41

  Voorstel voor een verordening

  Artikel 7 – lid 5

  Door de Commissie voorgestelde tekst

  Amendement

  5.  Op verzoek van twee of meer betrokken lidstaten, en met als enig doel advies te verstrekken voor de preventie van toekomstige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan twee lidstaten.

  5.  Op verzoek van een lidstaat, en met als enig doel advies te verstrekken voor de preventie van toekomstige incidenten, ondersteunt of verricht het Agentschap een technisch ex-postonderzoek naar aanleiding van door de betrokken ondernemingen gemaakte meldingen van incidenten met aanzienlijke of substantiële gevolgen overeenkomstig Richtlijn (EU) 2016/1148. Het Agentschap verricht een dergelijk onderzoek ook op naar behoren gemotiveerd verzoek van de Commissie, in overeenstemming met de betrokken lidstaten, indien dergelijke incidenten gevolgen hebben voor meer dan twee lidstaten.

  Over de reikwijdte van het onderzoek en de bij het verrichten van een dergelijk onderzoek te volgen procedure wordt overeenstemming bereikt tussen de betrokken lidstaten en het Agentschap, onverminderd enig lopend strafrechtelijk onderzoek met betrekking tot hetzelfde incident. Het onderzoek wordt afgesloten met een technisch eindverslag dat door het Agentschap wordt opgesteld, met name op basis van informatie en opmerkingen die door de betrokken lidstaten en onderneming(en) zijn verstrekt en met de betrokken lidstaten zijn overeengekomen. Een samenvatting van het verslag, gericht op de aanbevelingen voor de preventie van toekomstige incidenten, wordt aan het CSIRT-netwerk ter beschikking gesteld.

  Over de reikwijdte van het onderzoek en de bij het verrichten van een dergelijk onderzoek te volgen procedure wordt overeenstemming bereikt tussen de betrokken lidstaten en het Agentschap, onverminderd enig lopend strafrechtelijk onderzoek met betrekking tot hetzelfde incident of de door lidstaten getroffen nationaleveiligheidsmaatregelen. Het onderzoek wordt afgesloten met een technisch eindverslag dat door het Agentschap wordt opgesteld, met name op basis van informatie en opmerkingen die door de betrokken lidstaten en onderneming(en) zijn verstrekt en met de betrokken lidstaten zijn overeengekomen. Een samenvatting van het verslag, gericht op de aanbevelingen voor de preventie van toekomstige incidenten, wordt aan het CSIRT-netwerk ter beschikking gesteld.

  Amendement    42

  Voorstel voor een verordening

  Artikel 7 – lid 8 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  8 bis.  Het Agentschap voert op verzoek van een instelling, orgaan, instantie of agentschap van de Unie of van een lidstaat geregeld onafhankelijke controles uit van de IT-beveiliging van kritieke infrastructuren, met het oog op het identificeren van eventuele aanbevelingen ter versterking van hun veerkracht.

  Motivering

  Het Enisa moet de bevoegdheid krijgen om preventieve controles uit te voeren van de IT-beveiliging van elke kritieke infrastructuur van de autoriteiten van de lidstaten of de instellingen, agentschappen enz. van de EU.

  Amendement    43

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter a – punt 1

  Door de Commissie voorgestelde tekst

  Amendement

  (1)  potentiële Europese regelingen voor cyberbeveiligingscertificering voor ICT-producten en -diensten overeenkomstig artikel 44 van deze verordening voor te bereiden;

  (1)  potentiële Europese regelingen voor IT-beveiligingscertificering voor ICT-producten en -diensten in samenwerking met de sector en overeenkomstig artikel 44 van deze verordening voor te bereiden;

  Motivering

  Op dit terrein is samenwerking met de sector belangrijk.

  Amendement    44

  Voorstel voor een verordening

  Artikel 8 – alinea 1 – letter c bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (c bis)  voert certificeringsregelingen in om ICT-verkopers en -dienstverleners ervan af te brengen geheime achterdeurtjes in te bouwen waarmee de IT-beveiliging van commerciële producten en diensten opzettelijk wordt verzwakt en die een negatieve impact hebben op de veiligheid van het internet wereldwijd.

  Motivering

  Dit moet worden erkend als een van de belangrijkste doelstellingen van de certificeringsregelingen.

  Amendement    45

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter d

  Door de Commissie voorgestelde tekst

  Amendement

  (d)  bundelt en organiseert door middel van een hiervoor bestemd portaal door de EU-instellingen, -agentschappen en -organen verstrekt informatie over cyberbeveiliging, en maakt deze openbaar;

  (d)  bundelt en organiseert door middel van een hiervoor bestemd portaal informatie over IT-beveiliging die door de EU-instellingen, -agentschappen en -organen wordt verstrekt en door de lidstaten en publieke en private belanghebbenden ter beschikking wordt gesteld, en maakt deze openbaar;

  Amendement    46

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter e

  Door de Commissie voorgestelde tekst

  Amendement

  (e)  draagt bij tot de bewustmaking van het publiek omtrent risico’s inzake cyberbeveiliging en verstrekt richtsnoeren inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties;

  (e)  draagt bij tot de bewustmaking van het publiek omtrent risico's inzake IT-beveiliging, verspreidt passende maatregelen voor de preventie van incidenten en verstrekt richtsnoeren inzake goede praktijken voor afzonderlijke gebruikers, gericht op burgers en organisaties;

  Amendement    47

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter e bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (e bis)  ontwikkelt een netwerk van nationale contactpunten voor voorlichting om een betere coördinatie en uitwisseling van beste praktijken op het gebied van voorlichting en bewustzijn over IT-beveiliging onder lidstaten te ondersteunen;

  Amendement    48

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g

  Door de Commissie voorgestelde tekst

  Amendement

  (g)  organiseert, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en agentschappen, regelmatig publieke voorlichtingscampagnes teneinde de cyberbeveiliging en de zichtbaarheid ervan in de Unie te versterken.

  (g)  organiseert, in samenwerking met de lidstaten en de EU-instellingen, -organen, -instanties en agentschappen, alsook andere belanghebbenden, regelmatig publieke voorlichtingscampagnes teneinde de IT-beveiliging en de zichtbaarheid ervan in de Unie te versterken;

  Amendement    49

  Voorstel voor een verordening

  Artikel 9 – alinea 1 – letter g bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (g bis)  bevordert de algemene vaststelling door alle actoren op de digitale gemeenschappelijke markt van de EU van krachtige preventieve IT-beveiligingsmaatregelen en betrouwbare privacybevorderende technologieën als eerste verdedigingslinie tegen aanvallen op informatiesystemen.

  Motivering

  Gebaseerd op het advies van de Europese Toezichthouder voor gegevensbescherming (inzake privacybevorderende technologieën (privacy enhancing technologies, PETs)). De rol van het Enisa moet duidelijk verder gaan dan ondersteuning van de lidstaten, de Commissie en de EU-agentschappen, het agentschap moet ook zichtbaarder zijn in de bedrijfssector en bij het grote publiek.

  Amendement    50

  Voorstel voor een verordening

  Artikel 10 – alinea 1 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op het gebied van cyberbeveiliging om doelmatig te kunnen reageren op bestaande en opkomende risico’s en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  (a)  advies verlenen aan de Unie en de lidstaten over onderzoeksbehoeften en prioriteiten op de gebieden IT-beveiliging, gegevensbescherming en bescherming van de persoonlijke levenssfeer om doelmatig te kunnen reageren op bestaande en opkomende risico's en dreigingen, onder meer met betrekking tot nieuwe en opkomende informatie- en communicatietechnologieën, en om risicopreventietechnologieën doelmatig te kunnen gebruiken;

  Amendement    51

  Voorstel voor een verordening

  Artikel 14 – lid 1 – letter m

  Door de Commissie voorgestelde tekst

  Amendement

  (m)  benoemt de uitvoerend directeur en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  (m)  benoemt de uitvoerend directeur via een op professionele criteria gebaseerde selectieprocedure en, indien relevant, verlengt zijn ambtstermijn of ontheft hem uit zijn functie overeenkomstig artikel 33 van deze verordening;

  Amendement    52

  Voorstel voor een verordening

  Artikel 20 – lid 1

  Door de Commissie voorgestelde tekst

  Amendement

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, universitaire deskundigen op het gebied van cyberbeveiliging en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

  1.  De raad van bestuur richt, op voorstel van de uitvoerend directeur, een permanente groep van belanghebbenden op, samengesteld uit erkende deskundigen die de relevante belanghebbenden vertegenwoordigen, zoals de ICT-industrie, aanbieders van openbare elektronische communicatienetwerken of -diensten, consumentenorganisaties, de Europese normalisatieorganisaties, universitaire deskundigen op het gebied van IT-beveiliging en vertegenwoordigers van krachtens [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] aangemelde bevoegde autoriteiten, alsook autoriteiten op het gebied van rechtshandhaving en toezichthoudende autoriteiten op het gebied van gegevensbescherming.

  Amendement    53

  Voorstel voor een verordening

  Artikel 30 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  The Court of Auditors shall have the power of audit, on the basis of documents and on the spot, over all grant beneficiaries, contractors and subcontractors who have received Union funds from the Agency.

  (Niet van toepassing op de Nederlandse versie)  

  Amendement    54

  Voorstel voor een verordening

  Artikel 44 – lid 2

  Door de Commissie voorgestelde tekst

  Amendement

  2.  Bij de voorbereiding van potentiële regelingen als bedoeld in lid 1 van dit artikel, raadpleegt het Enisa alle betrokken partijen en werkt het nauw samen met de Groep. De Groep staat het Enisa bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken.

  2.  Bij de voorbereiding van potentiële regelingen als bedoeld in lid 1 van dit artikel, raadpleegt het Enisa alle betrokken partijen en werkt het nauw samen met de Groep en de permanente groep van belanghebbenden. De Groep en de permanente groep van belanghebbenden staan het Enisa bij met assistentie en deskundige raad die nodig zijn voor de voorbereiding van de potentiële regeling, onder meer door indien nodig adviezen te verstrekken. Waar van toepassing kan het Enisa daarnaast een werkgroep van belanghebbenden voor certificering oprichten, die bestaat uit leden van de permanente groep van belanghebbenden en andere betrokken belanghebbenden en die deskundig advies kan verstrekken over gebieden die onder een specifieke potentiële regeling vallen.

  Motivering

  De sector moet door middel van een raadplegingsprocedure bij het ontwerp en de voorbereiding van potentiële regelingen worden betrokken, teneinde de nodige deskundigheid ter beschikking te stellen op grond waarvan deze regelingen op doeltreffende wijze kunnen worden ontworpen.

  Amendement    55

  Voorstel voor een verordening

  Artikel 44 – lid 4

  Door de Commissie voorgestelde tekst

  Amendement

  4.  Op basis van de door het Enisa voorgestelde potentiële regeling kan de Commissie uitvoeringshandelingen vaststellen overeenkomstig artikel 55, lid 1, om te voorzien in Europese regelingen voor cyberbeveiligingscertificering van ICT-producten en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47 van deze verordening.

  4.  Op basis van de door het Enisa voorgestelde potentiële regeling kan de Commissie uitvoeringshandelingen vaststellen overeenkomstig artikel 55, lid 1, om te voorzien in Europese regelingen voor IT-beveiligingscertificering van ICT-producten en -diensten die voldoen aan de vereisten van de artikelen 45, 46 en 47 van deze verordening. De Commissie kan het Europees Comité voor gegevensbescherming raadplegen en rekening houden met diens standpunt alvorens deze uitvoeringshandelingen vast te stellen.

  Motivering

  Gebaseerd op het advies van de Europese Toezichthouder voor gegevensbescherming. Dit amendement zorgt voor consistentie tussen de certificeringen in het raam van het Europees kader voor cyberbeveiligingscertificering en in het raam van de algemene verordening gegevensbescherming.

  Amendement    56

  Voorstel voor een verordening

  Artikel 46 – lid 2 – inleidende formule

  Door de Commissie voorgestelde tekst

  Amendement

  2.  De zekerheidsniveaus basis, substantieel en hoog voldoen respectievelijk aan de volgende criteria:

  2.  De zekerheidsniveaus basis, substantieel en hoog betreffen een in het kader van een Europese regeling voor IT-beveiligingscertificering uitgegeven certificaat, dat een dienovereenkomstige mate van vertrouwen in de opgegeven of beweerde IT-beveiligingskwaliteiten van een ICT-product of -dienst biedt en wordt gekenmerkt door daaraan gerelateerde technische specificaties, normen en procedures, onder meer technische controles die tot doel hebben het risico van IT-incidenten te verkleinen.

  Amendement    57

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter a

  Door de Commissie voorgestelde tekst

  Amendement

  (a)  het zekerheidsniveau "basis" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een beperkte mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten te verkleinen;

  Schrappen

  Amendement    58

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter b

  Door de Commissie voorgestelde tekst

  Amendement

  (b)  het zekerheidsniveau "substantieel" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een substantiële mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben het risico van cyberincidenten substantieel te verkleinen;

  Schrappen

  Amendement    59

  Voorstel voor een verordening

  Artikel 46 – lid 2 – letter c

  Door de Commissie voorgestelde tekst

  Amendement

  (c)  het zekerheidsniveau "hoog" betreft een in het kader van een Europese regeling voor cyberbeveiligingscertificering uitgegeven certificaat dat een hogere mate van vertrouwen in de opgegeven of beweerde cyberbeveiligingskwaliteiten van een ICT-product of -dienst biedt dan certificaten met zekerheidsniveau substantieel, en wordt toegekend onder verwijzing naar technische specificaties, normen en procedures die daarmee verband houden, onder meer technische controles die tot doel hebben cyberincidenten te voorkomen.

  Schrappen

  Amendement    60

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter a bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  (a bis)  conformiteitsbeoordelings- en auditorganen;

  Amendement    61

  Voorstel voor een verordening

  Artikel 47 – lid 1 – letter l

  Door de Commissie voorgestelde tekst

  Amendement

  (l)  identificatie van nationale regelingen voor cyberbeveiligingscertificering die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten en -diensten;

  (l)  identificatie van nationale regelingen voor IT-beveiligingscertificering, overeenkomstig artikel 49, die betrekking hebben op hetzelfde type of dezelfde categorieën van ICT-producten en -diensten;

  Amendement    62

  Voorstel voor een verordening

  Artikel 48 – lid 6

  Door de Commissie voorgestelde tekst

  Amendement

  6.  Certificaten worden afgegeven voor een maximumperiode van drie jaar en kunnen onder dezelfde voorwaarden worden verlengd, mits nog steeds aan de desbetreffende eisen wordt voldaan.

  6.  Certificaten worden afgegeven voor een afzonderlijk voor elke regeling te bepalen maximumperiode die de vijf jaar niet overschrijdt, en kunnen worden verlengd, mits nog steeds aan de desbetreffende eisen wordt voldaan.

  Amendement    63

  Voorstel voor een verordening

  Artikel 48 bis (nieuw)

  Door de Commissie voorgestelde tekst

  Amendement

   

  Artikel 48 bis

   

  Basisvereisten op het gebied van IT-beveiliging

   

  1.  Het Agentschap stelt de Commissie, op basis van zijn ervaring met het kader voor IT-beveiligingscertificering zoals bedoeld in Titel III van deze verordening, duidelijke minimumvereisten voor op het gebied van IT-beveiliging voor alle IT-apparaten die in de Unie worden verkocht of uit de Unie worden uitgevoerd, zoals:

   

  (a)  de vereiste dat de fabrikant een schriftelijke verklaring verstrekt dat het apparaat geen hardware-, software- of firmwarecomponent bevat met een bekende exploiteerbare zwakke plek op het gebied van beveiliging;

   

  (b)  het vereiste dat het apparaat gebruik maakt van software- of firmwarecomponenten die behoorlijk geauthenticeerde en betrouwbare updates van de fabrikant kunnen ontvangen;

   

  (c)  het vereiste dat het apparaat geen onversleutelde wachtwoorden of toegangscodes bevat; het vereiste dat de fabrikant documenteert dat het apparaat over mogelijkheden voor externe toegang beschikt en het uiterlijk op het moment van installatie heeft beveiligd tegen niet-geautoriseerde toegang; het vereiste dat de fabrikant documenteert dat het apparaat geen vaste, in de broncode opgenomen wachtwoorden bevat; het vereiste dat de verkoper documenteert welke mogelijkheden de gebruiker heeft om updates door te voeren en aangeeft wie aansprakelijk is indien de gebruiker geen updates doorvoert;

   

  (d)  het vereiste dat de fabrikant, de distributeur en de importeur van de met het internet verbonden hardware, software of firmwarecomponenten de bevoegde autoriteit in kennis stelt van elke bekende exploiteerbare zwakke plek op het gebied van beveiliging;

   

  (e)  het vereiste dat de fabrikant van met het internet verbonden hardware, software of firmwarecomponenten zorgt voor reparatie of vervanging met betrekking tot elke nieuwe zwakke plek op het gebied van beveiliging die wordt ontdekt;

   

  (f)  het vereiste dat de fabrikant van met het internet verbonden hardware, software of firmwarecomponenten informatie verstrekt over de wijze waarop het apparaat updates met betrekking tot IT-beveiliging ontvangt, over het moment waarop de ondersteuning met betrekking tot IT-beveiliging naar verwachting stopt, en over de wijze waarop de gebruiker zal worden geïnformeerd;

   

  2.  Het Agentschap mag voorstellen dat de in lid 1 bedoelde minimumvereisten op het gebied van IT-beveiliging van toepassing zijn op IT-apparaten van één of meerdere specifieke sectoren.

   

  3.  Het Agentschap evalueert en wijzigt, indien nodig, de in lid 1 bedoelde vereisten op het gebied van IT-beveiliging om de twee jaar en dient eventuele wijzigingen als voorstellen in bij de Commissie.