SPRÁVA o návrhu nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

.7.2018 - (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)) - ***I

Výbor pre priemysel, výskum a energetiku
Spravodajkyňa: Angelika Niebler
Spravodajca výboru požiadaného o stanovisko (*):
Nicola Danti, Výbor pre vnútorný trh a ochranu spotrebiteľa
(*) Postup pridružených výborov – článok 54 rokovacieho poriadku


Postup : 2017/0225(COD)
Postup v rámci schôdze
Postup dokumentu :  
A8-0264/2018
Predkladané texty :
A8-0264/2018
Prijaté texty :

NÁVRH LEGISLATÍVNEHO UZNESENIA EURÓPSKEHO PARLAMENTU

návrhu nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

(Riadny legislatívny postup: prvé čítanie)

Európsky parlament,

–  so zreteľom na návrh Komisie pre Európsky parlament a Radu (COM(2017)0477),

–  so zreteľom na článok 294 ods. 2 a článok 114 Zmluvy o fungovaní Európskej únie, v súlade s ktorými Komisia predložila návrh Európskemu parlamentu (C8-0310/2017),

–  so zreteľom na článok 294 ods. 3 Zmluvy o fungovaní Európskej únie,

–  so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru zo 14. februára 2018[1],

–  so zreteľom na článok 59 rokovacieho poriadku,

–   so zreteľom na odôvodnené stanovisko predložené na základe Protokolu č. 2 o uplatňovaní zásad subsidiarity a proporcionality francúzskym Senátom, ktorý tvrdí, že návrh legislatívneho aktu nie je v súlade so zásadou subsidiarity,

–  so zreteľom na správu Výboru pre priemysel, výskum a energetiku a stanoviská Výboru pre vnútorný trh a ochranu spotrebiteľa, Výboru pre rozpočet a Výboru pre občianske slobody, spravodlivosť a vnútorné veci (A8-0264/2018),

1.  prijíma nasledujúcu pozíciu v prvom čítaní;

2.  žiada Komisiu, aby mu vec znovu predložila, ak nahrádza, podstatne mení alebo má v úmysle podstatne zmeniť svoj návrh;

3.  poveruje svojho predsedu, aby postúpil túto pozíciu Rade, Komisii a národným parlamentom.

Pozmeňujúci návrh    1

Návrh nariadenia

Odôvodnenie 1

Text predložený Komisiou

Pozmeňujúci návrh

(1)  Siete, informačné systémy a telekomunikačné siete a služby sú pre našu spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách sú založené komplexné systémy, ktoré podporujú spoločenské činnosti, udržujú chod kľúčových odvetví hospodárstva ako zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

(1)  Siete, informačné systémy a telekomunikačné siete a služby sú pre našu spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách (IKT) sú založené komplexné systémy, ktoré podporujú bežné spoločenské činnosti, udržujú chod kľúčových odvetví hospodárstva ako zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

Pozmeňujúci návrh    2

Návrh nariadenia

Odôvodnenie 2

Text predložený Komisiou

Pozmeňujúci návrh

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej kybernetickej bezpečnosti. Keďže certifikácia sa v tomto kontexte využíva obmedzene, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov a služieb IKT, čo znižuje dôveru v digitálne riešenia.

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej kybernetickej bezpečnosti. Keďže certifikácia sa v tomto kontexte využíva obmedzene, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov, procesov a služieb IKT, čo znižuje dôveru v digitálne riešenia. Táto ambícia je hlavným bodom programu reforiem Európskej komisie na dosiahnutie jednotného digitálneho trhu, keďže siete IKT poskytujú základ pre digitálne produkty a služby, ktoré majú potenciál podporiť všetky aspekty nášho života a byť hybnou silou hospodárskeho rastu v Európe. V snahe zabezpečiť, aby sa ciele jednotného digitálneho trhu dosiahli v plnej miere, musia byť položené základné technologické stavebné prvky, o ktoré sa oprú také dôležité oblasti, ako sú elektronické zdravotníctvo, internet vecí, umelá inteligencia, kvantová technológia, ako aj inteligentný dopravný systém a vyspelá výroba.

Pozmeňujúci návrh    3

Návrh nariadenia

Odôvodnenie 3

Text predložený Komisiou

Pozmeňujúci návrh

(3)  Rastúca miera digitalizácie a prepojenia zvyšuje kyberneticko-bezpečnostné riziká, takže spoločnosť ako taká je zraniteľnejšia voči kybernetickým hrozbám a prehlbuje sa nebezpečenstvo pre jednotlivcov vrátane zraniteľných skupín ako deti. V záujme zmiernenia rizík pre spoločnosť treba prijať všetky potrebné kroky na zvýšenie kybernetickej bezpečnosti v EÚ, aby boli siete a informačné systémy, telekomunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, verejné správy i podniky – od MSP až po prevádzkovateľov kritickej infraštruktúry – lepšie chránené pred kybernetickými hrozbami.

(3)  Rastúca miera digitalizácie a prepojenia zvyšuje kyberneticko-bezpečnostné riziká, takže spoločnosť ako taká je zraniteľnejšia voči kybernetickým hrozbám a prehlbuje sa nebezpečenstvo pre jednotlivcov vrátane zraniteľných skupín ako deti. V záujme zmiernenia rizík pre spoločnosť treba prijať všetky potrebné kroky na zvýšenie kybernetickej bezpečnosti v EÚ, aby boli siete a informačné systémy, telekomunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, verejné správy i podniky – od MSP až po prevádzkovateľov kritickej infraštruktúry – lepšie chránené pred kybernetickými hrozbami. V tejto súvislosti je akčný plán digitálneho vzdelávania, ktorý Európska komisia zverejnila 17. januára 2018, krokom správnym smerom, najmä pokiaľ ide o kampane na zvyšovanie informovanosti v celej EÚ určené pre pedagógov, rodičov a študentov a zamerané na posilnenie bezpečnosti na internete, kybernetickej hygieny a mediálnej gramotnosti, ako aj o vzdelávaciu iniciatívu v oblasti kybernetickej bezpečnosti na základe rámca digitálnych kompetencií pre občanov, aby sa ľuďom umožnilo využívať technológiu spoľahlivo a zodpovedne.

Pozmeňujúci návrh    4

Návrh nariadenia

Odôvodnenie 3 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

3a.  Domnieva sa, že ciele a úlohy agentúry ENISA by sa mali ďalej zosúladiť so spoločným oznámením, pokiaľ ide o jeho odkaz na presadzovanie kybernetickej hygieny a informovanosti; konštatuje, že kybernetickú odolnosť možno dosiahnuť uplatňovaním základných zásad kybernetickej hygieny;

Pozmeňujúci návrh    5

Návrh nariadenia

Odôvodnenie 3 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

3b.  Agentúra ENISA by mala poskytovať praktickejšiu a informovanejšiu podporu odvetviu kybernetickej bezpečnosti Únie, najmä MSP a startupom, ktoré majú zásadný význam pre inovatívne riešenia v oblasti kybernetickej obrany, a podporovať užšiu spoluprácu s univerzitnými výskumnými organizáciami a významnými aktérmi s cieľom znížiť závislosť od produktov v oblasti kybernetickej bezpečnosti pochádzajúcich z vonkajších zdrojov a vytvoriť strategický dodávateľský reťazec v Únii.

Pozmeňujúci návrh    6

Návrh nariadenia

Odôvodnenie 4

Text predložený Komisiou

Pozmeňujúci návrh

(4)  Kybernetické útoky sú na vzostupe, takže potrebujeme lepšie brániť prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

(4)  Kybernetické útoky sú na vzostupe, takže prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie, si vyžadujú silnejšiu a bezpečnejšiu obranu. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Potreby týkajúce sa odbornej prípravy v oblasti kybernetickej obrany sú značné a stále sa zvyšujú a najúčinnejšie ich možno splniť v rámci spolupráce na úrovni Únie. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

Pozmeňujúci návrh    7

Návrh nariadenia

Odôvodnenie 5

Text predložený Komisiou

Pozmeňujúci návrh

(5)  Keďže výzvy, ktorým Únia v oblasti kybernetickej bezpečnosti čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu a koordináciu medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach. Viac treba urobiť aj v otázke informovanosti občanov a podnikov o otázkach kybernetickej bezpečnosti. Transparentné informácie o úrovni bezpečnosti produktov a služieb IKT by navyše mohli posilniť celkovú dôveru v digitálny jednotný trh. Tento cieľ môže uľahčiť celoúnijná certifikácia, ktorá poskytne spoločné kyberneticko-bezpečnostné požiadavky a kritériá hodnotenia naprieč vnútroštátnymi trhmi a odvetviami.

(5)  Keďže výzvy, ktorým Únia v oblasti kybernetickej bezpečnosti čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu, koordináciu a výmenu informácií medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho, keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach, a zároveň zdôrazniť dôležitosť zachovania a ďalšieho posilnenia spôsobilostí na vnútroštátnej úrovni reagovať na kybernetické hrozby akýchkoľvek rozmerov. Viac treba urobiť aj v otázke zaistenia koordinovanej reakcie EÚ a zvýšenia informovanosti občanov a podnikov o otázkach kybernetickej bezpečnosti. Navyše, vzhľadom na to, že kybernetické incidenty oslabujú dôveru v poskytovateľov digitálnych služieb a v samotný jednotný digitálny trh, najmä medzi spotrebiteľmi, dôveru by mohli posilniť transparentné informácie o úrovni bezpečnosti produktov, procesov a služieb IKT, ktoré by mali zdôrazňovať, že dokonca ani vysoká úroveň certifikácie kybernetickej bezpečnosti nemôže zaručiť úplne bezpečný produkt či službu IKT. Tento cieľ môže uľahčiť celoúnijná certifikácia, ktorá poskytne spoločné kyberneticko-bezpečnostné požiadavky a kritériá hodnotenia naprieč vnútroštátnymi trhmi a odvetviami, ako aj podpora kybernetickej gramotnosti. Popri celoúnijnej certifikácii a vzhľadom na rastúcu dostupnosť zariadení internetu vecí existuje celý rad dobrovoľných opatrení, ktoré by mal prijať súkromný sektor na posilnenie dôvery v bezpečnosť produktov, procesov a služieb IKT, ako sú šifrovanie a technológie blockchainu. Riešené problémy by sa mali primerane zohľadniť v rozpočte vyčlenenom pre agentúru, aby sa zabezpečilo optimálne fungovanie za bežných okolností.

Pozmeňujúci návrh    8

Návrh nariadenia

Odôvodnenie 5 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  Na posilnenie štruktúr európskej bezpečnosti a kybernetickej obrany je dôležité udržiavať a rozvíjať spôsobilosti členských štátov ucelene reagovať na kybernetické hrozby vrátane cezhraničných incidentov, pričom koordinácia agentúrou na úrovni EÚ by nemala viesť k zníženiu spôsobilostí alebo úsilia v členských štátoch.

Pozmeňujúci návrh    9

Návrh nariadenia

Odôvodnenie 5 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

5b.  Podniky, ako aj jednotliví spotrebitelia by mali mať presné informácie týkajúce sa úrovne bezpečnosti svojich produktov IKT. Zároveň treba porozumieť tomu, že žiadny produkt nie je kyberneticky bezpečný a že treba podporovať a uprednostňovať základné pravidlá kybernetickej hygieny.

Pozmeňujúci návrh    10

Návrh nariadenia

Odôvodnenie 7

Text predložený Komisiou

Pozmeňujúci návrh

(7)  Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na kybernetické hrozby a riziká. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti kybernetickej bezpečnosti, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). V smernici NIS sa stanovujú požiadavky na vnútroštátne spôsobilosti v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádzajú sa povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti.

(7)  Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na kybernetické hrozby a riziká. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti kybernetickej bezpečnosti, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). Smernicou NIS, ktorej úspech do značnej miery závisí od jej účinného vykonávania členskými štátmi, sa vykonáva stratégia digitálneho jednotného trhu a spoločne s ďalšími nástrojmi, ako sú smernica, ktorou sa stanovuje európsky kódex elektronickej komunikácie, nariadenie (EÚ) 2016/679 a smernica 2002/58/ES, sa zavádzajú požiadavky týkajúce sa vnútroštátnych spôsobilostí v oblasti kybernetickej bezpečnosti, zriadili sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádzajú sa povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhy). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti.

Pozmeňujúci návrh    11

Návrh nariadenia

Odôvodnenie 8

Text predložený Komisiou

Pozmeňujúci návrh

(8)  Je zrejmé, že od prijatia stratégie kybernetickej bezpečnosti EÚ v roku 2013 a od posledného prehodnotenia mandátu agentúry sa celkový politický kontext výrazne zmenil, a to aj z hľadiska neistejšieho a menej bezpečného globálneho prostredia. V tejto súvislosti a v rámci novej kyberneticko-bezpečnostnej politiky Únie treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej rolu v zmenenom ekosystéme kybernetickej bezpečnosti, aby účinne prispievala k reakcii Únie na výzvy v tejto sfére vyplývajúce z tejto radikálne zmenenej povahy hrozieb, keďže ako potvrdilo hodnotenie samotnej agentúry, jej súčasný mandát na to nestačí.

(8)  Je zrejmé, že od prijatia stratégie kybernetickej bezpečnosti EÚ v roku 2013 a od posledného prehodnotenia mandátu agentúry sa celkový politický kontext výrazne zmenil, a to aj z hľadiska neistejšieho a menej bezpečného globálneho prostredia. V tejto súvislosti a v súvislosti s pozitívnou úlohou, ktorú agentúra už roky zohráva pri zhromažďovaní odbornosti, koordinácii, budovaní kapacít a v rámci novej kyberneticko-bezpečnostnej politiky Únie, treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej rolu v zmenenom ekosystéme kybernetickej bezpečnosti a zaistiť, aby účinne prispievala k reakcii Únie na výzvy v oblasti kybernetickej bezpečnosti vyplývajúce z tejto radikálne zmenenej povahy hrozieb, keďže ako potvrdilo hodnotenie samotnej agentúry, jej súčasný mandát na to nestačí.

Pozmeňujúci návrh    12

Návrh nariadenia

Odôvodnenie 11

Text predložený Komisiou

Pozmeňujúci návrh

(11)  Keďže Únia čelí narastajúcim kyberneticko-bezpečnostným výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém.

(11)  Keďže Únia čelí narastajúcim kyberneticko-bezpečnostným hrozbám a výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém, pričom agentúre ENISA treba umožniť účinné vykonávanie úloh, ktoré sú jej zverené týmto nariadením.

Pozmeňujúci návrh    13

Návrh nariadenia

Odôvodnenie 12

Text predložený Komisiou

Pozmeňujúci návrh

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by mala proaktívne prispievať k snahám členských štátov i Únie a mala by vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. Mal by sa stanoviť súbor úloh určujúcich, ako agentúra dosiahne svoje ciele, ktorý by mal umožniť flexibilitu jej činností.

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by mala proaktívne prispievať k snahám členských štátov i Únie a mala by vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi, vyhýbať sa akejkoľvek duplicite práce, presadzovať synergiu a komplementárnosť, a tak dosiahnuť koordináciu a fiškálne úspory. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného a verejného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. V jasnom programe a súbore úloh a cieľov, ktoré by sa mali jednoznačne vymedziť, by sa malo stanoviť, ako agentúra plniť svoje ciele, pričom súčasne by sa mala náležite zohľadniť potrebná flexibilita jej činností. Podľa možností by sa mal zachovať najvyšší stupeň transparentnosti a šírenia informácií.

Pozmeňujúci návrh    14

Návrh nariadenia

Odôvodnenie 12 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

12a.  Úloha agentúry by mala byť predmetom priebežného posudzovania a včasného preskúmania, najmä pokiaľ ide o jej koordinačnú úlohu vo vzťahu k členským štátom a ich vnútroštátnym orgánom a možnú funkciu ako jednotného kontaktného miesta pre členské štáty a inštitúcie a orgány EÚ. Posudzovať by sa mala aj úloha agentúry pri zamedzení fragmentácii vnútorného trhu a prípadnom zavedení povinných systémov certifikácie kybernetickej bezpečnosti, ak by si situácia v budúcnosti vyžiadala takúto zmenu, rovnako ako jej úloha, pokiaľ ide o posudzovanie produktov z tretích krajín, ktoré vstupujú na trh EÚ, a prípadné vylúčenie spoločností, ktoré nedodržujú kritériá EÚ.

Pozmeňujúci návrh    15

Návrh nariadenia

Odôvodnenie 12 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

12b.  Nato, aby agentúra ENISA mohla poskytovať členským štátom primeranú podporu operačnej spolupráce, mala by ďalej posilňovať svoje vlastné technické spôsobilosti a odbornosť. Na tento účel by agentúra mala postupne posilňovať postavenie svojich zamestnancov, ktorí sa venujú tejto oblasti, aby mohli nezávisle zbierať a analyzovať rôzne druhy kybernetických hrozieb a malvéru, vykonávať forenznú analýzu a pomáhať členským štátom pri reakcii na rozsiahle incidenty. S cieľom zamedziť duplicite existujúcich spôsobilostí v členských štátoch by agentúra ENISA mala zvýšiť svoje know-how a spôsobilosti založené na existujúcich zdrojoch v členských štátoch, najmä vysielaním národných expertov do agentúry, vytváraním zoskupení odborníkov, výmennými programami pre zamestnancov atď. Pri výbere zamestnancov zodpovedných za túto oblasť by agentúra mala postupne zabezpečiť, aby spĺňali príslušné kritériá na poskytovanie primeranej podpory.

Pozmeňujúci návrh    16

Návrh nariadenia

Odôvodnenie 13

Text predložený Komisiou

Pozmeňujúci návrh

(13)  Agentúra by mala pomáhať Komisii poskytovaním poradenstva, stanovísk a analýz týkajúcich sa všetkých záležitostí Únie súvisiacich s vývojom, ako aj s tvorbou, aktualizáciou a revíziou politík a právnych predpisov v oblasti kybernetickej bezpečnosti vrátane ochrany kritickej infraštruktúry a kybernetickej odolnosti. Agentúra by mala byť referenčným bodom poradenstva a odborných poznatkov pre odvetvové politické a legislatívne iniciatívy Únie zahŕňajúce rozmer kybernetickej bezpečnosti.

(13)  Agentúra by mala pomáhať Komisii poskytovaním poradenstva, stanovísk a analýz týkajúcich sa všetkých záležitostí Únie súvisiacich s vývojom, ako aj s tvorbou, aktualizáciou a revíziou politík a právnych predpisov v oblasti kybernetickej bezpečnosti vrátane ochrany kritickej infraštruktúry a kybernetickej odolnosti. Mala by byť referenčným bodom poradenstva a odborných poznatkov pre odvetvové politické a legislatívne iniciatívy Únie zahŕňajúce rozmer kybernetickej bezpečnosti. Jej odborné poznatky budú potrebné najmä pri príprave viacročného pracovného programu Únie pre európske systémy certifikácie kybernetickej bezpečnosti. Agentúra by mala pravidelne poskytovať Európskemu parlamentu aktualizované informácie, analýzy a hodnotenia v oblasti kybernetickej bezpečnosti a vývoja svojich úloh.

Pozmeňujúci návrh    17

Návrh nariadenia

Odôvodnenie 14

Text predložený Komisiou

Pozmeňujúci návrh

(14)  Základnou úlohou agentúry je presadzovať dôsledné vykonávanie príslušného právneho rámca, a najmä účinné vykonávanie smernice NIS, ktorá je kľúčom k posilneniu kybernetickej odolnosti. Keďže kybernetické hrozby sú neustále v pohybe, je jasné, že členské štáty potrebujú podporu komplexnejšieho prierezového prístupu k budovaniu kybernetickej odolnosti.

(14)  Základnou úlohou agentúry je presadzovať dôsledné vykonávanie príslušného právneho rámca, a najmä účinné vykonávanie smernice NIS, smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie, nariadenia (EÚ) 2016/679 a smernice 2002/58/ES, ktoré sú zásadné pre posilnenie kybernetickej odolnosti. Keďže kybernetické hrozby sú neustále v pohybe, je jasné, že členské štáty potrebujú podporu komplexnejšieho prierezového prístupu k budovaniu kybernetickej odolnosti.

Pozmeňujúci návrh    18

Návrh nariadenia

Odôvodnenie 15

Text predložený Komisiou

Pozmeňujúci návrh

(15)  Agentúra by mala pomáhať členským štátom a inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí vybudovať a zdokonaľovať spôsobilosti a pripravenosť predchádzať kyberneticko-bezpečnostným problémom a incidentom spojeným s bezpečnosťou sietí a informačných systémov, odhaľovať ich a reagovať na ne. Najmä by agentúra mala podporovať rozvoj a posilňovanie vnútroštátnych jednotiek CSIRT, aby v rámci Únie všetky dosiahli vysoký stupeň vývoja. Zároveň by agentúra mala pomáhať pri príprave a aktualizácii stratégií Únie a členských štátov v oblasti bezpečnosti sietí a informačných systémov (najmä kybernetickej), podporovať ich šírenie a sledovať pokrok v ich uplatňovaní. Mala by tiež verejným orgánom ponúkať školenia a vzdelávacie materiály a podľa potreby „školiť školiteľov“, aby členským štátom pomohla pri rozvoji ich vlastných školiacich kapacít.

(15)  Agentúra by mala pomáhať členským štátom a inštitúciám, orgánom, úradom a agentúram Únie v ich úsilí vybudovať a zdokonaľovať spôsobilosti a pripravenosť predchádzať kyberneticko-bezpečnostným problémom a incidentom spojeným s bezpečnosťou sietí a informačných systémov, odhaľovať ich a reagovať na ne. Najmä by agentúra mala podporovať rozvoj a posilňovanie vnútroštátnych jednotiek CSIRT, aby v rámci Únie všetky dosiahli vysoký stupeň vývoja. Zároveň by agentúra mala pomáhať pri príprave a aktualizácii stratégií Únie a členských štátov v oblasti bezpečnosti sietí a informačných systémov (najmä kybernetickej), podporovať ich šírenie a sledovať pokrok v ich uplatňovaní. Vzhľadom na to, že ľudské chyby patria k najdôležitejším rizikám kybernetickej bezpečnosti, by agentúra mala verejným orgánom ponúkať školenia a vzdelávacie materiály a v maximálnom možnom rozsahu „školiť školiteľov“, aby členským štátom a inštitúciám a agentúram Únie pomohla pri rozvoji ich vlastných školiacich kapacít. Agentúra by mala slúžiť aj ako kontaktné miesto pre členské štáty a inštitúcie Únie, ktoré by mali mať možnosť požiadať o pomoc agentúru v rámci právomocí a úloh, ktoré jej boli pridelené.

Pozmeňujúci návrh    19

Návrh nariadenia

Odôvodnenie 18

Text predložený Komisiou

Pozmeňujúci návrh

(18)  Agentúra by mala zhromažďovať a analyzovať správy vnútroštátnych jednotiek CSIRT a tímu CERT-EU a stanoviť spoločné pravidlá, jazyk a terminológiu na výmenu informácií. Okrem toho by agentúra mala angažovať súkromný sektor v zmysle smernice NIS, ktorá zriadením siete jednotiek CSIRT stanovila základ pre dobrovoľnú výmenu technických informácií na operačnej úrovni.

(18)  Agentúra by mala zhromažďovať a analyzovať správy vnútroštátnych jednotiek CSIRT a tímu CERT-EU a stanoviť spoločné pravidlá, jazyk a terminológiu na výmenu informácií. Okrem toho by agentúra mala angažovať súkromný a verejný sektor v zmysle smernice NIS, ktorá zriadením siete jednotiek CSIRT stanovila základ pre dobrovoľnú výmenu technických informácií na operačnej úrovni.

Pozmeňujúci návrh    20

Návrh nariadenia

Odôvodnenie 19

Text predložený Komisiou

Pozmeňujúci návrh

(19)  Agentúra by mala prispievať k reakcii na úrovni EÚ v prípade rozsiahlych cezhraničných kybernetických incidentov a kríz. Do tejto úlohy spadá aj zber relevantných informácií a uľahčovanie interakcie medzi sieťou jednotiek CSIRT a technickou obcou či aktérmi zodpovednými za krízové riadenie. Okrem toho by agentúra mohla podporovať riešenie incidentov z technickej stránky uľahčovaním výmeny relevantných technických riešení medzi členskými štátmi a zabezpečením vstupov pre komunikáciu s verejnosťou. Agentúra by tento proces mala podporovať skúšaním rôznych možností takejto spolupráce na každoročných kyberneticko-bezpečnostných cvičeniach.

(19)  Agentúra by mala prispievať k reakcii na úrovni EÚ v prípade rozsiahlych cezhraničných kybernetických incidentov a kríz. Do tejto úlohy spadá aj zvolávanie schôdzí orgánov členských štátov a pomoc pri koordinácii ich reakcie, zber relevantných informácií a uľahčovanie interakcie medzi sieťou jednotiek CSIRT a technickou obcou či aktérmi zodpovednými za krízové riadenie. Okrem toho by agentúra mohla podporovať riešenie incidentov z technickej stránky, napríklad uľahčovaním výmeny relevantných technických riešení medzi členskými štátmi a zabezpečením vstupov pre komunikáciu s verejnosťou. Agentúra by tento proces mala podporovať skúšaním rôznych možností takejto spolupráce na každoročných kyberneticko-bezpečnostných cvičeniach. Agentúra by mala rešpektovať právomoci členských štátov v oblasti kybernetickej bezpečnosti, najmä právomoci spojené s verejnou bezpečnosťou, obranou, národnou bezpečnosťou a činnosťami štátu v oblasti trestného práva.

Pozmeňujúci návrh    21

Návrh nariadenia

Odôvodnenie 25

Text predložený Komisiou

Pozmeňujúci návrh

(25)  Členské štáty môžu prizvať podniky dotknuté daným incidentom k spolupráci v podobe poskytnutia potrebných informácií a podpory agentúre bez toho, aby bolo dotknuté ich právo na ochranu citlivých obchodných informácií.

(25)  Členské štáty môžu prizvať podniky dotknuté daným incidentom k spolupráci v podobe poskytnutia potrebných informácií a podpory agentúre bez toho, aby bolo dotknuté ich právo na ochranu citlivých obchodných informácií a informácií dôležitých pre verejnú bezpečnosť.

Pozmeňujúci návrh    22

Návrh nariadenia

Odôvodnenie 26

Text predložený Komisiou

Pozmeňujúci návrh

(26)  Na lepšie pochopenie výziev v oblasti kybernetickej bezpečnosti a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie Únie musí agentúra analyzovať existujúce i nové riziká. Na to by agentúra mala v spolupráci s členskými štátmi a podľa potreby štatistickými orgánmi a ďalšími aktérmi zbierať relevantné informácie, analyzovať nové technológie a poskytovať tematické posúdenie očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na sieťovú a informačnú bezpečnosť, najmä kybernetickú. Agentúra by navyše mala členské štáty a inštitúcie, agentúry a orgány Únie podporovať pri identifikácii nastupujúcich trendov a pri predchádzaní kyberneticko-bezpečnostným problémom, a to analýzou hrozieb a incidentov.

(26)  Na lepšie pochopenie výziev v oblasti kybernetickej bezpečnosti a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie Únie musí agentúra analyzovať existujúce i nové riziká, incidenty, ohrozenia a zraniteľné miesta. Nato by agentúra mala v spolupráci s členskými štátmi a podľa potreby so štatistickými orgánmi a s ďalšími aktérmi zbierať relevantné informácie, analyzovať nové technológie a poskytovať tematické posúdenie očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na sieťovú a informačnú bezpečnosť, najmä kybernetickú. Agentúra by navyše mala členské štáty a inštitúcie, agentúry a orgány Únie podporovať pri identifikácii nastupujúcich trendov a pri predchádzaní kyberneticko-bezpečnostným problémom, a to analýzou hrozieb, incidentov a zraniteľných miest.

Pozmeňujúci návrh    23

Návrh nariadenia

Odôvodnenie 27

Text predložený Komisiou

Pozmeňujúci návrh

(27)  V záujme posilnenia odolnosti Únie by agentúra mala rozvíjať špičkovú odbornosť vo sfére bezpečnosti internetovej infraštruktúry a kritických infraštruktúr, a to poradenstvom, usmerňovaním a šírením osvedčených postupov. S cieľom uľahčiť prístup k lepšie štruktúrovaným informáciám o kybernetických rizikách a ich možných riešeniach by agentúra mala zriadiť a prevádzkovať „informačné centrum“ Únie – portál s funkciou jednotného kontaktného miesta, ktorý bude verejnosti sprístupňovať informácie o kybernetickej bezpečnosti od inštitúcií, agentúr a orgánov EÚ i členských štátov.

(27)  V záujme posilnenia odolnosti Únie by agentúra mala rozvíjať špičkovú odbornosť vo sfére bezpečnosti internetovej infraštruktúry a kritických infraštruktúr, a to poradenstvom, usmerňovaním a šírením najlepších postupov. S cieľom uľahčiť prístup k lepšie štruktúrovaným informáciám o kybernetických rizikách a ich možných riešeniach by agentúra mala zriadiť a prevádzkovať „informačné centrum“ Únie – portál s funkciou jednotného kontaktného miesta, ktorý bude verejnosti sprístupňovať informácie o kybernetickej bezpečnosti od inštitúcií, agentúr a orgánov EÚ i členských štátov. Uľahčovanie prístupu k lepšie štruktúrovaným informáciám o rizikách súvisiacich s kybernetickou bezpečnosťou a možných nápravných opatreniach by členským štátom malo pomôcť pri posilňovaní ich kapacít a zlaďovaní postupov, a tak zvýšiť ich celkovú odolnosť voči kybernetickým útokom.

Pozmeňujúci návrh    24

Návrh nariadenia

Odôvodnenie 28

Text predložený Komisiou

Pozmeňujúci návrh

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s kybernetickou bezpečnosťou a odporúčať jednotlivým používateľom – občanom i organizáciám osvedčené postupy. Agentúra by mala prispievať k propagácii osvedčených postupov a riešení u jednotlivcov a organizácii aj zberom a analýzou verejne dostupných informácií o závažných incidentoch a vypracúvaním správ s cieľom poskytnúť podnikom a občanom usmernenia a zvýšiť celkovú pripravenosť a odolnosť. Agentúra by navyše mala v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom a zameriavajú sa na propagáciu bezpečnejšieho správania jednotlivcov na internete a zvyšovanie povedomia o potenciálnych hrozbách v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, botnety, finančné a bankové podvody; zároveň by mala poskytovať základné rady v oblasti autentifikácie a ochrany údajov. Agentúra by mala mať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení.

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s kybernetickou bezpečnosťou a odporúčať jednotlivým používateľom – občanom, organizáciám a podnikom – osvedčené postupy, a to aj podporou vzdelávania. Mala by prispievať k propagácii najlepších postupov v oblasti kybernetickej hygieny, čo znamená viaceré postupy, ktoré by sa mali zaviesť a pravidelne vykonávať v záujme online ochrany používateľov a podnikov, ako aj k propagácii riešení v prípade jednotlivcov a podnikov zberom a analýzou verejne dostupných informácií o závažných incidentoch a vypracúvaním a zverejňovaním správ a usmernení s cieľom poskytnúť podnikom a občanom usmernenia a zvýšiť celkovú pripravenosť a odolnosť. Agentúra ENISA by sa mala takisto usilovať o poskytovanie relevantných informácií o platných systémoch certifikácie spotrebiteľom, napríklad poskytovaním usmernení a odporúčaní pre trhy online a offline. Agentúra by navyše mala v súlade s akčným plánom digitálneho vzdelávania a v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom a zameriavajú sa na propagáciu bezpečnejšieho správania jednotlivcov na internete a digitálnej gramotnosti a na zvyšovanie povedomia o potenciálnych hrozbách v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, botnety, finančné a bankové podvody, ako aj na propagáciu základných rád v oblasti viacfaktorovej autentifikácie, aplikovania záplat, šifrovania, anonymizácie a ochrany údajov. Agentúra by mala zohrávať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení a zaistiť využívanie služieb, pri popularizácii bezpečnosti a ochrany súkromia už v štádiu návrhu, incidentov a ich riešení na úrovni EÚ. Na dosiahnutie tohto cieľa by agentúra mala čo najlepšie využívať dostupné najlepšie postupy a skúsenosti, najmä akademických inštitúcií a výskumných pracovníkov v oblasti bezpečnosti informačných technológií. Vzhľadom na to, že individuálne chyby a nevedomosť o kybernetických rizikách sú hlavným faktorom neistoty v oblasti kybernetickej bezpečnosti, agentúra by mala mať k dispozícii primerané zdroje na čo najlepšie plnenie tejto funkcie.

Pozmeňujúci návrh    25

Návrh nariadenia

Odôvodnenie 28 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

28a.  Agentúra by mala zvyšovať informovanosť verejnosti o rizikách dátových podvodov a krádeží údajov, ktoré môžu vážne ovplyvniť základné práva jednotlivcov, predstavujú hrozbu pre právny štát a ohrozujú stabilitu demokratických spoločností vrátane demokratických procesov v členských štátoch.

Pozmeňujúci návrh    26

Návrh nariadenia

Odôvodnenie 30

Text predložený Komisiou

Pozmeňujúci návrh

(30)  S cieľom zaistiť úplné splnenie svojich cieľov by agentúra mala udržiavať kontakty s relevantnými inštitúciami, agentúrami a orgánmi vrátane tímu CERT-EU, Európskeho centra boja proti počítačovej kriminalite (EC3) pri Europole, Európskej obrannej agentúry (EDA), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov (eu-LISA), Európskej agentúry pre bezpečnosť letectva (EASA) a prípadne ďalších agentúr EÚ angažovaných v otázkach kybernetickej bezpečnosti. Okrem toho by mala udržiavať kontakty aj s orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a osvedčené postupy a poskytovať poradenstvo o kyberneticko-bezpečnostných aspektoch, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na účasť v stálej skupine zainteresovaných strán agentúry. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra mala rešpektovať existujúce informačné kanály a zavedené siete.

(30)  S cieľom zaistiť úplné splnenie svojich cieľov by agentúra mala udržiavať kontakty s relevantnými inštitúciami, orgánmi dohľadu EÚ a inými príslušnými úradmi, agentúrami a orgánmi vrátane tímu CERT-EU, Európskeho centra boja proti počítačovej kriminalite (EC3) pri Europole, Európskej obrannej agentúry (EDA), Agentúry pre európsky GNSS (GSA), Orgánu európskych regulátorov pre elektronické komunikácie (BEREC), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov (eu-LISA), Európskej centrálnej banky (ECB), Európskeho orgánu pre bankovníctvo (EBA), Európskeho výboru pre ochranu údajov (EDPB), Európskej agentúry pre bezpečnosť letectva (EASA) a prípadne ďalších agentúr EÚ angažovaných v otázkach kybernetickej bezpečnosti. Okrem toho by mala udržiavať kontakty aj s európskymi normalizačnými organizáciami (ESO), príslušnými zainteresovanými stranami a orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a najlepšie postupy a poskytovať poradenstvo o kyberneticko-bezpečnostných aspektoch, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na účasť v poradnej skupine agentúry ENISA. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra mala rešpektovať existujúce informačné kanály a zavedené siete. Mali by sa vytvárať partnerstvá s akademickými inštitúciami, ktoré majú výskumné iniciatívy v relevantných oblastiach, pričom vhodnými kanálmi by mali byť vstupy zo spotrebiteľských a iných organizácií a vždy by sa mali analyzovať.

Pozmeňujúci návrh    27

Návrh nariadenia

Odôvodnenie 31

Text predložený Komisiou

Pozmeňujúci návrh

(31)  Agentúra ako člen siete jednotiek CSIRT, ktorý navyše zabezpečuje funkciu sekretariátu, by mala jednotky CSIRT členských štátov a tím CERT-EU podporovať v operačnej spolupráci pri všetkých relevantných úlohách siete jednotiek CSIRT v zmysle smernice NIS. Ďalej by agentúra mala presadzovať a podporovať spoluprácu medzi príslušnými jednotkami CSIRT v prípade incidentov, útokov alebo narušení sietí či infraštruktúr pod ich správou alebo ochranou, v prípadoch, ktoré zahŕňajú alebo môžu zahŕňať aspoň dve jednotky CSIRT, pričom sa riadne zohľadnia štandardné operačné postupy siete jednotiek CSIRT.

(31)  Agentúra ako člen siete jednotiek CSIRT, ktorý navyše zabezpečuje funkciu sekretariátu, by mala jednotky CSIRT členských štátov a tím CERT-EU podporovať v operačnej spolupráci pri všetkých relevantných úlohách siete jednotiek CSIRT v zmysle smernice NIS. Ďalej by agentúra mala presadzovať a podporovať spoluprácu medzi príslušnými jednotkami CSIRT v prípade incidentov, útokov alebo narušení sietí či infraštruktúr pod ich správou alebo ochranou, v prípadoch, ktoré zahŕňajú alebo môžu zahŕňať aspoň dve jednotky CSIRT, pričom sa riadne zohľadnia štandardné operačné postupy siete jednotiek CSIRT. Agentúra môže na požiadanie Komisie alebo členského štátu vykonávať pravidelné audity IT bezpečnosti kritických cezhraničných infraštruktúr s cieľom identifikovať možné riziká v oblasti kybernetickej bezpečnosti a určiť odporúčania na posilnenie ich odolnosti.

Pozmeňujúci návrh    28

Návrh nariadenia

Odôvodnenie 33

Text predložený Komisiou

Pozmeňujúci návrh

(33)  Agentúra by mala ďalej rozvíjať a udržiavať odborné poznatky o certifikácii kybernetickej bezpečnosti v záujme podpory politiky Únie v tomto smere. Agentúra by mala podporovať využívanie certifikácie kybernetickej bezpečnosti certifikácie v Únii, a to aj prispievaním k vytvoreniu a uchovávaniu kyberneticko-bezpečnostného certifikačného rámca na úrovni Únie, aby sa posilnila transparentnosť dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

(33)  Agentúra by mala ďalej rozvíjať a udržiavať odborné poznatky o certifikácii kybernetickej bezpečnosti v záujme podpory politiky Únie v tomto smere. Mala by stavať na existujúcich najlepších postupoch a podporovať využívanie certifikácie kybernetickej bezpečnosti v Únii, a to aj prispievaním k vytvoreniu a uchovávaniu kyberneticko-bezpečnostného certifikačného rámca na úrovni Únie, aby sa posilnila transparentnosť dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

Pozmeňujúci návrh    29

Návrh nariadenia

Odôvodnenie 35

Text predložený Komisiou

Pozmeňujúci návrh

(35)  Agentúra by mala podnecovať členské štáty a poskytovateľov služieb k sprísňovaniu svojich všeobecných bezpečnostných noriem tak, aby všetci používatelia internetu mohli podniknúť potrebné kroky na zaistenie svojej osobnej kybernetickej bezpečnosti. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu stiahnuť či prepracovať produkty a služby, ktoré kyberneticko-bezpečnostným normám nevyhovujú. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni kybernetickej bezpečnosti produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi a výrobcami a žiadať ich o zvýšenie bezpečnosti (vrátane kybernetickej) svojich produktov a služieb.

(35)  Agentúra by mala podnecovať členské štáty, výrobcov a poskytovateľov služieb, aby sprísňovali všeobecné bezpečnostné normy pre svoje výrobky, procesy, služby a systémy v oblasti IKT, ktoré by mali byť v súlade so základnými bezpečnostnými povinnosťami v zhode so zásadou bezpečnosti už v štádiu návrhu a štandardne, najmä poskytovaním potrebných aktualizácií, a to tak, aby všetci používatelia internetu boli zabezpečení a motivovaní podniknúť potrebné kroky na zaistenie svojej osobnej kybernetickej bezpečnosti. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu vziať späť, stiahnuť či prepracovať produkty a služby, ktoré nespĺňajú základné záväzky v oblasti kybernetickej bezpečnosti, zatiaľ čo dovozcovia a distribútori by mali zabezpečiť, aby produkty, procesy, služby a systémy v oblasti IKT, ktoré uvádzajú na trh EÚ, boli v súlade s príslušnými požiadavkami a nepredstavovali riziko pre európskych spotrebiteľov. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni kybernetickej bezpečnosti produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi, výrobcami a žiadať ich o zvýšenie bezpečnosti (vrátane kybernetickej) ich produktov, procesov, služieb a systémov. Agentúra by mala spolupracovať so zainteresovanými stranami na vytvorení celoúnijného prístupu k zodpovednému zverejňovaniu zraniteľných miest a mala by presadzovať najlepšie postupy v tejto oblasti.

Pozmeňujúci návrh    30

Návrh nariadenia

Odôvodnenie 36

Text predložený Komisiou

Pozmeňujúci návrh

(36)  Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách výskumu v oblasti sieťovej a informačnej bezpečnosti, najmä kybernetickej, by agentúra mala plne zohľadňovať prebiehajúci výskum, vývoj a technologické posudzovanie, najmä v rámci rôznych výskumných iniciatív Únie.

(36)  Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách výskumu v oblasti sieťovej a informačnej bezpečnosti, najmä kybernetickej, by agentúra mala plne zohľadňovať prebiehajúci výskum, vývoj a technologické posudzovanie, najmä v rámci rôznych výskumných iniciatív Únie. Konkrétnejšie by sa mala nadviazať spolupráca s Európskou radou pre výskum (ERC) a Európskym inovačným a technologickým inštitútom (EIT) a výskum v oblasti bezpečnosti by sa mal zahrnúť do deviateho rámcového programu pre výskum (FP9) a programu Horizont 2020.

Pozmeňujúci návrh    31

Návrh nariadenia

Odôvodnenie 36 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

36a.  Normy sú dobrovoľným, trhovým nástrojom, ktorým sa stanovujú technické požiadavky a usmernenia a ktorý je výsledkom otvoreného, transparentného a inkluzívneho procesu. Agentúra by mala pravidelne viesť konzultácie s normalizačnými organizáciami a úzko s nimi spolupracovať, najmä pri príprave európskych systémov certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    32

Návrh nariadenia

Odôvodnenie 37

Text predložený Komisiou

Pozmeňujúci návrh

(37)  Kybernetická bezpečnosť je globálnym problémom. Je potrebná užšia medzinárodná spolupráca s cieľom zlepšiť bezpečnostné normy vrátane vymedzenia spoločných noriem správania, zlepšiť zdieľanie informácií a presadzovať rýchlejšiu medzinárodnú spoluprácu pri reakcii na problémy sieťovej a informačnej bezpečnosti, ako aj spoločný globálny prístup k nim. Agentúra by na tento účel mala podporovať výraznejšie zapojenie Únie a spoluprácu s tretími krajinami a medzinárodnými organizáciami tým, že vo vhodných prípadoch poskytne potrebné odborné znalosti a analýzu príslušným inštitúciám, orgánom, úradom a agentúram Únie.

(37)  Kybernetická bezpečnosť je globálnym problémom. Je potrebná užšia medzinárodná spolupráca s cieľom zlepšiť bezpečnostné normy vrátane vymedzenia spoločných noriem správania a etických kódexov, uplatňovať medzinárodné normy, zlepšiť výmenu informácií a presadzovať rýchlejšiu medzinárodnú spoluprácu pri reakcii na problémy týkajúce sa sieťovej a informačnej bezpečnosti, ako aj spoločný globálny prístup k týmto problémom. Agentúra by na tento účel mala podporovať výraznejšie zapojenie Únie a spoluprácu s tretími krajinami a medzinárodnými organizáciami tým, že vo vhodných prípadoch poskytne potrebné odborné znalosti a analýzu príslušným inštitúciám, orgánom, úradom a agentúram Únie.

Pozmeňujúci návrh    33

Návrh nariadenia

Odôvodnenie 40

Text predložený Komisiou

Pozmeňujúci návrh

(40)  Správna rada zložená zo zástupcov členských štátov a Komisie by mala vymedziť všeobecné smerovanie činnosti agentúry a zabezpečiť, aby agentúra vykonávala svoje úlohy v súlade s týmto nariadením. Správna rada by mala mať potrebné právomoci na zostavovanie rozpočtu, overovanie jeho plnenia, prijatie vhodných rozpočtových pravidiel, navrhnutie transparentných pracovných postupov rozhodovania agentúry, prijatie jednotného programového dokumentu, prijatie vlastného rokovacieho poriadku, menovanie výkonného riaditeľa a rozhodovanie o predlžovaní či ukončení jeho funkčného obdobia.

(40)  Správna rada zastupujúca členské štáty a Komisiu, ako aj zainteresované strany relevantné pre ciele agentúry by mala vymedziť všeobecné smerovanie činnosti agentúry a zabezpečiť, aby agentúra vykonávala svoje úlohy v súlade s týmto nariadením. Správna rada by mala mať potrebné právomoci na zostavovanie rozpočtu, overovanie jeho plnenia, prijatie vhodných rozpočtových pravidiel, navrhnutie transparentných pracovných postupov rozhodovania agentúry, prijatie jednotného programového dokumentu, prijatie vlastného rokovacieho poriadku, menovanie výkonného riaditeľa a rozhodovanie o predlžovaní či ukončení jeho funkčného obdobia. Vzhľadom na vysoko technické a vedecké úlohy agentúry by členovia správnej rady mali mať primerané skúsenosti a vysokú úroveň odbornosti v oblasti otázok v rozsahu úloh agentúry.

Pozmeňujúci návrh    34

Návrh nariadenia

Odôvodnenie 41

Text predložený Komisiou

Pozmeňujúci návrh

(41)  Aby agentúra mohla fungovať riadne a efektívne, Komisia a členské štáty by mali zabezpečiť, aby osoby, ktoré majú byť vymenované za členov správnej rady, mali zodpovedajúce odborné znalosti a skúsenosti v príslušných funkčných oblastiach. Komisia a členské štáty by mali vynaložiť úsilie aj na obmedzenie obmeny svojich zástupcov v správnej rade s cieľom zabezpečiť kontinuitu jej práce.

(41)  Aby agentúra mohla fungovať riadne a efektívne, Komisia a členské štáty by mali zabezpečiť, aby osoby, ktoré majú byť vymenované za členov správnej rady, mali zodpovedajúce odborné znalosti a skúsenosti v príslušných funkčných oblastiach. Komisia a členské štáty by mali vynaložiť úsilie aj na obmedzenie obmeny svojich zástupcov v správnej rade s cieľom zabezpečiť kontinuitu jej práce. Pre vysokú trhovú hodnotu zručností požadovaných pre prácu v agentúre je potrebné zaistiť, aby mzdy a sociálne podmienky ponúkané všetkým zamestnancom agentúry boli konkurencieschopné a zaisťovali, aby sa aj najlepší odborníci mohli rozhodnúť v nej pracovať.

Odôvodnenie

Aby mala agentúra ENISA primeranú úroveň odbornosti, musí byť na veľmi konkurenčnom trhu konkurencieschopným zamestnávateľom.

Pozmeňujúci návrh    35

Návrh nariadenia

Odôvodnenie 42

Text predložený Komisiou

Pozmeňujúci návrh

(42)  Bezproblémové fungovanie agentúry vyžaduje, aby bol jej výkonný riaditeľ vymenovaný na základe zásluh a zdokumentovaných administratívnych a riadiacich schopností, ako aj na základe kvalifikácie a skúseností vo sfére kybernetickej bezpečnosti, a aby vykonával svoje povinnosti úplne nezávisle. Výkonný riaditeľ by mal pripraviť návrh pracovného programu agentúry po predchádzajúcej konzultácii s Komisiou a prijať všetky potrebné opatrenia na zabezpečenie riadneho vykonania pracovného programu agentúry. Výkonný riaditeľ by mal vypracovať výročnú správu, ktorá sa predkladá správnej rade, návrh výkazu odhadov príjmov a výdavkov agentúry a mal by plniť rozpočet. Výkonný riaditeľ by okrem toho mal mať možnosť zriadiť ad hoc pracovné skupiny zamerané na osobitné záležitosti najmä vedeckého, technického, právneho či sociálno-ekonomického charakteru. Výkonný riaditeľ by mal zabezpečiť, aby sa členovia ad hoc pracovných skupín vyberali podľa najprísnejších požiadaviek na odbornosť, pričom by sa náležite zohľadnila reprezentatívna rovnováha medzi verejnými správami členských štátov, inštitúciami Únie, súkromným sektorom vrátane príslušného odvetvia, užívateľmi a akademickými expertmi v oblasti sieťovej a informačnej bezpečnosti, a to podľa konkrétnej tematiky.

(42)  Bezproblémové fungovanie agentúry si vyžaduje, aby bol jej výkonný riaditeľ vymenovaný na základe zásluh a zdokumentovaných administratívnych a riadiacich schopností, ako aj na základe kvalifikácie a skúseností vo sfére kybernetickej bezpečnosti a aby vykonával svoje povinnosti úplne nezávisle. Výkonný riaditeľ by mal pripraviť návrh pracovného programu agentúry po predchádzajúcej konzultácii s Komisiou a prijať všetky potrebné opatrenia na zabezpečenie riadneho vykonania pracovného programu agentúry. Mal by vypracovať výročnú správu, ktorá sa predkladá správnej rade, návrh výkazu odhadov príjmov a výdavkov agentúry a mal by plniť rozpočet. Okrem toho by mal mať možnosť zriadiť ad hoc pracovné skupiny zamerané na osobitné záležitosti najmä vedeckého, technického, právneho či sociálno-ekonomického charakteru. Výkonný riaditeľ by mal zabezpečiť, aby sa členovia ad hoc pracovných skupín vyberali podľa najprísnejších požiadaviek na odbornosť, pričom by sa náležite zohľadnila reprezentatívna a rodová rovnováha medzi verejnými správami členských štátov, inštitúciami Únie, súkromným sektorom vrátane príslušného odvetvia, používateľmi a akademickými expertmi v oblasti sieťovej a informačnej bezpečnosti, a to podľa konkrétnej tematiky.

Pozmeňujúci návrh    36

Návrh nariadenia

Odôvodnenie 44

Text predložený Komisiou

Pozmeňujúci návrh

(44)  Agentúra by mala mať stálu skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov a inými príslušnými zainteresovanými stranami. Stála skupina zainteresovaných strán zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a upriamiť na ne pozornosť agentúry. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, z ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry.

(44)  Agentúra by mala mať poradnú skupinu ENISA ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov, akademickou sférou a inými príslušnými zainteresovanými stranami. Poradná skupina agentúry ENISA zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a mala by na ne upriamiť pozornosť agentúry. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, s ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry. Vzhľadom na dôležitosť certifikačných požiadaviek na zaistenie dôvery v internet vecí Komisia osobitne zváži vykonávacie opatrenia na zabezpečenie harmonizácie bezpečnostných noriem pre zariadenia v oblasti internetu vecí na úrovni celej EÚ.

Pozmeňujúci návrh    37

Návrh nariadenia

Odôvodnenie 44 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

44a.  Agentúra by mala mať certifikačnú skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, s organizáciami spotrebiteľov, akademickou sférou a inými príslušnými zainteresovanými stranami. Certifikačná skupina zainteresovaných strán zriadená výkonným riaditeľom by mala byť zložená zo všeobecného poradného výboru, ktorý poskytuje vstupy o produktoch a službách IKT, na ktoré by sa mali vzťahovať budúce európske systémy certifikácie bezpečnosti informačných technológií, ako aj z ad hoc výborov, ktoré poskytujú vstupy pre návrh, vývoj a prijímanie požadovaných kandidátskych európskych systémov kybernetickej bezpečnosti.

Pozmeňujúci návrh    38

Návrh nariadenia

Odôvodnenie 46

Text predložený Komisiou

Pozmeňujúci návrh

(46)  S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry a umožniť jej plniť ďalšie a nové úlohy vrátane nepredvídaných núdzových úloh by sa mal agentúre poskytnúť dostatočný a nezávislý rozpočet, ktorého príjmy pochádzajú predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry. Väčšina zamestnancov agentúry by mala byť priamo zapojená do operačného plnenia mandátu agentúry. Hostiteľský členský štát alebo akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do príjmov agentúry. Rozpočtový postup Únie by sa mal naďalej uplatňovať, pokiaľ ide o všetky dotácie započítateľné do všeobecného rozpočtu Únie. Okrem toho by Dvor audítorov mal vykonať audit účtov agentúry v záujme transparentnosti a zodpovednosti.

(46)  S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry a umožniť jej plniť ďalšie a nové úlohy vrátane nepredvídaných núdzových úloh by sa mal agentúre poskytnúť dostatočný a nezávislý rozpočet, ktorého príjmy pochádzajú predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry. Primeraný rozpočet je prvoradý na zabezpečenie toho, aby agentúra mala dostatočné kapacity na plnenie všetkých svojich pribúdajúcich úloh a cieľov. Väčšina zamestnancov agentúry by mala byť priamo zapojená do operačného plnenia mandátu agentúry. Hostiteľský členský štát alebo akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do príjmov agentúry. Rozpočtový postup Únie by sa mal naďalej uplatňovať, pokiaľ ide o všetky dotácie započítateľné do všeobecného rozpočtu Únie. Okrem toho by Dvor audítorov mal vykonať audit účtov agentúry v záujme transparentnosti, zodpovednosti a efektívnosti výdavkov.

Pozmeňujúci návrh    39

Návrh nariadenia

Odôvodnenie 47

Text predložený Komisiou

Pozmeňujúci návrh

(47)  Posudzovanie zhody je proces, ktorým sa preukazuje splnenie stanovených požiadaviek na určitý produkt, proces, službu, systém, osobu alebo orgán. Na účely tohto nariadenia by sa certifikácia mala považovať za istý typ posudzovania zhody kyberneticko-bezpečnostných prvkov produktu, procesu, služby, systému alebo ich kombinácie („produkty a služby IKT“) treťou stranou inou ako výrobca či poskytovateľ služby. Certifikácia sama osebe nemôže zaručiť, že certifikované produkty a služby IKT sú kyberneticky bezpečné. Ide skôr o postup a technickú metodiku na potvrdenie toho, že produkty a služby IKT boli preskúšané a spĺňajú určité kyberneticko-bezpečnostné požiadavky stanovené inde, napríklad v technických normách.

(47)  Posudzovanie zhody je proces, ktorým sa preukazuje splnenie stanovených požiadaviek na určitý produkt, proces, službu, systém, osobu alebo orgán. Na účely tohto nariadenia by sa certifikácia mala považovať za istý typ posudzovania zhody kyberneticko-bezpečnostných prvkov produktu, procesu, služby, systému alebo ich kombinácie (produkty, procesy a služby IKT) nezávislou treťou stranou, alebo ak je to povolené, vlastným posúdením výrobcu či poskytovateľa služby. Vlastné posúdenie môžu vykonať výrobca, MSP alebo poskytovateľ služieb, ako sa uvádza v tomto nariadení a prípadne ako je stanovené v novom legislatívnom rámci. Okrem toho ho môže vykonať výrobca alebo prevádzkovateľ, ak nie je vysoko ani značne pravdepodobné, že dôjde k incidentu v oblasti kybernetickej bezpečnosti a/alebo že takýto incident spôsobí podstatnú ujmu spoločnosti alebo jej veľkej časti, berúc do úvahy predpokladané použitia predmetného produktu alebo služby výrobcom alebo poskytovateľom služieb. Certifikácia sama o sebe nemôže zaručiť, že produkty, procesy a služby IKT, na ktoré sa vzťahuje, sú kyberneticky bezpečné a o tomto treba spotrebiteľov a podniky riadne informovať. Ide skôr o postup a technickú metodiku na potvrdenie toho, že produkty, procesy a služby IKT boli preskúšané a spĺňajú určité kyberneticko-bezpečnostné požiadavky stanovené inde, napríklad v technických normách. Tieto technické normy obsahujú i údaj o tom, či produkt, proces a služba IKT môžu plniť svoju riadnu funkciu i v prípade odpojenia od internetu.

Pozmeňujúci návrh    40

Návrh nariadenia

Odôvodnenie 48

Text predložený Komisiou

Pozmeňujúci návrh

(48)  Certifikácia kybernetickej bezpečnosti zohráva významnú úlohu pri posilňovaní dôvery v produkty a služby IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a internet vecí môžu prosperovať iba ak široká verejnosť verí, že takéto produkty a služby poskytujú určitú mieru dôveryhodnosti kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, automatické priemyselné riadiace systémy či inteligentné siete sú iba niektorými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa začne využívať v blízkej budúcnosti. Smernica NIS pokrýva aj odvetvia, kde je certifikácia kybernetickej bezpečnosti kľúčová.

(48)  Európska certifikácia kybernetickej bezpečnosti zohráva zásadnú úlohu pri posilňovaní dôvery v produkty, procesy a služby IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a internet vecí môžu prosperovať iba vtedy, ak široká verejnosť verí, že takéto produkty a služby poskytujú vysokú mieru dôveryhodnosti kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, automatické priemyselné riadiace systémy či inteligentné siete sú iba niektorými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa pravdepodobne začne využívať v blízkej budúcnosti. Smernica NIS pokrýva aj odvetvia, kde je certifikácia kybernetickej bezpečnosti kľúčová.

Pozmeňujúci návrh    41

Návrh nariadenia

Odôvodnenie 49

Text predložený Komisiou

Pozmeňujúci návrh

(49)  Vo svojom oznámení s názvom „Posilnenie odolnosti kybernetického systému a podpora konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe“ z roku 2016 Komisia zdôraznila potrebu kvalitných, cenovo dostupných a interoperabilných produktov a riešení v oblasti kybernetickej bezpečnosti. Ponuka produktov a služieb IKT na jednotnom trhu je geograficky stále veľmi fragmentovaná. Dôvodom je, že vývoj odvetvia kybernetickej bezpečnosti v Európe sa do značnej miery riadil dopytom verejných správ jednotlivých štátov. Medzi ďalšie nedostatky ovplyvňujúce kybernetickú bezpečnosť na jednotnom trhu patrí absencia interoperabilných riešení (technických noriem), postupov a celoúnijných mechanizmov certifikácie. Na jednej strane to európskym firmám sťažuje možnosť konkurovať na národnej, európskej i svetovej úrovni. Na druhej sa okliešťuje ponuka reálne využiteľných kyberneticko-bezpečnostných technológií, ku ktorým majú jednotlivci a spoločnosti prístup. Podobne Komisia vo svojom preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania zdôraznila potrebu bezpečných pripojených produktov a systémov a naznačila, že vytvorenie európskeho rámca bezpečnosti IKT, v ktorom sa stanovia pravidlá organizovania certifikácie bezpečnosti IKT v Únii, by mohlo zachovať dôveru v internet a zároveň vyriešiť súčasnú fragmentáciu trhu kybernetickej bezpečnosti.

(49)  Vo svojom oznámení s názvom „Posilnenie odolnosti kybernetického systému a podpora konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe“ z roku 2016 Komisia zdôraznila potrebu kvalitných, cenovo dostupných a interoperabilných produktov a riešení v oblasti kybernetickej bezpečnosti. Ponuka produktov, procesov a služieb IKT na jednotnom trhu je geograficky stále veľmi fragmentovaná. Dôvodom je, že vývoj odvetvia kybernetickej bezpečnosti v Európe sa do značnej miery riadil dopytom verejných správ jednotlivých štátov. Medzi ďalšie nedostatky ovplyvňujúce kybernetickú bezpečnosť na jednotnom trhu patrí absencia interoperabilných riešení (technických noriem), postupov a celoúnijných mechanizmov certifikácie. Na jednej strane to európskym firmám sťažuje možnosť konkurovať na národnej, európskej i svetovej úrovni. Na druhej sa okliešťuje ponuka reálne využiteľných kyberneticko-bezpečnostných technológií, ku ktorým majú jednotlivci a spoločnosti prístup. Podobne Komisia vo svojom preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania zdôraznila potrebu bezpečných pripojených produktov a systémov a naznačila, že vytvorenie európskeho rámca bezpečnosti IKT, v ktorom sa stanovia pravidlá organizovania certifikácie bezpečnosti IKT v Únii, by mohlo zachovať dôveru v internet a zároveň vyriešiť súčasnú fragmentáciu trhu kybernetickej bezpečnosti.

Pozmeňujúci návrh    42

Návrh nariadenia

Odôvodnenie 50

Text predložený Komisiou

Pozmeňujúci návrh

(50)  Certifikácia kybernetickej bezpečnosti produktov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým orgánom kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich verejných obstarávaní. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam kybernetickej bezpečnosti, ako je napríklad internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, úrovne dôveryhodnosti bezpečnosti, vecných kritérií a samotného využitia.

(50)  Certifikácia kybernetickej bezpečnosti produktov, procesov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým národným orgánom kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty, procesy a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich postupov verejného obstarávania, čím sa im zvýšia náklady. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam kybernetickej bezpečnosti, ako je napríklad internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, stupňov dôveryhodnosti na základe rizika, vecných kritérií a samotného využitia. Vzájomné uznávanie a dôvera medzi členskými štátmi je v tejto súvislosti kľúčovým prvkom. Agentúra ENISA zohráva dôležitú úlohu, keď pomáha členským štátom vytvoriť spoľahlivú inštitucionálnu štruktúru a odbornosť v oblasti ochrany pred prípadnými kybernetickými útokmi. S cieľom zabezpečiť, aby služby, procesy a produkty podliehali primeraným systémom certifikácie, je potrebný individuálny prístup. Na účinnú identifikáciu a zmiernenie rizík je navyše potrebný prístup založený na riziku, pričom súčasne treba uznať, že univerzálny systém nie je možný.

Pozmeňujúci návrh    43

Návrh nariadenia

Odôvodnenie 52

Text predložený Komisiou

Pozmeňujúci návrh

(52)  Z uvedených dôvodov treba zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie kybernetickej bezpečnosti, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov a služieb IKT vo všetkých členských štátoch. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty a služby IKT certifikované podľa takýchto systémov. Na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií kybernetickej bezpečnosti, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Systémy by mali byť nediskriminačné a založené na medzinárodných a/alebo únijných normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

(52)  Z uvedených dôvodov treba prijať spoločný prístup a zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie kybernetickej bezpečnosti, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov, procesov a služieb IKT vo všetkých členských štátoch. Pri tom je nevyhnutné stavať na súčasných vnútroštátnych a medzinárodných systémoch, ako aj na systémoch vzájomného uznávania, najmä na systéme SOG-IS, a umožniť plynulý prechod z existujúcich systémov na takéto systémy v novom európskom rámci. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty, procesy a služby IKT certifikované podľa takýchto systémov, na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií kybernetickej bezpečnosti, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Ak európska certifikácia kybernetickej bezpečnosti nahradila vnútroštátny systém, certifikáty vydané v rámci európskeho systému by sa mali uznať za platné v prípadoch, keď sa vyžaduje certifikácia podľa vnútroštátneho systému. Systémy by sa mali riadiť zásadou bezpečnosti už v štádiu návrhu a zásadami uvedenými v nariadení (EÚ) 2016/679. Mali by tiež byť nediskriminačné a založené na medzinárodných a/alebo únijných normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

Pozmeňujúci návrh    44

Návrh nariadenia

Odôvodnenie 52 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

52a.  Európsky rámec certifikácie kybernetickej bezpečnosti by sa mal zaviesť jednotne vo všetkých členských štátoch, aby sa zabránilo praxi tzv. nakupovania certifikátov spôsobenej rozdielnymi nákladmi alebo úrovňami požiadaviek v členských štátoch.

Pozmeňujúci návrh    45

Návrh nariadenia

Odôvodnenie 52 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

52b.  Poznamenáva, že systémy certifikácie by mali vychádzať z už existujúcich možností na vnútroštátnej a medzinárodnej úrovni, pričom treba využívať silné stránky a posudzovať a naprávať nedostatky.

Pozmeňujúci návrh    46

Návrh nariadenia

Odôvodnenie 52 c (new)

Text predložený Komisiou

Pozmeňujúci návrh

 

52c.  S cieľom zabezpečiť, aby si odvetvie udržiavalo náskok pred škodlivými útokmi a hrozbami, sú potrebné pružné riešenia v oblasti kybernetickej bezpečnosti, a preto by každá schéma certifikácie mala zamedzovať riziku rýchleho zastarania.

Pozmeňujúci návrh    47

Návrh nariadenia

Odôvodnenie 53

Text predložený Komisiou

Pozmeňujúci návrh

(53)  Komisia by mala byť splnomocnená na prijímanie európskych systémov certifikácie kybernetickej bezpečnosti pre konkrétne skupiny produktov a služieb IKT. Uplatňovanie týchto systémov a dohľad nad nimi by mali vykonávať vnútroštátne orgány dohľadu nad certifikáciou, pričom certifikáty vydané podľa týchto systémov by mali byť platné a uznávané v celej Únii. Z pôsobnosti nariadenia by sa mali vyňať certifikačné systémy, ktoré uplatňuje príslušné odvetvie alebo iné súkromné organizácie. Orgány, ktoré takéto systémy prevádzkujú, však môžu Komisii navrhnúť zváženie ich použitia ako základ pre schválenie v podobe európskeho systému.

(53)  Komisia by mala byť splnomocnená na prijímanie európskych systémov certifikácie kybernetickej bezpečnosti pre konkrétne skupiny produktov, procesov a služieb IKT. Uplatňovanie týchto systémov a dohľad nad nimi by mali vykonávať vnútroštátne orgány dohľadu nad certifikáciou, pričom certifikáty vydané podľa týchto systémov by mali byť platné a uznávané v celej Únii. Z rozsahu pôsobnosti nariadenia by sa mali vyňať systémy certifikácie, ktoré uplatňuje príslušné odvetvie alebo iné súkromné organizácie. Orgány, ktoré takéto systémy prevádzkujú, však môžu Komisii navrhnúť zváženie ich použitia ako základ pre schválenie v podobe európskeho systému. Agentúra by mala určiť a posúdiť systémy, ktoré už prevádzkuje odvetvie alebo súkromné organizácie, s cieľom vybrať najlepšie postupy, ktoré by sa mohli stať súčasťou európskeho systému. Aktéri odvetvia môžu uskutočňovať vlastné posúdenie svojich produktov alebo služieb pred certifikáciou, a tak dať najavo, že ich produkt alebo služba sú pripravené začať proces certifikácie, ak je to nutné alebo potrebné.

Pozmeňujúci návrh    48

Návrh nariadenia

Odôvodnenie 53 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

53a.  Agentúra a Komisia by mali čo najlepšie využívať existujúce systémy certifikácie na úrovni EÚ a/alebo medzinárodnej úrovni. Agentúra ENISA by mala byť schopná posúdiť, ktoré systémy, ktoré sa už používajú, plnia svoj účel a možno ich prevziať do európskych právnych predpisov v spolupráci s normalizačnými organizáciami EÚ, a pokiaľ je to možné, i medzinárodne uznať. Existujúce osvedčené postupy by sa mali zbierať a vymieňať medzi členskými štátmi.

Pozmeňujúci návrh    49

Návrh nariadenia

Odôvodnenie 54

Text predložený Komisiou

Pozmeňujúci návrh

(54)  Ustanoveniami tohto nariadenia by nemala byť dotknutá legislatíva Únie stanovujúca konkrétne pravidlá certifikácie produktov a služieb IKT. Najmä všeobecné nariadenie o ochrane údajov obsahuje ustanovenia o zriadení certifikačných mechanizmov, pečatí a značiek ochrany údajov na preukázanie súladu spracovateľských operácií prevádzkovateľov a sprostredkovateľov s daným nariadením. Tieto certifikačné mechanizmy, pečate a značky ochrany údajov by mali dotknutým osobám umožniť rýchle vyhodnotenie, nakoľko príslušné produkty a služby chránia údaje. Týmto nariadením nie je dotknutá certifikácia operácií spracovania údajov podľa všeobecného nariadenia o ochrane údajov, čo platí aj pre prípady, keď sú takéto operácie súčasťou produktov a služieb.

(54)  Ustanoveniami tohto nariadenia by nemali byť dotknuté právne predpisy Únie stanovujúce konkrétne pravidlá certifikácie produktov, procesov a služieb IKT. Najmä všeobecné nariadenie o ochrane údajov obsahuje ustanovenia o zriadení certifikačných mechanizmov, pečatí a značiek ochrany údajov na preukázanie súladu spracovateľských operácií prevádzkovateľov a sprostredkovateľov s daným nariadením. Tieto certifikačné mechanizmy, pečate a značky ochrany údajov by mali dotknutým osobám umožniť rýchle vyhodnotenie, nakoľko príslušné produkty a služby chránia údaje. Týmto nariadením nie je dotknutá certifikácia operácií spracovania údajov podľa všeobecného nariadenia o ochrane údajov, čo platí aj pre prípady, keď sú takéto operácie súčasťou produktov a služieb.

Pozmeňujúci návrh    50

Návrh nariadenia

Odôvodnenie 55

Text predložený Komisiou

Pozmeňujúci návrh

(55)  Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, aby produkty a služby IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni dôveryhodnosti odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných produktov, procesov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné kyberneticko-bezpečnostné požiadavky na všetky produkty a služby IKT. Produkty a služby IKT, ako aj súvisiace kyberneticko-bezpečnostné potreby sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky na kybernetickú bezpečnosť, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie doplnený súborom špecifických kyberneticko-bezpečnostných cieľov, ktoré treba pri návrhu európskych systémov certifikácie kybernetickej bezpečnosti zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch a službách IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia – napríklad s odvolaním sa na normy alebo technické špecifikácie.

(55)  Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, aby produkty, služby a procesy IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni rizika odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných produktov, procesov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné kyberneticko-bezpečnostné požiadavky na všetky produkty, služby a procesy IKT. Produkty, služby a procesy IKT, ako aj súvisiace kyberneticko-bezpečnostné potreby sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky na kybernetickú bezpečnosť, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie doplnený súborom špecifických kyberneticko-bezpečnostných cieľov, ktoré treba pri návrhu európskych systémov certifikácie kybernetickej bezpečnosti zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch, službách a procesoch IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia – napríklad s odvolaním sa na normy alebo technické špecifikácie. Všetci aktéri v danom dodávateľskom reťazci by sa mali podporovať pri rozvíjaní a prijímaní bezpečnostných noriem, technických noriem a zásad bezpečnosti už v štádiu návrhu vo všetkých fázach životného cyklu produktu, služby alebo procesu; každý európsky systém certifikácie kybernetickej bezpečnosti by mal byť navrhnutý na dosiahnutie tohto cieľa.

Pozmeňujúci návrh    51

Návrh nariadenia

Odôvodnenie 56

Text predložený Komisiou

Pozmeňujúci návrh

(56)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty alebo služby IKT. Následne by Komisia mala byť splnomocnená na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať európsky systém certifikácie kybernetickej bezpečnosti v podobe vykonávacích aktov. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia kyberneticko-bezpečnostných požiadaviek (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy, ako aj cieľový stupeň dôveryhodnosti: základná, pokročilá a/alebo vysoká.

(56)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty, procesy alebo služby IKT na základe oprávnených dôvodov, a to existujúcich vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, ktoré spôsobujú fragmentáciu vnútorného trhu; súčasnej alebo predpokladanej potreby podporovať právo Únie; alebo stanoviska certifikačnej skupiny členských štátov alebo certifikačnej skupiny zainteresovaných strán. Po posúdení kandidátskych systémov certifikácie navrhovaných agentúrou ENISA na základe žiadosti Komisie by Komisia následne mala byť splnomocnená prijať európske systémy certifikácie kybernetickej bezpečnosti prostredníctvom delegovaných aktov. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, by tieto európske systémy certifikácie kybernetickej bezpečnosti mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia kyberneticko-bezpečnostných požiadaviek (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy, ako aj cieľový stupeň dôveryhodnosti: základná, pokročilá a/alebo vysoká.

Pozmeňujúci návrh    52

Návrh nariadenia

Odôvodnenie 56 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

56a.  Agentúra by mala byť referenčným bodom pre informácie o európskych systémoch kybernetickej bezpečnosti. Mala by spravovať webovú stránku so všetkými relevantnými informáciami, a to aj pokiaľ ide o certifikáty, ktoré boli stiahnuté a vypršala im platnosť, ako aj certifikácie na vnútroštátnej úrovni. Agentúra by mala zabezpečiť, aby primeraná časť obsahu jej webovej stránky bola zrozumiteľná pre bežných spotrebiteľov.

Pozmeňujúci návrh    53

Návrh nariadenia

Odôvodnenie 56 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

56b.  Určenie stupňov dôveryhodnosti pre certifikáty je potrebné nato, aby sa koncovým používateľom poskytol údaj o očakávanom druhu kybernetických hrozieb, ktorým majú opatrenia kybernetickej bezpečnosti zabrániť v rámci produktu, procesu alebo služby. Kybernetické hrozby treba určiť s ohľadom na očakávané riziko a schopnosti autora alebo autorov útoku v súvislosti s očakávaným použitím dotknutého produktu, procesu alebo služby IKT. „Základný“ stupeň dôveryhodnosti sa vzťahuje na schopnosť odolávať útokom, ktorým možno zabrániť prostredníctvom základných opatrení kybernetickej bezpečnosti a ktoré možno ľahko skontrolovať preskúmaním technickej dokumentácie. „Pokročilý“ stupeň dôveryhodnosti sa vzťahuje na schopnosť odolávať známym druhom útokov útočníka s určitou úrovňou sofistikovanosti, ale s obmedzenými prostriedkami. „Vysoký“ stupeň dôveryhodnosti sa vzťahuje na schopnosť odolávať neznámym zraniteľným miestam a sofistikovaným útokom najmodernejšími technikami a značnými prostriedkami, ako sú napríklad financované multidisciplinárne tímy.

Pozmeňujúci návrh    54

Návrh nariadenia

Odôvodnenie 56 c (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

56c.  S cieľom zamedziť fragmentácii vnútorného trhu v dôsledku vnútroštátnych systémov kybernetickej bezpečnosti, podporiť budúce právne predpisy a zvýšiť dôveru a bezpečnosť by sa mala Komisii udeliť právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie, pokiaľ ide o stanovenie priorít európskej certifikácie kybernetickej bezpečnosti, prijatie programu prebiehajúcich prác a prijatie európskych systémov certifikácie. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila vhodné konzultácie, a to aj na expertnej úrovni, a aby sa tieto konzultácie viedli v súlade so zásadami stanovenými v Medziinštitucionálnej dohode o lepšej tvorbe práva z 13. apríla 2016. Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako odborníkom z členských štátov a odborníci Európskeho parlamentu a Rady majú systematický prístup na zasadnutia expertných skupín Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

Pozmeňujúci návrh    55

Návrh nariadenia

Odôvodnenie 56 d (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

56d.  Medzi metódami hodnotenia a postupmi posudzovania súvisiacimi s každým európskym systémom certifikácie kybernetickej bezpečnosti by sa na úrovni Únie malo podporovať etické hackovanie, ktorého zámerom je lokalizovať slabé a zraniteľné miesta zariadení a informačných systémov odhaľovaním plánovaných krokov a zručností hackerov so zlými úmyslami.

Pozmeňujúci návrh    56

Návrh nariadenia

Odôvodnenie 57

Text predložený Komisiou

Pozmeňujúci návrh

(57)  Využívanie európskej certifikácie kybernetickej bezpečnosti by malo zostať dobrovoľné, pokiaľ sa nestanovuje inak v únijných alebo vnútroštátnych právnych predpisoch. Aby sa však dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, vnútroštátne systémy alebo postupy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, by mali stratiť účinky od dátumu, ktorý stanoví Komisia vo vykonávacom akte. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti v prípade produktov a služieb IKT, pre ktoré už existuje európsky systém certifikácie kybernetickej bezpečnosti.

(57)  Využívanie európskej certifikácie kybernetickej bezpečnosti by malo zostať dobrovoľné, pokiaľ sa nestanovuje inak v únijných alebo vnútroštátnych právnych predpisoch. Aby sa však dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, vnútroštátne systémy alebo postupy certifikácie kybernetickej bezpečnosti produktov, procesov a služieb IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, by mali stratiť účinok od dátumu, ktorý stanoví Komisia prostredníctvom delegovaného aktu. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti v prípade produktov a služieb IKT, pre ktoré už existuje európsky systém certifikácie kybernetickej bezpečnosti. Týmto nariadením by však nemali byť dotknuté vnútroštátne systémy, podľa ktorých sú členské štáty naďalej zvrchované v otázkach riadenia produktov, procesov a služieb IKT používaných na ich zvrchované potreby v oblasti domén.

Pozmeňujúci návrh    57

Návrh nariadenia

Odôvodnenie 57 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

57a.  Povinnosť vydať vyhlásenie o produkte, ktoré obsahuje štruktúrované informácie o certifikácii produktu, procesu alebo služby, sa zavádza s cieľom poskytnúť spotrebiteľovi viac informácií a umožniť mu, aby uskutočnil informovaný výber.

Pozmeňujúci návrh    58

Návrh nariadenia

Odôvodnenie 57 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

57b.  Pri navrhovaní nových európskych systémov kybernetickej bezpečnosti by agentúra ENISA a ďalšie príslušné orgány mali venovať náležitú pozornosť zachovaniu konkurenčnej dynamiky návrhu a osobitne zabezpečiť, aby v prípade, že v dotknutom odvetví je mnoho malých a stredných podnikov, napríklad v oblasti vývoja softvéru, systémy certifikácie neboli prekážkou pre vstup nových podnikov a pre inovácie.

Pozmeňujúci návrh    59

Návrh nariadenia

Odôvodnenie 57 c (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

57c.  Európske systémy kybernetickej bezpečnosti pomôžu zosúladiť a zjednotiť postupy kybernetickej bezpečnosti v Únii. Nesmú sa však stať minimálnou úrovňou kybernetickej bezpečnosti. Koncepcia európskych systémov kybernetickej bezpečnosti by však mala zohľadňovať a umožniť aj rozvoj nových inovácií v oblasti kybernetickej bezpečnosti.

Pozmeňujúci návrh    60

Návrh nariadenia

Odôvodnenie 58

Text predložený Komisiou

Pozmeňujúci návrh

(58)  Po prijatí určitého európskeho systému certifikácie kybernetickej bezpečnosti by mali výrobcovia produktov alebo poskytovatelia služieb IKT môcť požiadať o certifikáciu svojich produktov alebo služieb ktorýmkoľvek orgánom posudzovania zhody, ktorý si zvolia. Orgány posudzovania zhody by mal akreditovať akreditačný orgán, ak spĺňajú určité požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov, pričom ju možno obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody spĺňa požiadavky. Akreditačné orgány by mali orgánu posudzovania zhody akreditáciu odňať, ak nie sú alebo prestanú byť splnené akreditačné podmienky, alebo ak kroky daného orgánu posudzovania zhody porušujú toto nariadenie.

(58)  Po prijatí určitého európskeho systému certifikácie kybernetickej bezpečnosti by mali výrobcovia produktov alebo poskytovatelia procesov alebo služieb IKT môcť požiadať o certifikáciu svojich produktov alebo služieb ktorýmkoľvek orgánom posudzovania zhody kdekoľvek v Únii, ktorý si zvolia. Orgány posudzovania zhody by mal akreditovať akreditačný orgán, ak spĺňajú určité požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov, pričom ju možno obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody spĺňa požiadavky. Akreditačné orgány by mali orgánu posudzovania zhody akreditáciu odňať, ak nie sú alebo prestanú byť splnené akreditačné podmienky alebo ak kroky daného orgánu posudzovania zhody porušujú toto nariadenie. Audity by agentúra mala vykonávať v záujme zabezpečenia rovnocennej úrovne kvality a starostlivosti orgánov posudzovania zhody s cieľom zamedziť regulatórnej arbitráži. Výsledky by sa mali oznamovať agentúre, Komisii a Parlamentu a mali by byť verejne prístupné.

Pozmeňujúci návrh    61

Návrh nariadenia

Odôvodnenie 58 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

58a.  Povinné uplatňovanie európskej certifikácie kybernetickej bezpečnosti by sa malo obmedziť na prípady, keď analýza rizika odôvodňuje náklady pre odvetvie, občanov a spotrebiteľov. Incidenty narúšajúce základné služby môžu brániť realizácii hospodárskych činností, vytvárať značné finančné straty, oslabovať dôveru používateľov a spôsobovať značné škody pre hospodárstvo Únie. Povinné uplatňovanie európskej certifikácie kybernetickej bezpečnosti prevádzkovateľmi základných služieb by sa malo obmedziť na tie prvky, ktoré sú rozhodujúce pre ich fungovanie, a nemalo by byť rozšírené na univerzálne produkty, procesy a služby, ktoré by mohli vytvárať neodôvodnené náklady pre priemysel a spotrebiteľov. Komisia by mala spolupracovať so skupinou pre spoluprácu zriadenou podľa článku 11 smernice (EÚ) 2016/1148 s cieľom vymedziť zoznam kategórií produktov, procesov a služieb, ktoré sú osobitne určené na použitie prevádzkovateľmi základných služieb a ktorých nesprávne fungovanie v prípade incidentu by mohlo mať závažný rušivý vplyv na základnú službu. Tento zoznam by sa mal zostavovať postupne a v prípade potreby by sa mal aktualizovať. Pre prevádzkovateľov základných požiadaviek by mali byť povinné len produkty, procesy a služby uvedené v tomto zozname.

Pozmeňujúci návrh    62

Návrh nariadenia

Odôvodnenie 58 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

58b.  Existencia odkazov vo vnútroštátnych právnych predpisoch na vnútroštátnu normu, ktorá prestala mať právny účinok v dôsledku nadobudnutia účinnosti európskeho systému certifikácie, môže byť pre výrobcov a koncových používateľov potenciálnym zdrojom nejasností. S cieľom zabrániť tomu, aby výrobcovia pokračovali v uplatňovaní špecifikácií zodpovedajúcich vnútroštátnym certifikátom, ktoré už nie sú platné, by členské štáty mali v súlade so svojimi záväzkami vyplývajúcimi zo zmlúv prispôsobiť svoje vnútroštátne právne predpisy tak, aby odzrkadľovali prijatie európskeho systému certifikácie.

Pozmeňujúci návrh    63

Návrh nariadenia

Odôvodnenie 59

Text predložený Komisiou

Pozmeňujúci návrh

(59)  Od všetkých členských štátov treba žiadať určenie jedného vnútroštátneho orgánu dohľadu nad certifikáciou kybernetickej bezpečnosti, ktorý bude dohliadať na súlad orgánov posudzovania zhody so sídlom na ich území a nimi vydaných certifikátov s požiadavkami tohto nariadenia a príslušných systémov certifikácie kybernetickej bezpečnosti. Vnútroštátne orgány dohľadu nad certifikáciou by mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, primerane prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by mali spolupracovať s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych kyberneticko-bezpečnostných systémov.

(59)  Od všetkých členských štátov treba žiadať určenie jedného orgánu dohľadu nad certifikáciou kybernetickej bezpečnosti, ktorý bude dohliadať na súlad orgánov posudzovania zhody so sídlom na ich území a nimi vydaných certifikátov s požiadavkami tohto nariadenia a príslušných systémov certifikácie kybernetickej bezpečnosti, pričom treba zabezpečiť, aby sa na ich území uznávali európske certifikáty kybernetickej bezpečnosti. Vnútroštátne orgány dohľadu nad certifikáciou by mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území alebo v súvislosti s údajnými zlyhaniami pri uznávaní certifikátov na ich území, primerane prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by mali spolupracovať s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane výmeny informácií o možnom nesúlade produktov, procesov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych kyberneticko-bezpečnostných systémov alebo o neuznávaní európskych certifikátov kybernetickej bezpečnosti. Navyše by mali vykonávať dohľad a overovať dodržiavanie vlastných vyhlásení o súlade a to, aby európske certifikáty o kybernetickej bezpečnosti vydávali orgány posudzovania súladu v zhode s požiadavkami vymedzenými v tomto nariadení vrátane pravidiel prijatých európskou skupinou pre certifikáciu kybernetickej bezpečnosti a s požiadavkami vymedzenými v zodpovedajúcom európskom systéme certifikácie kybernetickej bezpečnosti. Účinná spolupráca medzi vnútroštátnymi orgánmi dohľadu nad certifikáciou je zásadná pre riadnu realizáciu európskych systémov certifikácie kybernetickej bezpečnosti a technických otázok týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT. Komisia by mala uľahčiť túto výmenu informácií tým, že sprístupní všeobecný elektronický podporný informačný systém, napríklad Informačný a komunikačný systém pre dohľad nad trhom (ICSMS) a systém na rýchlu výmenu informácií o nebezpečných nepotravinových výrobkoch (RAPEX), ktoré už používajú orgány dohľadu nad trhom podľa nariadenia (ES) č. 765/2008.

Pozmeňujúci návrh    64

Návrh nariadenia

Odôvodnenie 60

Text predložený Komisiou

Pozmeňujúci návrh

(60)  V záujme konzistentného uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti by sa mala zriadiť európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „skupina“) zložená z vnútroštátnych orgánov dohľadu nad certifikáciou. Medzi hlavné úlohy tejto skupiny by mali patriť poradenstvo a pomoc Komisii v jej úsilí o zaistenie konzistentného vykonávania a uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti; pomoc agentúre a úzka spolupráca s ňou pri príprave kandidátskych systémov certifikácie kybernetickej bezpečnosti; odporúčania, na základe ktorých Komisia žiada agentúru o vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti; a prijímanie stanovísk pre Komisiu k udržiavaniu a prehodnocovaniu existujúcich európskych systémov certifikácie kybernetickej bezpečnosti.

(60)  V záujme konzistentného uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti by sa mala zriadiť skupina členských štátov pre certifikáciu zložená z vnútroštátnych orgánov dohľadu nad certifikáciou. Medzi hlavné úlohy skupiny členských štátov pre certifikáciu by mali patriť poradenstvo a pomoc Komisii v jej úsilí o zaistenie konzistentného vykonávania a uplatňovania európskeho rámca certifikácie kybernetickej bezpečnosti; pomoc agentúre a úzka spolupráca s ňou pri príprave kandidátskych systémov certifikácie kybernetickej bezpečnosti; odporúčania, na základe ktorých Komisia žiada agentúru o vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti; a prijímanie stanovísk pre Komisiu k udržiavaniu a prehodnocovaniu existujúcich európskych systémov certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    65

Návrh nariadenia

Odôvodnenie 60 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

60a.  V záujme zabezpečenia rovnocennosti úrovne odbornej spôsobilosti orgánov posudzovania zhody, uľahčenia vzájomného uznávania a podporovania celkového uznávania certifikátov a výsledkov posudzovania zhody vydaných orgánmi posudzovania zhody je nevyhnutné, aby vnútroštátne orgány dohľadu nad certifikáciou prevádzkovali prísny a transparentný systém partnerského hodnotenia a pravidelne absolvovali takéto hodnotenie.

Pozmeňujúci návrh    66

Návrh nariadenia

Odôvodnenie 60 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

60b.  So zreteľom na cezhraničnú akreditáciu a na riadne vykonávanie partnerského hodnotenia je potrebná účinná spolupráca medzi vnútroštátnymi orgánmi dohľadu nad certifikáciou. V záujme transparentnosti je preto potrebné stanoviť pre vnútroštátne orgány dohľadu nad certifikáciou povinnosť vzájomnej výmeny informácií, ako aj poskytovania príslušných informácií vnútroštátnym orgánom a Komisii. Aktualizované a presné informácie o dostupnosti akreditačných činností, ktoré vykonávajú vnútroštátne akreditačné orgány, by sa mali takisto uverejňovať a takto by k nim mali mať prístup najmä orgány posudzovania zhody.

Pozmeňujúci návrh    67

Návrh nariadenia

Odôvodnenie 61

Text predložený Komisiou

Pozmeňujúci návrh

(61)  Na zvýšenie povedomia a uľahčenie akceptácie budúcich únijných systémov certifikácie kybernetickej bezpečnosti môže Európska komisia vydať všeobecné či odvetvové usmernenia o kybernetickej bezpečnosti – napríklad o osvedčených postupoch a zodpovednom správaní sa v tejto oblasti, pričom sa zdôrazní pozitívny účinok využívania certifikovaných produktov a služieb IKT.

(61)  Na zvýšenie povedomia a uľahčenie akceptácie budúcich únijných systémov certifikácie kybernetickej bezpečnosti môže Európska komisia vydať všeobecné či odvetvové usmernenia o kybernetickej bezpečnosti – napríklad o osvedčených postupoch a zodpovednom správaní sa v tejto oblasti, pričom sa zdôrazní pozitívny účinok využívania certifikovaných produktov, procesov a služieb IKT.

Pozmeňujúci návrh    68

Návrh nariadenia

Odôvodnenie 63

Text predložený Komisiou

Pozmeňujúci návrh

(63)  Na bližšie určenie kritérií akreditácie orgánov posudzovania zhody by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Komisia by mala v rámci prípravných prác viesť náležité konzultácie, a to aj na úrovni expertov. Pri týchto konzultáciách by sa mali dodržiavať zásady stanovené v medziinštitucionálnej dohode o lepšej tvorbe práva z 13. apríla 2016. Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov by sa všetky dokumenty mali doručiť Európskemu parlamentu a Rade v rovnakom čase ako odborníkom z členských štátov, a odborníci Európskeho parlamentu a Rady by mali mať systematicky prístup na zasadnutia expertných skupín Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

(63)  S cieľom bližšie určiť kritériá akreditácie orgánov posudzovania zhody by sa mala Komisii udeliť právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Komisia by počas svojich prípravných prác mala uskutočňovať vhodné konzultácie, a to aj na expertnej úrovni a podľa potreby s relevantnými zainteresovanými stranami. Pri týchto konzultáciách by sa mali dodržiavať zásady stanovené v Medziinštitucionálnej dohode o lepšej tvorbe práva z 13. apríla 2016. Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov by sa všetky dokumenty mali doručiť Európskemu parlamentu a Rade v rovnakom čase ako odborníkom z členských štátov, a odborníci Európskeho parlamentu a Rady by mali mať systematicky prístup na zasadnutia expertných skupín Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

Pozmeňujúci návrh    69

Návrh nariadenia

Odôvodnenie 65

Text predložený Komisiou

Pozmeňujúci návrh

(65)  Postup preskúmania by sa mal uplatniť pri prijímaní vykonávacích aktov o európskych systémoch certifikácie kybernetickej bezpečnosti produktov a služieb IKT, o modalitách skúmania zo strany agentúry, ako aj o okolnostiach, formátoch a postupoch, na základe ktorých majú vnútroštátne orgány dohľadu nad certifikáciou Komisii oznamovať akreditované orgány posudzovania zhody.

(65)  Mohli by sa ďalej prijímať delegované akty o európskych systémoch certifikácie kybernetickej bezpečnosti produktov, procesov a služieb IKT; o modalitách skúmania zo strany agentúry; ako aj o okolnostiach, formátoch a postupoch, na základe ktorých majú vnútroštátne orgány dohľadu nad certifikáciou Komisii oznamovať akreditované orgány posudzovania zhody.

Pozmeňujúci návrh    70

Návrh nariadenia

Odôvodnenie 66

Text predložený Komisiou

Pozmeňujúci návrh

(66)  Činnosť agentúry by sa mala vyhodnocovať nezávisle. V rámci toho by sa malo posúdiť napĺňanie cieľov agentúry, jej pracovné postupy a relevantnosť jej úloh. Zároveň by sa v hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti.

(66)  Činnosť agentúry by sa mala vyhodnocovať priebežne a nezávisle. V rámci toho by sa malo posúdiť napĺňanie cieľov agentúry, jej pracovné postupy a relevantnosť jej úloh, najmä jej koordinačná úloha vo vzťahu k členským štátom a ich vnútroštátnym orgánom. V prípade preskúmania by Komisia mala hodnotiť možnosť pôsobenia agentúry ako jednotného kontaktného miesta pre členské štáty a inštitúcie a orgány Únie.

Pozmeňujúci návrh    71

Návrh nariadenia

Odôvodnenie 66 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

66a.  Zároveň by sa v hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti. V prípade preskúmania by Komisia mohla hodnotiť úlohu agentúry pri posudzovaní produktov a služieb tretích krajín vstupujúcich na trh Únie a možnosť vytvorenia čiernej listiny spoločností, ktoré nespĺňajú pravidlá Únie.

Pozmeňujúci návrh    72

Návrh nariadenia

Odôvodnenie 66 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

66b.  Hodnotenie by malo analyzovať úroveň kybernetickej bezpečnosti produktov a služieb predávaných v Únii. V prípade preskúmania by Komisia mala hodnotiť, či zahrnie základné požiadavky týkajúce sa kybernetickej bezpečnosti ako podmienku prístupu na vnútorný trh.

Pozmeňujúci návrh    73

Návrh nariadenia

Článok 1 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  stanovujú ciele, úlohy a organizačné aspekty agentúry ENISA – Agentúry EÚ pre kybernetickú bezpečnosť (ďalej len „agentúra“) a

a)  stanovujú ciele, úlohy a organizačné aspekty Agentúry Európskej únie pre sieťovú a informačnú bezpečnosť (ďalej len „agentúra“) a

Pozmeňujúci návrh    74

Návrh nariadenia

Článok 1 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  stanovuje rámec vytvorenia európskych systémov certifikácie kybernetickej bezpečnosti na zaistenie primeranej úrovne kybernetickej bezpečnosti produktov a služieb IKT v Únii. Uplatňovaním tohto rámca nie sú dotknuté osobitné ustanovenia o dobrovoľnej či povinnej certifikácii podľa iných aktov Únie.

b)  stanovuje rámec vytvorenia európskych systémov certifikácie kybernetickej bezpečnosti na zamedzenie fragmentácii systémov certifikácie v Únii a zaistenie primeranej úrovne kybernetickej bezpečnosti produktov, procesov a služieb IKT v Únii, ktorý sa uplatňuje bez toho, aby boli dotknuté osobitné ustanovenia týkajúce sa dobrovoľného a prípadne povinného osvedčovania, ak je to stanovené v tomto nariadení alebo v iných aktoch Únie.

Pozmeňujúci návrh    75

Návrh nariadenia

Článok 1 – odsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Agentúra vykonáva svoje úlohy bez toho, aby tým boli dotknuté právomoci členských štátov v oblasti kybernetickej bezpečnosti, a najmä právomoci členských štátov v oblasti verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva.

Pozmeňujúci návrh    76

Návrh nariadenia

Článok 2 – odsek 1 – bod 1

Text predložený Komisiou

Pozmeňujúci návrh

(1)  „kybernetická bezpečnosť“ zahŕňa všetky činnosti potrebné na ochranu sietí a informačných systémov, ich používateľov a dotknutých osôb pred kybernetickými hrozbami;

(1)  „kybernetická bezpečnosť“ všetky činnosti potrebné na ochranu sietí a informačných systémov, ich používateľov a dotknutých osôb pred kybernetickými hrozbami;

Pozmeňujúci návrh    77

Návrh nariadenia

Článok 2 – odsek 1 – bod 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  „sieť a informačný systém“ je systém v zmysle článku 4 bode 1 smernice (EÚ) 2016/1148;

2.  „sieť a informačný systém“ je sieť a informačný systém vymedzený v článku 4 bode 1 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    78

Návrh nariadenia

Článok 2 – odsek 1 – bod 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  „národná stratégia v oblasti bezpečnosti sietí a informačných systémov“ je rámec v zmysle článku 4 bode 3 smernice (EÚ) 2016/1148;

3.  „národná stratégia v oblasti bezpečnosti sietí a informačných systémov“ je národná stratégia v oblasti bezpečnosti sietí a informačných systémov vymedzená v článku 4 bode 3 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    79

Návrh nariadenia

Článok 2 – odsek 1 – bod 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  „prevádzkovateľ základných služieb“ je verejný alebo súkromný subjekt vymedzený v článku 4 bode 4 smernice (EÚ) 2016/1148;

4.  „prevádzkovateľ základných služieb“ je prevádzkovateľ základných služieb vymedzený v článku 4 bode 4 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    80

Návrh nariadenia

Článok 2 – odsek 1 – bod 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  „poskytovateľ digitálnych služieb“ je každá právnická osoba, ktorá poskytuje digitálnu službu, vymedzená v článku 4 bode 6 smernice (EÚ) 2016/1148;

5.  „poskytovateľ digitálnych služieb“ je poskytovateľ digitálnych služieb vymedzený v článku 4 bode 6 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    81

Návrh nariadenia

Článok 2 – odsek 1 – bod 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  „incident“ je každá udalosť vymedzená v článku 4 bode 7 smernice (EÚ) 2016/1148;

6.  „incident“ je incident vymedzený v článku 4 bode 7 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    82

Návrh nariadenia

Článok 2 – odsek 1 – bod 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  „riešenie incidentov“ je každý postup vymedzený v článku 4 bode 8 smernice (EÚ) 2016/1148;

7.  „riešenie incidentov“ je riešenie incidentov vymedzené v článku 4 bode 8 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    83

Návrh nariadenia

Článok 2 – odsek 1 – bod 8

Text predložený Komisiou

Pozmeňujúci návrh

8.  „kybernetická hrozba“ je každá potenciálna okolnosť alebo udalosť, ktorá môže negatívne ovplyvniť siete a informačné systémy, ich používateľov a dotknuté osoby;

8.  „kybernetická hrozba“ je každá potenciálna okolnosť, udalosť alebo každé úmyselné konanie vrátane automatického príkazu, ktoré môže poškodiť, narušiť alebo inak negatívne ovplyvniť siete a informačné systémy, ich používateľov a dotknuté osoby;

Pozmeňujúci návrh    84

Návrh nariadenia

Článok 2 – odsek 1 – bod 8 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

8a.  „kybernetická hygiena“ sú jednoduché bežné opatrenia, ktoré – ak ich používatelia a podniky zavedú a pravidelne vykonávajú online – minimalizujú ich vystavenie rizikám spôsobeným kybernetickými hrozbami.

Pozmeňujúci návrh    85

Návrh nariadenia

Článok 2 – odsek 1 – bod 9

Text predložený Komisiou

Pozmeňujúci návrh

9.  „európsky systém certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov vymedzený na úrovni Únie, ktorý sa uplatňuje na certifikáciu produktov a služieb informačných a komunikačných technológií (ďalej len „IKT) spadajúcich do rozsahu pôsobnosti príslušného systému;

9.  „európsky systém certifikácie kybernetickej bezpečnosti“ je komplexný súbor pravidiel, technických požiadaviek, noriem a postupov vymedzený na úrovni Únie a v súlade s medzinárodnými a európskymi normami a špecifikáciami IKT určenými agentúrou, ktorý sa uplatňuje na certifikáciu produktov, služieb a procesov informačných a komunikačných technológií (IKT) spadajúcich do rozsahu pôsobnosti príslušného systému;

Pozmeňujúci návrh    86

Návrh nariadenia

Článok 2 – odsek 1 – bod 10

Text predložený Komisiou

Pozmeňujúci návrh

10.  „európsky certifikát kybernetickej bezpečnosti“ je dokument vystavený orgánom posudzovania zhody, v ktorom sa potvrdzuje, že daný produkt alebo služba IKT spĺňa konkrétne požiadavky určitého európskeho systému certifikácie kybernetickej bezpečnosti;

10.  „európsky certifikát kybernetickej bezpečnosti“ je dokument vystavený orgánom posudzovania zhody, v ktorom sa potvrdzuje, že daný produkt, služba alebo proces IKT spĺňa konkrétne požiadavky určitého európskeho systému certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    87

Návrh nariadenia

Článok 2 – odsek 1 – bod 11 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

11a.  „proces IKT“ je každý súbor činností, ktorý sa vykonáva s cieľom navrhnúť, vyvinúť, udržiavať alebo poskytnúť produkt alebo službu IKT;

Pozmeňujúci návrh    88

Návrh nariadenia

Článok 2 – odsek 1 – bod 11 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

11b.  „spotrebiteľské elektronické zariadenie“ je zariadenie, ktoré pozostáva z hardvéru a softvéru, ktoré spracúvajú osobné údaje alebo sa pripájajú na internet na účely prevádzky inteligentných systémov domácností a domácich riadiacich prístrojov, kancelárskych zariadení, smerovacích zariadení a prístrojov, ktoré sa pripájajú k sieti, ako sú inteligentné televízory, hračky a herné konzoly, virtuálni alebo osobní asistenti, prepojené streamingové zariadenia, nositeľné zariadenia, systémy ovládané hlasom a systémy virtuálnej reality;

Pozmeňujúci návrh    89

Návrh nariadenia

Článok 2 – odsek 1 – bod 16

Text predložený Komisiou

Pozmeňujúci návrh

16.  „norma“ je norma vymedzená v článku 2 bode 1 nariadenia (EÚ) č. 1025/2012.

16.  „norma, technická špecifikácia a technická špecifikácia IKT“ je norma, technická špecifikácia alebo technická špecifikácia IKT vymedzená v článku 2 bodoch 1, 4 a 5 nariadenia (EÚ) č. 1025/2012;

Pozmeňujúci návrh    90

Návrh nariadenia

Článok 2 – odsek 1 – bod 16 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

16a.  „vnútroštátny orgán dohľadu nad certifikáciou“ je orgán vymenovaný každým členským štátom v súlade s článkom 50 tohto nariadenia;

Pozmeňujúci návrh    91

Návrh nariadenia

Článok 2 – odsek 1 – bod 16 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

16b.  „vlastné posúdenie“ je vyhlásenie o zhode, ktorým výrobca vyhlasuje splnenie konkrétnych požiadaviek stanovených v rámci systému certifikácie v súvislosti s produktmi, procesmi a so službami;

Pozmeňujúci návrh    92

Návrh nariadenia

Článok 2 – odsek 1 – bod 16 c (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

16c.  „štandardná bezpečnosť“ je situácia, keď – pokiaľ možno produkt, softvér alebo proces nastaviť tak, aby zaisťoval vyšší stupeň bezpečnosti – prvý používateľ by mal dostať štandardnú konfiguráciu s čo najbezpečnejšími nastaveniami; ak v jednotlivých prípadoch analýza rizík a použiteľnosti vedie k záveru, že takéto nastavenie nie je možné, používatelia by mali byť vyzvaní, aby sa rozhodli pre najbezpečnejšie nastavenie;

Pozmeňujúci návrh    93

Návrh nariadenia

Článok 2 – odsek 1 – bod 16 d (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

16d.  „prevádzkovatelia základných služieb“ sú prevádzkovatelia základných služieb vymedzení v článku 4 bode 4 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    94

Návrh nariadenia

Článok 3 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra plní úlohy, ktoré jej ukladá toto nariadenie, s cieľom prispieť k vysokej úrovni kybernetickej bezpečnosti v Únii.

1.  Agentúra plní úlohy, ktoré jej ukladá toto nariadenie, a posilňuje sa s cieľom prispieť k dosiahnutiu vysokej všeobecnej úrovne kybernetickej bezpečnosti v záujme zamedzenia kybernetickým útokom v Únii, zníženia fragmentácie na vnútornom trhu a zlepšenia jeho fungovania a zabezpečenia konzistentnosti tým, že sa zohľadnia výsledky členských štátov v oblasti spolupráce podľa smernice NIS.

Pozmeňujúci návrh    95

Návrh nariadenia

Článok 4 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra pôsobí ako stredisko odborných poznatkov o kybernetickej bezpečnosti, pretože sa vyznačuje nezávislosťou, vedeckou a technickou kvalitou poskytovaného poradenstva, pomoci a šírených informácií, transparentnosťou svojich prevádzkových postupov a pracovných metód a dôslednosťou pri vykonávaní svojich úloh.

1.  Agentúra pôsobí ako stredisko teoretických a praktických odborných poznatkov o kybernetickej bezpečnosti, pretože sa vyznačuje nezávislosťou, vedeckou a technickou kvalitou poskytovaného poradenstva, pomoci a šírených informácií, transparentnosťou svojich prevádzkových postupov a pracovných metód a dôslednosťou pri vykonávaní svojich úloh.

Pozmeňujúci návrh    96

Návrh nariadenia

Článok 4 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Agentúra pomáha inštitúciám, agentúram a orgánom Únie, ako aj členským štátom pri príprave a vykonávaní politík spojených s kybernetickou bezpečnosťou.

2.  Agentúra pomáha inštitúciám, agentúram a orgánom Únie, ako aj členským štátom pri príprave a vykonávaní politík spojených s kybernetickou bezpečnosťou a zvyšovaním informovanosti občanov a podnikov.

Pozmeňujúci návrh    97

Návrh nariadenia

Článok 4 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Agentúra podporuje budovanie kapacít a pripravenosť v celej Únii tým, že Únii, členským štátom i verejným a súkromným aktérom pomáha pri zvyšovaní ochrany ich sietí a informačných systémov, rozvoji kyberneticko-bezpečnostných zručností a spôsobilostí a pri dosahovaní kybernetickej odolnosti.

3.  Agentúra podporuje budovanie kapacít a pripravenosť v rámci všetkých inštitúcií, agentúr a orgánov Únie tým, že Únii, členským štátom i verejným a súkromným zainteresovaným stranám pomáha pri zvyšovaní ochrany ich sietí a informačných systémov, rozvoji a zlepšovaní kybernetickej odolnosti a schopností reakcie, zvyšovaní informovanosti a rozvoji kyberneticko-bezpečnostných zručností a spôsobilostí a pri dosahovaní kybernetickej odolnosti.

Pozmeňujúci návrh    98

Návrh nariadenia

Článok 4 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Agentúra na úrovni Únie presadzuje spoluprácu a koordináciu členských štátov, inštitúcií, agentúr a orgánov Únie, ako aj relevantných zainteresovaných strán vrátane súkromného sektora v otázkach kybernetickej bezpečnosti.

4.  Agentúra na úrovni Únie presadzuje spoluprácu, koordináciu a výmenu informácií medzi členskými štátmi, inštitúciami, agentúrami a orgánmi Únie, ako aj relevantnými zainteresovanými stranami v otázkach kybernetickej bezpečnosti.

Pozmeňujúci návrh    99

Návrh nariadenia

Článok 4 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Agentúra posilňuje kyberneticko-bezpečnostné spôsobilosti na úrovni Únie s cieľom doplniť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch.

5.  Agentúra prispieva k zvyšovaniu kyberneticko-bezpečnostných spôsobilostí na úrovni Únie s cieľom doplniť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch, a v záujme toho, aby mohla vykonávať svoju úlohu pomáhať inštitúciám Únie pri rozvoji politík týkajúcich sa kybernetickej bezpečnosti.

Pozmeňujúci návrh    100

Návrh nariadenia

Článok 4 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Agentúra podporuje využívanie certifikácie, a to aj prispievaním k vytvoreniu a uchovávaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť uistenia o dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

6.  Agentúra podporuje využívanie certifikácie s cieľom predchádzať fragmentácii na vnútornom trhu a zlepšiť jeho fungovanie, a to aj prispievaním k vytvoreniu a uchovávaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť uistenia o dôveryhodnosti kybernetickej bezpečnosti produktov, služieb a procesov IKT, čím sa posilní dôvera v digitálny vnútorný trh, a aby sa zvýšila zlučiteľnosť medzi existujúcimi vnútroštátnymi a medzinárodnými systémami certifikácie.

Pozmeňujúci návrh    101

Návrh nariadenia

Článok 4 – odsek 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  Agentúra presadzuje vysoké povedomie občanov a podnikov o otázkach kybernetickej bezpečnosti.

7.  Agentúra presadzuje a podporuje projekty, ktoré prispievajú k vysokej úrovni povedomia, kybernetickej hygiene a kybernetickej gramotnosti občanov a podnikov o otázkach kybernetickej bezpečnosti.

Pozmeňujúci návrh    102

Návrh nariadenia

Článok 5 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  pomáha a radí, najmä poskytuje nezávislé stanoviská a zabezpečuje prípravné práce k vypracovaniu a preskúmaniu politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, ale i odvetvových politík a legislatívnych iniciatív, ktoré rozmer kybernetickej bezpečnosti zahŕňajú;

1.  pomáha a radí, najmä poskytuje nezávislé stanoviská a analýzy relevantných činností v kybernetickom priestore a zabezpečuje prípravné práce k vypracovaniu a preskúmaniu politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, ale i odvetvových politík a legislatívnych iniciatív, ktoré rozmer kybernetickej bezpečnosti zahŕňajú;

Pozmeňujúci návrh    103

Návrh nariadenia

Článok 5 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  pomáha členským štátom pri konzistentnom vykonávaní politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, najmä v súvislosti so smernicou (EÚ) 2016/1148, a to aj poskytovaním stanovísk, usmernení, poradenstva a osvedčených postupov v oblastiach ako riadenie rizík, oznamovanie incidentov a zdieľanie informácií, a zároveň v tomto smere uľahčuje výmenu informácií o osvedčených postupoch medzi príslušnými orgánmi;

2.  pomáha členským štátom pri konzistentnom vykonávaní politiky a právnych predpisov Únie v oblasti kybernetickej bezpečnosti, najmä v súvislosti so smernicou (EÚ) 2016/1148, smernicou ..., ktorou sa zriaďuje európsky kódex elektronickej komunikácie, s nariadením (EÚ) 2016/679 a so smernicou 2002/58/ES, a to aj prostredníctvom stanovísk, usmernení, poradenstva a najlepších postupov v oblastiach, ako sú vývoj bezpečného softvéru a systémov, riadenie rizík, oznamovanie incidentov a výmena informácií, technické a organizačné opatrenia, najmä vytvorenie koordinovaných programov zverejňovania zraniteľných miest, a zároveň v tomto smere uľahčuje výmenu informácií o najlepších postupoch medzi príslušnými orgánmi;

Pozmeňujúci návrh    104

Návrh nariadenia

Článok 5 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  vyvíja a presadzuje politiky, ktoré by udržali všeobecnú dostupnosť alebo integritu verejného jadra otvoreného internetu, ktoré zabezpečuje základnú funkčnosť internetu ako celku a je základom jeho bežnej prevádzky, a to okrem iného vrátane bezpečnosti a stability kľúčových protokolov (najmä DNS, BGP a IPv6), prevádzky systému názvov domén (vrátane názvov domén najvyššej úrovne) a prevádzky tzv. koreňovej zóny;

Pozmeňujúci návrh    105

Návrh nariadenia

Článok 5 – odsek 4 – bod 2

Text predložený Komisiou

Pozmeňujúci návrh

(2)  presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, a to aj formou odborných poznatkov a poradenstva, ako aj uľahčovaním výmeny osvedčených postupov medzi príslušnými orgánmi;

(2)  presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, uchovávania a spracúvania údajov, a to aj formou odborných poznatkov a poradenstva, ako aj uľahčovaním výmeny najlepších postupov medzi príslušnými orgánmi;

Pozmeňujúci návrh    106

Návrh nariadenia

Článok 5 – odsek 5 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  pomáha členským štátom, aby dôsledne vykonávali politiku a právne predpisy Únie týkajúce sa ochrany údajov, najmä v súvislosti s nariadením (EÚ) 2016/679, ako aj pomáha Európskemu výboru pre ochranu údajov (EDPB) pri vypracúvaní usmernení o vykonávaní nariadenia (EÚ) 2016/679 na účely kybernetickej bezpečnosti. EDBP konzultuje s agentúrou zakaždým, keď vydá stanovisko alebo prijme rozhodnutie týkajúce sa vykonávania všeobecného nariadenia o ochrane údajov a kybernetickej bezpečnosti, a to nielen otázok týkajúcich sa posúdenia vplyvu na súkromie, oznamovania porušenia ochrany údajov, bezpečnosti spracovania, bezpečnostných požiadaviek a ochrany súkromia už v štádiu návrhu.

Pozmeňujúci návrh    107

Návrh nariadenia

Článok 6 – odsek 1 – písmeno a a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

aa)  členským štátom a inštitúciám Únie pri zavádzaní a vykonávaní koordinovaných politík zverejňovania zraniteľných miest a procesov vládnej kontroly zverejňovania zraniteľných miest , ktorých postupy a zistenia by mali byť transparentné a mali by podliehať nezávislému dohľadu;

Pozmeňujúci návrh    108

Návrh nariadenia

Článok 6 – odsek 1 – písmeno a b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ab)  agentúra uľahčí zriadenie a začatie dlhodobého európskeho projektu bezpečnosti IT s cieľom ešte viac podporovať výskum v oblasti kybernetickej bezpečnosti v Únii a členských štátoch v spolupráci s Európskou radou pre výskum (ERC) a Európskym inovačným a technologickým inštitútom (EIT) a so zreteľom na výskumné programy Únie;

Pozmeňujúci návrh    109

Návrh nariadenia

Článok 6 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  členským štátom organizáciou každoročných rozsiahlych kyberneticko-bezpečnostných cvičení na úrovni Únie v zmysle článku 7 ods. 6 a formulovaním politických odporúčaní na základe hodnotenia týchto cvičení a takto získaných poznatkov;

g)  členským štátom organizáciou pravidelných a aspoň každoročných rozsiahlych kyberneticko-bezpečnostných cvičení na úrovni Únie v zmysle článku 7 ods. 6 a formulovaním politických odporúčaní a výmenou najlepších postupov na základe hodnotenia týchto cvičení a takto získaných poznatkov;

Pozmeňujúci návrh    110

Návrh nariadenia

Článok 6 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Agentúra podporuje zriaďovanie a zabezpečuje trvalú podporu odvetvových stredísk pre výmenu a analýzu informácií (ISAC), a to najmä v odvetviach uvedených v prílohe II k smernici (EÚ) 2016/1148, poskytovaním osvedčených postupov a usmernení o dostupných nástrojoch, postupoch i riešeniach regulačných otázok spojených s výmenou informácií.

2.  Agentúra podporuje zriaďovanie a zabezpečuje trvalú podporu odvetvových stredísk pre výmenu a analýzu informácií (ISAC), a to najmä v odvetviach uvedených v prílohe II k smernici (EÚ) 2016/1148, poskytovaním najlepších postupov a usmernení o dostupných nástrojoch, postupoch, zásadách kybernetickej hygieny i riešeniach regulačných otázok spojených s výmenou informácií.

Pozmeňujúci návrh    111

Návrh nariadenia

Článok 7 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra podporuje operačnú spoluprácu medzi príslušnými verejnými orgánmi i medzi zainteresovanými stranami.

1.  Agentúra podporuje operačnú spoluprácu medzi členskými štátmi, inštitúciami, agentúrami a orgánmi Únie i medzi zainteresovanými stranami s cieľom dosiahnuť spoluprácu prostredníctvom analýzy a posúdenia existujúcich systémov na vnútroštátnej úrovni, vypracovania a vykonávania plánu a použitia vhodných nástrojov na dosiahnutie najvyššej úrovne certifikácie kybernetickej bezpečnosti v Únii a členských štátoch.

Pozmeňujúci návrh    112

Návrh nariadenia

Článok 7 – odsek 4 – pododsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  im na požiadanie poskytuje technickú pomoc pri incidentoch s významným alebo závažným vplyvom;

b)  im na požiadanie poskytuje technickú pomoc v podobe výmeny informácií a odborných znalostí pri incidentoch s významným alebo závažným vplyvom;

Pozmeňujúci návrh    113

Návrh nariadenia

Článok 7 – odsek 4 – pododsek 1 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  ak si situácia vyžaduje naliehavé opatrenia, keď má incident značný rušivý účinok, členský štát môže požiadať o pomoc odborníkov z agentúry, aby posúdili situáciu; žiadosť obsahuje opis situácie, možné ciele a predpokladané potreby.

Pozmeňujúci návrh    114

Návrh nariadenia

Článok 7 – odsek 5 – pododsek 1

Text predložený Komisiou

Pozmeňujúci návrh

Na žiadosť dvoch alebo viacerých dotknutých členských štátov a výlučne s cieľom poradenstva na predchádzanie budúcim incidentom agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než dvoch členských štátov.

Na žiadosť jedného alebo viacerých dotknutých členských štátov a výlučne v záujme poskytovania pomoci buď v podobe poradenstva na predchádzanie budúcim incidentom alebo v podobe pomoci pri reakcii na aktuálne rozsiahle incidenty agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra vykonáva uvedené činnosti, pričom dostáva príslušné informácie od dotknutých členských štátov a využíva svoje vlastné zdroje na analýzu hrozieb, ako aj zdroje na reakciu na incidenty. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než jedného členského štátu. Zabezpečí tým, že nezverejní opatrenia prijaté členskými štátmi na ochranu ich základných funkcií štátu, najmä tých, ktoré sa týkajú národnej bezpečnosti.

Pozmeňujúci návrh    115

Návrh nariadenia

Článok 7 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Agentúra každoročne organizuje kyberneticko-bezpečnostné cvičenia na úrovni Únie a na požiadanie podporuje členské štáty a inštitúcie, agentúry a orgány EÚ pri organizácií ich cvičení. Každoročné cvičenia na úrovni Únie zahŕňajú technické, operačné a strategické prvky a pomáhajú s prípravou spoločnej reakcie na rozsiahle cezhraničné kybernetické incidenty na úrovni Únie. Agentúra zároveň prispieva a podľa potreby pomáha organizovať odvetvové kyberneticko-bezpečnostné cvičenia spolu so strediskami ISAC a zároveň strediskám ISAC umožní účasť aj na kyberneticko-bezpečnostných cvičeniach na úrovni Únie.

6.  Agentúra pravidelne a v každom prípade minimálne raz ročne organizuje kyberneticko-bezpečnostné cvičenia na úrovni Únie a na požiadanie podporuje členské štáty a inštitúcie, agentúry a orgány EÚ pri organizácií ich cvičení. Každoročné cvičenia na úrovni Únie zahŕňajú technické, operačné a strategické prvky a pomáhajú s prípravou spoločnej reakcie na rozsiahle cezhraničné kybernetické incidenty na úrovni Únie. Agentúra zároveň prispieva a podľa potreby pomáha organizovať odvetvové kyberneticko-bezpečnostné cvičenia spolu so strediskami ISAC a zároveň strediskám ISAC umožní účasť aj na kyberneticko-bezpečnostných cvičeniach na úrovni Únie.

Pozmeňujúci návrh    116

Návrh nariadenia

Článok 7 – odsek 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  Agentúra vypracúva pravidelnú technickú situačnú správu EÚ o kybernetických incidentoch a hrozbách, ktorá vychádza z verejne dostupných informácií, jej vlastných analýz a správ, ktoré okrem iných poskytli: jednotky CSIRT členských štátov (dobrovoľne) alebo jednotné kontaktné miesta podľa smernice NIS (v súlade s článkom 14 ods. 5 smernice NIS); Európske centrum boja proti počítačovej kriminalite (EC3) pri Europole, tím CERT-EU.

7.  Agentúra vypracúva pravidelnú a hĺbkovú technickú situačnú správu EÚ o kybernetických incidentoch a hrozbách, ktorá vychádza z verejne dostupných informácií, jej vlastných analýz a správ, ktoré okrem iných poskytli: jednotky CSIRT členských štátov (dobrovoľne) alebo jednotné kontaktné miesta podľa smernice NIS (v súlade s článkom 14 ods. 5 smernice NIS); Európske centrum boja proti počítačovej kriminalite (EC3) pri Europole, tím CERT-EU. Výkonný riaditeľ predkladá v prípade potreby verejne dostupné zistenia Európskemu parlamentu.

Pozmeňujúci návrh    117

Návrh nariadenia

Článok 7 – odsek 7 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

7a.  Agentúra v prípade potreby a pod podmienkou predchádzajúceho schválenia Komisiou prispieva ku kybernetickej spolupráci s centrom excelentnosti NATO pre spoluprácu v oblasti kybernetickej obrany a akadémiou NATO pre komunikácie a informácie (NCI).

Pozmeňujúci návrh    118

Návrh nariadenia

Článok 7 – odsek 8 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  zhromaždením správ z národných zdrojov s cieľom prispieť k vytvoreniu spoločného situačného povedomia;

a)  analýzou a zhromaždením správ z národných zdrojov s cieľom prispieť k vytvoreniu spoločného situačného povedomia;

Pozmeňujúci návrh    119

Návrh nariadenia

Článok 7 – odsek 8 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  podporou technického riešenia incidentu či krízy vrátane uľahčovania výmeny technických riešení medzi členskými štátmi;

c)  podporou technického riešenia incidentu či krízy na základe vlastných nezávislých poznatkov a zdrojov vrátane uľahčovania dobrovoľnej výmeny technických riešení medzi členskými štátmi;

Pozmeňujúci návrh    120

Návrh nariadenia

Článok 7 – odsek 8 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

8a.  Agentúra v prípade potreby zabezpečí výmenu názorov a pomáha orgánom členských štátov s koordinovaním ich reakcie v súlade so zásadami subsidiarity a proporcionality.

Pozmeňujúci návrh    121

Návrh nariadenia

Článok 7 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 7 a

 

Technické spôsobilosti agentúry

 

1. Na účely plnenia cieľov uvedených v článku 7 a v súlade so svojím pracovným programom bude agentúra rozvíjať okrem iného tieto technické spôsobilosti a zručnosti:

 

a) schopnosť zhromažďovať informácie o hrozbách v oblasti kybernetickej bezpečnosti z otvoreného zdroja; a

 

b) schopnosť použiť technické vybavenie, nástroje a odborné znalosti na diaľku.

 

2. Na účely dosiahnutia technických spôsobilostí uvedených v odseku 1 tohto článku a na účely rozvíjania príslušných zručností agentúra:

 

a) zabezpečí, aby jej postupy prijímania zamestnancov odrážali rôznorodosť požadovaných technických zručností; a

 

b) spolupracuje s CERT EÚ a Europolom v súlade s článkom 7 ods. 2 tohto nariadenia.

Pozmeňujúci návrh    122

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

a)  podporuje a presadzuje tvorbu a vykonávanie politiky Únie v oblasti certifikácie kybernetickej bezpečnosti produktov a služieb IKT v zmysle hlavy III tohto nariadenia, a to tak, že:

a)  podporuje a presadzuje tvorbu a vykonávanie politiky Únie v oblasti certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT v zmysle hlavy III tohto nariadenia, a to tak, že:

Pozmeňujúci návrh    123

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod -1 (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

-1.  neustále identifikuje normy, technické špecifikácie a technické špecifikácie IKT;

Pozmeňujúci návrh    124

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  vypracúva kandidátske európske systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT v súlade s článkom 44 tohto nariadenia;

1.  v spolupráci so zainteresovanými stranami z daného odvetvia a normalizačnými organizáciami formálnym, štandardizovaným a transparentným procesom vypracúva kandidátske európske systémy certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT v súlade s článkom 44 tohto nariadenia;

Pozmeňujúci návrh    125

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1a.  v spolupráci s certifikačnou skupinou členských štátov posudzuje v zmysle článku 53 tohto nariadenia postupy vydávania európskych certifikátov kybernetickej bezpečnosti zavedené orgánmi posudzovania zhody uvedenými v článku 51 tohto nariadenia s cieľom zabezpečiť jednotné uplatňovanie tohto nariadenia orgánmi posudzovania zhody pri vydávaní certifikátov;

Pozmeňujúci návrh    126

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1b.  uskutočňuje pravidelné nezávislé následné kontroly súladu certifikovaných produktov, procesov a služieb IKT s európskymi systémami certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    127

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  pomáha Komisii pri zabezpečovaní funkcie sekretariátu európskej skupiny pre certifikáciu kybernetickej bezpečnosti podľa článku 53 tohto nariadenia;

2.  pomáha Komisii pri zabezpečovaní funkcie sekretariátu certifikačnej skupiny členských štátov podľa článku 53 tohto nariadenia;

Pozmeňujúci návrh    128

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy z hľadiska kyberneticko-bezpečnostných požiadaviek na produkty a služby IKT, a to v spolupráci s vnútroštátnymi orgánmi dohľadu nad certifikáciou a s príslušným odvetvím;

3.  zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy, a to aj v oblasti zásad kybernetickej hygieny, z hľadiska kyberneticko-bezpečnostných požiadaviek na produkty, procesy a služby IKT, a to formálnym, štandardizovaným a transparentným procesom v spolupráci s vnútroštátnymi orgánmi dohľadu nad certifikáciou a s príslušným odvetvím;

Pozmeňujúci návrh    129

Návrh nariadenia

Článok 8 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  podporuje zavádzanie a využívanie európskych i medzinárodných noriem v oblasti riadenia rizík a bezpečnosti produktov a služieb IKT, a zároveň v spolupráci s členskými štátmi pripravuje odporúčania a usmernenia v technických oblastiach spojených s bezpečnostnými požiadavkami kladenými na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ako aj v oblasti už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, podľa článku 19 ods. 2 smernice (EÚ) 2016/1148;

b)  podporuje zavádzanie a využívanie európskych i medzinárodných noriem v oblasti riadenia rizík a bezpečnosti produktov, procesov a služieb IKT, a zároveň v spolupráci s členskými štátmi pripravuje odporúčania a usmernenia v technických oblastiach spojených s bezpečnostnými požiadavkami kladenými na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ako aj v oblasti už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, podľa článku 19 ods. 2 smernice (EÚ) 2016/1148, a vymieňa si tieto informácie s členskými štátmi;

Pozmeňujúci návrh    130

Návrh nariadenia

Článok 9 – odsek 1 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  v spolupráci s odborníkmi orgánov členských štátov poskytuje poradenstvo, usmernenia a osvedčené postupy v oblasti bezpečnosti sietí a informačných systémov, a najmä bezpečnosti internetovej infraštruktúry a infraštruktúr, o ktoré sa opierajú odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148;

c)  v spolupráci s odborníkmi orgánov členských štátov a s príslušnými zainteresovanými stranami poskytuje poradenstvo, usmernenia a najlepšie postupy v oblasti bezpečnosti sietí a informačných systémov, a najmä bezpečnosti internetovej infraštruktúry a infraštruktúr, o ktoré sa opierajú odvetvia uvedené v prílohe II k smernici (EÚ) 2016/1148;

Pozmeňujúci návrh    131

Návrh nariadenia

Článok 9 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  zvyšuje verejné povedomie o kyberneticko-bezpečnostných rizikách a odporúča jednotlivým používateľom – občanom i organizáciám osvedčené postupy;

e)  nepretržite posilňuje a zvyšuje verejné povedomie o kyberneticko-bezpečnostných rizikách a poskytuje školenia a odporúča jednotlivým používateľom – občanom i organizáciám osvedčené postupy a podporuje prijímanie preventívnych, dôsledných bezpečnostných opatrení v oblasti informačných technológií a spoľahlivú ochranu údajov a súkromia;

Pozmeňujúci návrh    132

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizuje pravidelné osvetové kampane na zvýšenie kybernetickej bezpečnosti a jej viditeľnosti v Únii.

g)  v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizuje pravidelné komunikačné kampane na podnietenie širokej verejnej diskusie;

Pozmeňujúci návrh    133

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  podporuje užšiu koordináciu a výmenu najlepších postupov medzi členskými štátmi o vzdelávaní a gramotnosti v oblasti kybernetickej bezpečnosti, kybernetickej hygiene a zvyšovaní informovanosti.

Pozmeňujúci návrh    134

Návrh nariadenia

Článok 10 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  radí Únii a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

a)  zabezpečuje konzultácie uskutočňované vopred s relevantnými skupinami používateľov a radí Únii a členským štátom o potrebách a prioritách výskumu v oblastiach kybernetickej bezpečnosti, ochrany údajov a súkromia s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

Pozmeňujúci návrh    135

Návrh nariadenia

Článok 10 – odsek 1 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  zadáva svoje výskumné činnosti v oblastiach záujmu, ktoré ešte nie sú zaradené do súčasných výskumných programov Únie, ak majú jednoznačnú pridanú európsku hodnotu.

Pozmeňujúci návrh    136

Návrh nariadenia

Článok 11 – odsek 1 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  poskytuje poradenstvo a podporu Komisii v spolupráci s certifikačnou skupinou členských štátov zriadenou podľa článku 53 v záležitostiach týkajúcich sa dohôd o vzájomnom uznávaní certifikátov kybernetickej bezpečnosti s tretími krajinami.

Pozmeňujúci návrh    137

Návrh nariadenia

Článok 12 – odsek 1 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  stála skupina zainteresovaných strán, ktorá plní funkcie stanovené v článku 20.

d)  poradná skupina agentúry ENISA, ktorá plní funkcie stanovené v článku 20.

Pozmeňujúci návrh    138

Návrh nariadenia

Článok 14 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry, pričom posúdenie i správu do 1. júla nasledujúceho roka zasiela Európskemu parlamentu, Rade, Komisii a Dvoru audítorov. Výročná správa zahŕňa účtovné výkazy a opisuje sa v nej, do akej miery agentúra splnila svoje ukazovatele výkonnosti. Výročná správa sa zverejní;

e)  posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry, pričom posúdenie i správu do 1. júla nasledujúceho roka zasiela Európskemu parlamentu, Rade, Komisii a Dvoru audítorov. Výročná správa zahŕňa účtovné výkazy, opisuje sa v nej účelnosť vynakladania prostriedkov a vyhodnocuje sa v nej, do akej miery bola agentúra efektívna a splnila svoje ukazovatele výkonnosti. Výročná správa sa zverejní;

Pozmeňujúci návrh    139

Návrh nariadenia

Článok 14 – odsek 1 – písmeno m

Text predložený Komisiou

Pozmeňujúci návrh

m)  vymenúva výkonného riaditeľa a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

m)  vymenúva výkonného riaditeľa na základe výberu podľa odborných kritérií a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

Pozmeňujúci návrh    140

Návrh nariadenia

Článok 14 – odsek 1 – písmeno o

Text predložený Komisiou

Pozmeňujúci návrh

o)  prijíma všetky rozhodnutia o zriadení vnútorných štruktúr agentúry a v prípade potreby o ich zmene, pričom prihliada na potreby činnosti agentúry a zásadu riadneho finančného hospodárenia;

o)  prijíma všetky rozhodnutia o zriadení vnútorných štruktúr agentúry a v prípade potreby o ich zmene, pričom prihliada na potreby činnosti agentúry uvedené v tomto nariadení a zásadu riadneho finančného hospodárenia;

Pozmeňujúci návrh    141

Návrh nariadenia

Článok 16 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Na zasadnutiach správnej rady sa môžu na pozvanie predsedu zúčastniť členovia stálej skupiny zainteresovaných strán, avšak bez hlasovacieho práva.

4.  Na zasadnutiach správnej rady sa môžu na pozvanie predsedu zúčastniť členovia poradnej skupiny agentúry ENISA, avšak bez hlasovacieho práva.

Pozmeňujúci návrh    142

Návrh nariadenia

Článok 18 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Výkonná rada pozostáva z piatich členov vymenovaných spomedzi členov správnej rady, z ktorých jedným je predseda správnej rady, ktorý môže predsedať aj výkonnej rade, a ďalším je jeden zo zástupcov Komisie. Výkonný riaditeľ sa zúčastňuje na zasadnutiach výkonnej rady, ale nemá hlasovacie právo.

3.  Výkonná rada pozostáva z piatich členov vymenovaných spomedzi členov správnej rady, z ktorých jedným je predseda správnej rady, ktorý môže predsedať aj výkonnej rade, a ďalším je jeden zo zástupcov Komisie. Výkonný riaditeľ sa zúčastňuje na zasadnutiach výkonnej rady, ale nemá hlasovacie právo. Vymenovania majú za cieľ dosiahnuť vyvážené zastúpenie mužov a žien vo výkonnej rade.

Odôvodnenie

Vymenovania členov výkonnej rady musia mať tiež za cieľ vyvážené zastúpenie mužov a žien opierajúc sa o ustanovenia o správnej rade v článku 13 bode 3.

Pozmeňujúci návrh    143

Návrh nariadenia

Článok 19 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Výkonný riaditeľ podáva na vyzvanie Európskemu parlamentu správu o plnení svojich povinností. Rada môže vyzvať výkonného riaditeľa, aby podal správu o plnení svojich povinností.

2.  Výkonný riaditeľ podáva každoročne alebo na vyzvanie Európskemu parlamentu správu o plnení svojich povinností. Rada môže vyzvať výkonného riaditeľa, aby podal správu o plnení svojich povinností.

Pozmeňujúci návrh    144

Návrh nariadenia

Článok 19 – odsek 5 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  Výkonný riaditeľ má tiež právo konať ako inštitucionálny osobitný poradca pre politiku kybernetickej bezpečnosti pre predsedu Európskej komisie s mandátom vymedzeným v rozhodnutí Komisie C(2014) 541 zo 6. februára 2014.

Pozmeňujúci návrh    145

Návrh nariadenia

Článok 20 – názov

Text predložený Komisiou

Pozmeňujúci návrh

Stála skupina zainteresovaných strán

Poradná skupina agentúry ENISA

 

(Tento pozmeňujúci návrh sa týka celého textu. Prijatie tohto pozmeňujúceho návrhu si bude vyžadovať príslušné zmeny v celom texte.)

Pozmeňujúci návrh    146

Návrh nariadenia

Článok 20 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Správna rada konajúca na návrh výkonného riaditeľa zriadi stálu skupinu zainteresovaných strán zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov.

1.  Správna rada konajúca na návrh výkonného riaditeľa transparentne zriadi poradnú skupinu agentúry ENISA zloženú z uznávaných expertov na bezpečnosť zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT vrátane malých a stredných podnikov, prevádzkovatelia základných služieb podľa smernice NIS, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť, európske normalizačné organizácie (ESO) a agentúry EÚ a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov. Správna rada zabezpečí primeranú rovnováhu medzi rôznymi skupinami zainteresovaných strán.

Pozmeňujúci návrh    147

Návrh nariadenia

Článok 20 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Postupy stálej skupiny zainteresovaných strán, najmä z hľadiska počtu, zloženia a menovania jej členov správnou radou, návrhu výkonného riaditeľa a činnosti tejto skupiny sa vymedzia vo vnútorných pravidlách činnosti agentúry a zverejnia sa.

2.  Postupy poradnej skupiny agentúry ENISA, najmä z hľadiska počtu, zloženia a menovania jej členov správnou radou, návrhu výkonného riaditeľa a činnosti tejto skupiny sa vymedzia vo vnútorných pravidlách činnosti agentúry a zverejnia sa.

Pozmeňujúci návrh    148

Návrh nariadenia

Článok 20 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Stálej skupine zainteresovaných strán predsedá výkonný riaditeľ alebo ktorákoľvek osoba, ktorú výkonný riaditeľ v jednotlivých prípadoch vymenuje.

3.  Poradnej skupine agentúry ENISA predsedá výkonný riaditeľ alebo ktorákoľvek osoba, ktorú výkonný riaditeľ v jednotlivých prípadoch vymenuje.

Pozmeňujúci návrh    149

Návrh nariadenia

Článok 20 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Funkčné obdobie členov stálej skupiny zainteresovaných strán je dva a pol roka. Členovia správnej rady nemôžu byť členmi stálej skupiny zainteresovaných strán. Experti z Komisie a členských štátov sú oprávnení zúčastňovať sa na zasadnutiach stálej skupiny zainteresovaných strán a podieľať sa na jej práci. Na zasadnutia stálej skupiny zainteresovaných strán a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné a ktoré nie sú členmi stálej skupiny zainteresovaných strán.

4.  Funkčné obdobie členov poradnej skupiny agentúry ENISA je dva a pol roka. Členovia správnej rady nemôžu byť členmi poradnej skupiny agentúry ENISA. Experti z Komisie a členských štátov sú oprávnení zúčastňovať sa na zasadnutiach poradnej skupiny agentúry ENISA a podieľať sa na jej práci. Na zasadnutia poradnej skupiny agentúry ENISA a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné a ktoré nie sú členmi poradnej skupiny agentúry ENISA.

Pozmeňujúci návrh    150

Návrh nariadenia

Článok 20 – odsek 4 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

4a.  Poradná skupina agentúry ENISA bude poskytovať pravidelné aktualizácie o svojom plánovaní počas celého roka a stanovovať ciele vo svojom pracovnom programe, ktoré sa budú v záujme transparentnosti uverejňovať každých šesť mesiacov;

Pozmeňujúci návrh    151

Návrh nariadenia

Článok 20 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Stála skupina zainteresovaných strán agentúre radí v súvislosti s vykonávaním jej činností. Predovšetkým radí výkonnému riaditeľovi pri vypracúvaní návrhu pracovného programu agentúry a pri zabezpečovaní komunikácie s príslušnými zainteresovanými stranami o všetkých otázkach týkajúcich sa pracovného programu.

5.  Poradná skupina agentúry ENISA agentúre radí v súvislosti s vykonávaním jej činností, s výnimkou uplatňovania hlavy III tohto nariadenia. Predovšetkým radí výkonnému riaditeľovi pri vypracúvaní návrhu pracovného programu agentúry a pri zabezpečovaní komunikácie s príslušnými zainteresovanými stranami o otázkach týkajúcich sa pracovného programu.

Pozmeňujúci návrh    152

Návrh nariadenia

Článok 20 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 20 a

 

Certifikačná skupina zainteresovaných strán

 

1.   Výkonný riaditeľ vytvorí certifikačnú skupinu zainteresovaných strán zloženú zo všeobecného poradného výboru poskytujúceho všeobecné poradenstvo o uplatňovaní hlavy III tohto nariadenia a zriadi ad hoc výbory pre návrh, rozvoj a prijatie každého kandidátskeho systému. Členovia tejto skupiny budú vybraní spomedzi uznávaných expertov na bezpečnosť zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT vrátane malých a stredných podnikov, prevádzkovatelia základných služieb podľa smernice NIS, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť, európske normalizačné organizácie (ESO) a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov.

 

2.   Postupy certifikačnej skupiny zainteresovaných strán, najmä z hľadiska počtu, zloženia a menovania jej členov výkonným riaditeľom sa vymedzia vo vnútorných pravidlách činnosti agentúry, musia rešpektovať najlepšie postupy a zaisťovať spravodlivé zastúpenie a rovnaké práva všetkých zainteresovaných strán a budú zverejnené.

 

3.   Členovia správnej rady nemôžu byť členmi certifikačnej skupiny zainteresovaných strán. Členovia poradnej skupiny agentúry ENISA môžu byť zároveň aj členmi certifikačnej skupiny zainteresovaných strán. Experti Komisie a členských štátov majú právo zúčastniť sa na základe pozvania zasadnutí certifikačnej skupiny zainteresovaných strán. Na zasadnutia certifikačnej skupiny zainteresovaných strán a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné.

 

4.   Certifikačná skupina zainteresovaných strán poskytuje poradenstvo agentúre v súvislosti s vykonávaním jej činností v zmysle hlavy III tohto nariadenia. Musí byť najmä oprávnená navrhnúť Komisii prípravu kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti, ako stanovuje článok 44 tohto nariadenia, ako aj podieľať sa na postupoch uvedených v článkoch 43 až 48 a článku 53 tohto nariadenia na schválenie týchto systémov.

Pozmeňujúci návrh    153

Návrh nariadenia

Článok 21 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 21 a

 

Žiadosť adresovaná agentúre

 

1. Agentúra by mala vytvoriť a spravovať jednotné kontaktné miesto, prostredníctvom ktorého bude možné predkladať žiadosti o poradenstvo a pomoc v rozsahu cieľov a úloh agentúry. K týmto žiadostiam by mali byť pripojené východiskové informácie, ktoré vysvetlia problém, ktorý sa má riešiť. Agentúra by mala načrtnúť možné dôsledky z hľadiska zdrojov a – v primeranom čase – reagovať na žiadosti. Ak agentúra odmietne žiadosť, musí to odôvodniť.

 

2. Žiadosti uvedené v odseku 1 môže predložiť:

 

a) Európsky parlament;

 

b) Rada;

 

c) Komisia; a

 

d) akýkoľvek príslušný orgán menovaný členským štátom, ako je napríklad národný regulačný orgán v súlade s vymedzením v článku 2 smernice 2002/21/ES.

 

3. Správna rada ustanoví vo vnútorných pravidlách činnosti agentúry praktické opatrenia pre uplatňovanie odsekov 1 a 2 týkajúce sa najmä predkladania žiadostí agentúre, určovania ich priority, ich spracovania, ako aj informovania.

Pozmeňujúci návrh    154

Návrh nariadenia

Článok 24 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Členovia správnej rady, výkonný riaditeľ, členovia stálej skupiny zainteresovaných strán, externí experti zúčastňujúci sa ad hoc pracovných skupín a zamestnanci agentúry vrátane úradníkov dočasne vyslaných členskými štátmi musia spĺňať aj po skončení povinností požiadavky na dôvernosť informácií podľa článku 339 Zmluvy o fungovaní Európskej únie (ZFEÚ).

2.  Členovia správnej rady, výkonný riaditeľ, členovia poradnej skupiny agentúry ENISA, externí experti zúčastňujúci sa ad hoc pracovných skupín a zamestnanci agentúry vrátane úradníkov dočasne vyslaných členskými štátmi musia spĺňať aj po skončení povinností požiadavky na dôvernosť informácií podľa článku 339 Zmluvy o fungovaní Európskej únie (ZFEÚ).

Pozmeňujúci návrh    155

Návrh nariadenia

Článok 26 – odsek 1 – pododsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Predbežný návrh výkazu odhadov sa zakladá na cieľoch a očakávaných výsledkoch podľa jednotného programového dokumentu v zmysle článku 21 ods. 1 tohto nariadenia a zohľadňuje finančné zdroje potrebné na dosiahnutie týchto cieľov a očakávaných výsledkov v súlade so zásadou zostavovania rozpočtu na základe výkonnosti.

Pozmeňujúci návrh    156

Návrh nariadenia

Článok 30 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Dvor audítorov je oprávnený vykonávať audit na základe dokumentov a na mieste u všetkých príjemcov grantov, dodávateľov a subdodávateľov, ktorým agentúra poskytla finančné prostriedky Únie.

2.  Dvor audítorov je oprávnený vykonávať audit na základe dokumentov a inšpekciami na mieste u všetkých príjemcov grantov, dodávateľov a subdodávateľov, ktorým agentúra poskytla finančné prostriedky Únie.

Pozmeňujúci návrh    157

Návrh nariadenia

Článok 36 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Osobná zodpovednosť zamestnancov agentúry voči nej sa riadi príslušnými podmienkami uplatniteľnými na zamestnancov agentúry.

5.  Osobná zodpovednosť zamestnancov agentúry voči nej sa riadi príslušnými podmienkami uplatniteľnými na zamestnancov agentúry. Účinné prijímanie zamestnancov musí byť zaručené.

Pozmeňujúci návrh    158

Návrh nariadenia

Článok 37 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Prekladateľské služby potrebné na prevádzku agentúry zabezpečuje Prekladateľské stredisko pre orgány Európskej únie.

2.  Prekladateľské služby potrebné na fungovanie agentúry zabezpečuje Prekladateľské stredisko pre orgány Európskej únie alebo iní poskytovatelia prekladateľských služieb v súlade s pravidlami verejného obstarávania a v medziach stanovených príslušnými rozpočtovými pravidlami.

Pozmeňujúci návrh    159

Návrh nariadenia

Článok 39 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  V rozsahu potrebnom na dosiahnutie cieľov stanovených v tomto nariadení môže agentúra spolupracovať s príslušnými orgánmi tretích krajín alebo s medzinárodnými organizáciami. Na tento účel môže agentúra s výhradou predchádzajúceho schválenia Komisiou dohodnúť modality spolupráce s uvedenými orgánmi tretích krajín a medzinárodnými organizáciami. Týmito modalitami nevznikajú Únii ani jej členským štátom žiadne právne záväzky.

1.  V rozsahu potrebnom na dosiahnutie cieľov stanovených v tomto nariadení môže agentúra spolupracovať s príslušnými orgánmi tretích krajín alebo s medzinárodnými organizáciami. Na tento účel môže agentúra s výhradou predchádzajúceho schválenia Komisiou dohodnúť modality spolupráce s uvedenými orgánmi tretích krajín a medzinárodnými organizáciami. Spolupráca s NATO, ak k nej dochádza, môže zahŕňať spoločné cvičenia v oblasti kybernetickej bezpečnosti a koordináciu reakcie v prípade kybernetických incidentov. Týmito modalitami nevznikajú Únii ani jej členským štátom žiadne právne záväzky.

Odôvodnenie

Vzhľadom na cezhraničnú povahu kybernetických incidentov by agentúra ENISA mala konať spoločne s aktérmi v oblasti kybernetickej bezpečnosti v Európe, ako je napríklad NATO, ak je to vhodné. Je to mimoriadne dôležité, pretože NATO môže mať kybernetické spôsobilosti, ktoré agentúra ENISA nemá a naopak. V súvislosti so zvýšenými kybernetickými útokmi namierenými proti štátom ako celku je pre bezpečnosť Európy nevyhnutné, aby agentúra ENISA spolupracovala s medzinárodnými organizáciami, ako je napríklad NATO na medzinárodnej úrovni.

Pozmeňujúci návrh    160

Návrh nariadenia

Článok 41 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Hostiteľský členský štát agentúry poskytne najlepšie možné podmienky s cieľom zabezpečiť jej riadne fungovanie vrátane dostupnosti miesta, zabezpečenia adekvátnych vzdelávacích zariadení pre deti zamestnancov, vhodného prístupu na trh práce, k sociálnemu zabezpečeniu a zdravotnej starostlivosti pre deti a manželov (manželky).

2.  Hostiteľský členský štát agentúry poskytne najlepšie možné podmienky s cieľom zabezpečiť jej riadne fungovanie vrátane jediného umiestnenia celej agentúry, dostupnosti miesta, zabezpečenia adekvátnych vzdelávacích zariadení pre deti zamestnancov, vhodného prístupu na trh práce, k sociálnemu zabezpečeniu a zdravotnej starostlivosti pre deti aj partnerov zamestnancov.

Odôvodnenie

Súčasná štruktúra agentúry s jej administratívnym sídlom v Heraklione a hlavnými operáciami v Aténach sa ukázala ako neúčinná a nákladná. Celý personál ENISA by teda mal pracovať na tom istom meste. Vzhľadom na kritériá uvedené v tomto odseku by toto miesto malo byť v Aténach.

Pozmeňujúci návrh    161

Návrh nariadenia

Článok 43 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

Európsky systém certifikácie kybernetickej bezpečnosti potvrdzuje, že príslušné produkty a služby IKT, ktoré boli certifikované v súlade s takýmto systémom, spĺňajú konkrétne požiadavky z hľadiska schopnosti odolať na určitom stupni dôveryhodnosti konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré sa cez tieto produkty, procesy, služby a systémy ponúkajú alebo sprístupňujú.

Európsky systém certifikácie kybernetickej bezpečnosti potvrdzuje, že príslušné produkty, procesy a služby IKT, na ktoré sa táto smernica vzťahuje, nemajú známe zraniteľné miesta v čase certifikácie a spĺňajú konkrétne požiadavky, ktoré sa môžu odvolávať na európske a medzinárodné normy, technické špecifikácie a technické špecifikácie IKT z hľadiska schopnosti odolať počas celého ich životného cyklu na určitom stupni dôveryhodnosti konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré sa cez tieto produkty, procesy a služby ponúkajú alebo sprístupňujú a že spĺňajú uvedené bezpečnostné ciele.

Pozmeňujúci návrh    162

Návrh nariadenia

Článok 44 – odsek -1 (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

-1.  Komisia prijíma delegované akty v súlade s článkom 55 a, ktorými sa dopĺňa toto nariadenie, a to stanovením priebežného pracovného programu Únie pre európske systémy certifikácie kybernetickej bezpečnosti. V týchto delegovaných aktoch sa určia spoločné opatrenia, ktoré sa majú uskutočniť na úrovni Únie a strategických priorít. Priebežný pracovný program Únie zahŕňa predovšetkým zoznam priorít v rámci produktov, procesov a služieb IKT vhodných na to, aby boli predmetom európskeho systému certifikácie kybernetickej bezpečnosti, ako aj analýzu toho, či existuje rovnocenná úroveň kvality, know-how a odborných znalostí medzi orgánmi posudzovania zhody a vnútroštátnymi orgánmi dohľadu nad certifikáciou, a v prípade potreby aj návrh opatrení, ako sa dá rovnocenná úroveň dosiahnuť.

 

Prvý priebežný pracovný program Únie sa vytvorí najneskôr... [šesť mesiacov po nadobudnutí účinnosti tohto nariadenia] a bude sa podľa potreby aktualizovať, v každom prípade však aspoň každé dva roky. Priebežný pracovný program Únie sa zverejní.

 

Komisia pred prijatím alebo aktualizáciou priebežného pracovného programu Únie uskutoční konzultácie s certifikačnou skupinou členských štátov, agentúrou a certifikačnou skupinou zainteresovaných strán formou otvorenej, transparentnej a inkluzívnej konzultácie.

Pozmeňujúci návrh    163

Návrh nariadenia

Článok 44 – odsek -1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

-1a.  V opodstatnených prípadoch môže Komisia požiadať agentúru o vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti. Žiadosť musí vychádzať z priebežného pracovného programu Únie.

Pozmeňujúci návrh    164

Návrh nariadenia

Článok 44 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra ENISA na žiadosť Komisie vypracuje kandidátsky európsky systém certifikácie kybernetickej bezpečnosti, ktorý spĺňa požiadavky stanovené v článkoch 45, 46 a 47 tohto nariadenia. Členské štáty alebo európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „skupina“) zriadená podľa článku 53 môžu Komisii navrhnúť vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti.

1.  Žiadosť o kandidátsky európsky systém certifikácie kybernetickej bezpečnosti musí obsahovať rozsah, príslušné bezpečnostné ciele uvedené v článku 45, príslušné prvky uvedené v článku 47 a termín, do ktorého má konkrétny kandidátsky systém nadobudnúť účinnosť. Pri príprave žiadosti môže Komisia konzultovať s agentúrou, s certifikačnou skupinou členských štátov a s certifikačnou skupinou zainteresovaných strán.

Pozmeňujúci návrh    165

Návrh nariadenia

Článok 44 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Pri vypracúvaní kandidátskeho systému podľa odseku 1 tohto článku vedie agentúra ENISA konzultácie so všetkými relevantnými zainteresovanými stranami a úzko spolupracuje so skupinou. Skupina poskytuje agentúre ENISA pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk.

2.  Pri vypracúvaní kandidátskeho systému podľa odseku – 1 (nové) vedie agentúra konzultácie so všetkými relevantnými zainteresovanými stranami prostredníctvom formálnych, otvorených, transparentných a inkluzívnych konzultačných procesov a úzko spolupracuje s certifikačnou skupinou členských štátov, certifikačnou skupinou zainteresovaných strán, výbormi zostavenými ad hoc v súlade s článkom 20a tohto nariadenia a európskymi normalizačnými orgánmi. Tieto poskytujú agentúre pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk.

Pozmeňujúci návrh    166

Návrh nariadenia

Článok 44 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Agentúra ENISA postúpi kandidátsky európsky systém certifikácie kybernetickej bezpečnosti vypracovaný v súlade s odsekom 2 tohto článku Komisii.

3.  Agentúra postúpi kandidátsky systém vypracovaný v súlade s odsekmi 1 a 2 tohto článku Komisii.

Pozmeňujúci návrh    167

Návrh nariadenia

Článok 44 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Komisia môže na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať vykonávacie akty v súlade s článkom 55 ods. 1, v ktorých sa stanovia európske systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47 tohto nariadenia.

4.  Komisia môže na základe kandidátskeho systému navrhnutého agentúrou prijať delegované akty v súlade s článkom 55 a doplňujúce toto nariadenie, v ktorých sa stanovia európske systémy certifikácie kybernetickej bezpečnosti produktov, procesov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47.

Pozmeňujúci návrh    168

Návrh nariadenia

Článok 44 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Agentúra ENISA spravuje vyhradené webové stránky, na ktorých sa uvádzajú informácie o európskych systémoch certifikácie kybernetickej bezpečnosti a zabezpečuje ich publicita.

5.  Agentúra spravuje vyhradené webové stránky, na ktorých sa uvádzajú informácie o európskych systémoch certifikácie kybernetickej bezpečnosti vrátane certifikátov, ktoré boli stiahnuté a vypršala im platnosť, ako aj príslušných vnútroštátnych certifikácií a zabezpečuje ich publicitu.

 

Ak európsky systém certifikácie kybernetickej bezpečnosti spĺňa požiadavky, ktorých cieľom je dosiahnuť súlad s príslušnými harmonizačnými právnymi predpismi Únie, Komisia bezodkladne uverejní odkaz na ne v Úradnom vestníku Európskej únie a akýmkoľvek iným spôsobom v súlade s podmienkami stanovenými v príslušnom harmonizačnom právnom predpise Únie.

Pozmeňujúci návrh    169

Návrh nariadenia

Článok 44 – odsek 5 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  Agentúra v súlade so štruktúrou stanovenou podľa tohto nariadenia preskúma prijaté systémy na konci obdobia ich platnosti v súlade s článkom 47 ods. 1 písm. ac) alebo na žiadosť Komisie, pričom zohľadní spätnú väzbu od príslušných zainteresovaných strán.

Pozmeňujúci návrh    170

Návrh nariadenia

Článok 45 – odsek 1 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

Európsky systém certifikácie kybernetickej bezpečnosti musí byť navrhnutý tak, aby podľa potreby zohľadňoval tieto bezpečnostné ciele:

Európsky systém certifikácie kybernetickej bezpečnosti musí byť navrhnutý tak, aby zohľadňoval bezpečnostné ciele, ktoré zabezpečia:

Pozmeňujúci návrh    171

Návrh nariadenia

Článok 45 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  chrániť uložené, prenášané alebo inak spracúvané údaje pred neúmyselným či neoprávneným ukladaním, spracovaním, prístupom alebo únikom;

a)  dôvernosť, integritu, dostupnosť a súkromie služieb, funkcií a údajov;

Pozmeňujúci návrh    172

Návrh nariadenia

Článok 45 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  chrániť uložené, prenášané alebo inak spracúvané údaje pred neúmyselným či neoprávneným zničením, náhodnou stratou či pozmenením;

b)  aby k službám, funkciám a údajom mohli pristupovať a používať ich iba oprávnené osoby a/alebo oprávnené systémy a programy;

Pozmeňujúci návrh    173

Návrh nariadenia

Článok 45 – odsek 1 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  zabezpečiť, aby mali oprávnené osoby, programy alebo zariadenia prístup výlučne k tým údajom, službám alebo funkciám, na ktoré sa vzťahujú ich prístupové práva;

c)  aby bol zavedený proces identifikácie a dokumentácie všetkých závislostí a známych zraniteľných miest produktov, procesov a služieb IKT;

Pozmeňujúci návrh    174

Návrh nariadenia

Článok 45 – odsek 1 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  zaznamenávať, ktoré údaje, funkcie alebo služby sa poskytli, kedy a kto ich poskytol;

d)  aby produkty, procesy a služby IKT neobsahovali známe zraniteľné miesta;

Pozmeňujúci návrh    175

Návrh nariadenia

Článok 45 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  zabezpečiť možnosť overiť, kto a kedy ku ktorým údajom, službám alebo funkciám pristupoval alebo ich použil;

e)  aby bol zavedený proces na riešenie novoobjavených zraniteľných miest produktov, procesov a služieb IKT;

Pozmeňujúci návrh    176

Návrh nariadenia

Článok 45 – odsek 1 – písmeno f

Text predložený Komisiou

Pozmeňujúci návrh

f)  v prípade fyzického alebo technického incidentu promptne obnoviť dostupnosť údajov, služieb a funkcií a prístup k nim;

f)  aby produkty, procesy a služby IKT boli bezpečné štandardne a už v štádiu návrhu.

Pozmeňujúci návrh    177

Návrh nariadenia

Článok 45 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  zabezpečiť, že k produktom a službám IKT sa poskytuje aktualizovaný softvér bez známych zraniteľných miest, ako aj mechanizmy bezpečnej aktualizácie softvéru.

g)  že k produktom a službám IKT sa poskytuje aktualizovaný softvér bez známych zraniteľných miest, ako aj mechanizmy bezpečnej aktualizácie softvéru.

Pozmeňujúci návrh    178

Návrh nariadenia

Článok 45 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  aby ďalšie riziká spojené s kybernetickými incidentmi, ako sú riziká pre život, zdravie, životné prostredie a iné významné právne záujmy, boli minimalizované.

Pozmeňujúci návrh    179

Návrh nariadenia

Článok 46 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Európsky systém certifikácie kybernetickej bezpečnosti môže pre produkty a služby IKT certifikované v rámci daného systému uvádzať jeden alebo viacero z týchto stupňov dôveryhodnosti: základný, pokročilý a/alebo vysoký.

1.  Európsky systém certifikácie kybernetickej bezpečnosti môže pre produkty, procesy a služby IKT certifikované v rámci daného systému uvádzať jeden alebo viacero z týchto stupňov dôveryhodnosti založených na riziku, a to podľa kontextu a plánovaného použitia produktov, procesov a služieb IKT: základný, pokročilý a/alebo vysoký.

Pozmeňujúci návrh    180

Návrh nariadenia

Článok 46 – odsek 2 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  základný stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje obmedzený stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je znížiť riziko kybernetických incidentov;

a)  základný stupeň dôveryhodnosti zodpovedá nízkej úrovni rizika z hľadiska kombinovanej pravdepodobnosti a škody súvisiacej s produktom, procesom a službou IKT so zreteľom na ich plánované použitie a kontext. Základný stupeň dôveryhodnosti poskytuje dôveru v to, že je možné odolávať známym základným rizikám kybernetických incidentov.

Pozmeňujúci návrh    181

Návrh nariadenia

Článok 46 – odsek 2 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  pokročilý stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje výrazný stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je výrazne znížiť riziko kybernetických incidentov;

b)  pokročilý stupeň dôveryhodnosti zodpovedá vyššej úrovni rizika z hľadiska kombinovanej pravdepodobnosti a škody súvisiacej s produktom, procesom a službou IKT. Pokročilý stupeň dôveryhodnosti poskytuje dôveru v to, že je možné zabrániť známym rizikám kybernetických incidentov a odolávať kybernetickým útokom s obmedzenými zdrojmi.

Pozmeňujúci návrh    182

Návrh nariadenia

Článok 46 – odsek 2 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  vysoký stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje vyšší stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT než certifikáty s pokročilým stupňom dôveryhodnosti, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je predchádzať riziku kybernetických incidentov.

c)  vysoký stupeň dôveryhodnosti zodpovedá vysokej úrovni rizika z hľadiska škody súvisiacej s produktom, procesom a službou IKT. Vysoký stupeň dôveryhodnosti poskytuje dôveru v to, že je možné zabrániť rizikám kybernetických incidentov a odolávať najmodernejším kybernetickým útokom so značnými zdrojmi.

Pozmeňujúci návrh    183

Návrh nariadenia

Článok 46 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 46 a

 

Hodnotenie stupňov dôveryhodnosti európskych systémov certifikácie kybernetickej bezpečnosti

 

1.   V prípade základného stupňa dôveryhodnosti môže výrobca alebo poskytovateľ produktov, procesov a služieb IKT na svoju vlastnú zodpovednosť vykonávať vlastné posúdenie zhody.

 

2.   V prípade pokročilého stupňa dôveryhodnosti musí byť hodnotenie založené prinajmenšom na overení zhody bezpečnostných funkcií produktu, procesu alebo služby s ich technickou dokumentáciou;

 

3.   V prípade vysokého stupňa dôveryhodnosti musí byť metodika hodnotenia založená prinajmenšom na testovaní účinnosti, ktorou sa posúdi odolnosť bezpečnostných voči útočníkom s významnými zdrojmi.

Pozmeňujúci návrh    184

Návrh nariadenia

Článok 47 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  predmet úpravy a rozsah pôsobnosti danej certifikácie vrátane typu alebo kategórií pokrytých produktov a služieb IKT;

a)  predmet úpravy a rozsah pôsobnosti danej certifikácie vrátane typu alebo kategórií pokrytých produktov, procesov a služieb IKT;

Pozmeňujúci návrh    185

Návrh nariadenia

Článok 47 – odsek 1 – písmeno a a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

aa)  rozsah a požiadavky týkajúce sa kybernetickej bezpečnosti, a ak je to vhodné, rozsah a požiadavky odzrkadľujú požiadavky národných certifikácií kybernetickej bezpečnosti, ktoré nahrádza alebo ktoré sú stanovené v právnych aktoch;

Pozmeňujúci návrh    186

Návrh nariadenia

Článok 47 – odsek 1 – písmeno a b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ab)  obdobie platnosti certifikačného systému

Pozmeňujúci návrh    187

Návrh nariadenia

Článok 47 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  podrobnú špecifikáciu kyberneticko-bezpečnostných požiadaviek, z hľadiska ktorých sa konkrétne produkty a služby IKT hodnotia – napríklad s odkazom na únijné alebo medzinárodné normy alebo technické špecifikácie;

b)  podrobnú špecifikáciu kyberneticko-bezpečnostných požiadaviek, z hľadiska ktorých sa konkrétne produkty, procesy a služby IKT hodnotia – napríklad s odkazom na európske alebo medzinárodné normy, technické špecifikácie alebo technické špecifikácie IKT určené takým spôsobom, aby certifikácia mohla byť založená na systematických bezpečnostných postupoch výrobcu dodržiavaných počas vývoja a životného cyklu príslušného produktu alebo služby alebo zapracovaná do týchto postupov;

Pozmeňujúci návrh    188

Návrh nariadenia

Článok 47 – odsek 1 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  informácie o známych kybernetických hrozbách, na ktoré sa nevzťahuje certifikácia, a usmernenia na ich riešenie;

Pozmeňujúci návrh    189

Návrh nariadenia

Článok 47 – odsek 1 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  podľa potreby jeden alebo viacero stupňov dôveryhodnosti;

c)  podľa potreby jeden alebo viacero stupňov dôveryhodnosti, okrem iného pri zohľadnení prístupu založeného na posudzovaní rizík;

Pozmeňujúci návrh    190

Návrh nariadenia

Článok 47 – odsek 1 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  údaj o tom, či je vlastné posudzovanie zhody v rámci systému povolené, a uplatniteľný postup posudzovania zhody alebo vlastného vyhlásenia o zhode, alebo oboje;

Pozmeňujúci návrh    191

Návrh nariadenia

Článok 47 – odsek 1 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  konkrétne použité hodnotiace kritériá a metódy vrátane typov hodnotenia s cieľom preukázať, že sa dosiahli konkrétne ciele uvedené v článku 45;

d)  konkrétne hodnotiace kritériá, typy posudzovania zhody a metódy s cieľom preukázať, že sa dosiahli konkrétne ciele uvedené v článku 45;

Pozmeňujúci návrh    192

Návrh nariadenia

Článok 47 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  informácie, ktoré má orgánom posudzovania zhody poskytnúť žiadateľ a ktoré sú potrebné na certifikáciu;

e)  informácie, ktoré má orgánom posudzovania zhody poskytnúť žiadateľ a ktoré sú potrebné na certifikáciu;

Pozmeňujúci návrh    193

Návrh nariadenia

Článok 47 – odsek 1 – písmeno f

Text predložený Komisiou

Pozmeňujúci návrh

f)  ak systém zahŕňa označenia alebo značky, podmienky, za ktorých možno takéto označenia alebo značky použiť;

f)  informácie o kybernetickej bezpečnosti podľa článku 47 a tohto nariadenia;

Pozmeňujúci návrh    194

Návrh nariadenia

Článok 47 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  ak systém zahŕňa dohľad, pravidlá monitorovania súladu s požiadavkami príslušného certifikátu vrátane mechanizmov na preukázanie trvalého súladu so stanovenými kyberneticko-bezpečnostnými požiadavkami;

g)  pravidlá monitorovania súladu s požiadavkami príslušného certifikátu vrátane mechanizmov na preukázanie trvalého súladu so stanovenými kyberneticko-bezpečnostnými požiadavkami;

Pozmeňujúci návrh    195

Návrh nariadenia

Článok 47 – odsek 1 – písmeno h

Text predložený Komisiou

Pozmeňujúci návrh

h)  podmienky udelenia, udržiavania, pokračovania, rozširovania a zužovania rozsahu certifikácie;

h)  podmienky udelenia, udržiavania, pokračovania, preskúmania, rozšírenia a zúženia rozsahu a obdobia platnosti certifikátu;

Pozmeňujúci návrh    196

Návrh nariadenia

Článok 47 – odsek 1 – písmeno h a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ha)  pravidlá zamerané na nakladanie so zraniteľnými miestami, ktoré môžu vzniknúť po certifikácii, zavedením dynamického a nepretržitého organizačného procesu, do ktorého sú zapojení poskytovatelia aj používatelia;

Pozmeňujúci návrh    197

Návrh nariadenia

Článok 47 – odsek 1 – písmeno i

Text predložený Komisiou

Pozmeňujúci návrh

i)  pravidlá týkajúce sa dôsledkov v prípade nesúladu certifikovaných produktov a služieb IKT s certifikačnými požiadavkami;

i)  pravidlá týkajúce sa dôsledkov v prípade nesúladu certifikovaných produktov a služieb IKT, ako aj nesúladu produktov a služieb IKT, ktoré prešli vlastným posúdením, s certifikačnými požiadavkami;

Pozmeňujúci návrh    198

Návrh nariadenia

Článok 47 – odsek 1 – písmeno j

Text predložený Komisiou

Pozmeňujúci návrh

j)  pravidlá týkajúce sa nahlasovania a riešenia predtým nezistených zraniteľných miest produktov a služieb IKT z hľadiska kybernetickej bezpečnosti;

j)  pravidlá týkajúce sa nahlasovania a riešenia verejne neznámych zraniteľných miest produktov a služieb IKT z hľadiska kybernetickej bezpečnosti po ich odhalení;

Pozmeňujúci návrh    199

Návrh nariadenia

Článok 47 – odsek 1 – písmeno l

Text predložený Komisiou

Pozmeňujúci návrh

l)  určenie vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov a služieb IKT;

l)  určenie vnútroštátnych alebo medzinárodných systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategórie produktov, procesov a služieb IKT, bezpečnostných požiadaviek a kritérií a metód hodnotenia;

Pozmeňujúci návrh    200

Návrh nariadenia

Článok 47 – odsek 1 – písmeno m a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ma)  podmienky vzájomného uznávania systémov certifikácie s tretími krajinami.

Pozmeňujúci návrh    201

Návrh nariadenia

Článok 47 – odsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1a.  Procesy údržby s aktualizáciami nesmú spôsobiť neplatnosť certifikácie, pokiaľ takéto aktualizácie nemajú závažný nepriaznivý účinok na bezpečnosť produktu, procesu alebo služby IKT.

Pozmeňujúci návrh    202

Návrh nariadenia

Článok 47 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 47 a

 

Informácie o kybernetickej bezpečnosti pre certifikované produkty, procesy a služby

 

1.   Výrobca alebo poskytovateľ produktov, procesov a služieb IKT, na ktoré sa vzťahuje systém certifikácie podľa tohto nariadenia, poskytne konečnému používateľovi dokument v elektronickej alebo papierovej podobe, ktorý obsahuje aspoň tieto informácie: stupeň dôveryhodnosti certifikátu súvisiaci s plánovaným použitím produktu, procesu alebo služby IKT; opis rizík, v súvislosti s ktorými má certifikácia poskytovať dôveru v odolnosť; odporúčania o tom, ako môžu používatelia ďalej podporovať kybernetickú bezpečnosť produktu, procesu alebo služby, pravidelnosť a obdobie podpory po aktualizáciách; v prípade potreby informácie o tom, ako môžu používatelia v prípade útoku zachovať hlavné znaky produktu, procesu alebo služby.

 

2.   Dokument uvedený v odseku 1 tohto článku musí byť k dispozícii počas celého životného cyklu produktu, procesu alebo služby až do času jeho vyradenia z trhu a minimálne po obdobie piatich rokov.

 

3.   Komisia prijme vykonávacie akty, v ktorých stanoví vzor dokumentu. Môže požiadať agentúru, aby navrhla vzor pre uchádzačov. Uvedený vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 55 tohto nariadenia.

Pozmeňujúci návrh    203

Návrh nariadenia

Článok 48 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Produkty a služby IKT certifikované v rámci európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 44 sa považujú za vyhovujúce požiadavkám daného systému.

1.  Produkty, procesy a služby IKT certifikované v rámci európskeho systému certifikácie kybernetickej bezpečnosti prijatého podľa článku 44 sa považujú za vyhovujúce požiadavkám daného systému.

Pozmeňujúci návrh    204

Návrh nariadenia

Článok 48 – odsek 4 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

4.  Odchylne od odseku 3 sa v riadne odôvodnených prípadoch môže v konkrétnom európskom systéme kybernetickej bezpečnosti určiť, že výsledný európsky certifikát kybernetickej bezpečnosti môže vydať len verejný orgán. Ide o jeden z týchto verejných orgánov:

4.  Odchylne od odseku 3 a len v riadne odôvodnených prípadoch, napríklad z dôvodov národnej bezpečnosti, sa môže v konkrétnom európskom systéme certifikácie kybernetickej bezpečnosti určiť, že výsledný európsky certifikát kybernetickej bezpečnosti môže vydať len verejný orgán. Takýmto verejným orgánom je orgán akreditovaný ako orgán pre posudzovanie zhody podľa článku 51 ods. 1 tohto nariadenia. Fyzická či právnická osoba, ktorá podrobuje svoje produkty alebo služby IKT certifikácii, musí orgánu pre posudzovanie zhody uvedenému v článku 51 sprístupniť všetky informácie potrebné pre postup certifikácie.

Pozmeňujúci návrh    205

Návrh nariadenia

Článok 48 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Fyzická či právnická osoba, ktorá podrobuje svoje produkty alebo služby IKT mechanizmu certifikácie, musí orgánu posudzovania zhody uvedenému v článku 51 poskytnúť všetky informácie potrebné pre postup certifikácie.

5.  Fyzická či právnická osoba, ktorá podrobuje svoje produkty, služby alebo procesy IKT mechanizmu certifikácie, musí orgánu posudzovania zhody uvedenému v článku 51 poskytnúť všetky informácie potrebné pre postup certifikácie vrátane informácií o akýchkoľvek známych zraniteľných miestach z hľadiska bezpečnosti. O certifikáciu možno požiadať ktorýkoľvek orgán pre posudzovanie zhody uvedený v článku 51.

Pozmeňujúci návrh    206

Návrh nariadenia

Článok 48 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Certifikáty sa vydávajú najviac na tri roky, pričom ich možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky.

6.  Certifikáty sa vydávajú najviac na obdobie, ktorého dĺžka sa určí pre každý systém individuálne zohľadňujúc primeraný životný cyklus, ktoré však nemôže trvať viac ako päť rokov, pričom ho možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky.

Odôvodnenie

Tým sa zabezpečí flexibilita, aby bolo obdobia platnosti možné prispôsobiť plánovanému použitiu.

Pozmeňujúci návrh    207

Návrh nariadenia

Článok 48 – odsek 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  Európsky certifikát kybernetickej bezpečnosti vydaný podľa tohto článku sa uzná vo všetkých členských štátoch.

7.  Vo všetkých členských štátoch musí byť európsky certifikát kybernetickej bezpečnosti vydaný podľa tohto článku uznávaný ako certifikát, ktorý spĺňa požiadavky kybernetickej bezpečnosti na produkty a procesy IKT a zariadenia spotrebnej elektroniky, pre ktoré bol vydaný, pri zohľadnení stupňov dôveryhodnosti uvedených v článku 46, a nesmie sa rozlišovať medzi takýmto certifikátom vydaným v členskom štáte pôvodu a certifikátom vydaným orgánom pre posudzovanie zhody uvedeným v článku 51.

Odôvodnenie

S cieľom vyhnúť sa fragmentácii uznávania a/alebo súladu systémov certifikácie kybernetickej bezpečnosti EÚ treba zdôrazniť, že žiadne miesto vydania certifikátu nesmie byť predmetom diskriminácie.

Pozmeňujúci návrh    208

Návrh nariadenia

Článok 48 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 48 a

 

Systémy certifikácie pre prevádzkovateľov základných služieb

 

1.   Ak boli európske systémy certifikácie kybernetickej bezpečnosti prijaté v súlade s odsekom 2 tohto článku, prevádzkovatelia základných služieb na účely plnenia bezpečnostných požiadaviek podľa článku 14 smernice (EÚ) 2016/1148 musia používať produkty, procesy a služby, na ktoré sa vzťahujú tieto systémy certifikácie.

 

2.   Do [jedného roka od nadobudnutia účinnosti tohto nariadenia] Komisia po porade so skupinou pre spoluprácu uvedenou v článku 11 smernice (EÚ) 2016/1148 prijme v súlade s článkom 55a delegované akty, ktoré budú dopĺňať toto nariadenie uvedením kategórií produktov, procesov a služieb, ktoré spĺňajú obe tieto kritériá:

 

a)  sú určené na použitie pre prevádzkovateľov základných služieb; a

 

b)  ich nesprávne fungovanie by malo závažný rušivý vplyv na poskytovanie základnej služby.

 

3.   Komisia v súlade s článkom 55 a prijme delegované akty, ktorými sa mení toto nariadenie v prípade potreby aktualizáciou zoznamu kategórií produktov, procesov a služieb uvedených v odseku 3 tohto článku.

 

4.   Komisia požiada agentúru o vypracovanie návrhu kandidátskych európskych systémov kybernetickej bezpečnosti podľa článku 44 ods. 1 tohto nariadenia pre zoznam kategórií produktov, procesov a služieb uvedených v odsekoch 2 a 3 tohto článku, hneď ako bude tento zoznam prijatý alebo aktualizovaný. Certifikáty vydané na základe takýchto európskych systémov certifikácie kybernetickej bezpečnosti majú vysoký stupeň dôveryhodnosti.

Pozmeňujúci návrh    209

Návrh nariadenia

Článok 48 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 48 b

 

Formálne námietky voči európskym systémom certifikácie kybernetickej bezpečnosti

 

1.  Ak sa členský štát domnieva, že európsky systém certifikácie kybernetickej bezpečnosti úplne nespĺňa požiadavky, ktoré má spĺňať a ktoré sú stanovené v príslušných harmonizačných právnych predpisoch Únie, informuje o tom Komisiu a poskytne podrobné vysvetlenie. Komisia po konzultácii s výborom zriadeným v súlade s príslušnými harmonizačnými právnymi predpismi Únie, v náležitých prípadoch alebo po uskutočnení iných foriem konzultácií so sektorovými odborníkmi rozhodne:

 

a)  uverejniť, neuverejniť alebo uverejniť s obmedzením v Úradnom vestníku Európskej únie odkazy na príslušný európsky systém kybernetickej bezpečnosti;

 

b)  ponechať, ponechať s obmedzením alebo zrušiť v Úradnom vestníku Európskej únie odkazy na príslušný európsky systém kybernetickej bezpečnosti.

 

2.  Komisia zverejní informácie o európskych systémoch kybernetickej bezpečnosti, o ktorých sa rozhodovalo podľa odseku 1 tohto článku, na svojej webovej stránke.

 

3.  Komisia informuje agentúru o rozhodnutí uvedenom v odseku 1 tohto článku a v prípade potreby požiada o revíziu príslušného európskeho systému kybernetickej bezpečnosti.

 

4.  Rozhodnutie uvedené v odseku 1 písm. a) tohto článku sa prijme v súlade s konzultačným postupom uvedeným v článku 55 ods. 2 tohto nariadenia.

 

5.  Rozhodnutie uvedené v odseku 1 písm. b) tohto článku sa prijme v súlade s postupom preskúmania uvedeným v článku 55 ods. 2 a (nový) tohto nariadenia.

Pozmeňujúci návrh    210

Návrh nariadenia

Článok 49 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Bez toho, aby bol dotknutý odsek 3, strácajú vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, účinok k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 44 ods. 4. Existujúce vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa žiaden európsky systém certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.

1.  Bez toho, aby bol dotknutý odsek 3, strácajú vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty, procesy a služby IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, účinnosť k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 44 ods. 4. Existujúce vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty, procesy a služby IKT, na ktoré sa žiaden európsky systém certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.

Pozmeňujúci návrh    211

Návrh nariadenia

Článok 49 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Členské štáty nesmú zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti tých produktov a služieb IKT, na ktoré sa vzťahuje platný európsky systém certifikácie kybernetickej bezpečnosti.

2.  Členské štáty nesmú zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti tých produktov, procesov a služieb IKT, na ktoré sa vzťahuje platný európsky systém certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    212

Návrh nariadenia

Článok 49 – odsek 3 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

3a.  Členské štáty oznámia Komisii všetky žiadosti o vypracovanie vnútroštátnych systémov certifikácie kybernetickej bezpečnosti a uvedú dôvody ich prijatia.

Pozmeňujúci návrh    213

Návrh nariadenia

Článok 49 – odsek 3 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

3b.  Členské štáty zašlú na požiadanie iným členským štátom, agentúre alebo Komisii návrhy vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, a to aspoň elektronicky.

Pozmeňujúci návrh    214

Návrh nariadenia

Článok 49 – odsek 3 c (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

3c.  Bez toho, aby bola dotknutá smernica (EÚ) 2015/1535 členské štáty do troch mesiacov odpovedia na všetky poznámky prijaté od akéhokoľvek iného členského štátu, agentúry alebo Komisie v súvislosti s akýmkoľvek návrhom uvedeným v odseku 3b tohto článku a náležite ich zohľadní.

Pozmeňujúci návrh    215

Návrh nariadenia

Článok 49 – odsek 3 d (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

3d.  Ak na základe poznámok prijatých podľa odseku 3 písm. c) tohto článku vyplynie, že návrh vnútroštátneho systému certifikácie kybernetickej bezpečnosti bude mať pravdepodobne negatívny vplyv na riadne fungovanie vnútorného trhu, prijímajúci členský štát sa pred prijatím návrhu systému poradí a v čo najväčšej miere zohľadní poznámky agentúry a Komisie.

Pozmeňujúci návrh    216

Návrh nariadenia

Článok 50 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  V záujme účinného vykonávania tohto nariadenia je vhodné, aby sa tieto orgány aktívne, efektívne, účinne a bezpečne zapájali do práce európskej skupiny pre certifikáciu kybernetickej bezpečnosti zriadenej podľa článku 53.

5.  V záujme účinného vykonávania tohto nariadenia je vhodné, aby sa tieto orgány aktívne, efektívne, účinne a bezpečne zapájali do práce certifikačnej skupiny členských štátov zriadenej podľa článku 53.

Pozmeňujúci návrh    217

Návrh nariadenia

Článok 50 – odsek 6 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  monitorujú a presadzujú uplatňovanie ustanovení tejto hlavy na vnútroštátnej úrovni a dohliadajú na súlad certifikátov, ktoré vydali orgány posudzovania zhody zriadené na území daného členského štátu, s požiadavkami tejto hlavy, ako aj s požiadavkami príslušného európskeho systému certifikácie kybernetickej bezpečnosti;

a)  monitorujú a presadzujú uplatňovanie ustanovení tejto hlavy na vnútroštátnej úrovni a overujú súlad podľa pravidiel prijatých európskou skupinou pre certifikáciu kybernetickej bezpečnosti podľa článku 53 ods. 3 písm. da), pokiaľ ide o

 

i.   certifikáty, ktoré vydali orgány pre posudzovanie zhody so sídlom na území daného členského štátu, s požiadavkami tejto hlavy, ako aj s požiadavkami príslušného európskeho systému certifikácie kybernetickej bezpečnosti; a

 

ii.   vlastné vyhlásenia o zhode podľa systému, ktorý sa týka procesu, produktu alebo služby IKT;

Pozmeňujúci návrh    218

Návrh nariadenia

Článok 50 – odsek 6 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  monitorujú a dohliadajú nad činnosťami orgánov posudzovania zhody na účely tohto nariadenia, a to aj v súvislosti s oznamovaním orgánov posudzovania zhody a súvisiacich úloh v zmysle článku 52 tohto nariadenia;

b)  monitorujú, dohliadajú nad činnosťami orgánov posudzovania zhody na účely tohto nariadenia a aspoň každé dva roky túto činnosť orgánov pre posudzovanie zhody posudzujú, a to aj v súvislosti s notifikovaním orgánov pre posudzovanie zhody a súvisiacimi úlohami v zmysle článku 52 tohto nariadenia;

Pozmeňujúci návrh    219

Návrh nariadenia

Článok 50 – odsek 6 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  vykonávajú audity s cieľom zabezpečiť, aby sa v Únii uplatňovali rovnocenné normy, a oznamujú výsledky agentúre a skupine;

Odôvodnenie

To pomáha zabezpečiť, aby sa v celej EÚ uplatňovala jednotná úroveň služieb a kvality a zabraňuje možnosti „nákupu certifikátov“.

Pozmeňujúci návrh    220

Návrh nariadenia

Článok 50 – odsek 6 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, primerane prešetrujú predmet danej sťažnosti a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;

c)  vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, alebo v súvislosti s uskutočneným vlastným posúdením zhody, primerane prešetrujú predmet danej sťažnosti a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;

Pozmeňujúci návrh    221

Návrh nariadenia

Článok 50 – odsek 6 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  oznamujú výsledky overovania podľa písmena a) a posudzovania podľa písmena b) agentúre a európskej skupine pre certifikáciu kybernetickej bezpečnosti;

Pozmeňujúci návrh    222

Návrh nariadenia

Článok 50 – odsek 6 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi, ako sú vnútroštátne orgány dohľadu nad ochranou údajov, vrátane poskytovania informácií o možnom nesúlade produktov, procesov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    223

Návrh nariadenia

Článok 50 – odsek 6 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi, ako sú vnútroštátne orgány dohľadu nad ochranou údajov, vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie bezpečnosti IT;

Odôvodnenie

Zo stanoviska EDPS.

Pozmeňujúci návrh    224

Návrh nariadenia

Článok 50 – odsek 7 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  odobrať akreditáciu orgánom posudzovania zhody, ktoré nedodržiavajú toto nariadenie;

Pozmeňujúci návrh    225

Návrh nariadenia

Článok 50 – odsek 7 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  v súlade s vnútroštátnym právom odnímať certifikáty, ktoré nie sú v súlade s týmto nariadením alebo s európskym systémom certifikácie kybernetickej bezpečnosti;

e)  v súlade s vnútroštátnym právom odnímať certifikáty, ktoré nie sú v súlade s týmto nariadením alebo s európskym systémom certifikácie kybernetickej bezpečnosti a informovať o tom vnútroštátne akreditačné orgány;

Pozmeňujúci návrh    226

Návrh nariadenia

Článok 50 – odsek 8

Text predložený Komisiou

Pozmeňujúci návrh

8.  Vnútroštátne orgány dohľadu nad certifikáciou navzájom i s Komisiou spolupracujú, a najmä si vymieňajú informácie, skúsenosti a osvedčené postupy v oblasti certifikácie kybernetickej bezpečnosti a technických otázok súvisiacich s kybernetickou bezpečnosťou produktov a služieb IKT.

8.  Vnútroštátne orgány dohľadu nad certifikáciou navzájom i s Komisiou spolupracujú, a najmä si vymieňajú informácie, skúsenosti a osvedčené postupy v oblasti certifikácie kybernetickej bezpečnosti a technických otázok súvisiacich s kybernetickou bezpečnosťou produktov, procesov a služieb IKT.

Pozmeňujúci návrh    227

Návrh nariadenia

Článok 50 – odsek 8 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

8a.  Všetky vnútroštátne orgány dohľadu nad certifikáciou a všetci členovia a pracovníci vnútroštátnych orgánov dohľadu nad certifikáciou v súlade s právom Únie alebo členského štátu majú povinnosť zachovávať služobné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich úloh alebo povinností alebo pri výkone právomocí, a to tak počas funkčného obdobia alebo zamestnania, ako aj po jeho skončení.

Pozmeňujúci návrh    228

Návrh nariadenia

Článok 50 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 50 a

 

Partnerské preskúmanie

 

1.  Vnútroštátne orgány dohľadu nad certifikáciou sa podrobia partnerskému preskúmaniu v súvislosti s každou činnosťou, ktorú vykonávajú podľa článku 50, organizovanou agentúrou.

 

2.   Partnerské hodnotenie prebieha na základe riadnych a transparentných hodnotiacich kritérií a postupoch, ktoré sa vzťahujú najmä na štrukturálne požiadavky, požiadavky na ľudské zdroje a postupy, dôvernosť informácií a sťažnosti. Ustanovia sa príslušné postupy pre odvolacie konanie proti rozhodnutiam, ktoré sa prijali v dôsledku takéhoto hodnotenia.

 

3.   Partnerské preskúmanie zahŕňa posudzovanie postupov zavedených vnútroštátnymi orgánmi dohľadu nad certifikáciou, najmä pokiaľ ide o postupy kontroly súladu certifikátov, postupy monitorovania a dohľadu nad činnosťami orgánov posudzovania zhody, odbornosť zamestnancov, správnosť kontrol a inšpekčnej metodiky, ako aj správnosť výsledkov. V rámci partnerského preskúmania sa zároveň posudzuje, či príslušné vnútroštátne orgány dohľadu nad certifikáciou majú dostatočné zdroje na riadne plnenie svojich povinností, ako sa vyžaduje v článku 50 ods. 4.

 

4.   Partnerské preskúmanie vnútroštátnych orgánov dohľadu nad certifikáciou vykonávajú dva vnútroštátne orgány dohľadu nad certifikáciou iných členských štátov a Komisia, a to najmenej raz každých päť rokov. Agentúra sa partnerského preskúmania môže zúčastniť a o svojej účasti rozhodne na základe analýzy posúdenia rizík.

 

5.   Komisia môže v súlade s článkom 55 a prijímať delegované akty doplňujúce toto nariadenie určením plánu partnerských preskúmaní na obdobie najmenej piatich rokov, v ktorých stanoví kritériá zloženia tímu partnerského preskúmania, metodiku partnerského preskúmania, harmonogram, periodicitu a ďalšie úlohy súvisiace s partnerským preskúmaním. Pri prijímaní týchto delegovaných aktov Komisia náležite zohľadní pripomienky certifikačnej skupiny členských štátov.

 

6.   Výsledok partnerského preskúmania preverí certifikačná skupina členských štátov. Agentúra vypracuje súhrn výsledkov a v prípade potreby poskytne usmernenia a dokumenty s najlepšími postupmi a zverejní ich.

Pozmeňujúci návrh    229

Návrh nariadenia

Článok 51 – odsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1a.  Pri vysokom stupni dôveryhodnosti musí vnútroštátny orgán dohľadu nad certifikáciou okrem akreditácie notifikovať orgán posudzovania zhody o jeho spôsobilosti a odbornosti v oblasti posudzovania kybernetickej bezpečnosti. Vnútroštátny orgán dohľadu nad certifikáciou pravidelne vykonáva audity odbornosti a spôsobilosti notifikovaných orgánov posudzovania zhody.

Odôvodnenie

Vysoký stupeň dôveryhodnosti si vyžaduje testy účinnosti. Orgány posudzovania zhody, ktoré vykonávajú testy účinnosti, sa musia pravidelne podrobovať auditu odbornosti a spôsobilosti najmä kvôli zabezpečeniu kvality týchto testov.

Pozmeňujúci návrh    230

Návrh nariadenia

Článok 51 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Audity sa vykonávajú s cieľom zabezpečiť, aby sa v Únii uplatňovali rovnocenné normy, a ich výsledky sa oznamujú agentúre a skupine.

Pozmeňujúci návrh    231

Návrh nariadenia

Článok 51 – odsek 2 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2b.  Ak sa výrobcovia rozhodnú pre „vlastné vyhlásenie o zhode“ podľa článku 48 ods. 3, orgány posudzovania zhody prijmú dodatočné opatrenia na overenie vnútorných postupov, ktoré vykonal výrobca s cieľom zabezpečiť, aby ich produkty a/alebo služby boli v súlade s požiadavkami európskeho systému certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    232

Návrh nariadenia

Článok 52 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Komisia môže vo vykonávacích aktoch vymedziť okolnosti, formáty a postupy oznamovania uvedeného v odseku 1 tohto článku. Dané vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 55 ods. 2.

5.  Komisia môže v delegovaných aktoch vymedziť okolnosti, formáty a postupy oznamovania uvedeného v odseku 1 tohto článku. Uvedené delegované akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 55 ods. 2.

Pozmeňujúci návrh    233

Návrh nariadenia

Článok 53 – názov

Text predložený Komisiou

Pozmeňujúci návrh

Európska skupina pre certifikáciu kybernetickej bezpečnosti

Certifikačná skupina členských štátov

 

(Tento pozmeňujúci návrh sa týka celého textu. Prijatie tohto pozmeňujúceho návrhu si bude vyžadovať príslušné zmeny v celom texte.)

Pozmeňujúci návrh    234

Návrh nariadenia

Článok 53 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Zriadi sa európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „skupina“).

1.  Zriadi sa certifikačná skupina členských štátov.

Pozmeňujúci návrh    235

Návrh nariadenia

Článok 53 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Skupina pozostáva z vnútroštátnych orgánov dohľadu nad certifikáciou. Tieto orgány zastupujú riaditelia alebo iní čelní predstavitelia vnútroštátnych orgánov dohľadu nad certifikáciou.

2.  Certifikačná skupina členských štátov pozostáva z vnútroštátnych orgánov dohľadu nad certifikáciou každého členského štátu. Tieto orgány zastupujú riaditelia alebo iní čelní predstavitelia vnútroštátnych orgánov dohľadu nad certifikáciou. Členovia certifikačnej skupiny zainteresovaných strán môžu byť prizvaní zúčastniť sa na stretnutiach skupiny a podieľať sa na jej práci.

Pozmeňujúci návrh    236

Návrh nariadenia

Článok 53 – odsek 3 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

3.  Skupina má tieto úlohy:

3.  Certifikačná skupina členských štátov má tieto úlohy:

Pozmeňujúci návrh    237

Návrh nariadenia

Článok 53 – odsek 3 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  radiť a pomáhať agentúre ENISA a spolupracovať s ňou pri vypracúvaní kandidátskych systémov v súlade s článkom 44 tohto nariadenia;

b)  radiť a pomáhať agentúre a spolupracovať s ňou pri vypracúvaní kandidátskych systémov v súlade s článkom 44 tohto nariadenia;

Pozmeňujúci návrh    238

Návrh nariadenia

Článok 53 – odsek 3 – písmeno d a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

da)  prijať odporúčania s určením intervalov, v ktorých majú vnútroštátne orgány dohľadu nad certifikáciou vykonať overenie certifikátov, vlastného hodnotenia súladu a kritérií, veľkosti a rozsahu uvedeného overenia, a prijať spoločné pravidlá a normy pre podávanie správ v súlade s článkom 50 ods. 6.

Pozmeňujúci návrh    239

Návrh nariadenia

Článok 53 – odsek 3 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  skúmať relevantné trendy vo sfére certifikácie kybernetickej bezpečnosti a vymieňať si osvedčené postupy v oblasti systémov certifikácie kybernetickej bezpečnosti;

e)  skúmať relevantné trendy vo sfére certifikácie kybernetickej bezpečnosti a vymieňať si informácie a osvedčené postupy v oblasti systémov certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    240

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fa)  uľahčiť zosúladenie európskych systémov v oblasti kybernetickej bezpečnosti s medzinárodne uznanými normami okrem iného aj preskúmaním súčasných európskych systémov v oblasti kybernetickej bezpečnosti a v prípade potreby vydaním odporúčaní pre agentúru, aby spolupracovala s príslušnými medzinárodnými normalizačnými organizáciami s cieľom riešiť nedostatky alebo rozdiely dostupných medzinárodne uznávaných noriem;

Pozmeňujúci návrh    241

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fb)  zaviesť postup partnerského preskúmania. Tento postup prihliada najmä na potrebnú technickú odbornosť NCAS pri plnení ich úloh podľa článkoch 48 a 50, a v prípade potreby zahŕňa aj prípravu dokumentov týkajúcich sa usmernení a odporúčaných postupov s cieľom zlepšiť súlad NCAS s týmto nariadením;

Pozmeňujúci návrh    242

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f c (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fc)  vykonávať dohľad nad monitorovaním certifikátov a ich udržiavaním;

Pozmeňujúci návrh    243

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f d (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fd)  s cieľom zohľadniť výsledky konzultácie so zainteresovanými stranami uskutočnenej v rámci prípravy kandidátskeho systému v súlade s článkom 44.

Pozmeňujúci návrh    244

Návrh nariadenia

Článok 53 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Skupine predsedá a jej sekretariát zabezpečuje Komisia za pomoci agentúry ENISA v zmysle článku 8 písm. a).

4.  Certifikačnej skupine členských štátov predsedá a jej sekretariát zabezpečuje Komisia za pomoci agentúry v zmysle článku 8 písm. a).

Pozmeňujúci návrh    245

Návrh nariadenia

Článok 53 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 53 a

 

Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu alebo orgánu posudzovania zhody

 

1.  Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy:

 

a)  proti rozhodnutiu orgánu posudzovania zhody alebo vnútroštátneho orgánu dohľadu nad certifikáciou, ktoré sa ich týka, prípadne aj v súvislosti s vydaním, nevydaním alebo uznaním európskeho certifikátu kybernetickej bezpečnosti, ktorého je takáto osoba držiteľom; a

 

b)  ak vnútroštátny orgán dohľadu nad certifikáciou nerieši sťažnosť, pre ktorú je príslušný.

 

2.  Návrh na začatie konania proti orgánom posudzovania zhody alebo vnútroštátnym orgánom dohľadu nad certifikáciou sa podáva na súde toho členského štátu, v ktorom je orgán posudzovania zhody alebo vnútroštátny orgán dohľadu nad certifikáciou zriadený.

Pozmeňujúci návrh    246

Návrh nariadenia

Článok 55 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

Pozmeňujúci návrh    247

Návrh nariadenia

Článok 55 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 55 a

 

Vykonávanie delegovania právomocí

 

1.   Právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

 

2.   Právomoc prijímať delegované akty uvedené v článkoch 44 a 48 a sa Komisii udeľuje na dobu neurčitú od ... [dátum nadobudnutia účinnosti základného legislatívneho aktu].

 

3.   Delegovanie právomocí uvedených v článku 44 a článku 48 a môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie, alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

 

4.   Pred prijatím delegovaného aktu Komisia konzultuje s odborníkmi určenými každým členským štátom v súlade so zásadami stanovenými v Medziinštitucionálnej dohode o lepšej tvorbe práva z 13. apríla 2016.

 

5.   Hneď ako Komisia prijme delegovaný akt, oznámi to súčasne Európskemu parlamentu a Rade.

 

6.   Delegovaný akt prijatý podľa článkov 44 a 48 a nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o dva mesiace.

Pozmeňujúci návrh    248

Návrh nariadenia

Článok 56 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Najneskôr do piatich rokov od dátumu uvedeného v článku 58 a následne každých päť rokov Komisia posúdi dosah, účinnosť a efektívnosť agentúry a jej pracovných postupov, ako aj prípadnú potrebu upraviť mandát agentúry a finančné dôsledky takýchto prípadných úprav. Pri tomto hodnotení sa zohľadní každá prípadná spätná väzba, ktorú agentúra dostala v nadväznosti na svoje činnosti. Ak sa Komisia domnieva, že existencia agentúry už nie je vzhľadom na jej stanovené ciele, mandát a úlohy odôvodnená, môže navrhnúť zmenu tohto nariadenia z hľadiska ustanovení, ktoré sa týkajú agentúry.

1.  Najneskôr do dvoch rokov od dátumu uvedeného v článku 58 a následne každé dva roky Komisia posúdi dosah, účinnosť a efektívnosť agentúry a jej pracovných postupov, ako aj prípadnú potrebu upraviť mandát agentúry a finančné dôsledky takýchto prípadných úprav. Pri tomto hodnotení sa zohľadní každá prípadná spätná väzba, ktorú agentúra dostala v nadväznosti na svoje činnosti. Ak sa Komisia domnieva, že existencia agentúry už nie je vzhľadom na jej stanovené ciele, mandát a úlohy odôvodnená, môže navrhnúť zmenu tohto nariadenia z hľadiska ustanovení, ktoré sa týkajú agentúry.

Pozmeňujúci návrh    249

Návrh nariadenia

Článok 56 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  V hodnotení sa zároveň posúdi vplyv, účinnosť a efektívnosť ustanovení hlavy III z hľadiska cieľov zaistiť primeranú kybernetickú bezpečnosť produktov a služieb IKT v Únii a zlepšiť fungovanie vnútorného trhu.

2.  V hodnotení sa zároveň posúdi vplyv, účinnosť a efektívnosť ustanovení hlavy III z hľadiska cieľov zaistiť primeranú kybernetickú bezpečnosť produktov, procesov a služieb IKT v Únii a zlepšiť fungovanie vnútorného trhu.

Pozmeňujúci návrh    250

Návrh nariadenia

Článok 56 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  V hodnotení sa zároveň posúdi, či sú základné požiadavky v oblasti kybernetickej bezpečnosti pre prístup na vnútorný trh potrebné na to, aby sa zabránilo vstupu produktov, služieb a procesov, ktoré nespĺňajú základné požiadavky v oblasti kybernetickej bezpečnosti, na trh Únie.

Pozmeňujúci návrh    251

Návrh nariadenia

Príloha -I (nová)

Text predložený Komisiou

Pozmeňujúci návrh

 

PRÍLOHA I

 

Po uvedení rámca certifikácie kybernetickej bezpečnosti v EÚ je pravdepodobné, že sa pozornosť zameria na oblasti, v ktorých je bezprostredný záujem čeliť výzve, ktorú predstavujú nové technológie. Osobitne zaujímavá je oblasť internetu vecí (IoT), pretože sa týka požiadaviek spotrebiteľov, ako aj priemyslu. Do rámca certifikácie sa navrhuje zaradiť tento zoznam priorít:

 

1. Certifikácia poskytovania služieb typu cloud.

 

2. Certifikácia zariadení IoT vrátane:

 

a) zariadení pre jednotlivcov, ako sú napríklad inteligentné zariadenia nositeľné na tele,

 

b) zariadení pre komunity, ako sú napríklad inteligentné autá, inteligentné domy, zdravotnícke pomôcky,

 

c) zariadení pre spoločnosť, ako sú napríklad inteligentné mestá a inteligentné siete.

 

3. Priemysel 4.0 vrátane inteligentných, vzájomne prepojených kyberneticko-fyzických systémov, v ktorých sú zautomatizované všetky etapy priemyselných operácií od návrhu a výroby až po prevádzku, dodávateľský reťazec a údržbu.

 

4. Certifikácia technológií a produktov každodenného života. Príkladom môžu byť sieťové zariadenia ako sú domáce internetové smerovače (routery).

Pozmeňujúci návrh    252

Návrh nariadenia

Príloha I – odsek 1 – bod 5 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  Ak orgán posudzovania zhody je vo vlastníctve alebo v prevádzke verejného subjektu alebo verejnej inštitúcie, nezávislosť a absencia akéhokoľvek konfliktu záujmov sa musí zabezpečiť a zdokumentovať medzi orgánom dohľadu nad certifikáciou na strane jednej a orgánom pre posudzovanie zhody na strane druhej.

Pozmeňujúci návrh    253

Návrh nariadenia

Príloha I – odsek 1 – bod 8

Text predložený Komisiou

Pozmeňujúci návrh

8.  Orgán posudzovania zhody musí byť schopný vykonať všetky úlohy posudzovania zhody, ktorými je poverený podľa tohto nariadenia, či už ich vykoná samotný orgán posudzovania zhody niekto iný v jeho mene a na jeho zodpovednosť.

8.  Orgán posudzovania zhody musí byť schopný vykonať všetky úlohy posudzovania zhody, ktorými je poverený podľa tohto nariadenia, či už ich vykoná samotný orgán posudzovania zhody niekto iný v jeho mene a na jeho zodpovednosť. Každé uzavretie subdodávateľskej zmluvy alebo konzultácia s externými pracovníkmi musia byť riadne zdokumentované, nesmú v nich figurovať žiadni sprostredkovatelia a musia mať podobu písomnej dohody, ktorá sa okrem iného vzťahuje aj na ochranu utajovaných skutočností a konflikt záujmov. Za vykonané úlohy nesie plnú zodpovednosť orgán pre posudzovanie zhody.

Pozmeňujúci návrh    254

Návrh nariadenia

Príloha I – odsek 1 – bod 12

Text predložený Komisiou

Pozmeňujúci návrh

12.  Musí byť zaručená nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a pracovníkov, ktorí vykonávajú posudzovanie.

12.  Musí byť zaručená nestrannosť orgánov posudzovania zhody, ich vrcholového manažmentu a pracovníkov, ktorí vykonávajú posudzovanie, ako aj subdodávateľov.

Pozmeňujúci návrh    255

Návrh nariadenia

Príloha I – odsek 1 – bod 15

Text predložený Komisiou

Pozmeňujúci návrh

15.  Pracovníci orgánu posudzovania zhody sú povinní dodržiavať služobné tajomstvo, pokiaľ ide o všetky informácie získané pri vykonávaní ich úloh podľa tohto nariadenia alebo podľa akéhokoľvek ustanovenia vnútroštátneho práva, ktorým sa vykonáva, nie však vo vzťahu k príslušným orgánom členských štátov, v ktorých daný orgán vykonáva svoju činnosť.

15.  Orgán posudzovania zhody a jeho zamestnanci, výbory, dcérske spoločnosti, subdodávatelia a akýkoľvek pridružený subjekt alebo zamestnanci externých subjektov orgánu posudzovania zhody zachovávajú dôvernosť a služobné tajomstvo, pokiaľ ide o všetky informácie získané pri vykonávaní ich úloh podľa tohto nariadenia alebo akéhokoľvek ustanovenia vnútroštátneho práva s týmto účinkom, okrem prípadov, keď sa ich zverejnenie vyžaduje podľa právnych predpisov Únie alebo členského štátu, ktorého sú tieto osoby občanmi, nie však vo vzťahu k príslušným orgánom členských štátov, v ktorých daný orgán vykonáva svoju činnosť. Vlastnícke práva sú chránené. Orgán posudzovania zhody musí mať zavedené zdokumentované postupy, pokiaľ ide o požiadavky tohto oddielu 15.

Pozmeňujúci návrh    256

Návrh nariadenia

Príloha I – odsek 1 – bod 15 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

15a.  S výnimkou oddielu 15 požiadavky tejto prílohy v žiadnom prípade nevylučujú výmenu technických poznatkov a regulačných usmernení medzi orgánom posudzovania zhody a osobou, ktorá o certifikáciu žiada alebo o žiadosti uvažuje.

Pozmeňujúci návrh    257

Návrh nariadenia

Príloha I – odsek 1 – bod 15 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

15b.  Subjekty, ktoré posudzujú zhodu, vykonávajú svoju činnosť v súlade so súborom ucelených, spravodlivých a odôvodnených požiadaviek, pričom zohľadňujú záujmy malých a stredných podnikov vymedzené v odporúčaní 2003/361/ES, pokiaľ ide o poplatky.

  • [1]  Ú. v. EÚ C 227, 28.6.2018, s. 86.

DÔVODOVÁ SPRÁVA

Faktom je, že globálna digitálna revolúcia sa upevňuje v našich hospodárstvach, spoločnostiach a vládach a rozširuje sa do nich – všetky naše údaje sú zraniteľné. Spotrebitelia, priemyselné odvetvia, inštitúcie a demokracie na miestnej, vnútroštátnej, európskej a globálnej úrovni sú obeťami kybernetických útokov, počítačovej špionáže a počítačovej sabotáže a všetci si uvedomujeme, že sa v nasledujúcich rokoch výrazne zintenzívnia.

Miliardy zariadení sú pripojené k internetu a vzájomne na seba pôsobia na novej úrovni a v novom rozsahu. Tieto zariadenia a súvisiace služby môžu zlepšiť životy občanov a naše hospodárstva. Ľudia a organizácie však v plnej miere budú alebo sa stanú súčasťou digitálneho sveta, ak majú dôveru v digitálne technológie. Dôvera si vyžaduje, aby zariadenia, procesy a služby internetu vecí boli bezpečné a zabezpečené.

Na dosiahnutie týchto cieľov Komisia navrhla „akt o kybernetickej bezpečnosti“. Toto nariadenie je dôležitou súčasťou a nástrojom novej stratégie Európskej únie v oblasti počítačovej bezpečnosti, ktorej cieľom je poskytnúť Európe dlhodobú víziu kybernetickej bezpečnosti a zabezpečiť dôveru v digitálne technológie. Musí sa to vnímať v kontexte už zavedených právnych predpisov: EÚ už vytvorila Agentúru Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) a prijala smernicu o kybernetickej bezpečnosti (smernica NIS), ktorú v súčasnosti transponujú členské štáty.

Akt o kybernetickej bezpečnosti pozostáva z dvoch častí: V prvej časti sa špecifikuje úloha a mandát ENISA s cieľom posilniť agentúru. V druhej časti sa zavádza európsky systém kybernetickej certifikácie vo forme dobrovoľného rámca na zlepšenie bezpečnosti pripojených zariadení a digitálnych produktov a služieb.

Spravodajkyňa vo všeobecnosti víta návrh Komisie týkajúci sa európskeho zákona o kybernetickej bezpečnosti, pretože je veľmi dôležité minimalizovať riziká a hrozby týkajúce sa bezpečnosti informácií a sieťových systémov a umožniť spotrebiteľom, aby mali dôveru v riešenia IT, najmä pokiaľ ide o internet vecí. Spravodajkyňa je pevne presvedčená, že Európa sa môže stať vedúcim hráčom v oblasti kybernetickej bezpečnosti. Európa má silnú priemyselnú základňu a práca na zlepšení kybernetickej bezpečnosti v oblasti spotrebného tovaru, priemyselných aplikácií a kritickej infraštruktúry je v záujme spotrebiteľov, ako aj priemyslu.

Návrh Komisie by sa mal zmeniť, pokiaľ ide o časť týkajúcu sa agentúry ENISA a o časť týkajúcu sa certifikácie:

Pokiaľ ide o agentúru ENISA, spravodajkyňa sa domnieva, že je veľmi dôležité stanoviť správny rámec, ak chceme silnú a dobre fungujúcu agentúru. Spravodajkyňa víta posilnenú úlohu agentúry ENISA, ktorá pozostáva z jej trvalého mandátu a zo zvyšovania jej rozpočtu a rozširovania personálu, ale je potrebný aj realistický prístup vzhľadom na stále malý počet expertov zamestnaných agentúrou ENISA v porovnaní s počtom zamestnancov v niektorých vnútroštátnych orgánoch dohľadu nad certifikáciou. Úlohou agentúry ENISA by malo byť naďalej zostavovanie operačnej spolupráce, pričom by sa mali zvážiť odborné znalosti získané v rámci smernice o NIS s cieľom naďalej podporovať budovanie kapacít v členských štátoch a byť zdrojom informácií. Okrem toho musí agentúra ENISA zohrávať dôležitú úlohu pri vytváraní európskych systémov kybernetickej bezpečnosti spolu s členskými štátmi a príslušnými zainteresovanými stranami.

Pokiaľ ide o certifikáciu, spravodajkyňa podporuje jasnejší rozsah pôsobnosti návrhu. Po prvé by sa toto nariadenie malo vzťahovať nielen na produkty a služby, ale aj na celý životný cyklus. Do rozsahu uplatňovania tak musia byť zahrnuté aj procesy. Na druhej strane by sa mali jasne vylúčiť oblasti právomocí členských štátov, a to v oblasti verejnej bezpečnosti, obrany, národnej bezpečnosti a oblasti trestného práva.

Pokiaľ ide o európsky systém certifikácie kybernetických technológií, spravodajkyňa navrhuje podrobnejšie špecifikovať prístup založený na riziku a nie univerzálny systém certifikácie. Spravodajkyňa okrem toho podporuje dobrovoľný systém – ale iba pre základný a pokročilý stupeň dôveryhodnosti. Pri produktoch, procesoch alebo službách, ktoré patria do najvyššieho stupňa dôveryhodnosti, je podľa spravodajkyne vhodnejší povinný systém. Pokiaľ ide o hodnotenie digitálnych technológií patriacich do základného stupňa dôveryhodnosti, spravodajkyňa ďalej navrhuje prepojenie na prístup k novému legislatívnemu rámcu. To umožní vlastné posudzovanie, lacnejší a menej zaťažujúci systém, ktorý sa osvedčil v konkrétnych rôznych oblastiach.

Spravodajkyňa sa domnieva, že výrobca alebo poskytovateľ produktov, procesov a služieb IKT by mal byť povinný vydávať povinné vyhlásenie o produkte so štruktúrovanými informáciami týkajúcimi sa certifikácie, v ktorom sa uvádza napríklad dostupnosť aktualizácií alebo interoperabilita certifikovaných produktov, procesov alebo služieb. To spotrebiteľovi poskytne užitočné informácie pri výbere zariadenia. Spravodajkyňa uprednostňuje takéto vyhlásenie o produkte v porovnaní s označením alebo značkou, ktorá môže byť pre spotrebiteľov zavádzajúca.

Spravodajkyňa je pevne presvedčená, že štruktúra riadenia, ktorú navrhla Komisia, sa musí zlepšiť, aby bola transparentnejšia pre všetky zainteresované strany. Spravodajkyňa preto navrhuje prijatie viacročného pracovného programu Únie, v ktorom sa stanovia spoločné opatrenia, ktoré sa majú uskutočniť na úrovni Únie a ktoré vyjadria oblasti, v ktorých by sa mali prioritne zaviesť európske systémy certifikácie, ako aj úroveň rovnocennosti know-how a odborných znalostí orgánov posudzovania a orgánov dohľadu v členských štátoch. Posilnenie riadenia tiež znamená výraznejšiu účasť členských štátov a odvetvia na procese certifikácie: Úlohu členských štátov možno posilniť, keď sa „skupina“ zriadená podľa článku 53 návrhu a zložená z vnútroštátnych orgánov dohľadu nad certifikáciou postaví v procese prípravy systému certifikácie na rovnakú úroveň ako Komisia. Skupina bude musieť schváliť aj európsky kandidátsky systém. Po tretie by sa mala posilniť aj účasť odvetvia na procese certifikácie. To možno dosiahnuť objasnením zloženia stálej skupiny zainteresovaných strán a zriadením ad hoc poradných skupín agentúrou ENISA s cieľom získať ďalšie odborné znalosti a know-how zo strany odvetvia a iných príslušných zainteresovaných strán v rámci procesov certifikácie. Spravodajkyňa sa domnieva, že všetky tieto opatrenia pomôžu MSP, aby sa v oveľa väčšej miere zúčastňovali na v tomto procese.

Európsky systém certifikácie napokon potrebuje silnejšie zapojenie európskych normalizačných organizácií, ako sú CEN a CENELEC, pri vytváraní nových systémov. Tým by sa umožnilo, aby prevládali existujúce a globálne akceptované medzinárodné normy.

STANOVISKO Výboru pre vnútorný trh a ochranu spotrebiteľa (22.5.2018)

pre Výbor pre priemysel, výskum a energetiku

k návrhu nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)
(COM(2017)0477 – C8-0310-2017 – 2017/0225(COD))

Spravodajca: (*) Nicola Danti

(*)  Postup pridružených výborov – článok 54 rokovacieho poriadku

STRUČNÉ ODÔVODNENIE

V digitálnom veku je kybernetická bezpečnosť zásadná pre hospodársku konkurencieschopnosť a bezpečnosť Európskej únie a integritu našich slobodných a demokratických spoločenstiev a procesov, ktoré sú ich oporou. Zaručenie vysokej úrovne kybernetickej odolnosti v celej EÚ má prvoradý význam pre dosiahnutie dôvery spotrebiteľov v jednotný digitálny trh a pre ďalší rozvoj inovačnejšej a konkurencieschopnejšej Európy.

Počítačové hrozby a celosvetové kybernetické útoky, ako napríklad Wannacry a Meltdown, nepochybne predstavujú čím ďalej závažnejší problém v našej čoraz viac digitalizovanej spoločnosti. Podľa prieskumu Eurobarometra zverejneného v júli 2017 až 87 % respondentov považovalo počítačovú kriminalitu „za veľký problém pre vnútornú bezpečnosť EÚ“ a väčšina z nich má „obavy, že by sa mohli stať obeťou rôznych foriem počítačovej kriminality“. Okrem toho od začiatku roku 2016 dochádza každý deň k vyše 4 000 útokom pomocou tzv. ransomwaru, čo predstavuje 300-percentné zvýšenie od roku 2015 a postihuje 80 % spoločností v EÚ. Z týchto skutočností a zistení jasne vyplýva, že je potrebné, aby sa EÚ stala odolnejšou voči kybernetickým útokom, aby proti nim účinnejšie bojovala a aby sa zväčšil jej potenciál lepšie chrániť občanov, podniky a verejné inštitúcie EÚ.

Európska komisia rok po nadobudnutí účinnosti smernice o kybernetickej bezpečnosti v širšom rámci stratégie kybernetickej bezpečnosti EÚ predložila nariadenie, ktorého cieľom je ešte viac zvýšiť kybernetickú odolnosť, odrádzanie od počítačovej kriminality a obranu EÚ. Komisia 13. septembra 2017 predstavila „akt o kybernetickej bezpečnosti“, ktorý sa opiera o dva piliere:

1) trvalý a silnejší mandát pre Agentúru Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA), aby mohla pomáhať členským štátom účinne predchádzať kybernetickým útokom a reagovať na ne, a 2. vytvorenie rámca certifikácie kybernetickej bezpečnosti EÚ s cieľom zabezpečiť, aby produkty a služby IKT boli kyberneticky bezpečné.

Spravodajca vo všeobecnosti víta prístup, ktorý navrhuje Európska komisia, a uprednostňuje najmä zavedenie celoeurópskych systémov certifikácie kybernetickej bezpečnosti, ktorých cieľom je zvýšiť bezpečnosť produktov a služieb informačných a komunikačných technológií a predchádzať nákladnej fragmentácii jednotného trhu v tejto kľúčovej oblasti. Hoci spočiatku by malo ísť o dobrovoľný nástroj, spravodajca dúfa, že rámec EÚ pre certifikáciu kybernetickej bezpečnosti a súvisiace postupy sa stanú potrebným nástrojom na podporu dôvery našich občanov a používateľov v produkty a služby, ktoré sú v obehu na jednotnom trhu, a na zvýšenie ich bezpečnosti.

Vlastne je takisto presvedčený, že by sa malo vyjasniť a zlepšiť niekoľko bodov návrhu:

•  V prvom rade zvýšenie účasti príslušných zainteresovaných strán v rozličných fázach systému správy na príprave kandidátskych systémov certifikácie agentúrou ENISA: podľa spravodajcu je nevyhnutné oficiálne zapojiť najdôležitejšie zainteresované strany, napríklad priemyselné odvetvia IKT, organizácie spotrebiteľov, MSP, normalizačné organizácie EÚ a odvetvové agentúry EÚ atď., a dať im možnosť navrhnúť nové kandidátske systémy, radiť agentúre ENISA na základe svojich odborných znalostí alebo spolupracovať s agentúrou ENISA na príprave kandidátskeho systému.

•  Po druhé, je potrebné posilniť koordinačnú úlohu európskej skupiny pre certifikáciu kybernetickej bezpečnosti (zloženej z vnútroštátnych orgánov s podporou Komisie a agentúry ENISA) s dodatočnými úlohami poskytovať strategické usmernenia a vypracovať pracovný program v súvislosti so spoločnými postupmi v oblasti certifikácie, ktoré sa majú uskutočniť na úrovni Únie, ako aj vytvoriť a pravidelne aktualizovať prioritný zoznam produktov a služieb IKT, pri ktorých skupina považuje európsky systém certifikácie kybernetickej bezpečnosti za potrebný.

•  Spravodajca je hlboko presvedčený, že by sme sa mali vyhnúť postupu „nakupovania“ certifikácií, ako sa stalo už v iných sektoroch. Značne by sa mali posilniť ustanovenia týkajúce sa monitorovania a dohľadu agentúry ENISA a vnútroštátnych orgánov dohľadu nad certifikáciou, aby sa zaručilo, že európsky certifikát vydaný v členskom štáte bude spĺňať rovnaké štandardy a požiadavky ako certifikát vydaný v inom členskom štáte. Navrhuje preto:

1) posilniť právomoci agentúry ENISA v oblasti dohľadu: spoločne so skupinou pre certifikáciu by agentúra ENISA mala posudzovať postupy, ktoré zaviedli orgány zodpovedné za vydávanie certifikátov EÚ;

2) aby vnútroštátne orgány dohľadu nad certifikáciou pravidelne posudzovali (aspoň každé dva roky) certifikáty EÚ, ktoré vydali orgány posudzovania zhody;

3) aby sa zaviedli spoločné záväzné kritériá, ktoré vymedzí skupina, na určenie miery, rozsahu a periodicity, s akými by vnútroštátne orgány dohľadu nad certifikáciou mali vykonávať posúdenia uvedené v bode 2.

•  Spravodajca je presvedčený, že by sa mala zaviesť povinná značka dôveryhodnosti EÚ pre certifikované produkty a služby IKT, ktoré sú určené pre koncových používateľov. Táto značka by mohla pomôcť zvýšiť informovanosť o kybernetickej bezpečnosti a poskytnúť konkurenčnú výhodu spoločnostiam s dobrými kyberneticko-bezpečnostnými prvkami

•  Spravodajca súhlasí s jednotným a harmonizovaným prístupom, ktorý prijala Komisia, je však presvedčený, že by tento prístup mal byť pružnejší a prispôsobivejší voči osobitným vlastnostiam a zraniteľnostiam každého produktu alebo služby – nemalo by ísť o univerzálny prístup. Spravodajca je preto presvedčený, že stupne dôveryhodnosti by sa mali premenovať a mali by sa používať aj vzhľadom na plánované použitie produktov a služieb IKT. Podobne by sa podľa jednotlivých systémov malo vymedziť aj trvanie platnosti certifikátu.

•  Každý systém certifikácie by sa mal navrhnúť tak, aby stimuloval a povzbudzoval všetky subjekty zapojené v príslušnom sektore v tom, aby vytvorili a prijali bezpečnostné normy, technické normy a zásady bezpečnosti a ochrany súkromia už v štádiu návrhu, a to vo všetkých štádiách životného cyklu produktu alebo služby.

POZMEŇUJÚCE NÁVRHY

Výbor pre vnútorný trh a ochranu spotrebiteľa vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:

Pozmeňujúci návrh    1

Návrh nariadenia

Odôvodnenie 1

Text predložený Komisiou

Pozmeňujúci návrh

(1)  Siete, informačné systémy a telekomunikačné siete a služby sú pre našu spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách sú založené komplexné systémy, ktoré podporujú spoločenské činnosti, udržujú chod kľúčových odvetví hospodárstva ako zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

(1)  Siete, informačné systémy a telekomunikačné siete a služby sú pre našu spoločnosť kľúčové a stali sa oporným pilierom hospodárskeho rastu. Na informačných a komunikačných technológiách (ďalej len „IKT“) sú založené komplexné systémy, ktoré podporujú bežné spoločenské činnosti, udržujú chod kľúčových odvetví hospodárstva ako zdravotníctvo, energetika, financie či doprava, a najmä podporujú fungovanie vnútorného trhu.

Pozmeňujúci návrh    2

Návrh nariadenia

Odôvodnenie 2

Text predložený Komisiou

Pozmeňujúci návrh

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej kybernetickej bezpečnosti. Keďže certifikácia sa v tomto kontexte využíva obmedzene, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov a služieb IKT, čo znižuje dôveru v digitálne riešenia.

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej kybernetickej bezpečnosti. Keďže certifikácia sa v tomto kontexte využíva obmedzene, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov a služieb IKT, čo znižuje dôveru v digitálne riešenia, ktorá je nevyhnutná pre zavedenie jednotného digitálneho trhu.

Pozmeňujúci návrh    3

Návrh nariadenia

Odôvodnenie 3

Text predložený Komisiou

Pozmeňujúci návrh

(3)  Rastúca miera digitalizácie a prepojenia zvyšuje kyberneticko-bezpečnostné riziká, takže spoločnosť ako taká je zraniteľnejšia voči kybernetickým hrozbám a prehlbuje sa nebezpečenstvo pre jednotlivcov vrátane zraniteľných skupín ako deti. V záujme zmiernenia rizík pre spoločnosť treba prijať všetky potrebné kroky na zvýšenie kybernetickej bezpečnosti v EÚ, aby boli siete a informačné systémy, telekomunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, verejné správy i podniky – od MSP až po prevádzkovateľov kritickej infraštruktúry – lepšie chránené pred kybernetickými hrozbami.

(3)  Rastúca miera digitalizácie a prepojenia výrazne zvyšuje kyberneticko-bezpečnostné riziká, takže spoločnosť ako taká je zraniteľnejšia voči kybernetickým hrozbám a prehlbuje sa nebezpečenstvo pre jednotlivcov vrátane zraniteľných skupín ako deti. Transformačnú moc umelej inteligencie a strojového učenia využije spoločnosť ako celok, ale aj kybernetickí zločinci. V záujme zmiernenia týchto rizík pre spoločnosť treba prijať všetky potrebné kroky na zvýšenie bezpečnosti proti kybernetickým útokom v EÚ, aby boli siete a informačné systémy, telekomunikačné siete, digitálne produkty, služby a zariadenia, ktoré využívajú občania, verejné správy i podniky – od MSP až po prevádzkovateľov kritickej infraštruktúry – lepšie chránené pred kybernetickými hrozbami.

Pozmeňujúci návrh    4

Návrh nariadenia

Odôvodnenie 4

Text predložený Komisiou

Pozmeňujúci návrh

(4)  Kybernetické útoky sú na vzostupe, takže potrebujeme lepšie brániť prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

(4)  Kybernetické útoky sú na vzostupe, takže prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie, si vyžadujú silnejšiu a bezpečnejšiu obranu. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

Pozmeňujúci návrh    5

Návrh nariadenia

Odôvodnenie 5

Text predložený Komisiou

Pozmeňujúci návrh

(5)  Keďže výzvy, ktorým Únia v oblasti kybernetickej bezpečnosti čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu a koordináciu medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach. Viac treba urobiť aj v otázke informovanosti občanov a podnikov o otázkach kybernetickej bezpečnosti. Transparentné informácie o úrovni bezpečnosti produktov a služieb IKT by navyše mohli posilniť celkovú dôveru v digitálny jednotný trh. Tento cieľ môže uľahčiť celoúnijná certifikácia, ktorá poskytne spoločné kyberneticko-bezpečnostné požiadavky a kritériá hodnotenia naprieč vnútroštátnymi trhmi a odvetviami.

(5)  Keďže výzvy, ktorým Únia v oblasti kybernetickej bezpečnosti čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu a koordináciu medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach. Viac treba urobiť aj v otázke informovanosti občanov a podnikov o otázkach kybernetickej bezpečnosti. Vzhľadom na to, že kybernetické incidenty narúšajú dôveru k poskytovateľom digitálnych služieb a v samotný jednotný digitálny trh, a to najmä medzi spotrebiteľmi, by sa navyše mala posilniť dôvera prostredníctvom transparentných informácií o úrovni bezpečnosti produktov a služieb IKT. Tento cieľ môže uľahčiť štandardizovaná celoúnijová certifikácia vychádzajúca z európskych alebo medzinárodných noriem, ktorá poskytne spoločné kyberneticko-bezpečnostné požiadavky a kritériá hodnotenia naprieč vnútroštátnymi trhmi a odvetviami. Okrem celoúnijovej certifikácie existuje škála dobrovoľných opatrení, ktoré by mal prijať samotný súkromný sektor na posilnenie dôvery v bezpečnosť produktov a služieb IKT, a to najmä vzhľadom na čoraz väčšiu dostupnosť zariadení internetu vecí. Napríklad by sa mali účinnejšie využívať šifrovacie a iné technológie, ako aj technológie na predchádzanie úspešným kybernetickým útokom ako je technológia blockchainu, a to s cieľom zvýšiť bezpečnosť údajov a komunikácie koncových používateľov a celkovú bezpečnosť sietí a informačných systémov v Únii.

Pozmeňujúci návrh    6

Návrh nariadenia

Odôvodnenie 5 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(5a)  Certifikácia a iné formy posudzovania zhody procesov, produktov a služieb IKT síce zohráva dôležitú úlohu, zlepšenie kybernetickej bezpečnosti si vyžaduje mnohostranný prístup zahŕňajúci ľudí, procesy a technológie. EÚ by mala aj naďalej rázne zdôrazňovať a podporovať ďalšie úsilie vrátane vzdelávania, odbornej prípravy a rozvoja zručností v oblasti kybernetickej bezpečnosti; zvyšovania informovanosti na úrovni exekutívy a riadiacich orgánov spoločností; presadzovania dobrovoľnej výmeny informácií o kybernetických hrozbách; a posunu EÚ z reaktívneho k proaktívnemu prístupu k reagovaniu na hrozby zdôrazňovaním predchádzania úspešným kybernetickým útokom.

Pozmeňujúci návrh    7

Návrh nariadenia

Odôvodnenie 7

Text predložený Komisiou

Pozmeňujúci návrh

(7)  Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na kybernetické hrozby a riziká. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti kybernetickej bezpečnosti, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). V smernici NIS sa stanovujú požiadavky na vnútroštátne spôsobilosti v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádzajú sa povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti.

(7)  Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na kybernetické hrozby a riziká. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti kybernetickej bezpečnosti, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). V smernici NIS, ktorej úspešnosť veľmi závisí od účinného vykonávania členskými štátmi, sa stanovujú požiadavky na vnútroštátne spôsobilosti v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádzajú sa povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti.

Pozmeňujúci návrh    8

Návrh nariadenia

Odôvodnenie 11

Text predložený Komisiou

Pozmeňujúci návrh

(11)  Keďže Únia čelí narastajúcim kyberneticko-bezpečnostným výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém.

(11)  Keďže Únia čelí narastajúcim kyberneticko-bezpečnostným hrozbám a výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém.

Pozmeňujúci návrh    9

Návrh nariadenia

Odôvodnenie 28

Text predložený Komisiou

Pozmeňujúci návrh

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s kybernetickou bezpečnosťou a odporúčať jednotlivým používateľom – občanom i organizáciám osvedčené postupy. Agentúra by mala prispievať k propagácii osvedčených postupov a riešení u jednotlivcov a organizácii aj zberom a analýzou verejne dostupných informácií o závažných incidentoch a vypracúvaním správ s cieľom poskytnúť podnikom a občanom usmernenia a zvýšiť celkovú pripravenosť a odolnosť. Agentúra by navyše mala v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom a zameriavajú sa na propagáciu bezpečnejšieho správania jednotlivcov na internete a zvyšovanie povedomia o potenciálnych hrozbách v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, botnety, finančné a bankové podvody; zároveň by mala poskytovať základné rady v oblasti autentifikácie a ochrany údajov. Agentúra by mala mať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení.

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s kybernetickou bezpečnosťou a odporúčať jednotlivým používateľom – občanom i organizáciám osvedčené postupy. Agentúra by mala prispievať aj k propagácii osvedčených postupov a riešení v oblasti kybernetickej hygieny, t. j. jednoduchých bežných opatrení, ktoré môžu jednotlivci a organizácie vykonávať na minimalizovanie rizika, ktoré predstavujú kybernetické hrozby, a to napríklad multifaktorová autentifikácia, aplikovanie záplat, šifrovanie a riadenie prístupu. Agentúra by tak mala robiť zberom a analýzou verejne dostupných informácií o závažných incidentoch a vypracúvaním a zverejňovaním správ a usmernení s cieľom poskytnúť podnikom a občanom usmernenia a zvýšiť celkovú pripravenosť a odolnosť. Agentúra by navyše mala v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom a zameriavajú sa na propagáciu bezpečnejšieho správania jednotlivcov na internete a zvyšovanie povedomia o opatreniach, ktoré možno prijať na ochranu pred potenciálnymi hrozbami v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, ransomvérové útoky, tzv. hijacking, botnety, finančné a bankové podvody; zároveň by mala poskytovať rady v oblasti základnej multifaktorovej autentifikácie, aplikovania záplat, šifrovania, zásad riadenia prístupu, ochrany údajov a ďalších technológií zvyšujúcich bezpečnosť a ochranu súkromia a anonymizačných nástrojov. Agentúra by mala mať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení a bezpečnom používaní služieb, pri podpore bezpečnosti už v štádiu návrhu na úrovni Únie, ktorá má zásadný význam z hľadiska zlepšenia bezpečnosti prepojených zariadení, najmä v prípade zraniteľných koncových používateľov vrátane detí, a ochrana súkromia už v štádiu návrhu. Agentúra by mala nabádať všetkých koncových používateľov k tomu, aby podnikli vhodné kroky v oblasti prevencie a minimalizácie vplyvu incidentov s vplyvom na bezpečnosť ich sietí a informačných systémov. Mali by sa vytvoriť partnerstvá s akademickými inštitúciami, ktoré majú výskumné iniciatívy v príslušných oblastiach kybernetickej bezpečnosti.

Pozmeňujúci návrh    10

Návrh nariadenia

Odôvodnenie 35

Text predložený Komisiou

Pozmeňujúci návrh

(35)  Agentúra by mala podnecovať členské štáty a poskytovateľov služieb k sprísňovaniu svojich všeobecných bezpečnostných noriem tak, aby všetci používatelia internetu mohli podniknúť potrebné kroky na zaistenie svojej osobnej kybernetickej bezpečnosti. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu stiahnuť či prepracovať produkty a služby, ktoré kyberneticko-bezpečnostným normám nevyhovujú. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni kybernetickej bezpečnosti produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi a výrobcami a žiadať ich o zvýšenie bezpečnosti (vrátane kybernetickej) svojich produktov a služieb.

(35)  Agentúra by mala podnecovať členské štáty a poskytovateľov služieb k sprísňovaniu svojich všeobecných bezpečnostných noriem tak, aby všetci používatelia internetu mohli podniknúť potrebné kroky na zaistenie svojej osobnej kybernetickej bezpečnosti. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu stiahnuť či prepracovať produkty a služby, ktoré kyberneticko-bezpečnostným normám nevyhovujú. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni kybernetickej bezpečnosti produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi a výrobcami a žiadať ich o zvýšenie bezpečnosti (vrátane kybernetickej) svojich produktov. Agentúra ENISA by mala tieto varovania zverejniť na internetovej stránke venovanej informáciám o systémoch certifikácie. Agentúra by mala vypracovať usmernenia o minimálnych bezpečnostných požiadavkách na zariadenia IT predávané v Únii alebo vyvážané z Únie. Tieto usmernenia by mohli požadovať, aby výrobcovia poskytovali písomné vyhlásenie potvrdzujúce, že zariadenie neobsahuje hardvérové, softvérové alebo firmvérové komponenty so žiadnymi známymi využiteľnými zraniteľnými miestami v oblasti bezpečnosti, ani nemenné alebo nešifrované heslo či prístupový kód, schopné prijímať dôveryhodné a riadne overené bezpečnostné aktualizácie, že predajcova reakcia na dotknuté zariadenie zahŕňa primeranú hierarchiu prostriedkov nápravy a že predajcovia informujú koncových používateľov o tom, kedy bezpečnostná podpora pre zariadenie skončí.

Pozmeňujúci návrh    11

Návrh nariadenia

Odôvodnenie 36 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(36a)  Normy predstavujú dobrovoľný, trhový nástroj, ktorým sa stanovujú technické požiadavky a usmernenia a ktorý je výsledkom otvoreného, transparentného a inkluzívneho procesu. Používaním noriem sa uľahčuje súlad tovaru a služieb s právom Únie a podporujú sa európske politiky v súlade s nariadením (EÚ) č. 1025/2012 o európskej normalizácii. Agentúra by mala pravidelne viesť konzultácie s európskymi normalizačnými organizáciami a spolupracovať s nimi, najmä pri príprave európskych systémov certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    12

Návrh nariadenia

Odôvodnenie 44

Text predložený Komisiou

Pozmeňujúci návrh

(44)  Agentúra by mala mať stálu skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov a inými príslušnými zainteresovanými stranami. Stála skupina zainteresovaných strán zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a upriamiť na ne pozornosť agentúry. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, z ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry.

(44)  Agentúra by mala mať stálu skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov, akademickou sférou a inými príslušnými zainteresovanými stranami. Stála skupina zainteresovaných strán zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a upriamiť na ne pozornosť agentúry. S cieľom zabezpečiť riadne zapojenie zainteresovaných strán do rámca certifikácie kybernetickej bezpečnosti by stála skupina zainteresovaných strán mala poskytovať aj rady týkajúce sa toho, ktoré produkty a služby IKT by sa mali zahrnúť do budúcich európskych systémov certifikácie kybernetickej bezpečnosti, a mala by Komisii navrhovať, aby požiadala agentúru o vypracovanie kandidátskych systémov pre tieto produkty a služby IKT, a to buď z vlastného podnetu alebo po predložení návrhu od príslušných zainteresovaných strán. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, z ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť efektívne a spravodlivé zastúpenie zainteresovaných strán na práci agentúry.

Pozmeňujúci návrh    13

Návrh nariadenia

Odôvodnenie 46

Text predložený Komisiou

Pozmeňujúci návrh

(46)  S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry a umožniť jej plniť ďalšie a nové úlohy vrátane nepredvídaných núdzových úloh by sa mal agentúre poskytnúť dostatočný a nezávislý rozpočet, ktorého príjmy pochádzajú predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry. Väčšina zamestnancov agentúry by mala byť priamo zapojená do operačného plnenia mandátu agentúry. Hostiteľský členský štát alebo akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do príjmov agentúry. Rozpočtový postup Únie by sa mal naďalej uplatňovať, pokiaľ ide o všetky dotácie započítateľné do všeobecného rozpočtu Únie. Okrem toho by Dvor audítorov mal vykonať audit účtov agentúry v záujme transparentnosti a zodpovednosti.

(46)  S cieľom zaručiť úplnú autonómiu a nezávislosť agentúry a umožniť jej plniť ďalšie a nové úlohy vrátane nepredvídaných núdzových úloh by sa mal agentúre poskytnúť dostatočný a nezávislý rozpočet, ktorého príjmy pochádzajú predovšetkým z príspevku Únie a príspevkov tretích krajín, ktoré sa podieľajú na práci agentúry. Väčšina zamestnancov agentúry by mala byť priamo zapojená do operačného plnenia mandátu agentúry. Hostiteľský členský štát alebo akýkoľvek iný členský štát by mali mať možnosť dobrovoľne prispievať do príjmov agentúry. Rozpočtový postup Únie by sa mal naďalej uplatňovať, pokiaľ ide o všetky dotácie započítateľné do všeobecného rozpočtu Únie. Okrem toho by Dvor audítorov mal vykonať audit účtov agentúry v záujme transparentnosti, zodpovednosti, efektivity a účelného vynakladania prostriedkov.

Pozmeňujúci návrh    14

Návrh nariadenia

Odôvodnenie 47

Text predložený Komisiou

Pozmeňujúci návrh

(47)  Posudzovanie zhody je proces, ktorým sa preukazuje splnenie stanovených požiadaviek na určitý produkt, proces, službu, systém, osobu alebo orgán. Na účely tohto nariadenia by sa certifikácia mala považovať za istý typ posudzovania zhody kyberneticko-bezpečnostných prvkov produktu, procesu, služby, systému alebo ich kombinácie („produkty a služby IKT“) treťou stranou inou ako výrobca či poskytovateľ služby. Certifikácia sama osebe nemôže zaručiť, že certifikované produkty a služby IKT sú kyberneticky bezpečné. Ide skôr o postup a technickú metodiku na potvrdenie toho, že produkty a služby IKT boli preskúšané a spĺňajú určité kyberneticko-bezpečnostné požiadavky stanovené inde, napríklad v technických normách.

(47)  Posudzovanie zhody je proces, ktorým sa preukazuje splnenie stanovených požiadaviek na určitý produkt, proces, službu, systém, osobu alebo orgán. Na účely tohto nariadenia by sa certifikácia mala považovať za istý typ posudzovania zhody kyberneticko-bezpečnostných prvkov a postupov obsiahnutých v produkte, procese, službe, systéme alebo ich kombinácie („produkty a služby IKT“) nezávislou treťou stranou alebo postupom vlastného vyhlásenia o zhode. Certifikácia sama osebe nemôže zaručiť, že certifikované produkty a služby IKT sú kyberneticky bezpečné, a koncový používateľ by o tom mal byť informovaný. Ide skôr o postup a technickú metodiku na potvrdenie toho, že produkty a služby IKT, ako aj podkladové procesy a systémy, boli preskúšané a spĺňajú určité kyberneticko-bezpečnostné požiadavky stanovené inde, napríklad v technických normách.

Pozmeňujúci návrh    15

Návrh nariadenia

Odôvodnenie 48

Text predložený Komisiou

Pozmeňujúci návrh

(48)  Certifikácia kybernetickej bezpečnosti zohráva významnú úlohu pri posilňovaní dôvery v produkty a služby IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a internet vecí môžu prosperovať iba ak široká verejnosť verí, že takéto produkty a služby poskytujú určitú mieru dôveryhodnosti kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, automatické priemyselné riadiace systémy či inteligentné siete sú iba niektorými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa začne využívať v blízkej budúcnosti. Smernica NIS pokrýva aj odvetvia, kde je certifikácia kybernetickej bezpečnosti kľúčová.

(48)  Európska certifikácia kybernetickej bezpečnosti zohráva zásadnú úlohu pri posilňovaní dôvery v produkty a služby IKT, ako aj ich bezpečnosti. Digitálny jednotný trh, a najmä dátové hospodárstvo a internet vecí môžu prosperovať iba ak široká verejnosť verí, že takéto produkty a služby poskytujú vysokú mieru dôveryhodnosti kybernetickej bezpečnosti. Prepojené a automatizované vozidlá, elektronické zdravotnícke pomôcky, automatické priemyselné riadiace systémy či inteligentné siete sú iba niektorými príkladmi odvetví, kde už sa certifikácia bežne využíva alebo sa začne využívať v blízkej budúcnosti. Smernica NIS pokrýva aj odvetvia, kde je certifikácia kybernetickej bezpečnosti kľúčová.

Pozmeňujúci návrh    16

Návrh nariadenia

Odôvodnenie 50

Text predložený Komisiou

Pozmeňujúci návrh

(50)  Certifikácia kybernetickej bezpečnosti produktov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým orgánom kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich verejných obstarávaní. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam kybernetickej bezpečnosti, ako je napríklad internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, úrovne dôveryhodnosti bezpečnosti, vecných kritérií a samotného využitia.

(50)  Certifikácia kybernetickej bezpečnosti produktov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým orgánom kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich postupov verejného obstarávania, čím sa im zvýšia náklady. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam kybernetickej bezpečnosti, ako je napríklad internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, úrovne rizikovej dôveryhodnosti, vecných kritérií a samotného využitia.

Pozmeňujúci návrh    17

Návrh nariadenia

Odôvodnenie 52

Text predložený Komisiou

Pozmeňujúci návrh

(52)  Z uvedených dôvodov treba zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie kybernetickej bezpečnosti, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov a služieb IKT vo všetkých členských štátoch. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty a služby IKT certifikované podľa takýchto systémov. Na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií kybernetickej bezpečnosti, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Systémy by mali byť nediskriminačné a založené na medzinárodných a/alebo únijných normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

(52)  Z uvedených dôvodov treba uplatňovať spoločný prístup a zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie kybernetickej bezpečnosti, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov a služieb IKT vo všetkých členských štátoch. Pri tom je nevyhnutné stavať na súčasných vnútroštátnych a medzinárodných systémoch, ako aj na systémoch vzájomného uznávania, najmä na systéme SOG-IS, a umožniť plynulý prechod z existujúcich systémov na systémy v novom európskom rámci. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty a služby IKT certifikované podľa takýchto systémov. Na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií kybernetickej bezpečnosti, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Ak európska certifikácia kybernetickej bezpečnosti nahradila vnútroštátny systém, certifikáty vydané v rámci európskeho systému by sa mali uznať za platné v prípadoch, keď sa vyžaduje certifikácia podľa vnútroštátneho systému. Systémy by sa mali riadiť zásadou bezpečnosti už v štádiu návrhu a zásadami uvedenými v nariadení (EÚ) 2016/679. Mali by tiež byť nediskriminačné a založené na medzinárodných a/alebo únijných normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

Pozmeňujúci návrh    18

Návrh nariadenia

Odôvodnenie 52 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(52a)  Tento európsky rámec certifikácie kybernetickej bezpečnosti je nutné zaviesť homogénne vo všetkých členských štátoch, aby sa zabránilo vzniku praxe tzv. nakupovania certifikátov spôsobenej rozdielmi v nákladoch alebo úrovniach požiadaviek medzi členskými štátmi.

Pozmeňujúci návrh    19

Návrh nariadenia

Odôvodnenie 55

Text predložený Komisiou

Pozmeňujúci návrh

(55)  Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, aby produkty a služby IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni dôveryhodnosti odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných produktov, procesov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné kyberneticko-bezpečnostné požiadavky na všetky produkty a služby IKT. Produkty a služby IKT, ako aj súvisiace kyberneticko-bezpečnostné potreby sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky na kybernetickú bezpečnosť, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie doplnený súborom špecifických kyberneticko-bezpečnostných cieľov, ktoré treba pri návrhu európskych systémov certifikácie kybernetickej bezpečnosti zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch a službách IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia – napríklad s odvolaním sa na normy alebo technické špecifikácie.

(55)  Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť prispievanie k vysokej úrovni ochrany koncových používateľov a európskej konkurencieschopnosti a posilnenie úrovne bezpečnosti v rámci jednotného digitálneho trhu a konkrétnejšie – zabezpečenie toho, aby produkty a služby IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni dôveryhodnosti odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných procesov, produktov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné kyberneticko-bezpečnostné požiadavky na všetky produkty a služby IKT. Produkty a služby IKT, ako aj súvisiace kyberneticko-bezpečnostné potreby sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky na kybernetickú bezpečnosť, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie doplnený súborom špecifických kyberneticko-bezpečnostných cieľov, ktoré treba pri návrhu európskych systémov certifikácie kybernetickej bezpečnosti zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch a službách IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia – napríklad s odvolaním sa na normy alebo technické špecifikácie. Najdôležitejšie je, aby bol každý európsky systém certifikácie kybernetickej bezpečnosti navrhnutý spôsobom, ktorým by sa stimulovali a podporovali všetky subjekty zapojené v príslušnom sektore v tom, aby vytvorili a prijali bezpečnostné normy, technické normy a zásady bezpečnosti už v štádiu návrhu, a to vo všetkých štádiách životného cyklu produktu alebo služby. Tam, kde systém certifikácie zahŕňa označenia alebo značky, je nutné načrtnúť podmienky, za ktorých možno takéto označenia alebo značky používať. Takáto značka, ktorá by mohla mať podobu digitálneho loga alebo kódu QR, by mohla uvádzať riziká súvisiace s prevádzkou a používaním produktov a služieb IKT a mala by byť jasná a ľahko zrozumiteľná pre koncového používateľa.

Pozmeňujúci návrh    20

Návrh nariadenia

Odôvodnenie 55 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(55a)  Vo svetle inovačných trendov a čoraz väčšej dostupnosti a neustále sa zvyšujúceho počtu zariadení internetu vecí vo všetkých sektoroch spoločnosti je nutné venovať osobitnú pozornosť bezpečnosti všetkých, aj tých najjednoduchších IoT produktov. Preto, keďže certifikácia je kľúčovou metódou zvyšovania dôvery v trh a zvyšovania bezpečnosti a odolnosti, by sa mal v novom rámci EÚ na certifikáciu kybernetickej bezpečnosti klásť dôraz na produkty a služby internetu vecí, aby boli pre spotrebiteľov a podniky menej zraniteľné a bezpečnejšie.

Pozmeňujúci návrh    21

Návrh nariadenia

Odôvodnenie 56

Text predložený Komisiou

Pozmeňujúci návrh

(56)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty alebo služby IKT. Následne by Komisia mala byť splnomocnená na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať európsky systém certifikácie kybernetickej bezpečnosti v podobe vykonávacích aktov. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia kyberneticko-bezpečnostných požiadaviek (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy, ako aj cieľový stupeň dôveryhodnosti: základná, pokročilá a/alebo vysoká.

(56)  ENISA by mala udržiavať špecializované webové sídlo s ľahko použiteľným online nástrojom uvádzajúce informácie o prijatých systémoch, kandidátskych systémoch a systémoch, ktoré požaduje Komisia. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia kyberneticko-bezpečnostných požiadaviek (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy spojené s prevádzkou a používaním produktu, procesu alebo služby IKT, ich inherentné riziko, ako aj cieľový stupeň dôveryhodnosti: funkčne bezpečné, t. j. stupne dôveryhodnosti, ktoré majú funkčnú mieru bezpečnosti, sú podstatne bezpečné, vysoko bezpečné, alebo každá ich kombinácia. V prípade týchto stupňov dôveryhodnosti by sa nemalo tvrdiť, že ide o absolútnu bezpečnosť, aby nedošlo k zavádzaniu koncového používateľa. Pozornosť by sa mala venovať aj celému životnému cyklu výrobku. S cieľom vyjasniť, voči akým rizikám by mali určitý navrhnutý produkt alebo služba byť schopné odolávať, by ENISA mala koordinovať vypracovanie kontrolného zoznamu, v ktorom sa uvádzajú riziká, v prípade ktorých sa očakáva, že im budú proces, produkt alebo služba IKT čeliť, a to podľa určitej kategórii používateľov v konkrétnom prostredí.

Pozmeňujúci návrh    22

Návrh nariadenia

Odôvodnenie 56 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(56a)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty alebo služby IKT. Na Komisiu by sa mala delegovať právomoc prijímať v súlade s článkom 290 Zmluvy o fungovaní Európskej únie akty týkajúce sa zriaďovania európskych systémov certifikácie kybernetickej bezpečnosti pre produkty a služby IKT. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva. Aby sa zaistilo rovnocenné zapojenie Európskeho parlamentu a Rady do prípravy delegovaných aktov, musia v prvom rade, dostávať všetky dokumenty súčasne s odborníkmi členských štátov a ich odborníci musia mať systematický prístup na schôdze skupín odborníkov Komisie, na ktorých sa rieši príprava delegovaných aktov. Pri prijímaní týchto delegovaných aktov by Komisia mala v prípade systémov certifikácie kybernetickej bezpečnosti produktov a služieb IKT vychádzať z relevantných kandidátskych systémov navrhnutých agentúrou ENISA. V záujme podpory dôvery v rámec certifikácie kybernetickej bezpečnosti a jeho predvídateľnosti, ako aj v záujme zvyšovania informovanosti občanov o tomto rámci.

Pozmeňujúci návrh    23

Návrh nariadenia

Odôvodnenie 56 b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(56b)  Medzi metódami hodnotenia a postupmi posudzovania súvisiacimi s každým európskym systémom certifikácie kybernetickej bezpečnosti by sa na úrovni Únie malo podporovať etické hackovanie, ktorého zámerom je lokalizovať slabé a zraniteľné miesta zariadení a informačných systémov očakávaním zamýšľaných krokov a zručností hackerov so zlými úmyslami.

Pozmeňujúci návrh    24

Návrh nariadenia

Odôvodnenie 58

Text predložený Komisiou

Pozmeňujúci návrh

(58)  Po prijatí určitého európskeho systému certifikácie kybernetickej bezpečnosti by mali výrobcovia produktov alebo poskytovatelia služieb IKT môcť požiadať o certifikáciu svojich produktov alebo služieb ktorýmkoľvek orgánom posudzovania zhody, ktorý si zvolia. Orgány posudzovania zhody by mal akreditovať akreditačný orgán, ak spĺňajú určité požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov, pričom ju možno obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody spĺňa požiadavky. Akreditačné orgány by mali orgánu posudzovania zhody akreditáciu odňať, ak nie sú alebo prestanú byť splnené akreditačné podmienky, alebo ak kroky daného orgánu posudzovania zhody porušujú toto nariadenie.

(58)  Po prijatí určitého európskeho systému certifikácie kybernetickej bezpečnosti by mali výrobcovia produktov alebo poskytovatelia služieb IKT môcť požiadať o certifikáciu svojich procesov, produktov alebo služieb ktorýmkoľvek orgánom posudzovania zhody, ktorý si zvolia, alebo sami vyhlásiť, že ich produkty alebo služby sú v súlade s príslušným európskym systémom certifikácie kybernetickej bezpečnosti. Orgány posudzovania zhody by mal akreditovať akreditačný orgán, ak spĺňajú určité požiadavky stanovené v tomto nariadení. Akreditácia by sa mala vydávať najviac na päť rokov, pričom ju možno obnoviť za rovnakých podmienok, pokiaľ orgán posudzovania zhody spĺňa požiadavky. Akreditačné orgány by mali orgánu posudzovania zhody akreditáciu odňať, ak nie sú alebo prestanú byť splnené akreditačné podmienky, alebo ak kroky daného orgánu posudzovania zhody porušujú toto nariadenie. S cieľom zabezpečiť, aby sa akreditácia vykonávala jednotne v celej Európskej únii, na vnútroštátne orgány dohľadu nad certifikáciou by sa malo vzťahovať partnerské preskúmanie postupov kontroly zhody produktov, ktoré sú predmetom certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    25

Návrh nariadenia

Odôvodnenie 59

Text predložený Komisiou

Pozmeňujúci návrh

(59)  Od všetkých členských štátov treba žiadať určenie jedného vnútroštátneho orgánu dohľadu nad certifikáciou kybernetickej bezpečnosti, ktorý bude dohliadať na súlad orgánov posudzovania zhody so sídlom na ich území a nimi vydaných certifikátov s požiadavkami tohto nariadenia a príslušných systémov certifikácie kybernetickej bezpečnosti. Vnútroštátne orgány dohľadu nad certifikáciou by mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, primerane prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by mali spolupracovať s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych kyberneticko-bezpečnostných systémov.

(59)  Od všetkých členských štátov treba žiadať určenie jedného vnútroštátneho orgánu dohľadu nad certifikáciou kybernetickej bezpečnosti, ktorý bude dohliadať na súlad orgánov posudzovania zhody so sídlom na ich území a nimi vydaných certifikátov s požiadavkami tohto nariadenia a príslušných systémov certifikácie kybernetickej bezpečnosti. Vnútroštátne orgány dohľadu nad certifikáciou by mali vybavovať sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, primerane prešetriť predmet danej sťažnosti a sťažovateľa v primeranej lehote informovať o pokroku a výsledku tohto prešetrenia. Okrem toho by mali spolupracovať s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych kyberneticko-bezpečnostných systémov. Navyše by mali vykonávať dohľad a overovať dodržiavanie vlastných vyhlásení o súlade a to, aby európske certifikáty o kybernetickej bezpečnosti vydávali orgány posudzovania súladu s požiadavkami vymedzenými v tomto nariadení vrátane pravidiel prijatých európskou skupinou pre certifikáciu kybernetickej bezpečnosti a s požiadavkami vymedzenými v zodpovedajúcom európskom systéme certifikácie kybernetickej bezpečnosti. Účinná spolupráca medzi vnútroštátnymi orgánmi dohľadu nad certifikáciou je zásadná pre riadnu realizáciu európskych systémov certifikácie kybernetickej bezpečnosti a technických otázok týkajúcich sa kybernetickej bezpečnosti produktov a služieb IKT. Komisia by mala uľahčiť túto výmenu informácií tým, že sprístupní všeobecný elektronický podporný informačný systém, napríklad Informačný a komunikačný systém pre dohľad nad trhom (ICSMS) a systém na rýchlu výmenu informácií o nebezpečných nepotravinových výrobkoch (RAPEX), ktoré už používajú orgány dohľadu nad trhom podľa nariadenia (ES) č. 765/2008.

Pozmeňujúci návrh    26

Návrh nariadenia

Odôvodnenie 63

Text predložený Komisiou

Pozmeňujúci návrh

(63)  Na bližšie určenie kritérií akreditácie orgánov posudzovania zhody by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Komisia by mala v rámci prípravných prác viesť náležité konzultácie, a to aj na úrovni expertov. Pri týchto konzultáciách by sa mali dodržiavať zásady stanovené v medziinštitucionálnej dohode o lepšej tvorbe práva z 13. apríla 2016. Predovšetkým v záujme rovnakého zastúpenia pri príprave delegovaných aktov by sa všetky dokumenty mali doručiť Európskemu parlamentu a Rade v rovnakom čase ako odborníkom z členských štátov, a odborníci Európskeho parlamentu a Rady by mali mať systematicky prístup na zasadnutia expertných skupín Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

vypúšťa sa

Pozmeňujúci návrh    27

Návrh nariadenia

Odôvodnenie 65

Text predložený Komisiou

Pozmeňujúci návrh

(65)  Postup preskúmania by sa mal uplatniť pri prijímaní vykonávacích aktov o európskych systémoch certifikácie kybernetickej bezpečnosti produktov a služieb IKT, o modalitách skúmania zo strany agentúry, ako aj o okolnostiach, formátoch a postupoch, na základe ktorých majú vnútroštátne orgány dohľadu nad certifikáciou Komisii oznamovať akreditované orgány posudzovania zhody.

(65)  Postup preskúmania by sa mal uplatniť pri prijímaní vykonávacích aktov o európskych systémoch certifikácie kybernetickej bezpečnosti procesov, produktov a služieb IKT, o modalitách skúmania zo strany agentúry, ako aj o okolnostiach, formátoch a postupoch, na základe ktorých majú vnútroštátne orgány dohľadu nad certifikáciou Komisii oznamovať akreditované orgány posudzovania zhody, pričom sa zohľadní preukázaná účinnosť nástroja na elektronické oznamovanie Nový prístup notifikovaných a autorizovaných organizácií (informačný systém NANDO).

Pozmeňujúci návrh    28

Návrh nariadenia

Odôvodnenie 66

Text predložený Komisiou

Pozmeňujúci návrh

(66)  Činnosť agentúry by sa mala vyhodnocovať nezávisle. V rámci toho by sa malo posúdiť napĺňanie cieľov agentúry, jej pracovné postupy a relevantnosť jej úloh. Zároveň by sa v hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti.

(66)  Činnosť agentúry by sa mala vyhodnocovať nezávisle. Hodnotenie by malo zahŕňať správnosť a účelnosť vynakladania prostriedkov zo strany agentúry, efektívnosť pri plnení jej cieľov a popis jej pracovných postupov a relevantnosti jej úloh. Zároveň by sa v hodnotení mal posúdiť dosah, efektívnosť a účinnosť európskeho rámca certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    29

Návrh nariadenia

Článok 2 – odsek 1 – bod 11

Text predložený Komisiou

Pozmeňujúci návrh

(11)  „produkt a služba IKT“ je každý prvok alebo skupina prvkov sietí a informačných systémov;

(11)  „proces, produkt a služba IKT“ je produkt, služba, proces, systém alebo ich kombinácia, ktoré predstavujú prvok sietí a informačných systémov;

 

(Tento pozmeňujúci návrh sa vzťahuje na celý text. Jeho prijatie si vyžiada príslušné zmeny v celom texte.)

Pozmeňujúci návrh    30

Návrh nariadenia

Článok 2 – odsek 1 – bod 11 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

(11a)  „vnútroštátny orgán dohľadu nad certifikáciou“ je orgán členského štátu, ktorý zodpovedá za plnenie úloh monitorovania, presadzovania a dohľadu spojených s certifikáciou kybernetickej bezpečnosti na jeho území;

Pozmeňujúci návrh    31

Návrh nariadenia

Článok 2 – odsek 1 – bod 16 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

(16a)  „vlastné vyhlásenie o zhode“ je vyhlásenie výrobcu, že jeho proces, produkt alebo služba IKT je v súlade s uvedenými európskymi systémami kybernetickej bezpečnosti.

Pozmeňujúci návrh    32

Návrh nariadenia

Článok 3 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra plní úlohy, ktoré jej ukladá toto nariadenie, s cieľom prispieť k vysokej úrovni kybernetickej bezpečnosti v Únii.

1.  Agentúra plní úlohy, ktoré jej ukladá toto nariadenie, s cieľom prispieť k dosiahnutiu vysokej spoločnej úrovne kybernetickej bezpečnosti, zabrániť kybernetickým útokom v Únii, zmierniť roztrieštenosť vnútorného trhu a zlepšiť jeho fungovanie.

Pozmeňujúci návrh    33

Návrh nariadenia

Článok 4 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Agentúra posilňuje kyberneticko-bezpečnostné spôsobilosti na úrovni Únie s cieľom doplniť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch.

5.  Agentúra prispeje k zvýšeniu kyberneticko-bezpečnostných spôsobilostí na úrovni Únie s cieľom doplniť a posilniť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch.

Pozmeňujúci návrh    34

Návrh nariadenia

Článok 4 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Agentúra podporuje využívanie certifikácie, a to aj prispievaním k vytvoreniu a uchovávaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť uistenia o dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

6.  Agentúra podporuje využívanie certifikácie pri súčasnej snahe o zabránenie vzniku fragmentácie spôsobenej nedostatočnou koordináciou medzi systémami certifikácie existujúcimi v Únii. Agentúra prispieva k vytvoreniu a uchovávaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie v súlade s článkami 43 až 54 [hlava III], aby sa posilnila transparentnosť uistenia o dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny jednotný trh.

Pozmeňujúci návrh    35

Návrh nariadenia

Článok 4 – odsek 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  Agentúra presadzuje vysoké povedomie občanov a podnikov o otázkach kybernetickej bezpečnosti.

7.  Agentúra presadzuje vysoké povedomie občanov, orgánov a podnikov o otázkach kybernetickej bezpečnosti.

Pozmeňujúci návrh    36

Návrh nariadenia

Článok 5 – odsek 1 – bod 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  pomáha a radí, najmä poskytuje nezávislé stanoviská a zabezpečuje prípravné práce k vypracovaniu a preskúmaniu politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, ale i odvetvových politík a legislatívnych iniciatív, ktoré rozmer kybernetickej bezpečnosti zahŕňajú;

1.  pomáha a radí pri vypracúvaní a preskúmavaní politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, ale i odvetvových politík a legislatívnych iniciatív, ktoré rozmer kybernetickej bezpečnosti zahŕňajú;

Odôvodnenie

Agentúra by mala mať k dispozícii slobodný výber nástrojov na plnenie svojich úloh.

Pozmeňujúci návrh    37

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  pomáha Európskemu výboru pre ochranu údajov, ktorý bol zriadený nariadením (EÚ) 2016/679, pri vypracúvaní usmernení s cieľom určiť na technickej úrovni podmienky umožňujúce legálne použitie osobných údajov prevádzkovateľmi na účely IT bezpečnosti s cieľom chrániť ich infraštruktúru odhaľovaním a blokovaním útokov na ich informačné systémy v kontexte: ii)smernice (EÚ) 2016/11481b; a iii) smernice 2002/58/ES1c;

 

_________________

 

1a Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1.).

 

1b Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).

 

1c Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).

Odôvodnenie

Zavedenie riadnych mechanizmov spolupráce.

Pozmeňujúci návrh    38

Návrh nariadenia

Článok 5 – odsek 1 – bod 4 – bod 2

Text predložený Komisiou

Pozmeňujúci návrh

(2)  presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, a to aj formou odborných poznatkov a poradenstva, ako aj uľahčovaním výmeny osvedčených postupov medzi príslušnými orgánmi;

(2)  presadzovanie zvýšenej úrovne bezpečnosti elektronických komunikácií, uchovávania dát a spracúvania dát, a to aj formou odborných poznatkov a poradenstva, ako aj uľahčovaním výmeny osvedčených postupov medzi príslušnými orgánmi;

Pozmeňujúci návrh    39

Návrh nariadenia

Článok 6 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Agentúra uľahčuje vytvorenie a spustenie dlhodobého európskeho projektu v oblasti kybernetickej bezpečnosti na podporu rastu nezávislého odvetvia EÚ v oblasti kybernetickej bezpečnosti a na začlenenie kybernetickej bezpečnosti do celého vývoja informačných technológii v EÚ.

Odôvodnenie

Agentúra ENISA by mala poskytovať poradenstvo zákonodarcom, pokiaľ ide o prípravu politík, ktoré EÚ umožnia dobehnúť odvetvie IT bezpečnosti v tretích krajinách. Projekt by mal byť z hľadiska rozsahu porovnateľný s tým, čo už bolo dosiahnuté v odvetví leteckej dopravy (príklad spoločnosti Airbus). Je to potrebné pre rozvoj silnejšieho, suverénneho a dôveryhodného odvetvia IKT v EÚ [pozri štúdiu oddelenia vedeckej predikcie (STOA) PE 614.531].

Pozmeňujúci návrh    40

Návrh nariadenia

Článok 7 – odsek 5 – pododsek 1

Text predložený Komisiou

Pozmeňujúci návrh

Na žiadosť dvoch alebo viacerých dotknutých členských štátov a výlučne s cieľom poradenstva na predchádzanie budúcim incidentom agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než dvoch členských štátov.

Na žiadosť jedného alebo viacerých dotknutých členských štátov a výlučne s cieľom poradenstva na predchádzanie budúcim incidentom agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než dvoch členských štátov.

Pozmeňujúci návrh    41

Návrh nariadenia

Článok 7 – odsek 8 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  zhromaždením správ z národných zdrojov s cieľom prispieť k vytvoreniu spoločného situačného povedomia;

a)  zhromaždením správ z národných a medzinárodných zdrojov s cieľom prispieť k vytvoreniu spoločného situačného povedomia;

Pozmeňujúci návrh    42

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1a)  v spolupráci s európskou skupinou pre certifikáciu kybernetickej bezpečnosti posudzuje postupy vydávania európskych certifikátov kybernetickej bezpečnosti zavedené orgánmi posudzovania zhody uvedenými v článku 51, s cieľom zabezpečiť jednotné uplatňovanie tohto nariadenia orgánmi posudzovania zhody pri vydávaní certifikátov;

Pozmeňujúci návrh    43

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1b)  uskutočňuje pravidelné nezávislé následné kontroly súladu certifikovaných produktov a služieb IKT s európskymi systémami certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    44

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 3

Text predložený Komisiou

Pozmeňujúci návrh

(3)  zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy z hľadiska kyberneticko-bezpečnostných požiadaviek na produkty a služby IKT, a to v spolupráci s vnútroštátnymi orgánmi dohľadu nad certifikáciou a s príslušným odvetvím;

(3)  zostavuje a uverejňuje usmernenia a vypracúva osvedčené postupy, a to aj v oblasti zásad kybernetickej hygieny a odrádzania od tajných zadných vrátok, z hľadiska kyberneticko-bezpečnostných požiadaviek na produkty a služby IKT, a to formálnym štandardizovaným a transparentným procesom v spolupráci s vnútroštátnymi orgánmi dohľadu nad certifikáciou a s príslušným odvetvím;

Pozmeňujúci návrh    45

Návrh nariadenia

Článok 8 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  podporuje zavádzanie a využívanie európskych i medzinárodných noriem v oblasti riadenia rizík a bezpečnosti produktov a služieb IKT, a zároveň v spolupráci s členskými štátmi pripravuje odporúčania a usmernenia v technických oblastiach spojených s bezpečnostnými požiadavkami kladenými na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ako aj v oblasti už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, podľa článku 19 ods. 2 smernice (EÚ) 2016/1148;

b)  konzultuje s medzinárodnými normalizačnými orgánmi a s európskymi normalizačnými organizáciami o vytvorení noriem s cieľom zabezpečiť vhodnosť noriem použitých v európskych systémoch certifikácie kybernetickej bezpečnosti a podporuje zavádzanie a využívanie príslušných európskych a medzinárodných noriem v oblasti riadenia rizík a bezpečnosti produktov a služieb IKT, a zároveň v spolupráci s členskými štátmi pripravuje odporúčania a usmernenia v technických oblastiach spojených s bezpečnostnými požiadavkami kladenými na prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, ako aj v oblasti už existujúcich noriem vrátane vnútroštátnych noriem členských štátov, podľa článku 19 ods. 2 smernice (EÚ) 2016/1148;

Pozmeňujúci návrh    46

Návrh nariadenia

Článok 8 – odsek 1 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  vypracúva usmernenia týkajúce sa toho, ako a kedy sa členské štáty navzájom informujú, keď sa dozvedia o zraniteľnosti, ktorá nie je verejne známa v procese, produkte alebo službe IKT, ktoré sú certifikované v súlade s hlavou III tohto nariadenia, vrátane usmernení o koordinácii politík o poskytovaní informácií o zraniteľnosti;

Pozmeňujúci návrh    47

Návrh nariadenia

Článok 8 – odsek 1 – písmeno b b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

bb)  vypracúva usmernenia o minimálnych bezpečnostných požiadavkách na zariadenia IT uvádzané na trh v Únii alebo vyvážané z Únie;

Pozmeňujúci návrh    48

Návrh nariadenia

Článok 9 – odsek 1 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  zhromažďuje, organizuje a na vyhradenom portáli uverejňuje informácie o kybernetickej bezpečnosti, ktoré poskytli inštitúcie, agentúry a orgány Únie;

d)  zhromažďuje, organizuje a na vyhradenom portáli uverejňuje informácie o kybernetickej bezpečnosti vrátane informácií o významných incidentoch v oblasti kybernetickej bezpečnosti a závažných porušeniach ochrany údajov, ktoré poskytli inštitúcie, agentúry a orgány Únie;

Pozmeňujúci návrh    49

Návrh nariadenia

Článok 9 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  zvyšuje verejné povedomie o kyberneticko-bezpečnostných rizikách a odporúča jednotlivým používateľom – občanom i organizáciám osvedčené postupy;

e)  zvyšuje verejné povedomie o kyberneticko-bezpečnostných rizikách, odporúča jednotlivým používateľom – občanom i organizáciám osvedčené postupy a podporuje prijímanie preventívnych, dôsledných bezpečnostných opatrení v oblasti informačných technológií a spoľahlivú ochranu údajov a súkromia;

Pozmeňujúci návrh    50

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  podporuje užšiu spoluprácu a výmenu najlepších postupov medzi členskými štátmi o vzdelávaní v oblasti kybernetickej bezpečnosti, kybernetickej hygiene a informovanosti;

Pozmeňujúci návrh    51

Návrh nariadenia

Článok 10 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  radí Únii a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

a)  zaisťuje vopred uskutočňované konzultácie s relevantnými skupinami používateľov a radí Únii a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

Pozmeňujúci návrh    52

Návrh nariadenia

Článok 13 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Správnu radu tvorí jeden zástupca každého členského štátu a dvaja zástupcovia vymenovaní Komisiou. Všetci zástupcovia majú hlasovacie právo.

1.  Správnu radu tvorí jeden zástupca každého členského štátu a dvaja zástupcovia vymenovaní Komisiou a Európskym parlamentom. Všetci zástupcovia majú hlasovacie právo.

Pozmeňujúci návrh    53

Návrh nariadenia

Článok 14 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry, pričom posúdenie i správu do 1. júla nasledujúceho roka zasiela Európskemu parlamentu, Rade, Komisii a Dvoru audítorov. Výročná správa zahŕňa účtovné výkazy a opisuje sa v nej, do akej miery agentúra splnila svoje ukazovatele výkonnosti. Výročná správa sa zverejní;

e)  posudzuje a prijíma konsolidovanú výročnú správu o činnosti agentúry, pričom posúdenie i správu do 1. júla nasledujúceho roka zasiela Európskemu parlamentu, Rade, Komisii a Dvoru audítorov. Výročná správa zahŕňa účtovné výkazy, opisuje sa v nej účelnosť vynakladania prostriedkov a vyhodnocuje sa v nej, do akej miery bola agentúra efektívna a splnila svoje ukazovatele výkonnosti. Výročná správa sa zverejní;

Pozmeňujúci návrh    54

Návrh nariadenia

Článok 14 – odsek 1 – písmeno m

Text predložený Komisiou

Pozmeňujúci návrh

m)  vymenúva výkonného riaditeľa a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

m)  vymenúva výkonného riaditeľa na základe výberu podľa odborných kritérií a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

Pozmeňujúci návrh    55

Návrh nariadenia

Článok 14 – odsek 1 – písmeno o

Text predložený Komisiou

Pozmeňujúci návrh

o)  prijíma všetky rozhodnutia o zriadení vnútorných štruktúr agentúry a v prípade potreby o ich zmene, pričom prihliada na potreby činnosti agentúry a zásadu riadneho finančného hospodárenia;

o)  prijíma všetky rozhodnutia o zriadení vnútorných štruktúr agentúry a v prípade potreby o ich zmene, pričom prihliada na potreby činnosti agentúry uvedené v tomto nariadení a zásadu riadneho finančného hospodárenia;

Pozmeňujúci návrh    56

Návrh nariadenia

Článok 19 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Výkonný riaditeľ podáva na vyzvanie Európskemu parlamentu správu o plnení svojich povinností. Rada môže vyzvať výkonného riaditeľa, aby podal správu o plnení svojich povinností.

2.  Výkonný riaditeľ každý rok podáva – alebo podáva na vyzvanie Európskemu parlamentu správu o plnení svojich povinností. Rada môže vyzvať výkonného riaditeľa, aby podal správu o plnení svojich povinností.

Pozmeňujúci návrh    57

Návrh nariadenia

Článok 20 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Správna rada konajúca na návrh výkonného riaditeľa zriadi stálu skupinu zainteresovaných strán zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov.

1.  Správna rada konajúca na návrh výkonného riaditeľa zriadi stálu skupinu zainteresovaných strán zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT a poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, najmä európske odvetvie IKT a európski poskytovatelia, združenia malých a stredných podnikov,skupiny a združenia spotrebiteľov, akademickí experti v oblasti kybernetickej bezpečnosti, európske normalizačné organizácie vymedzené v článku 2 bode 8 nariadenia (EÚ) č. 1025/2012, príslušné odvetvové agentúry a orgány Únie a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov.

Pozmeňujúci návrh    58

Návrh nariadenia

Článok 20 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Funkčné obdobie členov stálej skupiny zainteresovaných strán je dva a pol roka. Členovia správnej rady nemôžu byť členmi stálej skupiny zainteresovaných strán. Experti z Komisie a členských štátov sú oprávnení zúčastňovať sa na zasadnutiach stálej skupiny zainteresovaných strán a podieľať sa na jej práci. Na zasadnutia stálej skupiny zainteresovaných strán a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné a ktoré nie sú členmi stálej skupiny zainteresovaných strán.

4.  Funkčné obdobie členov stálej skupiny zainteresovaných strán je dva a pol roka. Členovia správnej rady a výkonnej rady, s výnimkou výkonného riaditeľa, nesmú byť členmi stálej skupiny zainteresovaných strán. Experti z Komisie a členských štátov sú oprávnení zúčastňovať sa na zasadnutiach stálej skupiny zainteresovaných strán a podieľať sa na jej práci. Na zasadnutia stálej skupiny zainteresovaných strán a k účasti na jej práci možno prizvať aj zástupcov iných orgánov, ktoré výkonný riaditeľ považuje za relevantné a ktoré nie sú členmi stálej skupiny zainteresovaných strán.

Pozmeňujúci návrh    59

Návrh nariadenia

Článok 20 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Stála skupina zainteresovaných strán agentúre radí v súvislosti s vykonávaním jej činností. Predovšetkým radí výkonnému riaditeľovi pri vypracúvaní návrhu pracovného programu agentúry a pri zabezpečovaní komunikácie s príslušnými zainteresovanými stranami o všetkých otázkach týkajúcich sa pracovného programu.

5.  Stála skupina zainteresovaných strán agentúre radí v súvislosti s vykonávaním jej činností. Predovšetkým radí výkonnému riaditeľovi pri vypracúvaní návrhu pracovného programu agentúry a pri zabezpečovaní komunikácie s príslušnými zainteresovanými stranami o všetkých otázkach týkajúcich sa pracovného programu. Takisto môže navrhnúť, aby Komisia požiadala agentúru o vypracovanie kandidátskych európskych systémov certifikácie kybernetickej bezpečnosti v súlade s článkom 44, a to z vlastného podnetu alebo na základe návrhov predložených relevantnými zainteresovanými stranami.

Pozmeňujúci návrh    60

Návrh nariadenia

Článok 20 – odsek 5 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

5a.  Stála skupina zainteresovaných strán poskytuje poradenstvo agentúre pri príprave kandidátskych európskych systémov certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    61

Návrh nariadenia

Článok 23 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Agentúra zabezpečí, aby verejnosť a všetky zainteresované strany dostávali náležité, objektívne, spoľahlivé a ľahko dostupné informácie, najmä o výsledkoch jej práce. Agentúra takisto zverejňuje vyhlásenia o záujmoch predkladané podľa článku 22.

2.  Agentúra zabezpečí, aby verejnosť a všetky zainteresované strany dostávali náležité, objektívne, spoľahlivé a ľahko dostupné informácie, najmä o diskusiách a výsledkoch jej práce. Agentúra takisto zverejňuje vyhlásenia o záujmoch predkladané podľa článku 22.

Odôvodnenie

Transparentnosť musí byť vynútiteľná, a to so zreteľom na uplatňovanie článku 24.

Pozmeňujúci návrh    62

Návrh nariadenia

Článok 43 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

Európsky systém certifikácie kybernetickej bezpečnosti potvrdzuje, že príslušné produkty a služby IKT, ktoré boli certifikované v súlade s takýmto systémom, spĺňajú konkrétne požiadavky z hľadiska schopnosti odolať na určitom stupni dôveryhodnosti konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré sa cez tieto produkty, procesy, služby a systémy ponúkajú alebo sprístupňujú.

Vytvára sa európsky systém certifikácie kybernetickej bezpečnosti na zvýšenie úrovne bezpečnosti na digitálnom jednotnom trhu a na uplatňovanie harmonizovaného prístupu na úrovni EÚ k európskej certifikácii, aby sa zaistila odolnosť produktov, služieb a systémov IKT voči kybernetickým útokom.

Tento systém potvrdzuje, že príslušné procesy, produkty a služby IKT, ktoré boli certifikované v súlade s takýmto systémom, spĺňajú konkrétne spoločné požiadavky a vlastnosti z hľadiska schopnosti odolať na určitom stupni dôveryhodnosti konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu alebo dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré sa cez tieto procesy, produkty, služby a systémy ponúkajú alebo sprístupňujú.

Pozmeňujúci návrh    63

Návrh nariadenia

Článok 43 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 43a

 

Pracovný program

 

Agentúra ENISA po porade s európskou skupinou pre certifikáciu kybernetickej bezpečnosti a stálou skupinou zainteresovaných strán a po schválení Komisiou zavedie pracovný program s podrobným uvedením spoločných opatrení, ktoré sa majú vykonávať na úrovni Únie, aby sa zabezpečilo jednotné uplatňovanie tejto hlavy, a ktoré obsahujú prioritný zoznam produktov a služieb IKT, v prípade ktorých je podľa ENISA nutný európsky systém certifikácie kybernetickej bezpečnosti.

 

Pracovný program sa zavedie najneskôr do [šesť mesiacov po nadobudnutí účinnosti tohto nariadenia] a nový pracovný program sa zavádza každé dva roky potom. Pracovný program sa zverejní.

Pozmeňujúci návrh    64

Návrh nariadenia

Článok 44 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Agentúra ENISA na žiadosť Komisie vypracuje kandidátsky európsky systém certifikácie kybernetickej bezpečnosti, ktorý spĺňa požiadavky stanovené v článkoch 45, 46 a 47 tohto nariadenia. Členské štáty alebo európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „skupina“) zriadená podľa článku 53 môžu Komisii navrhnúť vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti.

1.  Agentúra ENISA na žiadosť Komisie vypracuje kandidátsky európsky systém certifikácie kybernetickej bezpečnosti, ktorý spĺňa požiadavky stanovené v článkoch 45, 46 a 47 tohto nariadenia. Členské štáty alebo európska skupina pre certifikáciu kybernetickej bezpečnosti (ďalej len „skupina“) zriadená podľa článku 53 alebo stála skupina zainteresovaných strán zriadená podľa článku 20 môžu Komisii navrhnúť vypracovanie kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    65

Návrh nariadenia

Článok 44 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Pri vypracúvaní kandidátskeho systému podľa odseku 1 tohto článku vedie agentúra ENISA konzultácie so všetkými relevantnými zainteresovanými stranami a úzko spolupracuje so skupinou. Skupina poskytuje agentúre ENISA pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk.

2.  Pri vypracúvaní kandidátskeho systému podľa odseku 1 tohto článku vedie agentúra ENISA konzultácie so stálou skupinou zainteresovaných strán, najmä s európskymi normalizačnými organizáciami, a so všetkými ostatnými relevantnými zainteresovanými stranami vrátane organizácií spotrebiteľov formálnym, štandardizovaným a transparentným procesom, a úzko spolupracuje so skupinou, pričom zohľadňuje vnútroštátne a medzinárodné normy, ktoré už existujú. Pri príprave každého kandidátskeho systému ENISA vypracuje kontrolný zoznam rizík a zodpovedajúce prvky kybernetickej bezpečnosti.

 

Skupina poskytuje agentúre ENISA pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk.

 

Agentúra ENISA okrem toho môže v prípade potreby vytvoriť odbornú konzultačnú skupinu zainteresovaných strán zloženú z členov stálej skupiny zainteresovaných strán a z akýchkoľvek ďalších relevantných zainteresovaných strán s konkrétnymi odbornými znalosťami v oblasti daného kandidátskeho systému na poskytovanie ďalšej pomoci a poradenstva.

Pozmeňujúci návrh    66

Návrh nariadenia

Článok 44 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Agentúra ENISA postúpi kandidátsky európsky systém certifikácie kybernetickej bezpečnosti vypracovaný v súlade s odsekom 2 tohto článku Komisii.

3.  Agentúra ENISA postúpi kandidátsky európsky systém certifikácie kybernetickej bezpečnosti vypracovaný v súlade s odsekom 2 tohto článku Komisii, ktorá posúdi jeho vhodnosť na dosiahnutie cieľov žiadosti uvedenej v odseku 1.

Pozmeňujúci návrh    67

Návrh nariadenia

Článok 44 – odsek 3 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

3a.  Agentúra ENISA dodržiava služobné tajomstvo, pokiaľ ide o všetky informácie získané pri plnení jej úloh podľa tohto nariadenia.

Pozmeňujúci návrh    68

Návrh nariadenia

Článok 44 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Komisia môže na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať vykonávacie akty v súlade s článkom 55 ods. 1, v ktorých sa stanovia európske systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47 tohto nariadenia.

4.  Komisia je splnomocnená prijímať podľa článku 55a delegované akty o zriadení európskych systémov certifikácie kybernetickej bezpečnosti produktov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47 tohto nariadenia. Pri prijímaní týchto delegovaných aktov Komisia vychádza, pokiaľ ide o systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, z akéhokoľvek relevantného kandidátskeho systému navrhnutého agentúrou ENISA. Komisia môže pred prijatím takýchto delegovaných aktov konzultovať s Európskym výborom pre ochranu údajov a zohľadniť jeho stanovisko.

Pozmeňujúci návrh    69

Návrh nariadenia

Článok 44 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Agentúra ENISA spravuje vyhradené webové stránky, na ktorých sa uvádzajú informácie o európskych systémoch certifikácie kybernetickej bezpečnosti a zabezpečuje ich publicita.

5.  Agentúra ENISA spravuje vyhradené webové sídlo, na ktorom sa uvádzajú informácie o európskych systémoch certifikácie kybernetickej bezpečnosti a zabezpečuje ich publicita, vrátane informácií o všetkých kandidátskych systémoch, o ktorých prípravu Komisia požiadala agentúru ENISA.

Pozmeňujúci návrh    70

Návrh nariadenia

Článok 45 – odsek 1 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

Európsky systém certifikácie kybernetickej bezpečnosti musí byť navrhnutý tak, aby podľa potreby zohľadňoval tieto bezpečnostné ciele:

Každý európsky systém certifikácie kybernetickej bezpečnosti musí byť navrhnutý tak, aby zohľadňoval aspoň tieto bezpečnostné ciele, pokiaľ sú relevantné:

Pozmeňujúci návrh    71

Návrh nariadenia

Článok 45 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  zabezpečiť, že k produktom a službám IKT sa poskytuje aktualizovaný softvér bez známych zraniteľných miest, ako aj mechanizmy bezpečnej aktualizácie softvéru.

g)  zabezpečiť, aby k produktom a službám IKT bol poskytovaný aktuálny softvéru a hardvér bez známych zraniteľných miest; zabezpečiť, aby boli navrhnuté a realizované tak, aby bola účinne obmedzená pravdepodobnosť ich zraniteľných miest, a tiež, aby boli vybavené mechanizmami bezpečnej aktualizácie softvéru, a to aj zvýšenia verzie hardvéru a automatickej bezpečnostnej aktualizácie;

Pozmeňujúci návrh    72

Návrh nariadenia

Článok 45 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  zabezpečiť, aby sa produkty a služby IKT vyvíjali a prevádzkovali takým spôsobom, aby bola vopred konfigurovaná vysoká úroveň kybernetickej bezpečnosti a ochrany údajov, v súlade so zásadou bezpečnosť už v štádiu návrhu.

Pozmeňujúci návrh    73

Návrh nariadenia

Článok 46 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Európsky systém certifikácie kybernetickej bezpečnosti môže pre produkty a služby IKT certifikované v rámci daného systému uvádzať jeden alebo viacero z týchto stupňov dôveryhodnosti:

1.  Každý európsky systém certifikácie kybernetickej bezpečnosti môže uvádzať jeden alebo viacero z týchto stupňov dôveryhodnosti z hľadiska rizík: funkčne bezpečné; podstatne bezpečné a/alebo vysoko bezpečné, pre produkty a služby IKT certifikované v rámci daného systému.

 

Stupne dôveryhodnosti v prípade každého kandidátskeho európskeho systému certifikácie kybernetickej bezpečnosti sa určuje na základe rizík označených v kontrolnom zozname podľa článku 44 ods. 2 a dostupnosti prvkov kybernetickej bezpečnosti určených na vyváženie týchto rizík v produktoch a službách IKT, na ktoré sa systém certifikácie uplatňuje.

Pozmeňujúci návrh    74

Návrh nariadenia

Článok 46 – odsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

1a.  V každom systéme sa uvedie metodika posudzovania alebo proces hodnotenia, podľa ktorej alebo ktorým sa má postupovať pri vydávaní certifikátov na každom stupni dôveryhodnosti, a to v závislosti od zamýšľaného použitia a inherentného rizika produktov a služieb IKT v rámci daného systému.

Pozmeňujúci návrh    75

Návrh nariadenia

Článok 46 – odsek 2 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

2.  základný, pokročilý a/alebo vysoký. Základný, pokročilý a vysoký stupeň dôveryhodnosti musia spĺňať tieto kritériá:

2.  Stupne dôveryhodnosti funkčne bezpečné, podstatne bezpečné a/alebo vysoko bezpečné musia spĺňať tieto kritériá:

Pozmeňujúci návrh    76

Návrh nariadenia

Článok 46 – odsek 2 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  základný stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje obmedzený stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je znížiť riziko kybernetických incidentov;

a)  stupeň dôveryhodnosti funkčne bezpečný označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje primeraný stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti procesu, produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je znížiť riziko kybernetických incidentov;

Pozmeňujúci návrh    77

Návrh nariadenia

Článok 46 – odsek 2 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  pokročilý stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje výrazný stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je výrazne znížiť riziko kybernetických incidentov;

b)  stupeň dôveryhodnosti podstatne bezpečný označuje certifikát vydaný v rámci európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje výrazný stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti procesu, produktu alebo služby IKT, a sú preň typické odkazy na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je výrazne znížiť riziko kybernetických incidentov;

Pozmeňujúci návrh    78

Návrh nariadenia

Článok 46 – odsek 2 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  vysoký stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje vyšší stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT než certifikáty s pokročilým stupňom dôveryhodnosti, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je predchádzať riziku kybernetických incidentov.

c)  vysoko bezpečný stupeň dôveryhodnosti označuje certifikát vydaný v rámci európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje vyšší stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti procesu, produktu alebo služby IKT než certifikáty s pokročilo bezpečným stupňom dôveryhodnosti a sú preň typické odkazy na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je predchádzať kybernetickým incidentom. Vzťahuje sa to najmä na produkty a služby určené na použitie prevádzkovateľmi základných služieb, vymedzených v článku 4 ods. 4 smernice (EÚ) 2016/1148.

Pozmeňujúci návrh    79

Návrh nariadenia

Článok 47 – odsek 1 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

1.  Európsky systém certifikácie kybernetickej bezpečnosti musí zahŕňať tieto prvky:

1.  Každý európsky systém certifikácie kybernetickej bezpečnosti musí prípadne zahŕňať aspoň tieto prvky:

Pozmeňujúci návrh    80

Návrh nariadenia

Článok 47 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  predmet úpravy a rozsah pôsobnosti danej certifikácie vrátane typu alebo kategórií pokrytých produktov a služieb IKT;

a)  predmet úpravy a rozsah pôsobnosti systému certifikácie vrátane všetkých špecifických odvetví a typu alebo kategórií pokrytých produktov a služieb IKT;

Pozmeňujúci návrh    81

Návrh nariadenia

Článok 47 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  podrobnú špecifikáciu kyberneticko-bezpečnostných požiadaviek, z hľadiska ktorých sa konkrétne produkty a služby IKT hodnotia – napríklad s odkazom na európske alebo medzinárodné normy alebo technické špecifikácie;

b)  podrobnú špecifikáciu požiadaviek na kybernetickú bezpečnosť, podľa ktorých sa konkrétne produkty a služby IKT hodnotia – najmä odkazom na medzinárodné, európske alebo vnútroštátne normy alebo technické špecifikácie;

Pozmeňujúci návrh    82

Návrh nariadenia

Článok 47 – odsek 1 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  podrobnú špecifikáciu toho, či sa udelená certifikácia môže uplatniť len na jednotlivý produkt alebo či sa môže uplatniť na sortiment produktov, napríklad na rôzne verzie alebo modely rovnakej základnej štruktúry produktu;

Pozmeňujúci návrh    83

Návrh nariadenia

Článok 47 – odsek 1 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  údaj o tom, či vlastné vyhlásenie o zhode je povolené v rámci systému, a uplatniteľný postup posudzovania zhody alebo vlastného vyhlásenia o zhode, alebo oboje;

Pozmeňujúci návrh    84

Návrh nariadenia

Článok 47 – odsek 1 – písmeno c b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

cb)  požiadavky na certifikáciu vymedzené tak, aby certifikáciu bolo možné začleniť do systematických procesov výrobcu v oblasti kybernetickej bezpečnosti, podľa ktorých sa postupuje počas navrhovania, vývoja a životného cyklu procesu, produktu alebo služby IKT, alebo aby mohla z týchto procesov vychádzať;

Pozmeňujúci návrh    85

Návrh nariadenia

Článok 47 – odsek 1 – písmeno f

Text predložený Komisiou

Pozmeňujúci návrh

f)  ak systém zahŕňa označenia alebo značky, podmienky, za ktorých možno takéto označenia alebo značky použiť;

f)  ak systém zahŕňa označenia alebo značky – napríklad európsku značku zhody v oblasti kybernetickej bezpečnosti znamenajúcu zhodu procesu, produktu alebo služby IKT s kritériami systému – podmienky, za ktorých možno takéto označenia alebo značky použiť;

Pozmeňujúci návrh    86

Návrh nariadenia

Článok 47 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  ak systém zahŕňa dohľad, pravidlá monitorovania súladu s požiadavkami príslušného certifikátu vrátane mechanizmov na preukázanie trvalého súladu so stanovenými kyberneticko-bezpečnostnými požiadavkami;

g)  pravidlá monitorovania súladu s požiadavkami príslušného certifikátu vrátane mechanizmov na preukázanie trvalého súladu so stanovenými kyberneticko-bezpečnostnými požiadavkami, napríklad, ak je to relevantné a uskutočniteľné, povinné aktualizácie, novšie verzie alebo záplaty daného procesu, produktu alebo služby IKT;

Pozmeňujúci návrh    87

Návrh nariadenia

Článok 47 – odsek 1 – písmeno h

Text predložený Komisiou

Pozmeňujúci návrh

h)  podmienky udelenia, udržiavania, pokračovania, rozširovania a zužovania rozsahu certifikácie;

h)  podmienky udelenia, udržiavania, pokračovania, obnovovania, rozširovania a zužovania rozsahu certifikácie;

Pozmeňujúci návrh    88

Návrh nariadenia

Článok 47 – odsek 1 – písmeno i

Text predložený Komisiou

Pozmeňujúci návrh

i)  pravidlá týkajúce sa dôsledkov v prípade nesúladu certifikovaných produktov a služieb IKT s certifikačnými požiadavkami;

i)  pravidlá týkajúce sa dôsledkov v prípade nesúladu certifikovaných produktov a služieb IKT s certifikačnými požiadavkami a všeobecné informácie o hroziacich sankciách, ako sú uvedené v článku 54 tohto nariadenia;

Pozmeňujúci návrh    89

Návrh nariadenia

Článok 47 – odsek 1 – písmeno j

Text predložený Komisiou

Pozmeňujúci návrh

j)  pravidlá nahlasovania a riešenia predtým nezistených zraniteľných miest produktov a služieb IKT z hľadiska kybernetickej bezpečnosti;

j)  pravidlá nahlasovania a riešenia predtým nezistených zraniteľných miest produktov a služieb IKT z hľadiska kybernetickej bezpečnosti, okrem iného aj prostredníctvom koordinovaných postupov zverejňovania zraniteľných miest;

Pozmeňujúci návrh    90

Návrh nariadenia

Článok 47 – odsek 1 – písmeno l

Text predložený Komisiou

Pozmeňujúci návrh

l)  určenie vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov a služieb IKT;

l)  určenie vnútroštátnych alebo medzinárodných systémov certifikácie kybernetickej bezpečnosti alebo existujúcich medzinárodných dohôd o vzájomnom uznávaní, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov a služieb IKT;

Pozmeňujúci návrh    91

Návrh nariadenia

Článok 47 – odsek 1 – písmeno m a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ma)  maximálne obdobie platnosti certifikátov  

Pozmeňujúci návrh    92

Návrh nariadenia

Článok 47 – odsek 1 – písmeno m b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

mb)  pravidlá týkajúce sa odolnosti a skúšania odolnosti na vysoko bezpečný stupeň dôveryhodnosti.

Pozmeňujúci návrh    93

Návrh nariadenia

Článok 47 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Ak sa to stanovuje v osobitnom akte Únie, certifikáciu v rámci európskeho systému certifikácie kybernetickej bezpečnosti možno použiť na preukázanie predpokladu zhody s požiadavkami daného aktu.

3.  Ak sa to stanovuje v osobitnom budúcom akte Únie, certifikáciu v rámci európskeho systému certifikácie kybernetickej bezpečnosti možno použiť na preukázanie predpokladu zhody s požiadavkami daného aktu.

Pozmeňujúci návrh    94

Návrh nariadenia

Článok 48 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Pokiaľ sa v právnych predpisoch Únie nestanovuje inak, certifikácia je dobrovoľná.

2.  Certifikácia podľa systému certifikácie kybernetickej bezpečnosti je povinná pre produkty a služby IKT s vysokým inherentným rizikom, ktoré sú osobitne určené na použitie prevádzkovateľmi základných služieb, ako je vymedzené v článku 4 ods. 4 smernice (EÚ) 2016/1148. Pokiaľ sa v právnych predpisoch Únie nestanovuje inak, certifikácia je pre všetky ostatné produkty a služby IKT dobrovoľná.

Pozmeňujúci návrh    95

Návrh nariadenia

Článok 48 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Európsky certifikát kybernetickej bezpečnosti podľa tohto článku vydávajú orgány posudzovania zhody uvedené v článku 51 na základe kritérií zahrnutých v európskom systéme certifikácie kybernetickej bezpečnosti prijatom podľa článku 44.

3.  Európske certifikáty kybernetickej bezpečnosti podľa tohto článku vydávajú orgány posudzovania zhody uvedené v článku 51 na základe kritérií zahrnutých v európskom systéme certifikácie kybernetickej bezpečnosti prijatom podľa článku 44.

 

Ako alternatívu k certifikácii orgánmi posudzovania zhody, výrobcovia produktov a poskytovatelia služieb môžu – v prípade, keď predmetný systém stanovuje takúto možnosť – urobiť vlastné vyhlásenie o zhode, v ktorom vyhlásia, že proces, produkt alebo služba spĺňajú kritériá systému certifikácie. V takýchto prípadoch výrobca produktu alebo poskytovateľ služieb na požiadanie poskytnú vlastné vyhlásenie o zhode žiadajúcim vnútroštátnym orgánom dohľadu nad certifikáciou a agentúre ENISA.

Pozmeňujúci návrh    96

Návrh nariadenia

Článok 48 – odsek 4 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

4.  Odchylne od odseku 3 sa v riadne odôvodnených prípadoch môže v konkrétnom európskom systéme certifikácie kybernetickej bezpečnosti určiť, že výsledný európsky certifikát kybernetickej bezpečnosti môže vydať len verejný orgán. Ide o jeden z týchto verejných orgánov:

4.  Odchylne od odseku 3 sa v riadne odôvodnených prípadoch, napríklad z dôvodov národnej bezpečnosti, môže v konkrétnom európskom systéme certifikácie kybernetickej bezpečnosti určiť, že výsledný európsky certifikát kybernetickej bezpečnosti môže vydať len verejný orgán. Ide o jeden z týchto verejných orgánov:

Pozmeňujúci návrh    97

Návrh nariadenia

Článok 48 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Fyzická či právnická osoba, ktorá podrobuje svoje produkty alebo služby IKT mechanizmu certifikácie, musí orgánu posudzovania zhody uvedenému v článku 51 poskytnúť všetky informácie potrebné pre postup certifikácie.

5.  Fyzická či právnická osoba, ktorá podrobuje svoje produkty alebo služby IKT mechanizmu certifikácie, musí orgánu posudzovania zhody uvedenému v článku 51 poskytnúť všetky informácie potrebné pre postup certifikácie vrátane informácií o všetkých známych zraniteľných miestach.

Pozmeňujúci návrh    98

Návrh nariadenia

Článok 48 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Certifikáty sa vydávajú najviac na tri roky, pričom ich možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky.

6.  Certifikáty sa vydávajú a zostávajú platné počas maximálneho obdobia vymedzeného v každom systéme certifikácie, pričom ich možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky uvedeného systému vrátane všetkých revidovaných alebo zmenených požiadaviek.

Pozmeňujúci návrh    99

Návrh nariadenia

Článok 48 – odsek 6 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

6a.  Certifikáty zostanú platné pre všetky nové verzie procesu, produktu alebo služby, ak hlavný dôvod novej verzie spočíva v záplate, oprave alebo v inom riešení známeho alebo potenciálneho zraniteľného miesta bezpečnosti alebo hrozby.

Pozmeňujúci návrh    100

Návrh nariadenia

Článok 49 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Bez toho, aby bol dotknutý odsek 3, strácajú vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, účinok k dátumu stanovenému vo vykonávacom akte prijatom podľa článku 44 ods. 4. Existujúce vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa žiaden európsky systém certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.

1.  Bez toho, aby bol dotknutý odsek 3, strácajú vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, účinok k dátumu stanovenému v delegovanom akte prijatom podľa článku 44 ods. 4. Komisia monitoruje súlad s týmto pododsekom s cieľom predísť existencii súbežných systémov. Existujúce vnútroštátne systémy certifikácie kybernetickej bezpečnosti a súvisiace postupy pre produkty a služby IKT, na ktoré sa žiaden európsky systém certifikácie kybernetickej bezpečnosti nevzťahuje, existujú naďalej.

Pozmeňujúci návrh    101

Návrh nariadenia

Článok 49 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Existujúce certifikáty vydané na základe vnútroštátnych systémov certifikácie kybernetickej bezpečnosti platia naďalej až do uplynutia ich platnosti.

3.  Existujúce certifikáty, ktoré boli vydané na základe vnútroštátnych systémov certifikácie kybernetickej bezpečnosti a na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, platia naďalej až do uplynutia ich platnosti.

Pozmeňujúci návrh    102

Návrh nariadenia

Článok 50 – odsek 3

Text predložený Komisiou

Pozmeňujúci návrh

3.  Každý vnútroštátny orgán dohľadu nad certifikáciou musí byť z hľadiska organizácie, rozhodnutí o financovaní, právnej štruktúry a rozhodovania nezávislý od orgánov, nad ktorými dohliada.

3.  Každý vnútroštátny orgán dohľadu nad certifikáciou musí byť z hľadiska organizácie, rozhodnutí o financovaní, právnej štruktúry a rozhodovania nezávislý od orgánov, nad ktorými dohliada, a nesmie byť orgánom posudzovania zhody ani vnútroštátnym akreditačným orgánom.

Pozmeňujúci návrh    103

Návrh nariadenia

Článok 50 – odsek 6 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  monitorujú a presadzujú uplatňovanie ustanovení tejto hlavy na vnútroštátnej úrovni a dohliadajú nad súladom certifikátov, ktoré vydali orgány posudzovania zhody zriadené na území daného členského štátu, s požiadavkami tejto hlavy, ako aj s požiadavkami príslušného európskeho systému certifikácie kybernetickej bezpečnosti;

a)  monitorujú a presadzujú uplatňovanie ustanovení tejto hlavy na vnútroštátnej úrovni a dohliadajú nad dodržiavaním súladu podľa pravidiel prijatých skupinou pre európsku certifikáciu kybernetickej bezpečnosti podľa článku 53 ods. 3 písm. da), pokiaľ ide o

 

i)  certifikáty, ktoré vydali orgány pre posudzovanie zhody so sídlom na území daného členského štátu, s požiadavkami tejto hlavy, ako aj s požiadavkami príslušného európskeho systému certifikácie kybernetickej bezpečnosti; a

 

ii)  vlastné vyhlásenia o zhode podľa systému, ktorý sa týka procesu, produktu alebo služby IKT;

Pozmeňujúci návrh    104

Návrh nariadenia

Článok 50 – odsek 6 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  monitorujú a dohliadajú nad činnosťami orgánov posudzovania zhody na účely tohto nariadenia, a to aj v súvislosti s oznamovaním orgánov posudzovania zhody a súvisiacich úloh v zmysle článku 52 tohto nariadenia;

b)  monitorujú, dohliadajú nad činnosťami orgánov posudzovania zhody a aspoň každé dva roky tieto činnosti posudzujú na účely tohto nariadenia, a to aj v súvislosti s oznamovaním orgánov posudzovania zhody a súvisiacich úloh v zmysle článku 52 tohto nariadenia;

Pozmeňujúci návrh    105

Návrh nariadenia

Článok 50 – odsek 6 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, primerane prešetrujú predmet danej sťažnosti a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;

c)  vybavujú sťažnosti fyzických alebo právnických osôb v súvislosti s certifikátmi, ktoré vydali orgány posudzovania zhody so sídlom na ich území, alebo s vlastnými vyhláseniami výrobcov o zhode, v primeranej miere prešetrujú predmet danej sťažnosti a sťažovateľa v primeranej lehote informujú o pokroku a výsledku tohto prešetrenia;

Pozmeňujúci návrh    106

Návrh nariadenia

Článok 50 – odsek 6 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  oznamujú výsledky overovania podľa písmena a) a posudzovania podľa písmena b) agentúre ENISA a európskej skupine pre certifikáciu kybernetickej bezpečnosti;

Pozmeňujúci návrh    107

Návrh nariadenia

Článok 50 – odsek 6 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou, vnútroštátnymi akreditačnými orgánmi alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT vrátane klamlivých, falošných alebo podvodných tvrdení o certifikácii s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    108

Návrh nariadenia

Článok 50 – odsek 7 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  odobrať akreditáciu orgánom posudzovania zhody, ktoré nedodržiavajú toto nariadenie.

Pozmeňujúci návrh    109

Návrh nariadenia

Článok 50 – odsek 7 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  v súlade s vnútroštátnym právom odnímať certifikáty, ktoré nie sú v súlade s týmto nariadením alebo s európskym systémom certifikácie kybernetickej bezpečnosti;

e)  v súlade s vnútroštátnym právom odnímať certifikáty, ktoré nie sú v súlade s týmto nariadením alebo s európskym systémom certifikácie kybernetickej bezpečnosti a informovať o tom vnútroštátne akreditačné orgány;

Pozmeňujúci návrh    110

Návrh nariadenia

Článok 50 – odsek 7 – písmeno f a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fa)  navrhnúť odborníkov agentúry ENISA, ktorí by sa mohli stať členmi odbornej skupiny zainteresovaných strán uvedenej v článku 44 ods. 2;

Pozmeňujúci návrh    111

Návrh nariadenia

Článok 50 – odsek 8 – pododsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Komisia na účely tejto výmeny informácií sprístupní všeobecný elektronický podporný informačný systém.

Pozmeňujúci návrh    112

Návrh nariadenia

Článok 50 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 50a

 

Partnerské hodnotenie

 

1.  Vnútroštátne orgány dohľadu nad certifikáciou sa podrobia partnerskému hodnoteniu každej aktivity, ktorú vykonávajú podľa článku 50 tohto nariadenia.

 

2.  Partnerské hodnotenie zahŕňa posudzovanie postupov zavedených vnútroštátnymi orgánmi dohľadu nad certifikáciou, najmä pokiaľ ide o postupy kontroly súladu produktov, na ktoré sa vzťahuje certifikácia kybernetickej bezpečnosti, odbornosť zamestnancov, správnosť kontrol a inšpekčnej metodiky, ako aj správnosť výsledkov. V rámci partnerského hodnotenia sa zároveň posudzuje, či príslušné vnútroštátne orgány dohľadu nad certifikáciou majú dostatočné zdroje na riadne plnenie svojich povinností, ako sa vyžaduje v článku 50 ods. 4.

 

3.  Partnerské hodnotenie vnútroštátnych orgánov dohľadu nad certifikáciou vykonávajú vnútroštátne orgány dohľadu nad certifikáciou iných členských štátov a Komisia najmenej raz každých päť rokov. ENISA sa môže zúčastniť partnerského hodnotenia a o svojej účasti rozhodne na základe analýzy posúdenia rizík.

 

4.  Komisia je v súlade s článkom 55a splnomocnená prijímať delegované akty na zavedenie programu partnerských hodnotení na obdobie najmenej piatich rokov, v ktorých stanoví kritériá zloženia tímu partnerského hodnotenia, metodiky partnerského hodnotenia, harmonogramu, periodicity a ďalších úloh súvisiacich s partnerským hodnotením. Pri prijímaní týchto delegovaných aktov Komisia náležite zohľadní pokyny skupiny.

 

5.  Výsledok partnerského hodnotenia preskúma skupina. Agentúra ENISA vypracuje a zverejní súhrn výsledkov.

Pozmeňujúci návrh    113

Návrh nariadenia

Článok 51 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Ak sa výrobcovia rozhodnú pre „vlastné vyhlásenie o zhode“ podľa článku 48 ods. 3, orgány posudzovania zhody prijmú dodatočné opatrenia na overenie vnútorných postupov, ktoré vykonal výrobca s cieľom zabezpečiť, aby ich výrobky a/alebo služby boli v súlade s požiadavkami európskeho systému certifikácie kybernetickej bezpečnosti.

Pozmeňujúci návrh    114

Návrh nariadenia

Článok 53 – odsek 3 – písmeno d a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

da)  prijať záväzné pravidlá s určením intervalov, v ktorých majú vnútroštátne orgány dohľadu nad certifikáciou vykonať overenie certifikátov a vlastných vyhlásení o zhode, ako aj kritérií, veľkosti a rozsahu uvedeného overenia, a prijať spoločné pravidlá a normy pre podávanie správ v súlade s článkom 50 ods. 6.

Pozmeňujúci návrh    115

Návrh nariadenia

Článok 53 – odsek 3 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  skúmať relevantné trendy vo sfére certifikácie kybernetickej bezpečnosti a vymieňať si osvedčené postupy v oblasti systémov certifikácie kybernetickej bezpečnosti;

e)  skúmať relevantné trendy vo sfére certifikácie kybernetickej bezpečnosti a vymieňať si informácie a osvedčené postupy v oblasti systémov certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    116

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fa)  vymieňať si najlepšie postupy, pokiaľ ide o vyšetrovania orgánov posudzovania zhody, držiteľov certifikátov kybernetickej bezpečnosti, výrobcov a poskytovateľov služieb, ktorí urobili vlastné vyhlásenia o zhode;

Pozmeňujúci návrh    117

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f b (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fb)  uľahčiť zosúladenie európskych systémov certifikácie kybernetickej bezpečnosti s medzinárodne uznávanými normami a v prípade potreby odporúčať agentúre ENISA oblasti, v ktorých by mala spolupracovať s príslušnými medzinárodnými a európskymi organizáciami pre normalizáciu s cieľom riešiť nedostatky alebo medzery v medzinárodne uznávaných normách;

Pozmeňujúci návrh    118

Návrh nariadenia

Článok 53 – odsek 3 – písmeno f c (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fc)  poskytovať poradenstvo agentúre ENISA pri vypracúvaní pracovného programu uvedeného v článku 43a a o prioritnom zozname produktov a služieb, o ktorých sa domnieva, že sa na ne musí vzťahovať európsky systém certifikácie kybernetickej bezpečnosti;

Pozmeňujúci návrh    119

Návrh nariadenia

Článok 53 – odsek 4 – pododsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Agentúra ENISA zabezpečí, aby boli program, zápisnica a záznam prijatých rozhodnutí zaregistrované a aby zverejnené verzie týchto dokumentov boli prístupné verejnosti na webovom sídle agentúry ENISA po každom zasadnutí skupiny.

Pozmeňujúci návrh    120

Návrh nariadenia

Článok 55 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 55a

 

Vykonávanie delegovania

 

Právomoc prijímať delegované akty sa Komisii udeľuje za podmienok stanovených v tomto článku.

 

Právomoc prijímať delegované akty uvedené v článku 44 ods. 4 a článku 50a ods. 4 sa Komisii udeľuje na dobu piatich rokov odo [dňa nadobudnutia účinnosti základného legislatívneho aktu]. Komisia vypracuje správu týkajúcu sa delegovania právomoci najneskôr deväť mesiacov pred uplynutím tohto päťročného obdobia. Delegovanie právomoci sa automaticky predlžuje na rovnako dlhé obdobia, pokiaľ Európsky parlament alebo Rada nevznesú voči takémuto predĺženiu námietku najneskôr tri mesiace pred koncom každého obdobia.

 

Delegovanie právomoci uvedené v článku 44 ods. 4 a článku 50a ods. 4 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie, alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

 

Komisia pred prijatím delegovaného aktu konzultuje s odborníkmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.

 

Hneď ako Komisia prijme delegovaný akt, oznámi to súčasne Európskemu parlamentu a Rade.

 

Delegovaný akt prijatý podľa článku 44 ods. 4 alebo článku 55a ods. 4 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote dvoch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o [dva mesiace].

POSTUP VÝBORU POŽIADANÉHO O STANOVISKO

Názov

Nariadenie o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

Referenčné čísla

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Gestorský výbor

       dátum oznámenia na schôdzi

ITRE

23.10.2017

 

 

 

Výbor požiadaný o stanovisko

       dátum oznámenia na schôdzi

IMCO

23.10.2017

Pridružený výbor - dátum oznámenia na schôdzi

18.1.2018

Spravodajca výboru požiadaného o stanovisko

       dátum vymenovania

Nicola Danti

25.9.2017

Prerokovanie vo výbore

21.2.2018

21.3.2018

 

 

Dátum prijatia

17.5.2018

 

 

 

Výsledok záverečného hlasovania

+:

–:

0:

31

2

1

Poslanci prítomní na záverečnom hlasovaní

John Stuart Agnew, Pascal Arimont, Dita Charanzová, Carlos Coelho, Anna Maria Corazza Bildt, Daniel Dalton, Nicola Danti, Dennis de Jong, Pascal Durand, Evelyne Gebhardt, Robert Jarosław Iwaszkiewicz, Liisa Jaakonsaari, Marlene Mizzi, Nosheena Mobarik, Jiří Pospíšil, Andreas Schwab, Olga Sehnalová, Jasenko Selimovic, Ivan Štefanec, Catherine Stihler, Mylène Troszczynski, Mihai Ţurcanu, Anneleen Van Bossuyt, Marco Zullo

Náhradníci prítomní na záverečnom hlasovaní

Jan Philipp Albrecht, Kaja Kallas, Arndt Kohn, Emma McClarkin, Adam Szejnfeld, Marc Tarabella, Lambert van Nistelrooij, Kerstin Westphal

Náhradníci (čl. 200 ods. 2) prítomní na záverečnom hlasovaní

Inés Ayala Sender, Flavio Zanonato

ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO

31

+

ALDE

ECR

EFDD

GUE/NGL

PPE

 

S&D

 

 

Verts/ALE

Dita Charanzová, Kaja Kallas, Jasenko Selimovic

Daniel Dalton, Emma McClarkin, Nosheena Mobarik, Anneleen Van Bossuyt

Marco Zullo

Dennis de Jong

Pascal Arimont, Carlos Coelho, Anna Maria Corazza Bildt, Jiří Pospíšil, Andreas Schwab, Ivan Štefanec, Adam Szejnfeld, Mihai Ţurcanu, Lambert van Nistelrooij

Inés Ayala Sender, Nicola Danti, Evelyne Gebhardt, Liisa Jaakonsaari, Arndt Kohn, Marlene Mizzi, Olga Sehnalová, Catherine Stihler, Marc Tarabella, Kerstin Westphal, Flavio Zanonato

Jan Philipp Albrecht, Pascal Durand

2

-

EFDD

John Stuart Agnew, Robert Jarosław Iwaszkiewicz

1

0

ENF

Mylène Troszczynski

Vysvetlenie použitých znakov:

+  :  za

-  :  proti

0  :  zdržali sa hlasovania

STANOVISKO Výboru pre rozpočet (16.5.2018)

pre Výbor pre priemysel, výskum a energetiku

k návrhu nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Spravodajca výboru požiadaného o stanovisko: Jens Geier

STRUČNÉ ODÔVODNENIE

Spravodajca vo všeobecnosti víta návrh aktu Komisie o kybernetickej bezpečnosti na ďalšie posilnenie úlohy Európskej agentúry pre bezpečnosť sietí a informácií (ENISA), keďže kybernetická bezpečnosť jednoznačne je cezhraničnou otázkou a viac európsky prístup je tu vhodný. Spravodajca osobitne víta návrh Komisie poskytnúť agentúre ENISA trvalý mandát vzhľadom na jej posilnenú úlohu a s cieľom poskytnúť istotu jej zamestnancom. Komisia navrhuje zvýšiť počet zamestnancov AD/AST do roku 2022[1] na 41 pracovných miest a ročný rozpočet agentúry v roku 2022[2] až na 23 miliónov eur.

Spravodajca zastáva názor, že súčasná dohoda o sídle, t. j. viacerých pôsobiskách agentúry v mestách Heraklion a Atény, je prekážkou efektívneho fungovania agentúry pri plnení jej mandátu. Medziinštitucionálna pracovná skupina zameraná na zdroje agentúr, ktorá bola vytvorená v nadväznosti na dohodu o rozpočte na rok 2014, odporúča, „aby Komisia vyhodnotila existenciu viacerých pôsobísk agentúr (dve sídla, technické priestory okrem sídla, miestne kancelárie a vysielanie pracovníkov mimo ústredia) na základe jednotného prístupu a jasných a transparentných kritérií, najmä s cieľom posúdiť ich pridanú hodnotu, a to aj vzhľadom na vynaložené náklady“. Všetky inštitúcie EÚ sa na tomto odporúčaní zhodli a spravodajca sa domnieva, že takéto hodnotenie by sa malo urýchlene vykonať. V nadväznosti na takéto hodnotenie by mali inštitúcie bez ďalšieho odkladu vyvodiť potrebné závery.

Spravodajca sa ďalej domnieva, že mandát agentúry pri poskytovaní odborných znalostí by mohol byť ďalej posilnený takým rozpočtom, z ktorého by agentúra mohla sama zadávať výskumno-vývojové činnosti. Na to by agentúra mala mať k dispozícii potrebné zdroje.

Ďalšie úspory by bolo možné dosiahnuť, keby agentúra mohla objednávať prekladateľské služby od iných poskytovateľov. Demokratický dohľad nad agentúrou by sa v súlade so spoločným prístupom k agentúram mohol ešte viac posilniť vymenovaním zástupcu Európskeho parlamentu do jej správnej rady.

POZMEŇUJÚCE NÁVRHY

Výbor pre rozpočet vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:

Pozmeňujúci návrh    1

Návrh nariadenia

Odôvodnenie 3 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(3a)  ENISA by mala poskytovať praktickejšiu a informovanejšiu podporu odvetviu kybernetickej bezpečnosti EÚ, najmä MSP a začínajúcim podnikom, ktoré majú zásadný význam pre inovatívne riešenia v oblasti kybernetickej obrany a podporovať užšiu spoluprácu s univerzitnými výskumnými organizáciami a významnými aktérmi s cieľom znížiť závislosť od produktov v oblasti kybernetickej bezpečnosti pochádzajúcich z vonkajších zdrojov a vytvoriť strategický dodávateľský reťazec v Únii.

Pozmeňujúci návrh    2

Návrh nariadenia

Odôvodnenie 4

Text predložený Komisiou

Pozmeňujúci návrh

(4)  Kybernetické útoky sú na vzostupe, takže potrebujeme lepšie brániť prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

(4)  Kybernetické útoky sú na vzostupe, takže potrebujeme lepšie brániť prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Potreby odbornej prípravy v oblasti kybernetickej obrany sú značné a stále sa zvyšujú a najúčinnejšie ich možno splniť v rámci spolupráce na úrovni Únie. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

Pozmeňujúci návrh    3

Návrh nariadenia

Odôvodnenie 10

Text predložený Komisiou

Pozmeňujúci návrh

(10)  V rozhodnutí 2004/97/ES, Euratom prijatom na zasadnutí Európskej rady 13. decembra 2003 zástupcovia členských štátov rozhodli, že agentúra ENISA má mať sídlo v gréckom meste, ktoré určí grécka vláda. Hostiteľský členský štát agentúry by mal zabezpečiť čo najlepšie podmienky pre bezproblémové a efektívne fungovanie agentúry. Pre riadne a efektívne plnenie jej úloh, prijímanie a udržanie zamestnancov a zvýšenie efektívnosti nadväzovania vzťahov je nevyhnutné, aby agentúra sídlila na vhodnom mieste, ktoré okrem iného poskytuje vhodné dopravné spojenia a zariadenia pre manželov (manželky) a deti sprevádzajúce zamestnancov agentúry. Potrebné opatrenia by sa mali stanoviť v dohode medzi agentúrou a hostiteľským členským štátom uzavretou po získaní súhlasu správnej rady agentúry.

(10)  V rozhodnutí 2004/97/ES, Euratom prijatom na zasadnutí Európskej rady 13. decembra 2003 zástupcovia členských štátov rozhodli, že agentúra ENISA má mať sídlo v gréckom meste, ktoré určí grécka vláda. Hostiteľský členský štát agentúry by mal zabezpečiť čo najlepšie podmienky pre bezproblémové a efektívne fungovanie agentúry. Pre riadne a efektívne plnenie jej úloh, prijímanie a udržanie zamestnancov a zvýšenie efektívnosti nadväzovania vzťahov je nevyhnutné, aby agentúra sídlila na vhodnom mieste, ktoré okrem iného poskytuje vhodné dopravné spojenia a zariadenia pre manželov (manželky) a deti sprevádzajúce zamestnancov agentúry. Potrebné opatrenia by sa mali stanoviť v dohode medzi agentúrou a hostiteľským členským štátom uzavretou po získaní súhlasu správnej rady agentúry. Táto dohoda by sa mala upraviť na základe hodnotenia Komisie podľa odporúčania medziinštitucionálnej pracovnej skupiny zameranej na zdroje agentúr s cieľom zvýšiť efektívnosť agentúry a preskúmať by sa mali pôsobiská agentúry.

Pozmeňujúci návrh    4

Návrh nariadenia

Odôvodnenie 12

Text predložený Komisiou

Pozmeňujúci návrh

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by mala proaktívne prispievať k snahám členských štátov i Únie a mala by vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. Mal by sa stanoviť súbor úloh určujúcich, ako agentúra dosiahne svoje ciele, ktorý by mal umožniť flexibilitu jej činností.

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by sa pri vykonávaní svojich úloh mala aktívne podieľať na vnútroštátnom úsilí a úsilí Únie v úplnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami a členskými štátmi, vyhýbať sa akejkoľvek duplicitnej práci, presadzovať synergiu a komplementárnosť, a tak prispievať ku koordinácii a fiškálnym úsporám. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. Mal by sa stanoviť súbor úloh určujúcich, ako agentúra dosiahne svoje ciele, ktorý by mal umožniť flexibilitu jej činností.

Pozmeňujúci návrh    5

Návrh nariadenia

Odôvodnenie 15 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(15a)  Na kybernetický priestor sa vzťahuje medzinárodné právo a správy skupiny vládnych expertov OSN v oblasti informačnej bezpečnosti UN GGE z rokov 2013 a 2015 poskytujú relevantné usmernenia, najmä pokiaľ ide o zákaz štátom uskutočňovať alebo vedome podporovať kybernetické činnosti v rozpore so svojimi záväzkami podľa medzinárodných pravidiel. Relevantnosť tallinskej príručky 2.0 predstavuje v tejto súvislosti vynikajúci základ pre diskusiu o tom, ako sa medzinárodné právo uplatňuje na kybernetický priestor a nastal čas, aby členské štáty začali analyzovať a uplatňovať túto príručku.

Pozmeňujúci návrh    6

Návrh nariadenia

Odôvodnenie 36

Text predložený Komisiou

Pozmeňujúci návrh

(36)  Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách výskumu v oblasti sieťovej a informačnej bezpečnosti, najmä kybernetickej, by agentúra mala plne zohľadňovať prebiehajúci výskum, vývoj a technologické posudzovanie, najmä v rámci rôznych výskumných iniciatív Únie.

(36)  Pri poskytovaní poradenstva inštitúciám, orgánom, úradom a agentúram Únie a na požiadanie prípadne aj členským štátom o potrebách výskumu v oblasti sieťovej a informačnej bezpečnosti, najmä kybernetickej, by agentúra mala plne zohľadňovať prebiehajúci výskum, vývoj a technologické posudzovanie, najmä v rámci rôznych výskumných iniciatív Únie. Agentúra by mala mať pridelené ďalšie finančné prostriedky na činnosť v oblasti výskumu a vývoja ako doplnenie súčasných výskumných programov Únie.

Pozmeňujúci návrh    7

Návrh nariadenia

Odôvodnenie 46 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

(46a)  Rozpočet agentúry by sa mal vypracovať v súlade so zásadou zostavovania rozpočtu zameraného na výkon pri zohľadnení jej cieľov a očakávaných výsledkov.

Pozmeňujúci návrh    8

Návrh nariadenia

Článok 4 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Agentúra na úrovni Únie presadzuje spoluprácu a koordináciu členských štátov, inštitúcií, agentúr a orgánov Únie, ako aj relevantných zainteresovaných strán vrátane súkromného sektora v otázkach kybernetickej bezpečnosti.

4.  Agentúra podporuje spoluprácu a koordináciu na úrovni Únie medzi členskými štátmi, inštitúciami, agentúrami a orgánmi Únie a príslušnými zainteresovanými stranami vrátane súkromného sektora v oblasti kybernetickej bezpečnosti v záujme koordinácie a finančných úspor, vyhnutia sa duplicite a podpory súčinnosti a komplementárnosti svojich činností.

Pozmeňujúci návrh    9

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  zverejňuje a propaguje svoju činnosť a výsledky svojej práce s cieľom zvýšiť svoju viditeľnosť a informovanosť vo vzťahu k občanom.

Pozmeňujúci návrh    10

Návrh nariadenia

Článok 10 – písmeno b a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ba)  zadať svoje výskumné činnosti v oblastiach záujmu, ktoré ešte nie sú zaradené do súčasných výskumných programov Únie, ak majú jednoznačnú pridanú európsku hodnotu.

Pozmeňujúci návrh    11

Návrh nariadenia

Článok 13 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Správnu radu tvorí jeden zástupca každého členského štátu a dvaja zástupcovia vymenovaní Komisiou. Všetci zástupcovia majú hlasovacie právo.

1.  Správna rada je zložená z jedného zástupcu za každý členský štát, jedného zástupcu vymenovaného Európskym parlamentom a dvoch zástupcov vymenovaných Komisiou. Všetci zástupcovia majú hlasovacie právo.

Pozmeňujúci návrh    12

Návrh nariadenia

Článok 26 – odsek 1 – pododsek 1 (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Predbežný návrh výkazu odhadov sa zakladá na cieľoch a očakávaných výsledkoch podľa jednotného programového dokumentu v zmysle článku 21 ods. 1 a zohľadňuje finančné zdroje potrebné na dosiahnutie týchto cieľov a očakávaných výsledkov v súlade so zásadou zostavovania rozpočtu na základe výkonnosti.

Pozmeňujúci návrh    13

Návrh nariadenia

Článok 36 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Osobná zodpovednosť zamestnancov agentúry voči nej sa riadi príslušnými podmienkami uplatniteľnými na zamestnancov agentúry.

5.  Osobná zodpovednosť zamestnancov agentúry voči nej sa riadi príslušnými podmienkami uplatniteľnými na zamestnancov agentúry. Účinné prijímanie zamestnancov musí byť zaručené.

Pozmeňujúci návrh    14

Návrh nariadenia

Článok 37 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Prekladateľské služby potrebné na prevádzku agentúry zabezpečuje Prekladateľské stredisko pre orgány Európskej únie.

2.  Prekladateľské služby potrebné pre fungovanie agentúry poskytuje Prekladateľské stredisko pre orgány Európskej únie alebo iní poskytovatelia prekladateľských služieb v súlade s pravidlami verejného obstarávania a v medziach stanovených príslušnými rozpočtovými pravidlami.

Pozmeňujúci návrh    15

Návrh nariadenia

Článok 41 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Hostiteľský členský štát agentúry poskytne najlepšie možné podmienky s cieľom zabezpečiť jej riadne fungovanie vrátane dostupnosti miesta, zabezpečenia adekvátnych vzdelávacích zariadení pre deti zamestnancov, vhodného prístupu na trh práce, k sociálnemu zabezpečeniu a zdravotnej starostlivosti pre deti a manželov (manželky).

2.  Hostiteľský členský štát agentúry jej poskytne najlepšie možné podmienky s cieľom zabezpečiť jej riadne fungovanie vrátane jediného umiestnenia celej agentúry, dostupnosti miesta, zabezpečenia adekvátnych vzdelávacích zariadení pre deti zamestnancov, vhodného prístupu na trh práce, k sociálnemu zabezpečeniu a zdravotnej starostlivosti pre deti aj partnerov zamestnancov.

Odôvodnenie

Súčasná štruktúra agentúry s jej administratívnym sídlom v Heraklione a hlavnými operáciami v Aténach sa ukázala ako neúčinná a nákladná. Celý personál ENISA by teda mal pracovať na tom istom meste. Vzhľadom na kritériá uvedené v tomto odseku by toto miesto malo byť v Aténach.

Pozmeňujúci návrh    16

Návrh nariadenia

Článok 41 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Táto dohoda sa preskúma na základe hodnotenia Komisie odporúčaného medziinštitucionálnou pracovnou skupinou zameranou na zdroje agentúr a podľa neho sa upravia pôsobiská agentúry.

POSTUP VÝBORU POŽIADANÉHO O STANOVISKO

Názov

Nariadenie o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

Referenčné čísla

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Gestorský výbor

       dátum oznámenia na schôdzi

ITRE

23.10.2017

 

 

 

Výbor požiadaný o stanovisko

       dátum oznámenia na schôdzi

BUDG

23.10.2017

Spravodajca výboru požiadaného o stanovisko

       dátum vymenovania

Jens Geier

26.9.2017

Prerokovanie vo výbore

21.3.2018

 

 

 

Dátum prijatia

16.5.2018

 

 

 

Výsledok záverečného hlasovania

+:

–:

0:

22

4

0

Poslanci prítomní na záverečnom hlasovaní

Nedzhmi Ali, Jean Arthuis, Reimer Böge, Lefteris Christoforou, Gérard Deprez, Manuel dos Santos, André Elissen, José Manuel Fernandes, Eider Gardiazabal Rubial, Jens Geier, Esteban González Pons, Ingeborg Gräßle, Iris Hoffmann, John Howarth, Bernd Kölmel, Vladimír Maňka, Liadh Ní Riada, Jan Olbrycht, Răzvan Popa, Jordi Solé, Isabelle Thomas, Inese Vaidere, Marco Zanni, Stanisław Żółtek

Náhradníci prítomní na záverečnom hlasovaní

Ivana Maletić, Andrey Novakov

ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO

22

+

ALDE

Nedzhmi Ali, Jean Arthuis, Gérard Deprez

ECR

Bernd Kölmel

PPE

Reimer Böge, Lefteris Christoforou, José Manuel Fernandes, Esteban González Pons, Ingeborg Gräßle, Ivana Maletić, Andrey Novakov, Jan Olbrycht, Inese Vaidere

S&D

Eider Gardiazabal Rubial, Jens Geier, Iris Hoffmann, John Howarth, Vladimír Maňka, Răzvan Popa, Isabelle Thomas, Manuel dos Santos

Verts/ALE

Jordi Solé

4

-

ENF

André Elissen, Marco Zanni, Stanisław Żółtek

GUE/NGL

Liadh Ní Riada

0

0

Vysvetlenie použitých znakov

+  :  za

-  :  proti

0  :  zdržali sa hlasovania

  • [1]  Ide o 26 pracovníkov v kategórii AD, 6 pracovníkov v kategórii AST a 9 vyslaných národných expertov. Do tohto počtu nie je započítaný odhad pre domovské generálne riaditeľstvo, zmluvní zamestnanci a externí dodávatelia
  • [2]  bez toho, aby bolo dotknuté financovanie zo zdrojov EÚ po roku 2020.

STANOVISKO Výboru pre občianske slobody, spravodlivosť a vnútorné veci (16.3.2018)

pre Výbor pre priemysel, výskum a energetiku

k návrhu nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)
(COM(2017)0477 – C8-0310/2017 – 2017/0225(COD))

Spravodajca výboru požiadaného o stanovisko: Jan Philipp Albrecht

STRUČNÉ ODÔVODNENIE

Spravodajca výboru požiadaného o stanovisko víta návrh Komisie na „akt o kybernetickej bezpečnosti“[1], keďže lepšie vymedzuje úlohu agentúry ENISA v zmenenom ekosystéme bezpečnosti IT a vypracováva opatrenia v oblasti noriem, certifikácie a označovania bezpečnosti IT v záujme zvýšenia bezpečnosti systémov založených na IKT vrátane pripojených predmetov.

Spravodajca sa však domnieva, že by sa mohli vykonať ďalšie zlepšenia. Spravodajca vyjadruje pevné presvedčenie, že informačná bezpečnosť má pre ochranu základných práv občanov zakotvených v Charte základných práv EÚ zásadný význam, ako aj v boji proti počítačovej kriminalite a pri ochrane demokracie a právneho štátu.

Základné práva: Nezabezpečené systémy môžu viesť k porušeniu ochrany údajov alebo k podvodu s osobnými údajmi, ktoré by mohli spôsobiť skutočnú ujmu a ťažkosti jednotlivcom vrátane ohrozenia ich života, súkromia, dôstojnosti či majetku. Napríklad svedkom môže hroziť zastrašovanie a fyzická ujma alebo ženy môžu byť vystavené domácemu násiliu, ak budú ich domáce adresy zverejnené. V prípade internetu vecí, ktorý je taktiež vybavený fyzickými ovládačmi a nielen senzormi, môžu byť fyzická integrita a život jednotlivcov ohrozené v dôsledku útokov proti informačným systémom. Pozmeňujúce návrhy, ktoré navrhol spravodajca, sa zameriavajú najmä na ochranu článkov 1, 2, 3, 6, 7, 8, 11 a 17 Charty základných práv Európskej únie. Existuje dokonca nová ústavná judikatúra, ktorá odvodzuje osobitné „základné právo na dôvernosť a integritu informačno-technických systémov“[2] od všeobecných práv na ochranu osobnosti prispôsobených súčasnému digitálnemu svetu.

Boj proti počítačovej kriminalite: Niektoré formy trestnej činnosti páchané online, ako sú phishingové útoky alebo finančné a bankové podvody, spočívajú v zneužití dôvery, čo nemožno vyvážiť opatreniami v oblasti bezpečnosti IT – proti týmto formám trestnej činnosti spravodajca víta navrhované pravidelné osvetové a vzdelávacie kampane pre verejnosť organizované agentúrou ENISA, ktoré sú určené koncovým používateľom. Medzi iné formy internetovej trestnej činnosti patria útoky na informačné systémy, ako je hacking alebo útoky DDoS – spravodajca vyjadruje presvedčenie, že v prípade týchto foriem trestnej činnosti sa posilnením bezpečnosti IT účinne posilní boj proti počítačovej kriminalite, a najmä jej predchádzanie.

Demokracia a právny štát: Útoky na systémy informačných technológií zo strany vlád a neštátnych subjektov predstavujú jasnú a rastúcu hrozbu pre demokraciu prostredníctvom ich zasahovania do slobodných a spravodlivých volieb, napríklad manipuláciou faktov a názorov sa ovplyvňuje hlasovanie občanov, zasahovaním do hlasovacieho procesu a menením výsledkov hlasovania či podkopávaním dôvery v integritu volieb.

Spravodajca preto navrhuje vo svojom návrhu stanoviska výboru LIBE zmeniť návrh Komisie so zameraním na tieto hlavné otázky výboru LIBE:

•  agentúra by mala zohrávať výraznejšiu úlohu pri presadzovaní prijatia preventívnych technológií na zvyšovanie ochrany súkromia a opatrení v oblasti bezpečnosti IT všetkými aktérmi európskej informačnej spoločnosti;

•  agentúra by mala navrhnúť politiky zavádzajúce jasné zodpovednosti a záväzky pre všetky zainteresované strany zúčastňujúce sa na ekosystéme IKT, kde nesplnenie povinnosti konať s náležitou starostlivosťou v oblasti bezpečnosti IT by mohlo mať za následok vážne bezpečnostné vplyvy, hromadné ničenie životného prostredia alebo by mohlo vyvolať systémové finančné alebo hospodárske krízy;

•  agentúra by mala na základe konzultácií s odborníkmi v oblasti bezpečnosti IT navrhnúť jasné a povinné základné požiadavky v oblasti bezpečnosti IT;

•  agentúra by mala navrhnúť systém certifikácie bezpečnosti IT umožňujúci predajcom IKT zvýšiť transparentnosť pre spotrebiteľa, pokiaľ ide o modernizovateľnosť a trvanie podpory softvéru. Takýto systém certifikácie musí byť dynamický, keďže bezpečnosť je proces, ktorý si vyžaduje neustále zlepšovanie;

•  agentúra by mala vydaním usmernení a najlepších postupov výrobcom produktov IKT uľahčiť a urobiť lacnejším vykonávanie zásad bezpečnosti už v štádiu návrhu;

•  agentúra by mala na základe výzvy inštitúcií, orgánov, úradov a agentúr Únie, ako aj členských štátov, vykonávať pravidelné preventívne audity bezpečnosti IT týkajúce sa ich kritických infraštruktúr (právo na audit);

•  agentúra by mala okamžite oznamovať zraniteľné miesta v oblasti bezpečnosti IT, ktoré výrobcom ešte nie sú verejne známe. Agentúra by nemala zakrývať ani využívať nezverejnené zraniteľné miesta v spoločnostiach a produktoch na vlastné účely. Vývojom, nákupom a využívaním tzv. zadných dvierok v informačných systémoch za peniaze daňovníkov orgány verejnej správy ohrozujú bezpečnosť občanov. S cieľom chrániť ostatné zainteresované strany, ktoré konajú zodpovedne, pokiaľ ide o takéto zraniteľné miesta, by agentúra mala navrhnúť politiky zodpovednej výmeny informácií o ochrannej lehote v trvaní „nula dní“ a iných typoch zraniteľných miest v oblasti bezpečnosti, ktoré ešte nie sú verejne známe, ktoré uľahčujú odstraňovanie týchto zraniteľných miest;

•  aby EÚ dostihla odvetvie bezpečnosti IT v tretích krajinách, mala by agentúra určiť a iniciovať začatie dlhodobého projektu bezpečnosti EÚ v oblasti informačných technológií, ktorého rozsah by bol porovnateľný s tým, čo bolo urobené pre odvetvie leteckej dopravy so spoločnosťou Airbus;

V návrhu Komisie by sa nemal používať pojem „kybernetická bezpečnosť“, keďže je z právneho hľadiska vágny a mohol by viesť k neistote. S cieľom zlepšiť právnu istotu spravodajca navrhuje nahradiť pojem „kybernetická bezpečnosť“ pojmom „bezpečnosť IT“.

POZMEŇUJÚCE NÁVRHY

Výbor pre občianske slobody, spravodlivosť a vnútorné veci vyzýva Výbor pre priemysel, výskum a energetiku, aby ako gestorský výbor vzal do úvahy tieto pozmeňujúce návrhy:

Pozmeňujúci návrh    1

Návrh nariadenia

Názov

Text predložený Komisiou

Pozmeňujúci návrh

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY

o Agentúre pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

o Európskej agentúre pre sieťovú a informačnú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii IT bezpečnosti informačných a komunikačných technológií („akt o bezpečnosti IT“)

 

(Tento pozmeňujúci návrh sa vzťahuje na celý text.)

Odôvodnenie

Výraz „kybernetická“ pochádza z diel science-fiction zo 60. rokov minulého storočia a stále viac sa používa na opísanie negatívnych aspektov internetu (kybernetický útok, počítačová kriminalita), avšak z právneho hľadiska je veľmi vágny. Spravodajca navrhuje z dôvodu právnej istoty zmeniť pojem „kybernetická bezpečnosť“ na „bezpečnosť IT“.

Pozmeňujúci návrh    2

Návrh nariadenia

Odôvodnenie 2

Text predložený Komisiou

Pozmeňujúci návrh

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej kybernetickej bezpečnosti. Keďže certifikácia sa v tomto kontexte využíva obmedzene, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch kybernetickej bezpečnosti produktov a služieb IKT, čo znižuje dôveru v digitálne riešenia.

(2)  Občania, firmy i verejné orgány v Únii dnes využívajú siete a informačné systémy na každom kroku. Digitalizácia a prepojenie sa stávajú samozrejmosťou pre čoraz viac produktov a služieb, pričom sa očakáva, že s nástupom internetu vecí (IoT) prídu na trh EÚ v najbližšom desaťročí milióny, ak nie miliardy prepojených digitálnych zariadení. Na internet je pripojených čoraz viac zariadení, no ich bezpečnosť a odolnosť nie je vo fáze navrhovania dostatočne zohľadnená, čo vedie k nedostatočnej bezpečnosti IT. Keďže certifikácia sa v tomto kontexte využíva obmedzene a toto využívanie je roztrieštené, organizácie a jednotliví používatelia nie sú dostatočne informovaní o prvkoch bezpečnosti IT produktov a služieb IKT, čo znižuje dôveru v digitálne riešenia. Siete IKT sú základňou pre digitálne produkty a služby, ktoré majú potenciál pomáhať pri všetkých aspektoch života občanov a byť motorom hospodárskeho rastu v Európe. V snahe zabezpečiť, aby sa ciele jednotného digitálneho trhu dosiahli v plnej miere musia byť položené základné technologické stavebné prvky, o ktoré sa oprú také dôležité oblasti, ako sú elektronické zdravotníctvo, IoT, umelá inteligencia, kvantová technológia, ako aj inteligentné dopravné systémy a vyspelá výroba.

Pozmeňujúci návrh    3

Návrh nariadenia

Odôvodnenie 4

Text predložený Komisiou

Pozmeňujúci návrh

(4)  Kybernetické útoky sú na vzostupe, takže potrebujeme lepšie brániť prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za kybernetickú bezpečnosť a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu kybernetickej bezpečnosti a odolnosti v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

(4)  Kybernetické útoky sú na vzostupe, takže prepojené hospodárstvo a spoločnosť, ktoré sú voči kybernetickým hrozbám a útokom zraniteľnejšie, si vyžadujú silnejšiu a bezpečnejšiu obranu. Zatiaľ čo kybernetické útoky sú často cezhraničné, politická reakcia orgánov zodpovedných za bezpečnosť IT a orgánov presadzovania práva prebieha prevažne na vnútroštátnej úrovni. Rozsiahle kybernetické incidenty by mohli narušiť poskytovanie základných služieb v celej EÚ. Táto situácia si vyžaduje účinnú reakciu a krízové riadenie na úrovni EÚ vychádzajúce z osobitných politík a všeobecnejších nástrojov pre európsku solidaritu a vzájomnú pomoc. Okrem toho je pre tvorcov politík, priemysel a používateľov dôležité pravidelné posudzovanie stavu bezpečnosti a odolnosti IT v Únii založené na spoľahlivých údajoch Únie, ako aj systematická predpoveď budúceho vývoja, výziev a hrozieb, a to tak na úrovni Únie, ako aj celosvetovo.

Pozmeňujúci návrh    4

Návrh nariadenia

Odôvodnenie 5

Text predložený Komisiou

Pozmeňujúci návrh

(5)  Keďže výzvy, ktorým Únia v oblasti kybernetickej bezpečnosti čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu a koordináciu medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach. Viac treba urobiť aj v otázke informovanosti občanov a podnikov o otázkach kybernetickej bezpečnosti. Transparentné informácie o úrovni bezpečnosti produktov a služieb IKT by navyše mohli posilniť celkovú dôveru v digitálny jednotný trh. Tento cieľ môže uľahčiť celoúnijná certifikácia, ktorá poskytne spoločné kyberneticko-bezpečnostné požiadavky a kritériá hodnotenia naprieč vnútroštátnymi trhmi a odvetviami.

(5)  Keďže výzvy, ktorým Únia v oblasti bezpečnosti IT čelí, sa stupňujú, je potrebný komplexný súbor opatrení, ktoré nadviažu na predošlé kroky Únie a zaistia synergiu cieľov. Zahŕňa to potrebu ďalej posilniť spôsobilosti a pripravenosť členských štátov i podnikov, ako aj zlepšiť spoluprácu a koordináciu medzi členskými štátmi a inštitúciami, agentúrami a orgánmi EÚ. Okrem toho keďže kybernetické hrozby nepoznajú hranice, treba posilniť spôsobilosť na úrovni Únie, aby mohla doplniť opatrenia členských štátov, najmä pri rozsiahlych cezhraničných kybernetických incidentoch a krízach. Viac treba urobiť aj v otázke poskytnutia koordinovanej reakcie EÚ a informovanosti občanov a podnikov o otázkach bezpečnosti IT. Transparentné informácie o úrovni bezpečnosti produktov a služieb IKT by navyše mohli posilniť celkovú dôveru v digitálny jednotný trh. Tento cieľ môže uľahčiť celoúniová certifikácia, ktorá poskytne spoločné požiadavky a kritériá hodnotenia v oblasti bezpečnosti IT naprieč vnútroštátnymi trhmi a odvetviami. Popri celoúniovej certifikácii existuje rad dobrovoľných opatrení, ktoré sú v závislosti od produktu, služby, použitia alebo normy všeobecne akceptované na trhu. Tieto opatrenia by sa mali podporiť, ako aj prístup odvetvia zdola nahor vrátane zohľadňovania bezpečnosti už v štádiu návrhu a využívania medzinárodných noriem a prispievania k nim.

Pozmeňujúci návrh    5

Návrh nariadenia

Odôvodnenie 7

Text predložený Komisiou

Pozmeňujúci návrh

(7)  Únia už prijala dôležité kroky na zaistenie kybernetickej bezpečnosti a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na kybernetické hrozby a riziká. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti kybernetickej bezpečnosti, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). V smernici NIS sa stanovujú požiadavky na vnútroštátne spôsobilosti v oblasti kybernetickej bezpečnosti, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádzajú sa povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne kybernetickej bezpečnosti.

(7)  Únia už prijala dôležité kroky na zaistenie bezpečnosti IT a zvýšenie dôvery v digitálne technológie. V roku 2013 bola prijatá stratégia kybernetickej bezpečnosti EÚ, ktorá má viesť politickú reakciu Únie na hrozby a riziká v oblasti IT. V snahe lepšie chrániť Európanov v online svete prijala Únia v roku 2016 prvý legislatívny akt v oblasti bezpečnosti IT, a to smernicu (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (tzv. smernica NIS). Smernica NIS napĺňa stratégiu digitálneho jednotného trhu a spoločne s ďalšími nástrojmi, ako je smernica .../..., [ktorou sa stanovuje európsky kódex elektronickej komunikácie], nariadenie Európskeho parlamentu a Rady (EÚ) 2016/6791a a smernica Európskeho parlamentu a Rady 2002/58/ES1b, zavádza požiadavky na vnútroštátne spôsobilosti v oblasti bezpečnosti IT, zriaďujú sa prvé mechanizmy na posilnenie strategickej a operačnej spolupráce členských štátov a zavádza povinnosti prijímať bezpečnostné opatrenia a oznamovať incidenty v odvetviach, ktoré sú pre hospodárstvo a spoločnosť kľúčové (ako energetika, doprava, voda, bankovníctvo, infraštruktúry finančných trhov, zdravotníctvo, digitálna infraštruktúra), ako aj v prípade kľúčových poskytovateľov digitálnych služieb (vyhľadávače, služby cloud computingu a online trhoviská). Agentúre ENISA bola zverená kľúčová rola podpory vykonávania smernice NIS. Účinný boj proti počítačovej kriminalite je navyše dôležitou prioritou Európskeho programu v oblasti bezpečnosti a prispieva k celkovému cieľu vysokej úrovne bezpečnosti IT.

 

_______________

 

1a Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1.).

 

1b Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

Pozmeňujúci návrh    6

Návrh nariadenia

Odôvodnenie 8

Text predložený Komisiou

Pozmeňujúci návrh

(8)  Je zrejmé, že od prijatia stratégie kybernetickej bezpečnosti EÚ v roku 2013 a od posledného prehodnotenia mandátu agentúry sa celkový politický kontext výrazne zmenil, a to aj z hľadiska neistejšieho a menej bezpečného globálneho prostredia. V tejto súvislosti a v rámci novej kyberneticko-bezpečnostnej politiky Únie treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej rolu v zmenenom ekosystéme kybernetickej bezpečnosti, aby účinne prispievala k reakcii Únie na výzvy v tejto sfére vyplývajúce z tejto radikálne zmenenej povahy hrozieb, keďže ako potvrdilo hodnotenie samotnej agentúry, jej súčasný mandát na to nestačí.

(8)  Je zrejmé, že od prijatia stratégie kybernetickej bezpečnosti EÚ v roku 2013 a od posledného prehodnotenia mandátu agentúry sa celkový politický kontext výrazne zmenil, a to aj z hľadiska neistejšieho a menej bezpečného globálneho prostredia. V tejto súvislosti a v rámci novej politiky Únie v oblasti bezpečnosti IT treba mandát agentúry ENISA zrevidovať s cieľom vymedziť jej rolu v zmenenom ekosystéme bezpečnosti IT a zabezpečiť, aby plnila vedúcu úlohu, na základe ktorej sa účinne zlepší reakcia Únie na výzvy v tejto oblasti vyplývajúce z tejto radikálne zmenenej povahy hrozieb, keďže ako potvrdilo hodnotenie samotnej agentúry, jej súčasný mandát na to nestačí.

Pozmeňujúci návrh    7

Návrh nariadenia

Odôvodnenie 11

Text predložený Komisiou

Pozmeňujúci návrh

(11)  Keďže Únia čelí narastajúcim kyberneticko-bezpečnostným výzvam, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém.

(11)  Keďže Únia čelí narastajúcim výzvam v oblasti bezpečnosti IT, mal by sa zvýšiť objem finančných a ľudských zdrojov pridelených agentúre, aby sa odzrkadlilo jej posilnené poslanie a úlohy a jej rozhodujúce postavenie v ekosystéme organizácií brániacich európsky digitálny ekosystém. Náležitý ohľad by sa mal venovať ďalšiemu zvyšovaniu kapacity agentúry.

Odôvodnenie

Je nevyhnutné, aby sme riešili nedostatočnú kapacitu agentúry. Musíme sa rovnako snažiť o ďalší rozvoj agentúry vzhľadom na to, aký má kybernetická bezpečnosť v súčasnosti mimoriadny význam a, čo je ešte dôležitejšie, aký bude mať význam v budúcnosti. Treba poukázať na ruské zasahovanie do volieb, zvyšovanie kapacít superveľmocí a štátov na celom svete či bezprostrednú digitalizáciu hlavných odvetví.

Pozmeňujúci návrh    8

Návrh nariadenia

Odôvodnenie 11 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

11a)  V digitálnom veku sú výzvy v oblasti bezpečnosti informačných technológií často úzko prepojené s výzvami spojenými s ochranou údajov, ochranou súkromia a ochranou elektronických komunikácií. Aby mohla agentúra primerane riešiť uvedené výzvy, je nutná úzka spolupráca a časté konzultácie s orgánmi zriadenými podľa nariadenia Európskeho parlamentu a Rady (ES) č. 45/20011a, nariadenia (EÚ) 2016/679, smernice (EÚ) 2016/680 a nariadenia (ES) č. 1211/2009, ako aj s priemyslom a občianskou spoločnosťou.

 

________________

 

1a Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi Spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

Pozmeňujúci návrh    9

Návrh nariadenia

Odôvodnenie 12

Text predložený Komisiou

Pozmeňujúci návrh

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by mala proaktívne prispievať k snahám členských štátov i Únie a mala by vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. Mal by sa stanoviť súbor úloh určujúcich, ako agentúra dosiahne svoje ciele, ktorý by mal umožniť flexibilitu jej činností.

(12)  Agentúra by mala zabezpečiť a udržiavať špičkové odborné poznatky a pôsobiť ako referenčný bod budujúci dôveru v jednotný trh svojou nezávislosťou, kvalitou poskytovaného poradenstva a šírených informácií, transparentnosťou svojich postupov a pracovných metód a dôslednosťou pri vykonávaní úloh. Agentúra by mala proaktívne prispievať k snahám členských štátov i Únie a mala by vykonávať svoje úlohy v plnej spolupráci s inštitúciami, orgánmi, úradmi a agentúrami Únie a s členskými štátmi. Okrem toho by agentúra mala nadväzovať na vstupy zo súkromného sektora a od ďalších relevantných zainteresovaných strán a na spoluprácu s nimi. Mal by sa zreteľne vymedziť jasný program a súbor úloh a cieľov, ktoré má agentúra plniť, pri súčasnom náležitom zohľadnení potrebnej flexibility jej činností. Podľa možností by sa mal zachovať najvyšší stupeň transparentnosti a šírenia informácií.

Pozmeňujúci návrh    10

Návrh nariadenia

Odôvodnenie 14

Text predložený Komisiou

Pozmeňujúci návrh

(14)  Základnou úlohou agentúry je presadzovať dôsledné vykonávanie príslušného právneho rámca, a najmä účinné vykonávanie smernice NIS, ktorá je kľúčom k posilneniu kybernetickej odolnosti. Keďže kybernetické hrozby sú neustále v pohybe, je jasné, že členské štáty potrebujú podporu komplexnejšieho prierezového prístupu k budovaniu kybernetickej odolnosti.

(14)  Základnou úlohou agentúry je presadzovať dôsledné vykonávanie príslušného právneho rámca, a najmä účinné vykonávanie smernice NIS, smernice .../..., [ktorou sa stanovuje európsky kódex elektronickej komunikácie], nariadenia (EÚ) 2016/679 a smernice 2002/58/ES, ktoré sú zásadné pre posilnenie kybernetickej odolnosti. Keďže hrozby v oblasti bezpečnosti IT sú neustále v pohybe, je jasné, že členské štáty potrebujú podporu komplexnejšieho prierezového prístupu k budovaniu kybernetickej odolnosti.

Pozmeňujúci návrh    11

Návrh nariadenia

Odôvodnenie 21 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

21a)  Komisia by mala v oblasti ochrany kritickej informačnej infraštruktúry navrhnúť zavedenie povinnej spolupráce medzi členskými štátmi.

Pozmeňujúci návrh    12

Návrh nariadenia

Odôvodnenie 26

Text predložený Komisiou

Pozmeňujúci návrh

(26)  Na lepšie pochopenie výziev v oblasti kybernetickej bezpečnosti a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie Únie musí agentúra analyzovať existujúce i nové riziká. Na to by agentúra mala v spolupráci s členskými štátmi a podľa potreby štatistickými orgánmi a ďalšími aktérmi zbierať relevantné informácie, analyzovať nové technológie a poskytovať tematické posúdenie očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na sieťovú a informačnú bezpečnosť, najmä kybernetickú. Agentúra by navyše mala členské štáty a inštitúcie, agentúry a orgány Únie podporovať pri identifikácii nastupujúcich trendov a pri predchádzaní kyberneticko-bezpečnostným problémom, a to analýzou hrozieb a incidentov.

(26)  Na lepšie pochopenie výziev v oblasti bezpečnosti IT a v záujme dlhodobého strategického poradenstva pre členské štáty a inštitúcie Únie musí agentúra analyzovať existujúce i nové riziká, incidenty a zraniteľné miesta. Na to by agentúra mala v spolupráci s členskými štátmi a podľa potreby štatistickými orgánmi a ďalšími aktérmi zbierať relevantné informácie, analyzovať nové technológie a poskytovať tematické posúdenie očakávaných spoločenských, právnych, hospodárskych a regulačných vplyvov technologických inovácií na sieťovú a informačnú bezpečnosť, najmä bezpečnosť IT. Agentúra by navyše mala členské štáty a inštitúcie, agentúry a orgány Únie podporovať pri identifikácii nastupujúcich trendov a pri predchádzaní problémom v oblasti bezpečnosti IT, a to analýzou hrozieb, incidentov a zraniteľných miest.

Pozmeňujúci návrh    13

Návrh nariadenia

Odôvodnenie 28

Text predložený Komisiou

Pozmeňujúci návrh

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s kybernetickou bezpečnosťou a odporúčať jednotlivým používateľom – občanom i organizáciám osvedčené postupy. Agentúra by mala prispievať k propagácii osvedčených postupov a riešení u jednotlivcov a organizácii aj zberom a analýzou verejne dostupných informácií o závažných incidentoch a vypracúvaním správ s cieľom poskytnúť podnikom a občanom usmernenia a zvýšiť celkovú pripravenosť a odolnosť. Agentúra by navyše mala v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom a zameriavajú sa na propagáciu bezpečnejšieho správania jednotlivcov na internete a zvyšovanie povedomia o potenciálnych hrozbách v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, botnety, finančné a bankové podvody; zároveň by mala poskytovať základné rady v oblasti autentifikácie a ochrany údajov. Agentúra by mala mať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení.

(28)  Agentúra by mala prispievať k zvyšovaniu verejného povedomia o rizikách spojených s bezpečnosťou IT a odporúčať jednotlivým používateľom – občanom i organizáciám osvedčené postupy. Na zlepšenie celkovej úrovne pripravenosti a odolnosti by agentúra mala prispievať k propagácii najlepších postupov a riešení u jednotlivcov a organizácii aj zberom a analýzou dostupných informácií o závažných incidentoch a vypracúvaním správ s cieľom poskytnúť podnikom, občanom a relevantným orgánom na úniovej a vnútroštátnej úrovni usmernenia. Agentúra by navyše mala v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizovať pravidelné osvetové a vzdelávacie kampane pre verejnosť, ktoré sú určené koncovým používateľom. Tieto kampane by mali podporovať vzdelávanie v oblasti bezpečnosti IT a propagovať bezpečnejšie správanie jednotlivcov na internete a zvyšovať povedomie o potenciálnych hrozbách v kybernetickom priestore vrátane počítačovej kriminality, ako sú phishingové útoky, botnety, finančné a bankové podvody, falšovanie a pozmeňovanie a nezákonný obsah; zároveň by sa mali zasadzovať za ochranu údajov a základnú autentifikáciu na ochranu údajov a pred krádežou totožnosti. Agentúra by mala mať kľúčovú rolu pri urýchlenom zvyšovaní povedomia koncových používateľov o bezpečnosti zariadení.

Pozmeňujúci návrh    14

Návrh nariadenia

Odôvodnenie 28 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

28a)  Agentúra by mala zvyšovať informovanosť verejnosti o rizikách dátových podvodov a krádeže údajov, ktoré môžu vážne ovplyvniť základné práva jednotlivcov, predstavujú hrozbu pre právny štát a ohrozujú stabilitu demokratických spoločností vrátane demokratických procesov v členských štátoch.

Pozmeňujúci návrh    15

Návrh nariadenia

Odôvodnenie 30

Text predložený Komisiou

Pozmeňujúci návrh

(30)  S cieľom zaistiť úplné splnenie svojich cieľov by agentúra mala udržiavať kontakty s relevantnými inštitúciami, agentúrami a orgánmi vrátane tímu CERT-EU, Európskeho centra boja proti počítačovej kriminalite (EC3) pri Europole, Európskej obrannej agentúry (EDA), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov (eu-LISA), Európskej agentúry pre bezpečnosť letectva (EASA) a prípadne ďalších agentúr EÚ angažovaných v otázkach kybernetickej bezpečnosti. Okrem toho by mala udržiavať kontakty aj s orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a osvedčené postupy a poskytovať poradenstvo o kyberneticko-bezpečnostných aspektoch, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na účasť v stálej skupine zainteresovaných strán agentúry. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra mala rešpektovať existujúce informačné kanály a zavedené siete.

(30)  S cieľom zaistiť úplné splnenie svojich cieľov by agentúra mala udržiavať kontakty s relevantnými inštitúciami, agentúrami a orgánmi vrátane tímu CERT-EU, Európskeho centra boja proti počítačovej kriminalite (EC3) pri Europole, Európskej obrannej agentúry (EDA), Európskej agentúry na prevádzkové riadenie rozsiahlych informačných systémov (eu-LISA), Európskej agentúry pre bezpečnosť letectva (EASA), Agentúry pre európsky globálny navigačný satelitný systém (Agentúra pre európsky GNSS ) a prípadne ďalších agentúr EÚ angažovaných v otázkach bezpečnosti IT. Okrem toho by mala udržiavať kontakty aj s úniovými a vnútroštátnymi orgánmi zodpovednými za ochranu údajov s cieľom vymieňať si know-how a osvedčené postupy a poskytovať poradenstvo o aspektoch bezpečnosti IT, ktoré môžu ovplyvniť ich prácu. Zástupcovia vnútroštátnych orgánov a orgánov Únie v oblasti presadzovania práva a ochrany údajov by mali byť oprávnení na účasť v stálej skupine zainteresovaných strán agentúry. Pri styku s orgánmi presadzovania práva v otázkach sieťovej a informačnej bezpečnosti, ktoré by mohli mať vplyv na ich prácu, by agentúra mala rešpektovať existujúce informačné kanály a zavedené siete.

Odôvodnenie

Keďže so systémom Galileo sú spojené otázky kybernetickej bezpečnosti, najmä v pozemných segmentoch, spolupráca s Agentúrou pre globálny navigačný satelitný systém v skutočnosti posilňuje úlohu agentúry ENISA a zároveň zvyšuje dôveryhodnosť systému Galileo.

Pozmeňujúci návrh    16

Návrh nariadenia

Odôvodnenie 35

Text predložený Komisiou

Pozmeňujúci návrh

(35)  Agentúra by mala podnecovať členské štáty a poskytovateľov služieb k sprísňovaniu svojich všeobecných bezpečnostných noriem tak, aby všetci používatelia internetu mohli podniknúť potrebné kroky na zaistenie svojej osobnej kybernetickej bezpečnosti. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu stiahnuť či prepracovať produkty a služby, ktoré kyberneticko-bezpečnostným normám nevyhovujú. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni kybernetickej bezpečnosti produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi a výrobcami a žiadať ich o zvýšenie bezpečnosti (vrátane kybernetickej) svojich produktov a služieb.

(35)  Agentúra by mala podnecovať členské štáty, výrobcov hardvéru a softvéru, ako aj poskytovateľov služieb IKT a online služieb k sprísňovaniu svojich všeobecných bezpečnostných noriem tak, aby všetci používatelia internetu mohli podniknúť potrebné kroky na zaistenie svojej osobnej bezpečnosti IT. Najmä poskytovatelia služieb a výrobcovia produktov by mali z trhu stiahnuť či prepracovať produkty a služby, ktoré normám bezpečnosti IT nevyhovujú. V spolupráci s príslušnými orgánmi môže agentúra ENISA šíriť informácie o úrovni bezpečnosti IT produktov a služieb ponúkaných na vnútornom trhu, varovať pred určitými poskytovateľmi a výrobcami a žiadať ich o zvýšenie bezpečnosti IT svojich produktov a služieb. Agentúra by mala spolupracovať so zainteresovanými stranami na vypracovaní celoúniového prístupu k zodpovednému zverejňovaniu zraniteľných miest a mala by presadzovať najlepšie postupy v tejto oblasti.

Pozmeňujúci návrh    17

Návrh nariadenia

Odôvodnenie 44

Text predložený Komisiou

Pozmeňujúci návrh

(44)  Agentúra by mala mať stálu skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov a inými príslušnými zainteresovanými stranami. Stála skupina zainteresovaných strán zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a upriamiť na ne pozornosť agentúry. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, z ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry.

(44)  Agentúra by mala mať stálu skupinu zainteresovaných strán ako poradný orgán s cieľom zabezpečiť pravidelný dialóg so súkromným sektorom, organizáciami spotrebiteľov a inými príslušnými zainteresovanými stranami. Stála skupina zainteresovaných strán zriadená správnou radou na návrh výkonného riaditeľa by sa mala zameriavať na otázky dôležité pre zainteresované strany a upriamiť na ne pozornosť agentúry. Zloženie stálej skupiny zainteresovaných strán a úlohy zverené tejto skupine, z ktorou treba konzultovať najmä návrh pracovného programu, by mali zabezpečiť dostatočné zastúpenie zainteresovaných strán na práci agentúry. Vzhľadom na dôležitosť certifikačných požiadaviek na zaistenie dôvery v IoT by Komisia mala osobitne zvážiť vykonávacie opatrenia na zabezpečenie celoúniovej harmonizácie bezpečnostných noriem pre zariadenia IoT.

Pozmeňujúci návrh    18

Návrh nariadenia

Odôvodnenie 50

Text predložený Komisiou

Pozmeňujúci návrh

(50)  Certifikácia kybernetickej bezpečnosti produktov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým orgánom kybernetickej bezpečnosti v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich verejných obstarávaní. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam kybernetickej bezpečnosti, ako je napríklad internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, úrovne dôveryhodnosti bezpečnosti, vecných kritérií a samotného využitia.

(50)  Certifikácia bezpečnosti IT produktov a služieb IKT sa dnes využíva iba obmedzene. Ak sa uplatňuje, je to zväčša na úrovni členských štátov alebo z iniciatívy odvetvia. V tomto kontexte certifikát vystavený niektorým vnútroštátnym orgánom bezpečnosti IT v zásade iné členské štáty neuznávajú. Môže sa teda stať, že spoločnosti musia svoje produkty a služby certifikovať v niekoľkých členských štátoch pôsobenia, napríklad ak sa chcú zapojiť do ich postupov verejného obstarávania, pričom tieto postupy môžu spoločnostiam spôsobovať dodatočné náklady. Okrem toho sa síce objavujú nové systémy, no nezdá sa, že by koherentne a holisticky pristupovali k horizontálnym otázkam bezpečnosti IT, ako je internet vecí. Existujúce systémy vykazujú výrazné nedostatky a rozdiely z hľadiska škály pokrytia produktov, úrovne dôveryhodnosti bezpečnosti, vecných kritérií a samotného využitia. Individuálny prístup by mal zabezpečiť, aby služby a produkty podliehali primeraným systémom certifikácie. Na účinnú identifikáciu a zmiernenie rizík, ako aj na zabránenie zvýšeniu nákladov pre výrobcov je navyše potrebný prístup založený na riziku.

Pozmeňujúci návrh    19

Návrh nariadenia

Odôvodnenie 52

Text predložený Komisiou

Pozmeňujúci návrh

(52)  Z uvedených dôvodov treba zriadiť európsky rámec certifikácie kybernetickej bezpečnosti, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie kybernetickej bezpečnosti, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov a služieb IKT vo všetkých členských štátoch. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty a služby IKT certifikované podľa takýchto systémov. Na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií kybernetickej bezpečnosti, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Systémy by mali byť nediskriminačné a založené na medzinárodných a/alebo únijných normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

(52)  Z uvedených dôvodov treba zriadiť harmonizovaný európsky rámec certifikácie bezpečnosti IT, v ktorom sa stanovia základné horizontálne požiadavky európskych systémov certifikácie bezpečnosti IT, ktoré sa majú vypracovať, a umožní sa uznávanie a uplatňovanie certifikátov produktov a služieb IKT vo všetkých členských štátoch. Tento európsky rámec by mal plniť dvojaký účel: na jednej strane by mal prispievať k posilneniu dôvery v produkty a služby IKT certifikované podľa takýchto systémov. Na druhej strane by mal predchádzať množeniu nekompatibilných či prekrývajúcich sa národných certifikácií bezpečnosti IT, čím sa znížia náklady podnikov pôsobiacich na digitálnom jednotnom trhu. Systémy by mali byť nediskriminačné a založené na medzinárodných a/alebo únijových normách, pokiaľ tieto nie sú neefektívne alebo nevhodné na plnenie legitímnych cieľov EÚ v tejto oblasti.

Pozmeňujúci návrh    20

Návrh nariadenia

Odôvodnenie 55

Text predložený Komisiou

Pozmeňujúci návrh

(55)  Účelom európskych systémov certifikácie kybernetickej bezpečnosti by malo byť, aby produkty a služby IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni dôveryhodnosti odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných produktov, procesov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné kyberneticko-bezpečnostné požiadavky na všetky produkty a služby IKT. Produkty a služby IKT, ako aj súvisiace kyberneticko-bezpečnostné potreby sú také rozmanité, že je veľmi ťažké stanoviť všeobecné požiadavky na kybernetickú bezpečnosť, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept kybernetickej bezpečnosti na účely certifikácie doplnený súborom špecifických kyberneticko-bezpečnostných cieľov, ktoré treba pri návrhu európskych systémov certifikácie kybernetickej bezpečnosti zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch a službách IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia napríklad s odvolaním sa na normy alebo technické špecifikácie.

(55)  Účelom európskych systémov certifikácie bezpečnosti IT by malo byť, aby produkty a služby IKT certifikované podľa príslušného systému spĺňali stanovené požiadavky. Medzi tieto požiadavky patrí schopnosť na určitom stupni dôveryhodnosti odolať konaniu, ktorého cieľom je ohroziť dostupnosť, pravosť, integritu a dôvernosť uložených, prenášaných alebo spracúvaných údajov alebo súvisiacich funkcií daných produktov, procesov, služieb a systémov v zmysle tohto nariadenia, či služieb, ktoré sa cez ne ponúkajú alebo sprístupňujú. V tomto nariadení nie je možné stanoviť podrobné požiadavky v oblasti bezpečnosti IT na všetky produkty a služby IKT. Produkty a služby IKT, ako aj súvisiace potreby v oblasti bezpečnosti IT sú také rozmanité, ako rozmanitý je ich životný cyklus, že je veľmi ťažké stanoviť všeobecné požiadavky na bezpečnosť IT, ktoré by sa dali uplatniť plošne. Treba preto prijať širokozáberový a všeobecný koncept bezpečnosti IT na účely certifikácie doplnený súborom špecifických cieľov v oblasti bezpečnosti IT, ktoré treba pri návrhu európskych systémov certifikácie bezpečnosti IT zohľadniť. Spôsoby, ktorými sa tieto ciele pri konkrétnych produktoch a službách IKT dosiahnu, by sa potom mali podrobnejšie vymedziť na úrovni príslušného systému certifikácie, ktorý prijme Komisia v úzkej spolupráci s členskými štátmi a zainteresovanými stranami z odvetvia, napríklad s odvolaním sa na normy alebo technické špecifikácie. Jednotlivé systémy certifikácie by mali byť navrhnuté tak, aby všetci aktéri zapojení do vývoja príslušných produktov a služieb v oblasti informačných technológií boli motivovaní vypracovať a prijať štandardy, normy a zásady, ktorými sa zabezpečuje čo najvyššia úroveň bezpečnosti počas celého životného cyklu.

Pozmeňujúci návrh    21

Návrh nariadenia

Odôvodnenie 55 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

55a)  S cieľom zabrániť budúcim prekážkam obchodu by agentúra ENISA mala vypracovať systém certifikácie s globálnou perspektívou. V snahe zabezpečiť jeho uskutočniteľnosť na trhu by sa agentúra ENISA pri vypracúvaní kritérií pre systém certifikácie mala zapojiť do dialógu s príslušnými partnermi v odvetví.

Pozmeňujúci návrh    22

Návrh nariadenia

Odôvodnenie 56

Text predložený Komisiou

Pozmeňujúci návrh

(56)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty alebo služby IKT. Následne by Komisia mala byť splnomocnená na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať európsky systém certifikácie kybernetickej bezpečnosti v podobe vykonávacích aktov. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, európske systémy certifikácie kybernetickej bezpečnosti prijaté Komisiou by mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie kybernetickej bezpečnosti vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia kyberneticko-bezpečnostných požiadaviek (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy, ako aj cieľový stupeň dôveryhodnosti: základná, pokročilá a/alebo vysoká.

(56)  Komisia by mala byť splnomocnená požiadať agentúru ENISA o prípravu kandidátskych systémov pre konkrétne produkty alebo služby IKT. Následne by Komisia mala byť splnomocnená na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať európsky systém certifikácie bezpečnosti IT v podobe vykonávacích aktov. Zohľadňujúc všeobecný účel a bezpečnostné ciele identifikované v tomto nariadení, európske systémy certifikácie bezpečnosti IT prijaté Komisiou by mali zahŕňať minimálny súbor prvkov, ktoré sa vzťahujú na danú problematiku, ako aj rozsah a fungovanie daného systému. Okrem iného by sem mal patriť rozsah a predmet certifikácie bezpečnosti IT vrátane kategórií pokrytých produktov a služieb IKT, podrobného vymedzenia požiadaviek v oblasti bezpečnosti IT (napríklad s odvolaním na normy alebo technické špecifikácie), konkrétne hodnotiace kritériá a metódy, ako aj cieľový stupeň dôveryhodnosti: základná, pokročilá a/alebo vysoká. Stupne dôveryhodnosti by sa mali vymedzovať na individuálnom základe, aby sa zabezpečilo, že na služby a produkty IKT sa vzťahujú príslušné certifikačné systémy, a mali by zohľadňovať rôzne jednotlivé prípady použitia, ako aj vlastnú zodpovednosť a vzdelávanie používateľov.

Pozmeňujúci návrh    23

Návrh nariadenia

Odôvodnenie 57

Text predložený Komisiou

Pozmeňujúci návrh

(57)  Využívanie európskej certifikácie kybernetickej bezpečnosti by malo zostať dobrovoľné, pokiaľ sa nestanovuje inak v únijných alebo vnútroštátnych právnych predpisoch. Aby sa však dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, vnútroštátne systémy alebo postupy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, na ktoré sa vzťahuje európsky systém certifikácie kybernetickej bezpečnosti, by mali stratiť účinky od dátumu, ktorý stanoví Komisia vo vykonávacom akte. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie kybernetickej bezpečnosti v prípade produktov a služieb IKT, pre ktoré už existuje európsky systém certifikácie kybernetickej bezpečnosti.

(57)  Využívanie európskej certifikácie bezpečnosti IT by malo zostať dobrovoľné, pokiaľ sa nestanovuje inak v únijových alebo vnútroštátnych právnych predpisoch. Po tejto úvodnej fáze a v závislosti od stavu zavádzania v členských štátoch a od kritickosti určitého produktu alebo služby sa môžu postupne zaviesť potenciálne povinné systémy certifikácie určitých produktov a služieb IKT na potreby budúcich generácií technológií a ako reakcia na politické ciele zajtrajška. Aby sa však dosiahli ciele tohto nariadenia a aby sa predišlo fragmentácii vnútorného trhu, vnútroštátne systémy alebo postupy certifikácie bezpečnosti IT produktov a služieb IKT, na ktoré sa vzťahuje európsky systém certifikácie bezpečnosti IT, by mali stratiť účinky od dátumu, ktorý stanoví Komisia vo vykonávacom akte. Okrem toho by členské štáty nemali zavádzať nové vnútroštátne systémy certifikácie bezpečnosti IT v prípade produktov a služieb IKT, pre ktoré už existuje európsky systém certifikácie bezpečnosti IT.

Pozmeňujúci návrh    24

Návrh nariadenia

Odôvodnenie 58 a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

58a)  Agentúra by mala navrhnúť jasné základné požiadavky v oblasti bezpečnosti IT, ktoré by mali byť navrhnuté Komisii prípadne v podobe vykonávacích aktov, a to pre všetky zariadenia IT predávané v Únii alebo vyvážané z Únie. Tieto požiadavky by sa mali následne revidovať každé dva roky s cieľom zabezpečiť sústavné zlepšovanie. Uvedenými základnými požiadavkami v oblasti bezpečnosti IT by sa okrem iného malo vyžadovať, aby zariadenia neobsahovali žiadne známe využiteľné bezpečnostné zraniteľné miesta, aby boli schopné prijímať dôveryhodné bezpečnostné aktualizácie, aby predajca oznámil príslušným orgánom známe zraniteľné miesta a opravoval alebo vymieňal dotknuté zariadenia až dovtedy, kým výrobca jasne neuvedie, že bezpečnostná podpora takýchto zariadení končí.

Pozmeňujúci návrh    25

Návrh nariadenia

Článok 1 – odsek 1 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  stanovuje rámec vytvorenia európskych systémov certifikácie kybernetickej bezpečnosti na zaistenie primeranej úrovne kybernetickej bezpečnosti produktov a služieb IKT v Únii. Uplatňovaním tohto rámca nie sú dotknuté osobitné ustanovenia o dobrovoľnej či povinnej certifikácii podľa iných aktov Únie.

b)  stanovuje rámec vytvorenia európskych systémov certifikácie bezpečnosti IT na zaistenie primeranej úrovne bezpečnosti IT produktov a služieb IKT v Únii. Uplatňovaním tohto rámca nie sú dotknuté osobitné ustanovenia o dobrovoľnej či povinnej certifikácii podľa iných aktov Únie.

Odôvodnenie

Čisto jazyková zmena, a to odstránenie pleonazmu v znení dokumentu Komisie.

Pozmeňujúci návrh    26

Návrh nariadenia

Článok 2 – odsek 1 – bod 8

Text predložený Komisiou

Pozmeňujúci návrh

(8)  „kybernetická hrozba“ je každá potenciálna okolnosť alebo udalosť, ktorá môže negatívne ovplyvniť siete a informačné systémy, ich používateľov a dotknuté osoby;

(8)  „kybernetická hrozba“ je každá potenciálna okolnosť, spôsobilosť alebo udalosť, ktorá môže negatívne ovplyvniť siete a informačné systémy, ich používateľov a dotknuté osoby;

Odôvodnenie

Pridanie dôležitého aspektu, najmä pokiaľ ide o posudzovanie hrozby.

Pozmeňujúci návrh    27

Návrh nariadenia

Článok 4 – odsek 3 – pododsek 1 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Agentúra sa usiluje o identifikáciu kritických zraniteľných miest siete Únie v oblasti bezpečnosti IT ako celku, ako aj kritických zraniteľných miest sietí jednotlivých členských štátov v oblasti bezpečnosti IT. V prípade, ak to agentúra považuje za nevyhnutné, takéto zraniteľné miesta by sa mali oznamovať Európskemu parlamentu.

Pozmeňujúci návrh    28

Návrh nariadenia

Článok 4 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Agentúra posilňuje kyberneticko-bezpečnostné spôsobilosti na úrovni Únie s cieľom doplniť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch.

5.  Agentúra posilňuje spôsobilosti v oblasti bezpečnosti IT na úrovni Únie s cieľom doplniť a podporiť činnosť členských štátov v prevencii kybernetických hrozieb a reakcii na ne, najmä pri cezhraničných incidentoch.

Pozmeňujúci návrh    29

Návrh nariadenia

Článok 4 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Agentúra podporuje využívanie certifikácie, a to aj prispievaním k vytvoreniu a uchovávaniu rámca certifikácie kybernetickej bezpečnosti na úrovni Únie v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť uistenia o dôveryhodnosti kybernetickej bezpečnosti produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

6.  Agentúra podporuje využívanie certifikácie, a to aj prispievaním k vypracovaniu úniových a medzinárodných noriem pre bezpečnosť IT a k vytvoreniu a uchovávaniu rámca certifikácie bezpečnosti IT na úrovni Únie v súlade s hlavou III tohto nariadenia, aby sa posilnila transparentnosť uistenia o dôveryhodnosti bezpečnosti IT produktov a služieb IKT, čím sa posilní dôvera v digitálny vnútorný trh.

Pozmeňujúci návrh    30

Návrh nariadenia

Článok 4 – odsek 7

Text predložený Komisiou

Pozmeňujúci návrh

7.  Agentúra presadzuje vysoké povedomie občanov a podnikov o otázkach kybernetickej bezpečnosti.

7.  Agentúra presadzuje vysoké povedomie o otázkach bezpečnosti IT.

Odôvodnenie

Povedomie by sa nemalo zvyšovať len vo vzťahu k občanom a podnikom, ale aj v prípade všetkých príslušných aktérov v spoločnosti vrátane orgánov a zákonodarcov. Tento pozmeňujúci návrh úmyselne ponecháva zoznam adresátov tohto druhu činnosti otvorený.

Pozmeňujúci návrh    31

Návrh nariadenia

Článok 5 – odsek 1 – bod 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  pomáha členským štátom pri konzistentnom vykonávaní politiky a legislatívy Únie v oblasti kybernetickej bezpečnosti, najmä v súvislosti so smernicou (EÚ) 2016/1148, a to aj poskytovaním stanovísk, usmernení, poradenstva a osvedčených postupov v oblastiach ako riadenie rizík, oznamovanie incidentov a zdieľanie informácií, a zároveň v tomto smere uľahčuje výmenu informácií o osvedčených postupoch medzi príslušnými orgánmi;

2.  pomáha členským štátom pri konzistentnom vykonávaní politiky a legislatívy Únie v oblasti bezpečnosti IT, najmä v súvislosti so smernicou (EÚ) 2016/1148, so smernicou .../..., [ktorou sa stanovuje európsky kódex elektronickej komunikácie], s nariadením (EÚ) 2016/679 a so smernicou 2002/58/ES, a to aj poskytovaním stanovísk, usmernení, poradenstva a osvedčených postupov v oblastiach ako riadenie rizík, oznamovanie incidentov a zdieľanie informácií, a zároveň v tomto smere uľahčuje výmenu informácií o osvedčených postupoch medzi príslušnými orgánmi;

Pozmeňujúci návrh    32

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  pomáha Európskemu výboru pre ochranu údajov, ktorý bol zriadený nariadením (EÚ) 2016/679, pri vypracúvaní usmernení s cieľom určiť na technickej úrovni podmienky umožňujúce legálne použitie osobných údajov prevádzkovateľmi na účely bezpečnosti IT s cieľom chrániť ich infraštruktúru odhaľovaním a blokovaním útokov na ich informačné systémy v kontexte:

 

i) nariadenia (EÚ) č. 2016/679;

 

ii) smernice (EÚ) 2016/1148; a

 

iii) smernice 2002/58/ES;

Pozmeňujúci návrh    33

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 b (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2b.  navrhuje usmernenia s cieľom zabezpečiť, aby predajcovia IKT konali s náležitou starostlivosťou s cieľom zabezpečiť včasné odstránenie zraniteľných miest v oblasti bezpečnosti IT v ich produktoch a službách v snahe zamedziť neprimeranému vystaveniu používateľov počítačovej hrozbe;

Pozmeňujúci návrh    34

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 c (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

2c.  navrhuje usmernenia zavádzajúce veľkú mieru zodpovednosti a povinností pre všetky zainteresované strany (vrátane koncových používateľov) zúčastňujúce sa na IKT ekosystémoch;

Pozmeňujúci návrh    35

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 d (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2d.  v súlade s vnútroštátnym právom navrhuje usmernenia, ktoré sa týkajú zodpovednosti prevádzkovateľov kritických sieťových infraštruktúr v prípade útoku na ich informačné systémy s vplyvom na ich používateľov z dôvodu chýbajúcej náležitej starostlivosti niektorých z používateľov alebo samotného prevádzkovateľa, ak prevádzkovateľ nevykonal primerané opatrenia na zabránenie incidentu alebo na zmiernenie jeho účinkov na všetkých používateľov;

Pozmeňujúci návrh    36

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 e (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2e.  navrhuje usmernenia, ktoré obmedzia nákup a používanie ochrannej lehoty v trvaní „nula dní“ verejnými orgánmi na účely útokov na informačné systémy; podporuje audity softvéru a financovanie odborných pracovníkov;

Pozmeňujúci návrh    37

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 f (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2f.  navrhuje usmernenia pre verejné orgány, súkromné spoločnosti, výskumníkov, univerzity a ďalšie zainteresované strany na uverejňovanie všetkých kritických zraniteľných miest v oblasti bezpečnosti, ktoré ešte nie sú verejne známe, v rámci zodpovedného zverejňovania;

Pozmeňujúci návrh    38

Návrh nariadenia

Článok 5 – odsek 1 – bod 2 g (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2g.  navrhuje usmernenia pre rozšírenie používania „overiteľného otvoreného zdrojového kódu“ pre riešenia v oblasti informačných technológií vo verejnom sektore, ako aj pre súvisiace používanie automatizovaných nástrojov na uľahčenie preskúmania zdrojového kódu a na jednoduché overenie neexistencie tzv. zadných dvierok a ďalších možných zraniteľných miest v oblasti bezpečnosti;

Pozmeňujúci návrh    39

Návrh nariadenia

Článok 6 – odsek 1 – písmeno f a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

fa)  vnútroštátnym dozorným orgánom pre ochranu údajov a spolupracuje s nimi, ak to bude potrebné;

Pozmeňujúci návrh    40

Návrh nariadenia

Článok 6 – odsek 2 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

2a.  Agentúra uľahčuje vytvorenie a spustenie dlhodobého európskeho projektu v oblasti bezpečnosti IT na podporu rastu nezávislého odvetvia EÚ v oblasti bezpečnosti IT a na začlenenie bezpečnosti IT do celého vývoja informačných technológii v EÚ.

Odôvodnenie

Agentúra ENISA by mala poskytovať poradenstvo zákonodarcom, pokiaľ ide o prípravu politík, ktoré EÚ umožnia dobehnúť odvetvie bezpečnosti IT v tretích krajinách. Projekt by mal byť z hľadiska rozsahu porovnateľný s tým, čo už bolo dosiahnuté v odvetví leteckej dopravy (príklad spoločnosti Airbus). Je to potrebné pre rozvoj silnejšieho, suverénneho a dôveryhodného odvetvia IKT v EÚ [pozri štúdiu oddelenia vedeckej predikcie (STOA) PE 614.531].

Pozmeňujúci návrh    41

Návrh nariadenia

Článok 7 – odsek 5

Text predložený Komisiou

Pozmeňujúci návrh

5.  Na žiadosť dvoch alebo viacerých dotknutých členských štátov a výlučne s cieľom poradenstva na predchádzanie budúcim incidentom agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než dvoch členských štátov.

5.  Na žiadosť členského štátu a výlučne s cieľom poradenstva na predchádzanie budúcim incidentom agentúra poskytne podporu alebo vykoná technické ex post skúmanie v nadväznosti na oznámenia podnikov zasiahnutých incidentmi s významným alebo závažným vplyvom v zmysle smernice (EÚ) 2016/1148. Agentúra takéto skúmanie vykoná aj na riadne odôvodnenú žiadosť Komisie so súhlasom dotknutých členských štátov, ak sa takéto incidenty týkajú viac než dvoch členských štátov.

Rozsah preskúmania i jeho postup dohodnú dotknuté členské štáty s agentúrou, pričom nesmie byť dotknuté žiadne prebiehajúce vyšetrovanie trestných činov v spojení s daným incidentom. Výsledkom preskúmania je záverečná technická správa, ktorú zostaví agentúra najmä na základe informácií a pripomienok od dotknutých členských štátov a podniku(-ov) a ktorú odsúhlasia dotknuté členské štáty. Zhrnutie tejto správy zamerané na odporúčania v záujme prevencie budúcich incidentov sa poskytne sieti jednotiek CSIRT.

Rozsah preskúmania i jeho postup dohodnú dotknuté členské štáty s agentúrou, pričom nesmie byť dotknuté žiadne prebiehajúce vyšetrovanie trestných činov v spojení s daným incidentom, ani opatrenia členských štátov v oblasti národnej bezpečnosti. Výsledkom preskúmania je záverečná technická správa, ktorú zostaví agentúra najmä na základe informácií a pripomienok od dotknutých členských štátov a podniku(-ov) a ktorú odsúhlasia dotknuté členské štáty. Zhrnutie tejto správy zamerané na odporúčania v záujme prevencie budúcich incidentov sa poskytne sieti jednotiek CSIRT.

Pozmeňujúci návrh    42

Návrh nariadenia

Článok 7 – odsek 8 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

8a.  Agentúra vykonáva na žiadosť inštitúcie, orgánu, úradu alebo agentúry Únie alebo na žiadosť členského štátu pravidelné nezávislé audity bezpečnosti IT týkajúce sa kritických infraštruktúr s cieľom identifikovať prípadné odporúčania na posilnenie ich odolnosti.

Odôvodnenie

Agentúra ENISA by mala mať právomoc vykonávať preventívny audit bezpečnosti IT týkajúci sa akejkoľvek kritickej infraštruktúry orgánov členských štátov alebo inštitúcií či agentúr EÚ).

Pozmeňujúci návrh    43

Návrh nariadenia

Článok 8 – odsek 1 – písmeno a – bod 1

Text predložený Komisiou

Pozmeňujúci návrh

(1)  vypracúva kandidátske európske systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT v súlade s článkom 44 tohto nariadenia;

(1)  vypracúva kandidátske európske systémy certifikácie bezpečnosti IT produktov a služieb IKT v spolupráci s odvetvím a v súlade s článkom 44 tohto nariadenia;

Odôvodnenie

V tejto oblasti je spolupráca s odvetvím dôležitá.

Pozmeňujúci návrh    44

Návrh nariadenia

Článok 8 – odsek 1 – písmeno c a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ca)  zavádza systémy certifikácie, ktoré predajcom IKT a poskytovateľom služieb zabraňujú zavádzať tajné zadné dvierka, ktoré úmyselne oslabujú bezpečnosť IT komerčných produktov a služieb a ktoré majú negatívny vplyv na globálnu bezpečnosť internetu.

Odôvodnenie

To by malo byť uznané ako jeden z hlavných cieľov systémov certifikácie.

Pozmeňujúci návrh    45

Návrh nariadenia

Článok 9 – odsek 1 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  zhromažďuje, organizuje a na vyhradenom portáli uverejňuje informácie o kybernetickej bezpečnosti, ktoré poskytli inštitúcie, agentúry a orgány Únie;

d)  zhromažďuje, organizuje a na vyhradenom portáli uverejňuje informácie o bezpečnosti IT, ktoré poskytli inštitúcie, agentúry a orgány Únie a ktoré sprístupnili členské štáty a verejné a súkromné zainteresované strany;

Pozmeňujúci návrh    46

Návrh nariadenia

Článok 9 – odsek 1 – písmeno e

Text predložený Komisiou

Pozmeňujúci návrh

e)  zvyšuje verejné povedomie o kyberneticko-bezpečnostných rizikách a odporúča jednotlivým používateľom – občanom i organizáciám osvedčené postupy;

e)  zvyšuje verejné povedomie o rizikách v oblasti bezpečnosti IT, rozširuje primerané opatrenia na prevenciu incidentov a poskytuje usmernenia týkajúce sa osvedčených postupov pre jednotlivých používateľov – občanov i organizácie;

Pozmeňujúci návrh    47

Návrh nariadenia

Článok 9 – odsek 1 – písmeno e a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ea)  vytvára sieť národných kontaktných miest v oblasti vzdelávania na podporu lepšej koordinácie a výmeny najlepších postupov medzi členskými štátmi týkajúcich sa vzdelávania a zvyšovania povedomia v oblasti bezpečnosti IT;

Pozmeňujúci návrh    48

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g

Text predložený Komisiou

Pozmeňujúci návrh

g)  v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie organizuje pravidelné osvetové kampane na zvýšenie kybernetickej bezpečnosti a jej viditeľnosti v Únii.

g)  v spolupráci s členskými štátmi a inštitúciami, orgánmi, úradmi, agentúrami Únie a ďalšími relevantnými zainteresovanými stranami organizuje pravidelné osvetové kampane na zvýšenie bezpečnosti IT a jej viditeľnosti v Únii.

Pozmeňujúci návrh    49

Návrh nariadenia

Článok 9 – odsek 1 – písmeno g a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

ga)  podporuje široké prijatie prísnych preventívnych opatrení v oblasti bezpečnosti IT a spoľahlivých technológií na zvyšovanie ochrany súkromia všetkými aktérmi na jednotnom digitálnom trhu EÚ ako prvej línie obrany proti útokom na informačné systémy.

Odôvodnenie

Na základe stanoviska európskeho dozorného úradníka pre ochranu údajov (k technológiám na zvyšovanie ochrany súkromia). Úloha agentúry ENISA by mala ísť jasne nad rámec podpory členských štátov, EK a agentúr EÚ, ale mala by byť viditeľnejšia aj v priemysle a u širokej verejnosti.

Pozmeňujúci návrh    50

Návrh nariadenia

Článok 10 – odsek 1 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  radí Únii a členským štátom o potrebách a prioritách výskumu v oblasti kybernetickej bezpečnosti s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

a)  radí Únii a členským štátom o potrebách a prioritách výskumu v oblastiach bezpečnosti IT a ochrany údajov a súkromia s cieľom umožniť účinnú reakciu na existujúce i nové riziká a hrozby, a to i v súvislosti s novými a nastupujúcimi informačnými a komunikačnými technológiami, a účinne používať technológie na prevenciu rizika;

Pozmeňujúci návrh    51

Návrh nariadenia

Článok 14 – odsek 1 – písmeno m

Text predložený Komisiou

Pozmeňujúci návrh

m)  vymenúva výkonného riaditeľa a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

m)  vymenúva výkonného riaditeľa na základe výberového konania podľa odborných kritérií a v náležitých prípadoch predlžuje jeho funkčné obdobie alebo ho z funkcie odvoláva v súlade s článkom 33 tohto nariadenia;

Pozmeňujúci návrh    52

Návrh nariadenia

Článok 20 – odsek 1

Text predložený Komisiou

Pozmeňujúci návrh

1.  Správna rada konajúca na návrh výkonného riaditeľa zriadi stálu skupinu zainteresovaných strán zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, akademickí experti na kybernetickú bezpečnosť a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a ochrany údajov.

1.  Správna rada konajúca na návrh výkonného riaditeľa zriadi stálu skupinu zainteresovaných strán zloženú z uznávaných expertov zastupujúcich príslušné zainteresované strany, ako sú odvetvie IKT, poskytovatelia verejne dostupných elektronických komunikačných sietí alebo služieb, spotrebiteľské skupiny, európske normalizačné organizácie, akademickí experti na bezpečnosť IT a zástupcovia príslušných orgánov notifikovaní podľa [smernice, ktorou sa stanovuje európsky kódex elektronickej komunikácie], ako aj orgánov presadzovania práva a dozorných orgánov pre ochranu údajov.

Pozmeňujúci návrh    53

Návrh nariadenia

Článok 30 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Dvor audítorov je oprávnený vykonávať audit na základe dokumentov a na mieste u všetkých príjemcov grantov, dodávateľov a subdodávateľov, ktorým agentúra poskytla finančné prostriedky Únie.

2.  Dvor audítorov je oprávnený vykonávať audit na základe dokumentov a inšpekciami na mieste u všetkých príjemcov grantov, dodávateľov a subdodávateľov, ktorým agentúra poskytla finančné prostriedky Únie.

Pozmeňujúci návrh    54

Návrh nariadenia

Článok 44 – odsek 2

Text predložený Komisiou

Pozmeňujúci návrh

2.  Pri vypracúvaní kandidátskeho systému podľa odseku 1 tohto článku vedie agentúra ENISA konzultácie so všetkými relevantnými zainteresovanými stranami a úzko spolupracuje so skupinou. Skupina poskytuje agentúre ENISA pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk.

2.  Pri vypracúvaní kandidátskeho systému podľa odseku 1 tohto článku vedie agentúra ENISA konzultácie so všetkými relevantnými zainteresovanými stranami a úzko spolupracuje so skupinou a stálou skupinou zainteresovaných strán. Skupina a stála skupina zainteresovaných strán poskytujú agentúre ENISA pomoc a odborné poradenstvo, ktoré si agentúra vyžiada v súvislosti s vypracovaním kandidátskeho systému, podľa potreby vrátane stanovísk. Agentúra ENISA okrem toho môže v prípade potreby vytvoriť pracovnú skupinu zainteresovaných strán pre certifikáciu zloženú z členov stálej skupiny zainteresovaných strán a z akýchkoľvek ďalších relevantných zainteresovaných strán s cieľom poskytovať odborné poradenstvo v oblastiach, na ktoré sa vzťahuje konkrétny kandidátsky systém.

Odôvodnenie

Odvetvie by malo byť zapojené do prípravy a vypracúvania kandidátskeho systému prostredníctvom konzultačného procesu, a to s cieľom poskytnúť odborné znalosti na zabezpečenie jeho efektívneho návrhu.

Pozmeňujúci návrh    55

Návrh nariadenia

Článok 44 – odsek 4

Text predložený Komisiou

Pozmeňujúci návrh

4.  Komisia môže na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať vykonávacie akty v súlade s článkom 55 ods. 1, v ktorých sa stanovia európske systémy certifikácie kybernetickej bezpečnosti produktov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47 tohto nariadenia.

4.  Komisia môže na základe kandidátskeho systému navrhnutého agentúrou ENISA prijať vykonávacie akty v súlade s článkom 55 ods. 1, v ktorých sa stanovia európske systémy certifikácie bezpečnosti IT produktov a služieb IKT, ktoré spĺňajú požiadavky článkov 45, 46 a 47 tohto nariadenia. Komisia môže pred prijatím takýchto vykonávacích aktov konzultovať s Európskym výborom pre ochranu údajov a zohľadniť jeho stanovisko.

Odôvodnenie

Na základe stanoviska európskeho dozorného úradníka pre ochranu údajov. Týmto pozmeňujúcim návrhom sa zabezpečí súlad medzi certifikáciami podľa rámca európskeho certifikátu kybernetickej bezpečnosti a podľa všeobecného nariadenia o ochrane údajov.

Pozmeňujúci návrh    56

Návrh nariadenia

Článok 46 – odsek 2 – úvodná časť

Text predložený Komisiou

Pozmeňujúci návrh

2.  základný, pokročilý a/alebo vysoký. Základný, pokročilý a vysoký stupeň dôveryhodnosti musia spĺňať tieto kritériá:

2.  Základný, pokročilý a vysoký stupeň dôveryhodnosti označujú certifikát vydaný v kontexte európskeho systému certifikácie bezpečnosti IT, ktorý poskytuje zodpovedajúci stupeň dôvery v uvádzané alebo údajné vlastnosti produktu alebo služby IKT, pokiaľ ide o bezpečnosť IT, a charakterizuje sa s odvolaním na súvisiace technické špecifikácie, normy a postupy súvisiace s týmito normami vrátane technických kontrol, ktorých účelom je znížiť riziko incidentov v oblasti bezpečnosti IT;

Pozmeňujúci návrh    57

Návrh nariadenia

Článok 46 – odsek 2 – písmeno a

Text predložený Komisiou

Pozmeňujúci návrh

a)  základný stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje obmedzený stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je znížiť riziko kybernetických incidentov;

vypúšťa sa

Pozmeňujúci návrh    58

Návrh nariadenia

Článok 46 – odsek 2 – písmeno b

Text predložený Komisiou

Pozmeňujúci návrh

b)  pokročilý stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje výrazný stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je výrazne znížiť riziko kybernetických incidentov;

vypúšťa sa

Pozmeňujúci návrh    59

Návrh nariadenia

Článok 46 – odsek 2 – písmeno c

Text predložený Komisiou

Pozmeňujúci návrh

c)  vysoký stupeň dôveryhodnosti označuje certifikát vydaný v kontexte európskeho systému certifikácie kybernetickej bezpečnosti, ktorý poskytuje vyšší stupeň dôvery v uvádzané alebo údajné kyberneticko-bezpečnostné vlastnosti produktu alebo služby IKT než certifikáty s pokročilým stupňom dôveryhodnosti, a charakterizuje sa s odvolaním na technické špecifikácie, normy a súvisiace postupy vrátane technických kontrol, ktorých účelom je predchádzať riziku kybernetických incidentov.

vypúšťa sa

Pozmeňujúci návrh    60

Návrh nariadenia

Článok 47 – odsek 1 – písmeno a a (nové)

Text predložený Komisiou

Pozmeňujúci návrh

 

aa)  orgány posudzovania zhody a audítorské orgány;

Pozmeňujúci návrh    61

Návrh nariadenia

Článok 47 – odsek 1 – písmeno l

Text predložený Komisiou

Pozmeňujúci návrh

l)  určenie vnútroštátnych systémov certifikácie kybernetickej bezpečnosti, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov a služieb IKT;

l)  určenie vnútroštátnych systémov certifikácie bezpečnosti IT podľa článku 49, ktoré sa vzťahujú na rovnaký typ alebo kategóriu produktov a služieb IKT;

Pozmeňujúci návrh    62

Návrh nariadenia

Článok 48 – odsek 6

Text predložený Komisiou

Pozmeňujúci návrh

6.  Certifikáty sa vydávajú najviac na tri roky, pričom ich možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky.

6.  Certifikáty sa vydávajú najviac na obdobie, ktorého maximálna dĺžka sa určí pre každý systém individuálne, ktoré však nemôže trvať viac ako päť rokov, pričom ho možno obnoviť za rovnakých podmienok, pokiaľ sú naďalej splnené relevantné požiadavky.

Pozmeňujúci návrh    63

Návrh nariadenia

Článok 48 a (nový)

Text predložený Komisiou

Pozmeňujúci návrh

 

Článok 48a

 

Základné požiadavky na bezpečnosť informačných technológií

 

1.   Agentúra na základe svojich skúseností s rámcom certifikácie bezpečnosti IT podľa hlavy III tohto nariadenia navrhne Komisii jasné minimálne požiadavky na bezpečnosť informačných technológií pre zariadenia IT predávané v Únii alebo vyvážané z Únie, ako napríklad:

 

a)  výrobca poskytuje písomné osvedčenie, že zariadenie neobsahuje žiadny hardvérový, softvérový ani firmvérový komponent s akýmikoľvek známymi využiteľnými zraniteľnými miestami v oblasti bezpečnosti;

 

b)  zariadenie závisí od softvérových alebo firmvérových komponentov schopných prijímať riadne overené a dôveryhodné aktualizácie od výrobcu;

 

c)   zariadenie neobsahuje žiadne nezašifrované heslo alebo prístupový kód; výrobca zdokumentuje možnosti diaľkového prístupu k zariadeniu a zabezpečí ho proti neoprávnenému prístupu, a to najneskôr pri inštalácii; výrobca v zariadení automaticky nenastavuje pevne kódované štandardné heslá; predajca zdokumentuje možnosti používateľa aktualizovať zariadenia a jasne stanoví zodpovednosť v prípade, keď užívateľ neaktualizuje zariadenie;

 

d)  povinnosť výrobcu, distribútora a dovozcu zariadenia pripojeného k internetu, softvéru alebo firmvérových komponentov oznamovať príslušným orgánom všetky známe využiteľné zraniteľné miesta v oblasti bezpečnosti;

 

e)  povinnosť výrobcov zariadení pripojených k internetu, softvéru alebo firmvérových komponentov poskytovať v súvislosti s akýmikoľvek zistenými novými zraniteľnými miestami v oblasti bezpečnosti opravu alebo výmenu;

 

f)  povinnosť výrobcov zariadení pripojených k internetu, softvéru alebo firmvérových komponentov poskytovať informácie o tom, ako sa zariadenie aktualizuje, pokiaľ ide o bezpečnosť IT, o predpokladanom časovom rozvrhu ukončenia podpory bezpečnosti IT a o tom, čo je proces informovania používateľov;

 

2.   Agentúra môže navrhnúť, aby sa minimálne požiadavky v oblasti bezpečnosti IT uvedené v odseku 1 uplatňovali na zariadenia informačných technológií jedného alebo viacerých konkrétnych sektorov.

 

3.  Agentúra vykonáva preskúmanie a prípadné zmeny požiadaviek v oblasti bezpečnosti IT uvedených v odseku 1 každé dva roky a všetky zmeny predkladá ako návrhy Komisii.

 

4.  Komisia môže prostredníctvom vykonávacích aktov a na základe posúdenia vplyvu rozhodnúť, že navrhnuté alebo zmenené požiadavky v oblasti bezpečnosti IT uvedené v odsekoch 1 a 2 majú všeobecnú platnosť v rámci Únie. Dané vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 55 ods. 2.

 

5.  Komisia zabezpečí náležité uverejnenie požiadaviek v oblasti bezpečnosti IT, o ktorých bolo v súlade s odsekom 3 rozhodnuté, že majú všeobecnú platnosť.

 

6.  Agentúra všetky navrhnuté požiadavky v oblasti bezpečnosti IT a ich zmeny zhromažďuje v registri a uverejňuje ich primeraným spôsobom.

Odôvodnenie

Nahrádza z dôvodu jasnosti PN 19 písm. c) návrhu stanoviska. Je dôležité dosiahnuť odolné prostredie IT na ochranu pred počítačovou kriminalitou a na ochranu základných práv používateľov IT. V tomto nariadení by sa preto mali stanoviť vysoké ciele v oblasti bezpečnosti IT pre povinnú základňu bezpečnosti IT v Únii.

Pozmeňujúci návrh    64

Návrh nariadenia

Článok 50 – odsek 6 – písmeno d

Text predložený Komisiou

Pozmeňujúci návrh

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie kybernetickej bezpečnosti;

d)  spolupracujú s ostatnými vnútroštátnymi orgánmi dohľadu nad certifikáciou alebo ďalšími verejnými orgánmi, ako sú vnútroštátne dozorné orgány pre ochranu údajov, vrátane poskytovania informácií o možnom nesúlade produktov a služieb IKT s požiadavkami tohto nariadenia alebo konkrétnych európskych systémov certifikácie bezpečnosti IT;

Odôvodnenie

Zo stanoviska EDPS.

POSTUP – VÝBOR POŽIADANÝ O STANOVISKO

Názov

Nariadenie o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

Referenčné čísla

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Gestorský výbor

       dátum oznámenia na schôdzi

ITRE

23.10.2017

 

 

 

Výbor, ktorý predložil stanovisko

       dátum oznámenia na schôdzi

LIBE

23.10.2017

Spravodajca výboru požiadaného o stanovisko

       dátum vymenovania

Jan Philipp Albrecht

20.11.2017

Prerokovanie vo výbore

25.1.2018

8.3.2018

 

 

Dátum prijatia

8.3.2018

 

 

 

Výsledok záverečného hlasovania

+:

–:

0:

35

2

4

Poslanci prítomní na záverečnom hlasovaní

Asim Ademov, Jan Philipp Albrecht, Heinz K. Becker, Caterina Chinnici, Rachida Dati, Cornelia Ernst, Kinga Gál, Sylvie Guillaume, Monika Hohlmeier, Filiz Hyusmenova, Dietmar Köster, Barbara Kudrycka, Monica Macovei, Péter Niedermüller, Ivari Padar, Judith Sargentini, Birgit Sippel, Branislav Škripek, Sergei Stanishev, Traian Ungureanu, Josef Weidenholzer, Cecilia Wikström, Kristina Winberg, Auke Zijlstra

Náhradníci prítomní na záverečnom hlasovaní

Maria Grapini, Sylvia-Yvonne Kaufmann, Jeroen Lenaers, Andrejs Mamikins, Maite Pagazaurtundúa Ruiz, John Procter, Jaromír Štětina, Josep-Maria Terricabras, Axel Voss, Elissavet Vozemberg-Vrionidi

Náhradníci (čl. 200 ods. 2) prítomní na záverečnom hlasovaní

Andrea Bocskor, Reimer Böge, André Elissen, Ramón Jáuregui Atondo, Julia Reda, Rainer Wieland, Patricija Šulin

ZÁVEREČNÉ HLASOVANIE PODĽA MIEN VO VÝBORE POŽIADANOM O STANOVISKO

35

+

ALDE

Filiz Hyusmenova, Maite Pagazaurtundúa Ruiz, Cecilia Wikström

ECR

Monica Macovei, John Procter, Branislav Škripek

GUE/NGL

Cornelia Ernst

PPE

Asim Ademov, Heinz K. Becker, Andrea Bocskor, Rachida Dati, Kinga Gál, Barbara Kudrycka, Jeroen Lenaers, Jaromír Štětina, Patricija Šulin, Traian Ungureanu, Elissavet Vozemberg-Vrionidi, Rainer Wieland

S&D

Caterina Chinnici, Maria Grapini, Sylvie Guillaume, Ramón Jáuregui Atondo, Sylvia-Yvonne Kaufmann, Dietmar Köster, Andrejs Mamikins, Péter Niedermüller, Ivari Padar, Birgit Sippel, Sergei Stanishev, Josef Weidenholzer

VERTS/ALE

Jan Philipp Albrecht, Julia Reda, Judith Sargentini, Josep-Maria Terricabras

2

-

ENF

André Elissen, Auke Zijlstra

4

0

EFDD

Kristina Winberg

PPE

Reimer Böge, Monika Hohlmeier, Axel Voss

Vysvetlenie použitých znakov:

+  :  za

-  :  proti

0  :  zdržali sa hlasovania

  • [1]  Európska komisia, návrh nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“), COM(2017) 477 final/2.
  • [2]  Nemecký ústavný súd, rozsudok z 27. februára 2008, veci 1 BvR 370/07, 1 BvR 595/07.

POSTUP GESTORSKÉHO VÝBORU

Názov

Nariadenie o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

Referenčné čísla

COM(2017)0477 – C8-0310/2017 – 2017/0225(COD)

Dátum predloženia EP

13.9.2017

 

 

 

Gestorský výbor

       dátum oznámenia na schôdzi

ITRE

23.10.2017

 

 

 

Výbory požiadané o stanoviská

       dátum oznámenia na schôdzi

AFET

8.2.2018

BUDG

23.10.2017

IMCO

23.10.2017

LIBE

23.10.2017

Bez predloženia stanovísk

       dátum rozhodnutia

AFET

4.12.2017

 

 

 

Pridružené výbory

       dátum oznámenia na schôdzi

IMCO

18.1.2018

 

 

 

Spravodajkyňa

       dátum vymenovania

Angelika Niebler

27.10.2017

 

 

 

Prerokovanie vo výbore

21.3.2018

23.4.2018

 

 

Dátum prijatia

10.7.2018

 

 

 

Výsledok záverečného hlasovania

+:

–:

0:

56

5

1

Poslanci prítomní na záverečnom hlasovaní

Zigmantas Balčytis, Bendt Bendtsen, Xabier Benito Ziluaga, José Blanco López, David Borrelli, Jonathan Bullock, Cristian-Silviu Buşoi, Jerzy Buzek, Angelo Ciocca, Edward Czesak, Jakop Dalunde, Pilar del Castillo Vera, Christian Ehler, Fredrick Federley, Ashley Fox, Adam Gierek, Theresa Griffin, Rebecca Harms, Barbara Kappel, Krišjānis Kariņš, Jeppe Kofod, Jaromír Kohlíček, Peter Kouroumbashev, Zdzisław Krasnodębski, Christelle Lechevalier, Janusz Lewandowski, Edouard Martin, Tilly Metz, Csaba Molnár, Nadine Morano, Angelika Niebler, Morten Helveg Petersen, Miroslav Poche, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Neoklis Sylikiotis, Dario Tamburrano, Patrizia Toia, Evžen Tošenovský, Vladimir Urutchev, Kathleen Van Brempt, Henna Virkkunen, Lieve Wierinck, Hermann Winkler, Anna Záborská, Flavio Zanonato, Carlos Zorrinho

Náhradníci prítomní na záverečnom hlasovaní

Michał Boni, Rosa D’Amato, Eugen Freund, Gunnar Hökmark, Benedek Jávor, Werner Langen, Olle Ludvigsson, Marisa Matias, Gesine Meissner, Pavel Telička

Náhradníci (čl. 200 ods. 2) prítomní na záverečnom hlasovaní

Romeo Franz, Emilian Pavel, Ulrike Rodust

Dátum predloženia

30.7.2018

ZÁVEREČNÉ HLASOVANIE PODĽA MIEN V GESTORSKOM VÝBORE

56

+

ALDE

Fredrick Federley, Gesine Meissner, Morten Helveg Petersen, Pavel Telička, Lieve Wierinck

ECR

Edward Czesak, Ashley Fox, Zdzisław Krasnodębski, Evžen Tošenovský

EFDD

Rosa D'Amato, Dario Tamburrano

ENF

Barbara Kappel, Christelle Lechevalier

NI

David Borrelli

PPE

Bendt Bendtsen, Michał Boni, Cristian-Silviu Buşoi, Jerzy Buzek, Pilar del Castillo Vera, Christian Ehler, Gunnar Hökmark, Krišjānis Kariņš, Werner Langen, Janusz Lewandowski, Nadine Morano, Angelika Niebler, Paul Rübig, Massimiliano Salini, Algirdas Saudargas, Sven Schulze, Vladimir Urutchev, Henna Virkkunen, Hermann Winkler, Anna Záborská

S&D

Zigmantas Balčytis, José Blanco López, Eugen Freund, Adam Gierek, Theresa Griffin, Jeppe Kofod, Peter Kouroumbashev, Olle Ludvigsson, Edouard Martin, Csaba Molnár, Emilian Pavel, Miroslav Poche, Ulrike Rodust, Patrizia Toia, Kathleen Van Brempt, Flavio Zanonato, Carlos Zorrinho

VERTS/ALE

Jakop Dalunde, Romeo Franz, Rebecca Harms, Benedek Jávor, Tilly Metz

5

-

EFDD

Jonathan Bullock

GUE/NGL

Xabier Benito Ziluaga, Jaromír Kohlíček, Marisa Matias, Neoklis Sylikiotis

1

0

ENF

Angelo Ciocca

Vysvetlenie použitých znakov:

+  :  za

-  :  proti

0  :  zdržali sa hlasovania

Posledná úprava: 29. augusta 2018
Právne upozornenie - Politika ochrany súkromia