ZPRÁVA o návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Výbor pro průmysl, výzkum a energetiku
Zpravodaj: Bart Groothuis
Zpravodaj (*):
Lukas Mandl, Výbor pro občanské svobody, spravedlnost a vnitřní věci
(*) Přidružené výbory – článek 57 jednacího řádu

NÁVRH LEGISLATIVNÍHO USNESENÍ EVROPSKÉHO PARLAMENTU

o návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Řádný legislativní postup: první čtení)

Evropský parlament,

– s ohledem na návrh Komise předložený Evropskému parlamentu a Radě (COM(2020)0823),

– s ohledem na čl. 294 odst. 2 a článek 114 Smlouvy o fungování Evropské unie, v souladu se kterými Komise předložila svůj návrh Parlamentu (C9-0422/20200),

– s ohledem na čl. 294 odst. 3 Smlouvy o fungování Evropské unie,

– s ohledem na stanovisko Evropského hospodářského a sociálního výboru [27.dubna 2021][1],

– po konzultaci s Výborem regionů,

– s ohledem na článek 59 jednacího řádu,

– s ohledem na stanoviska Výbor pro občanské svobody, spravedlnost a vnitřní věci, Výboru pro zahraniční věci, Výboru pro vnitřní trh a ochranu spotřebitelů a Výboru pro dopravu a cestovní ruch,

– s ohledem na zprávu Výboru pro průmysl, výzkum a energetiku (A9-0313/2021),

1. přijímá níže uvedený postoj v prvním čtení;

2. vyzývá Komisi, aby věc znovu postoupila Parlamentu, jestliže svůj návrh nahradí jiným textem, podstatně jej změní nebo má v úmyslu jej podstatně změnit;

3. pověřuje svého předsedu, aby předal postoj Parlamentu Radě, Komisi, jakož i vnitrostátním parlamentům.

Pozměňovací návrh  1

 

Návrh směrnice

Název

Znění navržené Komisí	Pozměňovací návrh
Návrh	Návrh
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY	SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY
o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148	o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (směrnice NIS 2) a o zrušení směrnice (EU) 2016/1148

Pozměňovací návrh  2

 

Návrh směrnice

Bod odůvodnění 1

Znění navržené Komisí	Pozměňovací návrh
(1) Cílem směrnice Evropského parlamentu a Rady (EU) 2016/114811 bylo budovat schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě kybernetických bezpečnostních incidentů, a přispívat tak k účinnému fungování hospodářství a společnosti v Unii.	(1) Cílem směrnice Evropského parlamentu a Rady (EU) 2016/114811, běžně označované jako „směrnice NIS“ bylo budovat schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě kybernetických bezpečnostních incidentů, a přispívat tak k bezpečnosti a účinnému fungování hospodářství a společnosti v Unii.
__________________	__________________
11 Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194/1, 19.7.2016, s. 1). 1).	11 Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194/1, 19.7.2016, s. 1). 1).

Pozměňovací návrh  3

 

Návrh směrnice

Bod odůvodnění 3

Znění navržené Komisí	Pozměňovací návrh
(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím.	(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím. Kybernetická bezpečnost je navíc klíčovým faktorem, který mnoha kritickým odvětvím umožňuje zapojit se do digitální transformace a plně využívat hospodářských, sociálních a udržitelných přínosů digitalizace.

Pozměňovací návrh  4

 

Návrh směrnice

Bod odůvodnění 3 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(3a) Rozsáhlé kybernetické bezpečnostní incidenty a krize na úrovni Unie vyžadují koordinovaná opatření k zajištění rychlé a účinné reakce z důvodu vysokého stupně vzájemné závislosti mezi jednotlivými odvětvími a zeměmi. Pro zajištění bezpečnosti Unie v rámci jejích hranic i mimo ně má zásadní význam dostupnost kyberneticky odolných sítí a informačních systémů a dostupnost, důvěrnost a integrita údajů, jelikož kybernetické hrozby mohou přicházet i ze zemí mimo Unii. Snaha EU získat významnější geopolitickou úlohu vyžaduje rovněž důvěryhodnou kybernetickou ochranu a odrazování, včetně schopnosti včas a účinně identifikovat zlovolná opatření a odpovídajícím způsobem na ně reagovat.

Pozměňovací návrh  5

 

Návrh směrnice

Bod odůvodnění 5

Znění navržené Komisí	Pozměňovací návrh
(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.	(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Tyto rozdíly by v konečném důsledku mohly vést k větší zranitelnosti některých členských států vůči hrozbám v oblasti kybernetické bezpečnosti, což může mít dopady na celou Unii. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí (směrnice NIS 2).

Pozměňovací návrh  6

 

Návrh směrnice

Bod odůvodnění 6

Znění navržené Komisí	Pozměňovací návrh
(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14.	(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily prevenci, vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14.
__________________	__________________
14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).	14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).

Pozměňovací návrh  7

 

Návrh směrnice

Bod odůvodnění 7

Znění navržené Komisí	Pozměňovací návrh
(7) Se zrušením směrnice (EU) 2016/1148 by vzhledem k aspektům uvedeným ve 4. až 6. bodě odůvodnění měla být oblast působnosti podle odvětví rozšířena na větší část ekonomiky. Odvětví pokrytá směrnicí (EU) 2016/1148 by proto měla být rozšířena tak, aby bylo zajištěno komplexní pokrytí odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu. Pravidla by se neměla lišit podle toho, zda jsou subjekty provozovateli základních služeb nebo poskytovateli digitálních služeb. Toto rozlišení se ukázalo jako zastaralé, neboť nezohledňuje skutečnou důležitost odvětví nebo služeb z hlediska společenských a hospodářských činností na vnitřním trhu.	(7) Se zrušením směrnice (EU) 2016/1148 by vzhledem k aspektům uvedeným ve 4. až 6. bodě odůvodnění měla být oblast působnosti podle odvětví rozšířena na větší část ekonomiky. Odvětví pokrytá směrnicí (EU) 2016/1148 by proto měla být rozšířena tak, aby bylo zajištěno komplexní pokrytí odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu. Požadavky na řízení rizik a oznamovací povinnosti by se neměly lišit podle toho, zda jsou subjekty provozovateli základních služeb nebo poskytovateli digitálních služeb. Toto rozlišení se ukázalo jako zastaralé, neboť nezohledňuje skutečnou důležitost odvětví nebo služeb z hlediska společenských a hospodářských činností na vnitřním trhu.

Pozměňovací návrh  8

 

Návrh směrnice

Bod odůvodnění 8

Znění navržené Komisí	Pozměňovací návrh
(8) V souladu se směrnicí (EU) 2016/1148 byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb (dále jen „proces určování“). S cílem odstranit značné rozdíly mezi členskými státy v tomto ohledu a zajistit právní jistotu pro všechny příslušné subjekty, pokud jde o požadavky na řízení rizik a povinnosti hlášení, by mělo být stanoveno jednotné kritérium, které určí subjekty, jež spadají do oblasti působnosti této směrnice. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny střední a velké podniky ve smyslu doporučení Komise 2003/361/ES15, které působí v odvětvích nebo poskytují druh služeb, na něž se vztahuje tato směrnice. Od členských států by nemělo být vyžadováno, aby stanovily seznam subjektů, které splňují toto obecně použitelné kritérium související s velikostí podniku.	(8) V souladu se směrnicí (EU) 2016/1148 byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb (dále jen „proces určování“). S cílem odstranit značné rozdíly mezi členskými státy v tomto ohledu a zajistit právní jistotu pro všechny příslušné subjekty, pokud jde o požadavky na řízení rizik a povinnosti hlášení, by mělo být stanoveno jednotné kritérium, které určí subjekty, jež spadají do oblasti působnosti této směrnice. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny střední a velké podniky ve smyslu doporučení Komise 2003/361/ES15, které působí v odvětvích nebo poskytují druh služeb, na něž se vztahuje tato směrnice.
__________________	__________________
15 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).	15 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).

Pozměňovací návrh  9

 

Návrh směrnice

Bod odůvodnění 9

Znění navržené Komisí	Pozměňovací návrh
(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi.	(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb.

Pozměňovací návrh  10

 

Návrh směrnice

Bod odůvodnění 9 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(9a) Členské státy by měly sestavit seznam všech základních a důležitých subjektů. Tento seznam by měl zahrnovat subjekty, které splňují obecně platná kritéria týkající se velikosti, jakož i malé podniky a mikropodniky, které splňují určitá kritéria, jež ukazují na jejich klíčovou úlohu pro hospodářství nebo společností členských států. Aby týmy pro reakce na počítačové bezpečnostní incidenty (CSIRT) a příslušné orgány mohly těmto subjektům poskytovat pomoc a varovat je před kybernetickými incidenty, které by je mohly postihnout, je důležité, aby tyto orgány měly správné kontaktní údaje těchto subjektů. Základní a důležité subjekty by proto měly příslušným orgánům poskytovat alespoň tyto informace: název subjektu, adresu a aktuální kontaktní údaje, jako jsou e-mailové adresy, rozsah IP adres, telefonní čísla a příslušná odvětví a pododvětví uvedená v přílohách I a II. Subjekty by měly příslušným orgánům oznamovat veškeré změny těchto informací. Členské státy by měly bez zbytečného odkladu zajistit, aby tyto informace mohly být snadno poskytovány prostřednictvím jednotného kontaktního místa. Za tímto účelem by Agentura ENISA spolu se skupinou pro spolupráci měla bez zbytečného odkladu vydat pokyny a šablony pro oznamovací povinnosti. Členské státy by měly Komisi a skupině pro spolupráci oznámit počet základních a důležitých subjektů. Členské státy by měly Komisi pro účely přezkumu uvedeného v této směrnici rovněž oznámit názvy malých podniků a mikropodniků, které byly určeny základní a důležité subjekty, aby Komise mohla posoudit soudržnost přístupů jednotlivých členských států. Tyto informace by měly být považovány za přísně důvěrné.

Pozměňovací návrh  11

 

Návrh směrnice

Bod odůvodnění 10

Znění navržené Komisí	Pozměňovací návrh
(10) Komise může ve spolupráci se skupinou pro spolupráci vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky.	(10) Komise by ve spolupráci se skupinou pro spolupráci a relevantními zúčastněnými stranami měla vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky. Komise by rovněž měla zajistit, že budou všem mikropodnikům a malým podnikům spadajícím do oblasti působnosti této směrnice poskytovány vhodné pokyny. V této souvislosti by Komise s podporou členských států měla mikropodnikům a malým podnikům poskytovat informace.

Pozměňovací návrh  12

 

Návrh směrnice

Bod odůvodnění 10 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(10a) Komise by rovněž měla vydat pokyny s cílem pomoci členským státům správně provádět ustanovení týkající se oblasti působnosti této směrnice a vyhodnotit přiměřenost povinností stanovených touto směrnicí, zejména pokud jde o subjekty s komplexními obchodními modely nebo provozním prostředím, kdy určitý subjekt může současně splňovat kritéria stanovená pro základní i důležité subjekty nebo současně vykonávat činnosti, z nichž některé spadají do oblasti působnosti této směrnice, a jiné nikoli.

Pozměňovací návrh  13

 

Návrh směrnice

Bod odůvodnění 12

Znění navržené Komisí	Pozměňovací návrh
(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly incidenty nebo závažné kybernetické hrozby s alespoň rovnocenným účinkem jako povinnosti stanovené v této směrnici, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Komise může vydávat pokyny v souvislosti s prováděním lex specialis. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.	(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Akty Unie specifické pro určitá odvětví, které vyžadují, aby základní nebo důležité subjekty přijímaly opatření k řízení kybernetických bezpečnostních rizik nebo oznamovaly závažné incidenty, by pokud možno měly být v souladu s příslušnou terminologií a odkazovat na definice stanovené v této směrnici. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik nebo aby oznamovaly incidenty, a pokud tyto požadavky mají alespoň rovnocenný účinek jako povinnosti stanovené v této směrnici a pokud se vztahují na všechny bezpečnostní aspekty operací a služeb poskytovaných základními a důležitými subjekty, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Komise by měla vydávat komplexní pokyny v souvislosti s prováděním lex specialis s přihlédnutím k příslušným stanoviskům, odborným znalostem a osvědčeným postupům agentury ENISA a skupiny pro spolupráci. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů, které řádně zohlední potřebu komplexního a soudržného rámce pro kybernetickou bezpečnost. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.

Pozměňovací návrh  14

 

Návrh směrnice

Bod odůvodnění 14

Znění navržené Komisí	Pozměňovací návrh
(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX17 a k této směrnici. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi příslušným orgánem podle této směrnice a příslušným orgánem podle směrnice (EU) XXX/XXX v souvislosti se sdílením informací o incidentech a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat a vyměňovat si informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých klíčovými subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX vykonávaly své dohledové a vymáhací pravomoci vůči subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace.	(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX17 a k této směrnici. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi příslušnými orgány v rámci jednotlivých členských států i mezi nimi podle této směrnice a podle směrnice (EU) XXX/XXX, v souvislosti se sdílením informací o incidentech a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat a vyměňovat si bez zbytečného odkladu informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých klíčovými subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX vykonávaly své dohledové a vymáhací pravomoci vůči subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace, pokud možno v reálném čase.
__________________	__________________
17 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	17 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  15

 

Návrh směrnice

Bod odůvodnění 15

Znění navržené Komisí	Pozměňovací návrh
(15) Podpora a ochrana spolehlivého, odolného a bezpečného systému doménových jmen jsou klíčovým faktorem pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika a společnost. Tato směrnice by se proto měla vztahovat na všechny poskytovatele služeb systému doménových jmen v celém řetězci řešení systému doménových jmen, včetně operátorů kořenových jmenných serverů, serverů internetových domén nejvyšší úrovně, autoritativních jmenných serverů pro doménová jména a rekurzivních resolverů.	(15) Podpora a ochrana spolehlivého, odolného a bezpečného systému doménových jmen jsou klíčovým faktorem pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika a společnost. Tato směrnice by se proto měla vztahovat na servery internetových domén nejvyšší úrovně, veřejně dostupné rekurzívní služby pro překlad doménových jmen pro koncové uživatele internetu a autoritativní služby pro překlad doménových jmen. Tato směrnice se nevztahuje na kořenové jmenné servery.

Pozměňovací návrh  16

 

Návrh směrnice

Bod odůvodnění 19

Znění navržené Komisí	Pozměňovací návrh
(19) Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES18 a rovněž poskytovatelé expresních a kurýrních doručovacích služeb by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, a zejména výběr, třídění nebo dodání, včetně služeb souvisejících s vyzvedáváním. Přepravní služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by neměly spadat do oblasti působnosti poštovních služeb.	(19) Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES18 a rovněž poskytovatelé expresních a kurýrních doručovacích služeb by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, a zejména výběr, třídění nebo dodání, včetně služeb souvisejících s vyzvedáváním, a současně by měla být zohledněna míra jejich závislosti na síťových a informačních systémech. Přepravní služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by neměly spadat do oblasti působnosti poštovních služeb.
__________________	__________________
18 Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby (Úř. věst. L 15, 21.1.1998, s. 14).	18 Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby (Úř. věst. L 15, 21.1.1998, s. 14).

Pozměňovací návrh  17

 

Návrh směrnice

Bod odůvodnění 20

Znění navržené Komisí	Pozměňovací návrh
(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.	(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Vystupňované útoky na síťové a informační systémy během pandemie COVID-19 poukázaly na zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.

Pozměňovací návrh  18

 

Návrh směrnice

Bod odůvodnění 24

Znění navržené Komisí	Pozměňovací návrh
(24) Členské státy by měly být náležitě vybaveny jak po technické, tak po organizační stránce, aby mohly předcházet incidentům a rizikům spojeným se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Členské státy by proto měly zajistit, aby dobře fungovaly jejich týmy CSIRT, rovněž označované jako týmy CERT (týmy pro reakci na počítačové hrozby), které budou splňovat základní požadavky, tak aby byly zaručeny jejich efektivní a kompatibilní schopnosti řešit incidenty a rizika a aby byla zajištěna účinná spolupráce na úrovni Unie. V zájmu posílení důvěry mezi subjekty a týmy CSIRT v případech, kdy je tým CSIRT součástí příslušného orgánu, by členské státy měly zvážit funkční oddělení operativních úkolů plněných týmy CSIRT, zejména v souvislosti se sdílením informací a podporou poskytovanou subjektům, od činností příslušných orgánů v oblasti dohledu.	(24) Členské státy by měly být náležitě vybaveny jak po technické, tak po organizační stránce, aby mohly předcházet incidentům a rizikům spojeným se sítěmi a informačními systémy, odhalovat je, reagovat na ně a zmírňovat je. Členské státy by proto měly na základě této směrnice určit jeden nebo více týmů CSIRT a zajistit, aby dobře fungovaly, splňovaly základní požadavky tak, aby byly zaručeny jejich efektivní a kompatibilní schopnosti řešit incidenty a rizika a aby byla zajištěna účinná spolupráce na úrovni Unie. Členské státy mohou jako týmy CSIRT určit stávající týmy pro reakci na počítačové hrozby (CERT). V zájmu posílení důvěry mezi subjekty a týmy CSIRT v případech, kdy je tým CSIRT součástí příslušného orgánu, by členské státy měly zvážit funkční oddělení operativních úkolů plněných týmy CSIRT, zejména v souvislosti se sdílením informací a podporou poskytovanou subjektům, od činností příslušných orgánů v oblasti dohledu.

Pozměňovací návrh  19

 

Návrh směrnice

Bod odůvodnění 25

Znění navržené Komisí	Pozměňovací návrh
(25) Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 jménem a na žádost subjektu podle této směrnice aktivně prohledávaly sítě a informační systémy, které používá k poskytování svých služeb. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA).	(25) Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 jménem a na žádost subjektu podle této směrnice, nebo v případě vážného ohrožení národní bezpečnosti, aktivně prohledávaly sítě a informační systémy, které používá k poskytování svých služeb. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA).
__________________	__________________
19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).	19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

Pozměňovací návrh 20

 

Návrh směrnice

Bod odůvodnění 25 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(25a) Týmy CSIRT by měly být na žádost subjektu schopny průběžně vyhledávat, spravovat a sledovat veškerá aktiva orientovaná na internet, a to jak v provozovnách, tak mimo ně, aby pochopily, jaké celkové riziko pro daný podnik vyplývá z nově objeveného ohrožení dodavatelského řetězce nebo kritických zranitelných míst. Informace o tom, zda subjekt provozuje privilegované rozhraní pro správu, ovlivňuje rychlost přijímání zmírňujících opatření.

Pozměňovací návrh  21

 

Návrh směrnice

Bod odůvodnění 26

Znění navržené Komisí	Pozměňovací návrh
(26) S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také dalších sítí pro mezinárodní spolupráci.	(26) S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také dalších sítí pro mezinárodní spolupráci, včetně týmů CSIRT ze třetích zemí, pokud by docházelo ke vzájemné spolupráci, která by měla přínos pro bezpečnost občanů a subjektů, s cílem přispět k rozvoji standardů Unie, které mohou formovat podmínky v oblasti kybernetické bezpečnosti na mezinárodní úrovni. Členské státy by rovněž mohly prozkoumat možnost prohloubení spolupráce s podobně smýšlejícími partnerskými zeměmi a mezinárodními organizacemi s cílem zajistit mnohostranné dohody o kybernetických normách, odpovědném chování státu a nestátních subjektů v kyberprostoru a účinné globální digitální správě, jakož i vytvořit otevřený, svobodný, stabilní a bezpečný kyberprostor založený na mezinárodním právu.

Pozměňovací návrh  22

 

Návrh směrnice

Bod odůvodnění 26 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(26a) Politiky v oblasti kybernetické hygieny poskytují základy pro ochranu infrastruktur sítí a informačních systémů, hardwaru, softwaru a bezpečnosti aplikací on-line a údajů o podnicích nebo o koncových uživatelích, na něž se subjekty spoléhají. Politiky v oblasti kybernetické hygieny zahrnující společný základní soubor postupů, mimo jiné aktualizace softwaru a hardwaru, změny hesel, řízení nových instalací, omezení přístupových účtů na úrovni administrátorů a zálohování údajů, umožňují proaktivní rámec připravenosti a celkové bezpečnosti a ochrany v případě incidentů nebo hrozeb. Agentura ENISA by měla sledovat a hodnotit politiky členských států v oblasti kybernetické hygieny a zkoumat režimy na úrovni EU, které by umožňovaly přeshraniční kontroly zajišťující rovnocennost nezávisle na požadavcích členských států.

Pozměňovací návrh  23

 

Návrh směrnice

Bod odůvodnění 26 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(26b) Využívání umělé inteligence (UI) v kybernetické bezpečnosti má potenciál zlepšit odhalování a zastavit útoky na sítě a informační systémy, a umožnit tak přesun zdrojů směrem k důmyslnějším útokům. Členské státy by proto měly ve svých vnitrostátních strategiích podporovat využívání (polo)automatizovaných nástrojů v oblasti kybernetické bezpečnosti a sdílení údajů potřebných pro odbornou přípravu a zlepšování automatizovaných nástrojů v oblasti kybernetické bezpečnosti. Za účelem zmírnění rizika nepřiměřeného zásahu do práv a svobod jednotlivců, které mohou systémy využívající umělou inteligenci představovat, se použijí požadavky na záměrnou a standardní ochranu údajů stanovené v článku 25 nařízení (EU) 2016/679. Tato rizika by mohla dále být zmírněna začleněním vhodných záruk, jako je pseudonymizace, šifrování, přesnost údajů a minimalizace údajů.

Pozměňovací návrh  24

 

Návrh směrnice

Bod odůvodnění 26 c (nový)

Znění navržené Komisí	Pozměňovací návrh
	(26c) Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem přispívají k vyšší míře transparentnosti a mají pozitivní dopad na účinnost průmyslové inovace. Otevřené normy usnadňují interoperabilitu mezi bezpečnostními nástroji a přispívají k bezpečnosti odvětvových zúčastněných stran. Nástroje a aplikace kybernetické bezpečnosti s otevřeným zdrojovým kódem mohou pomáhat širší komunitě vývojářů, a umožnit tak jednotlivým subjektům uplatňovat diverzifikaci prodejců a strategie otevřené bezpečnosti. Otevřená bezpečnost může vést k transparentnějšímu procesu ověřování nástrojů souvisejících s kybernetickou bezpečností a ke komunitnímu procesu zjišťování zranitelných míst. Členské státy by proto měly podporovat přijímání softwaru s otevřeným zdrojovým kódem a otevřených standardů tím, že budou provádět politiky spojené s využíváním otevřených dat a otevřených zdrojů v rámci koncepce „bezpečnost prostřednictvím transparentnosti“. Politiky, které podporují přijímání a udržitelné využívání nástrojů kybernetické bezpečnosti s otevřeným zdrojovým kódem, mají zvláštní význam pro malé a střední podniky, které se potýkají se značnými prováděcími náklady, jež by bylo možné minimalizovat tím, že bude zapotřebí méně specifických aplikací nebo nástrojů.

Pozměňovací návrh  25

 

Návrh směrnice

Bod odůvodnění 26 d (nový)

Znění navržené Komisí	Pozměňovací návrh
	(26d) Partnerství veřejného a soukromého sektoru v oblasti kybernetické bezpečnosti mohou poskytnout vhodný rámec pro výměnu znalostí, sdílení osvědčených postupů a zavedení společné úrovně porozumění mezi všemi zúčastněnými stranami. Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti přijmout politiky na podporu vytváření partnerství veřejného a soukromého sektoru specificky zaměřených na kybernetickou bezpečnost. Tyto politiky by měly mimo jiné vyjasnit rozsah a zúčastněné strany, model řízení, dostupné možnosti financování a interakci mezi zúčastněnými stranami. Partnerství veřejného a soukromého sektoru mohou využít odborné znalosti subjektů ze soukromého sektoru na podporu příslušných orgánů členských států při vývoji špičkových služeb a procesů, mimo jiné včetně výměny informací, včasného varování, nácviků kybernetických hrozeb a incidentů, krizového řízení a plánování odolnosti.

Pozměňovací návrh  26

 

Návrh směrnice

Bod odůvodnění 27

Znění navržené Komisí	Pozměňovací návrh
(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.	(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu nebo představují vážná rizika pro veřejnou bezpečnost subjektů nebo občanů v několika členských státech nebo v Unii jako celku. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.
__________________	__________________
20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).	20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).

Pozměňovací návrh  27

 

Návrh směrnice

Bod odůvodnění 27 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(27a) Členské státy by se měly ve svých národních strategiích kybernetické bezpečnosti zabývat specifickými potřebami malých a středních podniků v oblasti kybernetické bezpečnosti. Malé a střední podniky představují v rámci Unie významný podíl průmyslového a obchodního trhu a často mají problém přizpůsobit se novým obchodním postupům v propojenějším světě, orientovat se v digitálním prostředí v situaci, kdy zaměstnanci pracují z domova a obchodní činnost stále častěji probíhá on-line. Některé malé a střední podniky čelí specifickým problémům v oblasti kybernetické bezpečnosti, jako je nízké povědomí o kybernetickém prostoru, nedostatečná bezpečnost IT na dálku, vysoké náklady na řešení v oblasti kybernetické bezpečnosti a zvýšená míra ohrožení, například ransomware, v souvislosti s nimiž by se jim mělo dostat vedení a podpory. Členské státy by měly zavést jednotné kontaktní místo pro kybernetickou bezpečnost pro malé a střední podniky, které malým a středním podnikům buď poskytne vedení a podporu, nebo je nasměruje k příslušným subjektům pro vedení a podporu v otázkách týkajících se kybernetické bezpečnosti. Členské státy jsou vybízeny, aby malým podnikům a mikropodnikům, které nemají příslušné kapacity, nabízely také služby, jako je konfigurace internetových stránek a vedení protokolů.

Pozměňovací návrh  28

 

Návrh směrnice

Bod odůvodnění 27 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(27b) Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti přijmout politiky na podporu aktivní kybernetické obrany. Aktivní kybernetická obrana je proaktivní prevence, zjišťování, monitorování, analýza a zmírňování narušení bezpečnosti sítě v kombinaci s využitím schopností nasazených v síti, která je předmětem útoku, i mimo ni. Má-li být možné vyvíjet jednotné úsilí o úspěšné odhalování, prevenci a řešení útoků proti sítím a informačním systémům, je zásadně důležitá schopnost rychle a automaticky sdílet a chápat informace a analýzy týkající se hrozeb, varování v souvislosti s kybernetickými aktivitami a opatření reakce. Aktivní kybernetická obrana spočívá na obranné strategii, která vylučuje útočná opatření proti kritické civilní infrastruktuře.

Pozměňovací návrh  29

 

Návrh směrnice

Bod odůvodnění 28

Znění navržené Komisí	Pozměňovací návrh
(28) Využití zranitelných míst v sítích a informačních systémech může způsobit vážná narušení a škody, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování kybernetických bezpečnostních rizik. Subjekty, které takové systémy vyvíjejí, by proto měly stanovit vhodné postupy k řešení zranitelných míst, jakmile jsou zjištěna. Jelikož zranitelná místa jsou často zjištěna a ohlášena (odhalena) třetími stranami (subjekty ohlašujícími incidenty), výrobce nebo poskytovatel produktů nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelných místech od třetích stran. Vodítko pro řešení zranitelností a odhalování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29417. Pokud jde o odhalování zranitelných míst, je obzvláště důležitá koordinace mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů nebo služeb IKT. Koordinované odhalování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelná místa hlášena organizacím takovým způsobem, který organizaci umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované odhalování zranitelností by také mělo zahrnovat koordinaci mezi subjektem ohlašujícím incidenty a organizací, pokud jde o načasování odstranění a zveřejnění zranitelných míst.	(28) Využití zranitelných míst v sítích a informačních systémech může způsobit vážná narušení a škody, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování kybernetických bezpečnostních rizik. Subjekty, které takové systémy vyvíjejí, by proto měly stanovit vhodné postupy k řešení zranitelných míst, jakmile jsou zjištěna. Jelikož zranitelná místa jsou často zjištěna a ohlášena (odhalena) třetími stranami (subjekty ohlašujícími incidenty), výrobce nebo poskytovatel produktů nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelných místech od třetích stran. Vodítko pro řešení zranitelností a odhalování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29417. Pro usnadnění dobrovolného rámce pro odhalování zranitelností je zvláště důležité posílení koordinace mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů nebo služeb IKT. Koordinované odhalování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelná místa hlášena organizacím takovým způsobem, který organizaci umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované odhalování zranitelností by také mělo zahrnovat koordinaci mezi subjektem ohlašujícím incidenty a organizací, pokud jde o načasování odstranění a zveřejnění zranitelných míst.

Pozměňovací návrh  30

 

Návrh směrnice

Bod odůvodnění 28 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(28a) Komise, agentura ENISA a členské státy by měly i nadále podporovat mezinárodní sbližování s normami a stávajícími odvětvovými osvědčenými postupy v oblasti řízení rizik, např. v oblastech posuzování bezpečnosti dodavatelského řetězce, sdílení informací a odhalování zranitelností.

Pozměňovací návrh  31

 

Návrh směrnice

Bod odůvodnění 29

Znění navržené Komisí	Pozměňovací návrh
(29) Členské státy by proto měly stanovit příslušnou vnitrostátní politiku a přijmout tak opatření k usnadnění koordinovaného odhalování zranitelností. V této souvislosti by členské státy měly určit tým CSIRT, který převezme úlohu „koordinátora“ a v případě potřeby bude působit jako zprostředkovatel mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů nebo služeb IKT. Úkoly koordinátora týmů CSIRT by měly zahrnovat zejména určení a kontaktování dotčených subjektů, podporu subjektů ohlašujících incidenty, dojednávání harmonogramů odhalení a řízení zranitelností, které se dotýkají mnoha organizací (odhalování zranitelností ohrožujících více stran). Pokud se zranitelná místa dotýkají více výrobců nebo poskytovatelů produktů nebo služeb IKT, kteří jsou usazení ve více než jednom členském státě, určené týmy CSIRT z každého z dotčených členských států by měly spolupracovat v rámci sítě CSIRT.	(29) Členské státy by proto měly ve spolupráci s agenturou ENISA stanovit příslušnou vnitrostátní politiku a přijmout tak opatření k usnadnění koordinovaného odhalování zranitelností. V rámci této vnitrostátní politiky by členské státy měly řešit problémy, s nimiž se potýkají výzkumní pracovníci zabývající se zranitelností. Subjekty a fyzické osoby, které zkoumají zranitelnosti, mohou být v některých členských státech vystaveny trestní a občanskoprávní odpovědnosti. Členské státy jsou proto vybízeny, aby vydaly pokyny týkající se nestíhání výzkumu v oblasti bezpečnosti informací a vynětí těchto činností z občanskoprávní odpovědnosti.

Pozměňovací návrh  32

 

Návrh směrnice

Bod odůvodnění 29 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(29a) Členské státy by měly určit tým CSIRT, který převezme úlohu „koordinátora“ a v případě potřeby bude působit jako zprostředkovatel mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů či služeb IKT, u nichž je pravděpodobné, že budou zranitelnostmi dotčeny. K úkolům koordinátora by mělo patřit zejména určení a kontaktování dotčených subjektů, podpora subjektů ohlašujících incidenty, dojednávání harmonogramů odhalení a řízení zranitelností, které se dotýkají více organizací (odhalování zranitelností ohrožujících více stran). Pokud se zranitelnosti dotýkají více výrobců nebo poskytovatelů produktů či služeb IKT, kteří jsou usazeni ve více než jednom členském státě, určené týmy CSIRT z každého z dotčených členských států by měly v rámci sítě CSIRT spolupracovat.

Pozměňovací návrh  33

 

Návrh směrnice

Bod odůvodnění 30

Znění navržené Komisí	Pozměňovací návrh
(30) Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. V této souvislosti jsou zdroje veřejně přístupných informací o zranitelných místech důležitým nástrojem pro subjekty a jejich uživatele, ale i pro příslušné vnitrostátní orgány v Unii a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla zavést registr zranitelností, kde základní a důležité subjekty a jejich dodavatelé, a stejně tak i subjekty, které nespadají do oblasti působnosti této směrnice, mohou na základě dobrovolnosti odhalovat zranitelná místa a poskytovat o nich informace, jež uživatelům umožní přijímat vhodná opatření ke zmírnění dopadů.	(30) Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. Zdroje veřejně přístupných informací o zranitelných místech jsou důležitým nástrojem pro subjekty a jejich uživatele, ale i pro příslušné vnitrostátní orgány a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla vytvořit databázi zranitelností, kde základní a důležité subjekty a jejich dodavatelé, a stejně tak i subjekty, které nespadají do oblasti působnosti této směrnice, mohou na základě dobrovolnosti odhalovat zranitelná místa a poskytovat o nich informace, jež uživatelům umožní přijímat vhodná opatření ke zmírnění dopadů. Tato databáze má za cíl zabývat se jedinečnými výzvami, které představují rizika v oblasti kybernetické bezpečnosti pro evropské subjekty. Agentura ENISA by nadto měla zavést odpovědný postup týkající se procesu zveřejňování, který poskytne subjektům čas k přijetí opatření zmírňujících jejich zranitelnosti, a uplatňovat nejmodernější opatření v oblasti kybernetické bezpečnosti a strojově čitelné datové soubory a odpovídající rozhraní (API). V zájmu podpory kultury odhalování zranitelností by odhalení nemělo způsobit újmu ohlašujícímu subjektu.

Pozměňovací návrh  34

 

Návrh směrnice

Bod odůvodnění 31

Znění navržené Komisí	Pozměňovací návrh
(31) Ačkoli podobné registry nebo databáze zranitelností existují, jsou hostovány a spravovány subjekty, které nejsou usazeny v Unii. Evropský registr zranitelností spravovaný agenturou ENISA by poskytl lepší transparentnost procesu odhalování předtím, než je zranitelné místo oficiálně zveřejněno, a odolnost v případech narušení nebo přerušení poskytování podobných služeb. S cílem zabránit zdvojení úsilí a v co největší možné míře usilovat o komplementaritu, by agentura ENISA měla zkoumat možnost uzavření strukturovaných dohod o spolupráci s podobnými registry v jurisdikcích třetích zemí.	(31) Evropská databáze zranitelností spravovaná agenturou ENISA by měla prostřednictvím svého rámce pro určování, sledování a bodování zranitelností využívat společný registr zranitelností a expozic (CVE). V zájmu zabránění zdvojování činnosti a úsilí o doplňkovost by agentura ENISA měla dále zkoumat možnost uzavření strukturovaných dohod o spolupráci s dalšími podobnými registry nebo databázemi v jurisdikcích třetích zemí.

Pozměňovací návrh  35

 

Návrh směrnice

Bod odůvodnění 33

Znění navržené Komisí	Pozměňovací návrh
(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel.	(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení – zejména pokud jde o usnadnění harmonizace při provádění této směrnice mezi členskými státy –, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel. V zájmu podpory kompatibility řešení v oblasti kybernetické bezpečnosti uplatňovaných v jednotlivých odvětvích v celé Unii by měla skupina pro spolupráci rovněž mapovat vnitrostátní řešení. To je obzvláště důležité pro odvětví, která jsou ze své povahy mezinárodní a přeshraniční.

Pozměňovací návrh  36

 

Návrh směrnice

Bod odůvodnění 34

Znění navržené Komisí	Pozměňovací návrh
(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Evropské centrum pro boj proti kyberkriminalitě (EC3), Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA).	(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro příslušné instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Europol, Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA).

Pozměňovací návrh  37

 

Návrh směrnice

Bod odůvodnění 35

Znění navržené Komisí	Pozměňovací návrh
(35) Příslušné orgány a týmy CSIRT by měly být zmocněny se účastnit výměnných programů pro úředníky z jiných členských států za účelem zlepšení spolupráce. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu.	(35) Za účelem zlepšení spolupráce a posílení důvěry mezi členskými státy by měly být příslušné orgány a týmy CSIRT zmocněny k účasti na výměnných programech pro úředníky z jiných členských států, a to v mezích strukturovaných pravidel a mechanismů, které zakládají oblast působnosti a případně požadovanou bezpečnostní prověrku úředníků účastnících se těchto výměnných programů. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu nebo týmu CSIRT.

Pozměňovací návrh  38

 

Návrh směrnice

Bod odůvodnění 36

Znění navržené Komisí	Pozměňovací návrh
(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Takové dohody by měly zajistit odpovídající ochranu údajů.	(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Takové dohody by měly zajistit zájmy Unie a odpovídající ochranu údajů. Tím není dotčeno právo členských států spolupracovat s podobně smýšlejícími třetími zeměmi na řízení zranitelností a řízení rizik v oblasti kybernetické bezpečnosti, jež usnadní podávání zpráv a obecné sdílení informací v souladu s právem Unie.

Pozměňovací návrh  39

 

Návrh směrnice

Bod odůvodnění 38

Znění navržené Komisí	Pozměňovací návrh
(38) Pro účely této směrnice by pojem „riziko“ měl poukazovat na možnost ztráty nebo narušení způsobených kybernetickým bezpečnostním incidentem a měl by být vyjádřen jako kombinace rozsahu takové ztráty nebo narušení a pravděpodobnosti vzniku uvedeného incidentu.	vypouští se

Pozměňovací návrh  40

 

Návrh směrnice

Bod odůvodnění 39

Znění navržené Komisí	Pozměňovací návrh
(39) Pro účely této směrnice by pojem „případy, kdy téměř došlo k incidentu“ měl poukazovat na událost, která by mohla potenciálně způsobit škodu, ale jejímu plnému projevení bylo úspěšně zabráněno.	vypouští se

Pozměňovací návrh  41

 

Návrh směrnice

Bod odůvodnění 40

Znění navržené Komisí	Pozměňovací návrh
(40) Opatření pro řízení rizik by měla zahrnovat opatření pro určení veškerých rizik incidentů, předcházení incidentům, jejich odhalování a řešení a zmírňování jejich dopadu. Bezpečnost sítí a informačních systémů by měla zahrnovat bezpečnost uchovávaných, předávaných a zpracovávaných údajů.	(40) Opatření pro řízení rizik by měla zahrnovat opatření pro určení veškerých rizik incidentů, předcházení incidentům, jejich odhalování, reakci na ně, zotavení se z nich a zmírňování jejich dopadu. Bezpečnost sítí a informačních systémů by měla zahrnovat bezpečnost uchovávaných, předávaných a zpracovávaných údajů. V zájmu získání úplného obrazu o bezpečnosti informačního systému by měly tyto systémy zajistit systémovou analýzu, rozčleněnou podle jednotlivých procesů a interakcí mezi subsystémy a zohledňující lidský faktor.

Pozměňovací návrh  42

 

Návrh směrnice

Bod odůvodnění 41

Znění navržené Komisí	Pozměňovací návrh
(41) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na základní a důležité subjekty nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření.	(41) Požadavky na řízení kybernetických bezpečnostních rizik by měly být úměrné rizikům, jež daná síť nebo informační systém obnáší, aby na základní a důležité subjekty nebyla uvalena nepřiměřená finanční a administrativní zátěž, a to s ohledem na nejnovější technický vývoj takových opatření a evropských nebo mezinárodních norem, jako jsou ISO31000 a ISA/IEC 27005.

Pozměňovací návrh  43

 

Návrh směrnice

Bod odůvodnění 43

Znění navržené Komisí	Pozměňovací návrh
(43) Řešení kybernetických bezpečnostních rizik vyplývajících z dodavatelského řetězce subjektu nebo jeho vztahů s dodavateli je zvlášť důležité vzhledem k počtu incidentů, kdy se subjekty staly obětí kybernetických útoků a kdy nepřátelské subjekty byly schopny narušit bezpečnost sítí a informačních systémů daného subjektu tím, že využily zranitelných míst v produktech a službách třetí strany. Subjekty by proto měly posoudit a zohlednit celkovou kvalitu produktů a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů k zajištění bezpečného vývoje.	(43) Řešení kybernetických bezpečnostních rizik vyplývajících z dodavatelského řetězce subjektu nebo jeho vztahů s dodavateli, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb, je zvlášť důležité vzhledem k počtu incidentů, kdy se subjekty staly obětí útoků na sítě a informační systémy a kdy nepřátelské subjekty byly schopny narušit bezpečnost sítí a informačních systémů daného subjektu tím, že využily zranitelných míst v produktech a službách třetí strany. Subjekty by proto měly posoudit a zohlednit celkovou kvalitu a odolnost produktů a služeb, opatření v oblasti kybernetické bezpečnosti, která zahrnují, a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů k zajištění bezpečného vývoje. Subjekty by měly být zejména vybízeny, aby začlenily opatření v oblasti kybernetické bezpečnosti do smluvních ujednání se svými přímými dodavateli a poskytovateli služeb. Subjekty by mohly přihlížet k rizikům v oblasti kybernetické bezpečnosti, jež mají původ u dodavatelů a poskytovatelů služeb dalších úrovní.

Pozměňovací návrh  44

 

Návrh směrnice

Bod odůvodnění 44

Znění navržené Komisí	Pozměňovací návrh
(44) Mezi poskytovateli služeb mají zvlášť důležitou úlohu v pomoci subjektům v jejich úsilí o odhalování a řešení incidentů poskytovatelé řízených bezpečnostních služeb v oblastech jako reakce na incidenty, penetrační testování, bezpečnostní audity a konzultační činnost. Tito poskytovatelé řízených bezpečnostních služeb však jsou rovněž sami cíli kybernetických útoků a kvůli své úzké integraci do provozu operátorů představují zvlášť vysoké kybernetické bezpečnostní riziko. Subjekty by proto měly při výběru poskytovatele řízených bezpečnostních služeb postupovat se zvýšenou pečlivostí.	(44) Mezi poskytovateli služeb mají zvlášť důležitou úlohu v pomoci subjektům v jejich úsilí o prevenci, odhalování a řešení incidentů a zotavení se z nich poskytovatelé řízených bezpečnostních služeb v oblastech jako reakce na incidenty, penetrační testování, bezpečnostní audity a konzultační činnost. Tito poskytovatelé řízených bezpečnostních služeb však jsou rovněž sami cíli kybernetických útoků a kvůli své úzké integraci do provozu operátorů představují zvlášť vysoké kybernetické bezpečnostní riziko. Subjekty by proto měly při výběru poskytovatele řízených bezpečnostních služeb postupovat se zvýšenou pečlivostí.

Pozměňovací návrh  45

 

Návrh směrnice

Bod odůvodnění 45

Znění navržené Komisí	Pozměňovací návrh
(45) Subjekty by rovněž měly řešit kybernetická bezpečnostní rizika vyplývající z jejich interakcí a vztahů s jinými zúčastněnými stranami v rámci širšího ekosystému. Subjekty by zejména měly přijetím vhodných opatření zajistit, že jejich spolupráce s akademickými a výzkumnými institucemi probíhá v souladu s jejich politikami kybernetické bezpečnosti a řídí se osvědčenými postupy, pokud jde o bezpečný přístup a šíření informací obecně a ochranu duševního vlastnictví zvláště. Podobně by subjekty, jsou-li závislé na službách transformace dat a analýzy dat poskytovaných třetími stranami, vzhledem k důležitosti a hodnotě dat pro jejich činnost měly přijmout veškerá vhodná opatření v oblasti kybernetické bezpečnosti.	(45) Subjekty by rovněž měly řešit kybernetická bezpečnostní rizika vyplývající z jejich interakcí a vztahů s jinými zúčastněnými stranami v rámci širšího ekosystému, včetně boje proti průmyslové špionáži a ochrany obchodního tajemství. Subjekty by zejména měly přijetím vhodných opatření zajistit, že jejich spolupráce s akademickými a výzkumnými institucemi probíhá v souladu s jejich politikami kybernetické bezpečnosti a řídí se osvědčenými postupy, pokud jde o bezpečný přístup a šíření informací obecně a ochranu duševního vlastnictví zvláště. Podobně by subjekty, jsou-li závislé na službách transformace dat a analýzy dat poskytovaných třetími stranami, vzhledem k důležitosti a hodnotě dat pro jejich činnost měly přijmout veškerá vhodná opatření v oblasti kybernetické bezpečnosti.

Pozměňovací návrh  46

 

Návrh směrnice

Bod odůvodnění 45 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(45a) Subjekty by měly přijmout širokou škálu základních postupů v oblasti kybernetické hygieny, k nimž patří architektura nulové důvěry, aktualizace softwaru, konfigurace zařízení, segmentace sítě, řízení identity a přístupu nebo povědomí uživatelů. Dále by měly pořádat školení pro své zaměstnance zaměřená na kybernetické hrozby spojené s podnikovým e-mailem, na phishing či na techniky sociálního inženýrství. Subjekty by dále měly hodnotit své vlastní schopnosti v oblasti kybernetické bezpečnosti a v zájmu automatizace svých schopností a ochrany síťové architektury případně usilovat o integraci technologií, které zvyšují kybernetickou bezpečnost a zakládají se na umělé inteligenci nebo systémech strojového učení.

Pozměňovací návrh  47

 

Návrh směrnice

Bod odůvodnění 46

Znění navržené Komisí	Pozměňovací návrh
(46) K dalšímu řešení klíčových rizik dodavatelského řetězce a na pomoc subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, aby odpovídajícím způsobem řídily dodavatelský řetězec a kybernetická bezpečnostní rizika související s dodavateli, by skupina pro spolupráci, jež zahrnuje příslušné vnitrostátní orgány, ve spolupráci s Komisí a agenturou ENISA měla provést koordinovaná posouzení rizik dodavatelských řetězců v jednotlivých odvětvích, jak bylo již provedeno pro sítě 5G v návaznosti na doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G21, za účelem určení příslušných hrozeb a zranitelných míst v každém odvětví, v němž existují kritické služby IKT, systémy nebo produkty IKT.	(46) K dalšímu řešení klíčových rizik dodavatelského řetězce a na pomoc subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, aby odpovídajícím způsobem řídily dodavatelský řetězec a kybernetická bezpečnostní rizika související s dodavateli, by skupina pro spolupráci, jež zahrnuje příslušné vnitrostátní orgány, ve spolupráci s Komisí a agenturou ENISA měla provést koordinovaná posouzení rizik dodavatelských řetězců, jak bylo již provedeno pro sítě 5G v návaznosti na doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G21, za účelem určení příslušných hrozeb a zranitelných míst v každém odvětví, v němž existují kritické služby, systémy nebo produkty IKT a IKS (informačních a komunikačních systémů). Uvedená posouzení rizik by měla určit opatření, plány zmírňování a osvědčené postupy ve vztahu ke kritickým závislostem, potenciálním jediným bodům selhání, hrozbám, zranitelnostem a dalším rizikům spojeným s dodavatelským řetězcem a měla by prozkoumat způsoby, jak subjekty dále podněcovat, aby je šířeji přijímaly. Potenciální netechnické rizikové faktory, jako je nepatřičný vliv třetí země na dodavatele a poskytovatele služeb, zejména v případě alternativních modelů správy, zahrnují skryté zranitelnosti nebo „zadní vrátka“ a možné systémové narušení dodávek, zejména v případě technologické závislosti nebo závislosti na poskytovateli.
__________________	__________________
21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).	21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).

Pozměňovací návrh  48

 

Návrh směrnice

Bod odůvodnění 47

Znění navržené Komisí	Pozměňovací návrh
(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: (i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; (ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; (iii) dostupnost alternativních služeb, systémů nebo produktů IKT; (iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.	(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: (i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; (ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; (iii) dostupnost alternativních služeb, systémů nebo produktů IKT; (iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT během celého jejich životního cyklu vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů. Zvláštní důraz je třeba dále klást na služby, systémy nebo produkty IKT, které podléhají specifickým požadavkům pocházejícím z třetích zemí.

Pozměňovací návrh  49

 

Návrh směrnice

Bod odůvodnění 47 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(47a) Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti, zřízená podle článku 22 nařízení Evropského parlamentu a Rady (EU) 2019/8811a, by měla vydat stanovisko k posouzení bezpečnostních rizik konkrétních kritických služeb, systémů nebo produktů IKT a IKS. Skupina pro spolupráci a agentura ENISA by měly k tomuto stanovisku přihlížet.
	__________________
	1a Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).

Pozměňovací návrh  50

 

Návrh směrnice

Bod odůvodnění 50

Znění navržené Komisí	Pozměňovací návrh
(50) Vzhledem k rostoucímu významu interpersonálních komunikačních služeb nezávislých na číslech je nutné zajistit, aby i tyto služby podléhaly odpovídajícím bezpečnostním požadavkům v souladu s jejich zvláštní povahou a ekonomickým významem. Provozovatelé takových služeb by tedy měli rovněž zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Vzhledem k tomu, že poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech obvykle nevykonávají skutečnou kontrolu nad přenosem signálů v sítích, lze míru rizika pro tyto služby v některých ohledech považovat za nižší než v případě tradičních služeb elektronických komunikací. Totéž platí o interpersonálních komunikačních službách, které využívají čísla a které nevykonávají skutečnou kontrolu nad přenosem signálů.	(50) Vzhledem k rostoucímu významu interpersonálních komunikačních služeb nezávislých na číslech je nutné zajistit, aby i tyto služby podléhaly odpovídajícím bezpečnostním požadavkům v souladu s jejich zvláštní povahou a ekonomickým významem. Provozovatelé takových služeb by tedy měli rovněž zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Vzhledem k tomu, že poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech obvykle nevykonávají skutečnou kontrolu nad přenosem signálů v sítích, lze míru rizika pro bezpečnost sítí u těchto služeb v některých ohledech považovat za nižší než v případě tradičních služeb elektronických komunikací. Totéž platí o interpersonálních komunikačních službách, které využívají čísla a které nevykonávají skutečnou kontrolu nad přenosem signálů. Jelikož se však prostor k útoku stále rozšiřuje, stávají se oblíbenými vektory útoků interpersonální komunikační služby nezávislé na číslech, mj. služby sociálních médií pro zasílání zpráv. Aktéři s nekalými úmysly využívají platformy ke komunikaci, při níž se snaží nalákat oběti, aby otevřely napadené internetové stránky. Tím se zvyšuje pravděpodobnost incidentů spojených s využíváním osobních údajů, což má pak důsledky pro bezpečnost informačních systémů.

Pozměňovací návrh  51

 

Návrh směrnice

Bod odůvodnění 51

Znění navržené Komisí	Pozměňovací návrh
(51) Vnitřní trh více než kdy předtím spoléhá na fungování internetu. Na službách poskytovaných po internetu jsou závislé služby prakticky všech základních a důležitých subjektů. S cílem zajistit bezproblémové poskytování služeb základních a důležitých subjektů je důležité, aby veřejné sítě elektronických komunikací, jako jsou například internetové páteřní sítě nebo podmořské komunikační kabely, měly zavedena odpovídající opatření v oblasti kybernetické bezpečnosti a hlásily incidenty, které se jich týkají.	(51) Vnitřní trh více než kdy předtím spoléhá na fungování internetu. Na službách poskytovaných po internetu jsou závislé služby prakticky všech základních a důležitých subjektů. S cílem zajistit bezproblémové poskytování služeb základních a důležitých subjektů je důležité, aby všechny veřejné sítě elektronických komunikací, jako jsou například internetové páteřní sítě nebo podmořské komunikační kabely, měly zavedena odpovídající opatření v oblasti kybernetické bezpečnosti a hlásily závažné incidenty, které se jich týkají. Členské státy by měly zajistit zachování integrity a dostupnosti těchto veřejných sítí elektronických komunikací a měly by zvážit jejich ochranu před sabotáží a špionáží zásadního bezpečnostního zájmu. Informace o incidentech, např. v souvislosti s podmořskými komunikačními kabely, by měly být aktivně sdíleny mezi členskými státy.

Pozměňovací návrh  52

 

Návrh směrnice

Bod odůvodnění 52

Znění navržené Komisí	Pozměňovací návrh
(52) Ve vhodných případech by subjekty měly informovat příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá. Požadavek na informování příjemců o hrozbách by subjekty neměl zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma.	(52) Ve vhodných případech by subjekty měly informovat příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá. To by subjekty nemělo zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma a měly by být formulovány ve snadno srozumitelném jazyce.

Pozměňovací návrh  53

 

Návrh směrnice

Bod odůvodnění 53

Znění navržené Komisí	Pozměňovací návrh
(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli příjemce služby zejména informovat o konkrétních a závažných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost své komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií.	(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli zavést záměrnou a standardní bezpečnost a příjemce služby by měli zejména informovat o konkrétních a závažných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost svého zařízení a své komunikace, například použitím specifických druhů šifrovacího softwaru nebo jiných bezpečnostních technologií zaměřených na data.

Pozměňovací návrh  54

 

Návrh směrnice

Bod odůvodnění 54

Znění navržené Komisí	Pozměňovací návrh
(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace by mělo být podporováno použití šifrování, a zejména šifrování mezi koncovými body, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami bezpečnosti a soukromí standardně a záměrně pro účely článku 18 mělo být povinné. Použití šifrování mezi koncovými body by mělo být v souladu s pravomocemi členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. Řešení k zajištění zákonného přístupu k informacím v rámci komunikace šifrované mezi koncovými body by měla zachovat účinnost šifrování při ochraně soukromí a bezpečnosti komunikací, a současně poskytnout účinnou reakci na trestnou činnost.	(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace by mělo být podporováno použití šifrování a dalších bezpečnostních technologií zaměřených na data, k nimž patří tokenizace, segmentace, regulace přístupu, označování, silná identita, řízení přístupu a automatizovaná rozhodnutí o přístupu, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami standardní a záměrné bezpečnosti a standardního a záměrného soukromí pro účely článku 18 mělo být povinné. Použití šifrování mezi koncovými body by mělo být v souladu s pravomocemi členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. To by však nemělo vést ke snahám o oslabení šifrování mezi koncovými body, které je zásadní technologií pro účinnou ochranu údajů a soukromí.

Pozměňovací návrh  55

 

Návrh směrnice

Bod odůvodnění 54 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(54a) V zájmu zajištění bezpečnosti a zabránění zneužívání a manipulaci se sítěmi a službami elektronických komunikací je třeba podporovat používání interoperabilních standardů bezpečného směrování, jež zajistí integritu a spolehlivost směrovacích funkcí v celém ekosystému provozovatelů internetu.

Pozměňovací návrh  56

 

Návrh směrnice

Bod odůvodnění 54 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(54b) V zájmu zajištění funkčnosti a integrity internetu a omezení bezpečnostních problémů souvisejících s DNS by měly být příslušné zúčastněné strany, včetně podniků, poskytovatelů internetových služeb a prodejců prohlížečů v Unii, podněcovány k tomu, aby přijaly strategii diverzifikace překladu jmen DNS. Členské státy by nadto měly podporovat rozvoj a používání veřejné a bezpečné evropské služby resolverů DNS.

Pozměňovací návrh  57

 

Návrh směrnice

Bod odůvodnění 55

Znění navržené Komisí	Pozměňovací návrh
(55) Tato směrnice stanoví dvoustupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty dozvědí o incidentu, měly by být povinny předložit počáteční oznámení do 24 hodin a poté závěrečnou zprávu nejpozději do jednoho měsíce. Počáteční oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné, aby byl příslušný orgán zpraven o incidentu, a které subjektu umožňují v případě potřeby požádat o pomoc. V tomto oznámení by v daném případě mělo být uvedeno, zda je incident pravděpodobně způsoben protiprávním či zlovolným jednáním. Členské státy by měly zajistit, aby požadavek na předložení tohoto počátečního oznámení neodváděl zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Aby se dále zabránilo tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, členské státy by měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od lhůt 24 hodin pro počáteční oznámení a jeden měsíc pro konečnou zprávu.	(55) Tato směrnice stanoví dvoustupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty o incidentu dozvědí, měly by být povinny předložit počáteční oznámení a poté souhrnnou zprávu nejpozději do jednoho měsíce od předložení počátečního oznámení. Harmonogram původního oznámení incidentů by neměl subjektům bránit v tom, aby incidenty ohlašovaly dříve, a proto by měly mít možnost požádat o podporu týmy CSIRT a rychle tak umožnit zmírnění a případně omezení šíření ohlášeného incidentu. Týmy CSIRT mohou požádat o průběžnou zprávu o podstatných změnách stavu a přihlížejí přitom k reakci ohlašujícího subjektu na incident a k jeho úsilí o nápravu.

Pozměňovací návrh  58

 

Návrh směrnice

Bod odůvodnění 55 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(55a) Závažný incident může mít dopad důvěrnost, integritu nebo dostupnost služby. Základní a důležité subjekty by měly týmům CSIRT oznámit závažné incidenty, které mají dopad na dostupnost jejich služby, do 24 hodin po zjištění incidentu. O závažných incidentech, které naruší důvěrnost a integritu jejich služeb, by měly týmy CSIRT uvědomit do 72 hodin po zjištění incidentu. Mezi typy incidentů se nerozlišuje na základě závažnosti incidentu, ale podle toho, do jaké míry je pro ohlašující subjekt obtížné posoudit incident a jeho význam, a podle schopnosti subjektu hlásit informace, které mohou být pro CSIRT užitečné. Počáteční oznámení by mělo obsahovat informace, které jsou nezbytné k informování týmu CSIRT o incidentu a díky nimž může subjekt v případě potřeby požádat o pomoc. Členské státy by měly zajistit, aby požadavek na provedení tohoto počátečního oznámení neodváděl zdroje oznamujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. S cílem předejít tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, by členské státy měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s CSIRT se dotyčný subjekt může odchýlit od lhůt stanovených pro počáteční oznámení a pro předložení komplexní zprávy.

Pozměňovací návrh  59

 

Návrh směrnice

Bod odůvodnění 59

Znění navržené Komisí	Pozměňovací návrh
(59) Udržování přesných a úplných databází doménových jmen a registračních údajů (takzvaných „údajů WHOIS“) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s právem Unie v oblasti ochrany údajů.	(59) Udržování přesných, ověřených a úplných databází doménových jmen registračních údajů (takzvaných „údajů WHOIS“) má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii a k potírání nezákonných činností. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace doménových jmen by proto měly shromažďovat údaje o registraci doménových jmen, které by měly zahrnovat přinejmenším jméno držitele registrace, jeho fyzickou a e-mailovou adresu a telefonní číslo. Shromážděné údaje nemusí být v praxi vždy zcela přesné, nicméně registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace doménových jmen by měly zavést a uplatňovat přiměřené postupy, kterými ověří, zda fyzické nebo právnické osoby, které žádají o doménové jméno nebo takové jméno vlastní, poskytly takové kontaktní údaje, jejichž pomocí je možné je zastihnout a očekávat od nich odpověď. V případě uplatnění zásady vynaložení nejvyššího úsilí by tyto ověřovací postupy měly být odrazem osvědčených postupů, které se v daném odvětví nyní používají. V těchto osvědčených ověřovacích postupech by se měl projevit pokrok, jehož bylo dosaženo v rámci elektronické identifikace. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace doménových jmen by měly své postupy a procesy zveřejnit, aby zajistily integritu a dostupnost údajů o registraci doménových jmen. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s právem Unie v oblasti ochrany údajů.

Pozměňovací návrh  60

 

Návrh směrnice

Bod odůvodnění 60

Znění navržené Komisí	Pozměňovací návrh
(60) Dostupnost a včasný přístup k těmto údajům pro orgány veřejné správy, včetně příslušných orgánů podle unijního nebo vnitrostátního práva za účelem prevence, vyšetřování či stíhání trestných činů, pro týmy CERT (týmy CSIRT) a, pokud jde o údaje jejich zákazníků, pro poskytovatele elektronických komunikačních sítí a služeb a poskytovatele technologií a služeb v oblasti kybernetické bezpečnosti jednající jménem těchto zákazníků, má zásadní význam pro prevenci a boj proti zneužívání systému doménových jmen, a zejména pro prevenci a odhalování kybernetických bezpečnostních incidentů a reakci na tyto incidenty. Pokud se takový přístup týká osobních údajů, měl by být v souladu s právem Unie v oblasti ochrany údajů.	(60) Dostupnost a včasný přístup k údajům o registraci doménových jmen má pro oprávněné uchazeče o přístup zásadní význam s ohledem na kybernetickou bezpečnost a potírání nezákonných činností v on-line ekosystému. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén by proto měly být povinny umožnit v souladu s právem Unie na ochranu osobních údajů oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci domén, včetně osobních údajů. Oprávnění žadatelé o přístup by měli předložit řádně odůvodněnou žádost o přístup k údajům o registraci doménových jmen na základě unijních nebo vnitrostátních právních předpisů a mezi ně mohou patřit i příslušné orgány podle unijního nebo vnitrostátního práva za účelem prevence, vyšetřování či stíhání trestných činů a vnitrostátní týmy CERT nebo CSIRT. Členské státy by měly zajistit, aby registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace doménových jmen bez zbytečného odkladu a v každém případě do 72 hodin reagovaly na žádosti oprávněných žadatelů o zpřístupnění údajů o registraci domén. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén by měly stanovit postupy a procesy pro zveřejňování a zpřístupnění registračních údajů, včetně dohod o úrovni služeb k vyřizování žádostí o přístup od oprávněných žadatelů o přístup. Postup poskytování přístupu může také obsahovat užívání rozhraní, portálu nebo jiných technických nástrojů k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům. Za účelem podpory harmonizovaných postupů na vnitřním trhu může Komise přijmout pokyny k takovým postupům, aniž jsou dotčeny pravomoci Evropského sboru pro ochranu osobních údajů.

Pozměňovací návrh  61

Návrh směrnice

Bod odůvodnění 61

Znění navržené Komisí	Pozměňovací návrh
(61) S cílem zajistit dostupnost přesných a úplných údajů o registraci domén by registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně (takzvaní registrátoři) měly shromažďovat údaje o registraci domén a zaručovat integritu a dostupnost těchto údajů. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by zejména měly stanovit politiky a postupy pro shromažďování a uchovávání přesných a úplných registračních údajů a rovněž zamezit uvádění nesprávných registračních údajů a opravovat je v souladu s pravidly Unie o ochraně osobních údajů.	vypouští se

Pozměňovací návrh  62

 

Návrh směrnice

Bod odůvodnění 62

Znění navržené Komisí	Pozměňovací návrh
(62) Registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén by měly veřejně zpřístupnit údaje o registraci domén, které nespadají do oblasti působnosti pravidel Unie na ochranu osobních údajů, například údajů, které se týkají právnických osob25. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by také měly v souladu s právem Unie na ochranu osobních údajů umožnit oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci domén týkajícím se fyzických osob. Členské státy by měly zajistit, aby registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén bez zbytečného odkladu reagovaly na žádosti oprávněných žadatelů o přístup o zpřístupnění údajů o registraci domén. Registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén by měly stanovit politiky a postupy pro zveřejňování a zpřístupnění registračních údajů, včetně dohod o úrovni služeb k vyřizování žádostí o přístup od oprávněných žadatelů o přístup. Postup poskytování přístupu může také obsahovat užívání rozhraní, portálu nebo jiného technického nástroje k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům. Za účelem podpory harmonizovaných postupů na vnitřním trhu může Komise přijmout pokyny o takových postupech, aniž jsou dotčeny pravomoci Evropského sboru pro ochranu osobních údajů.	(62) Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén by měly být povinny veřejně zpřístupnit údaje o registraci domén, jejichž součástí nejsou osobní údaje. Je třeba rozlišovat mezi fyzickými a právnickými osobami25. Jedná-li se o právnické osoby, měly by registry internetových domén nejvyšší úrovně a subjekty veřejně zpřístupnit alespoň jméno držitele registrace, jeho fyzickou a e-mailovou adresu a telefonní číslo. Právnické osoby by měly být povinny poskytnout obecnou e-mailovou adresu, kterou lze veřejně zpřístupnit, nebo by měly souhlasit se zveřejněním osobní e-mailové adresy. Na žádost registrů internetových domén nejvyšší úrovně a subjektů poskytujících služby registrace domén by měly být právnické osoby schopny takový souhlas prokázat.
__________________	__________________
25 Viz 14. bod odůvodnění NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, kde se uvádí, že „toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby“.	25 Viz 14. bod odůvodnění NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, kde se uvádí, že „toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby“.

Pozměňovací návrh  63

 

Návrh směrnice

Bod odůvodnění 63

Znění navržené Komisí	Pozměňovací návrh
(63) Všechny základní a důležité subjekty podle této směrnice by měly podléhat pravomoci členského státu, ve kterém poskytují své služby. Poskytuje-li subjekt služby ve více než jednom členském státě, měl by podléhat samostatné a souběžné pravomoci každého z těchto členských států. Příslušné orgány těchto členských států by měly spolupracovat, poskytovat si navzájem pomoc a v případě potřeby provádět společné akce v oblasti dohledu.	(63) Všechny základní a důležité subjekty podle této směrnice by měly podléhat pravomoci členského státu, ve kterém poskytují své služby nebo vykonávají svou činnost. Poskytuje-li subjekt služby ve více než jednom členském státě, měl by podléhat samostatné a souběžné pravomoci každého z těchto členských států. Příslušné orgány těchto členských států by měly spolupracovat, poskytovat si navzájem pomoc a v případě potřeby provádět společné akce v oblasti dohledu.

Pozměňovací návrh  64

 

Návrh směrnice

Bod odůvodnění 64

Znění navržené Komisí	Pozměňovací návrh
(64) S cílem zohlednit přeshraniční povahu služeb a činností poskytovatelů služeb systému doménových jmen, registrů internetových domén nejvyšší úrovně, poskytovatelů sítí pro doručování obsahu, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center a poskytovatelů digitálních služeb by pravomoc nad těmito subjekty měl mít pouze jeden členský stát. Pravomoc by měl mít ten členský stát, v němž má daný subjekt v rámci Unie hlavní místo obchodní činnosti. Kritérium místa obchodní činnosti pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavního místa obchodní činnosti, a tudíž ani nejsou rozhodujícími kritérii pro jeho určení. Hlavní místo obchodní činnosti by mělo být místo v Unii, kde jsou přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa společnosti v Unii. Pokud taková rozhodnutí nejsou v Unii přijímána, mělo by se mít za to, že hlavní místo obchodní činnosti je v členském státě, ve kterém má subjekt provozovnu s nejvyšším počtem zaměstnanců v Unii. Pokud jsou služby prováděny skupinou podniků, mělo by se za hlavní místo obchodní činnosti skupiny podniků považovat hlavní místo obchodní činnosti řídícího podniku.	(64) S cílem zohlednit přeshraniční povahu služeb a činností poskytovatelů služeb systému doménových jmen, registrů internetových domén nejvyšší úrovně, poskytovatelů sítí pro doručování obsahu, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center a poskytovatelů digitálních služeb by pravomoc nad těmito subjekty měl mít pouze jeden členský stát. Pravomoc by měl mít ten členský stát, v němž má daný subjekt v rámci Unie hlavní místo obchodní činnosti. Kritérium místa obchodní činnosti pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavního místa obchodní činnosti, a tudíž ani nejsou rozhodujícími kritérii pro jeho určení. Hlavní místo obchodní činnosti by mělo být místo v Unii, kde jsou přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa společnosti v Unii. Pokud taková rozhodnutí nejsou v Unii přijímána, mělo by se mít za to, že hlavní místo obchodní činnosti je v členském státě, ve kterém má subjekt buď provozovnu s nejvyšším počtem zaměstnanců v Unii, nebo provozovnu, v níž se operace v oblasti kybernetické bezpečnosti provádějí. Pokud jsou služby prováděny skupinou podniků, mělo by se za hlavní místo obchodní činnosti skupiny podniků považovat hlavní místo obchodní činnosti řídícího podniku.

Pozměňovací návrh  65

 

Návrh směrnice

Bod odůvodnění 65 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(65a) Agentura ENISA by měla vytvořit a vést registr informací o základních a důležitých subjektech, mezi něž patří poskytovatelé služeb DNS, registry doménových jmen nejvyšší úrovně a poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, on-line tržišť, internetových vyhledávačů a platforem sociálních sítí. Tyto základní a důležité subjekty by měly agentuře ENISA předložit svá jména, adresy a aktuální kontaktní údaje. Měly by agenturu ENISA uvědomit o všech změnách údajů, a to neprodleně, nejpozději však do dvou týdnů od data, kdy změna začala platit. ENISA by měla tyto informace předat příslušnému jednotnému kontaktnímu místu. Základní a důležité subjekty, které předkládají své informace agentuře ENISA, proto nejsou povinny samostatně informovat příslušný orgán v daném členském státě. Agentura ENISA by měla vypracovat jednoduchý a veřejně dostupný program aplikací, který by tyto subjekty mohly používat k aktualizaci svých informací. Agentura ENISA by navíc měla zavést vhodné protokoly pro klasifikaci informací a řízení rizik s cílem zajistit bezpečnost a důvěrnost zpřístupněných informací a přístup k těmto informacím, jejich uchovávání a přenos by měla omezit na zamýšlené uživatele.

Pozměňovací návrh  66

 

Návrh směrnice

Bod odůvodnění 66

Znění navržené Komisí	Pozměňovací návrh
(66) Pokud jsou podle ustanovení této směrnice vyměňovány, hlášeny nebo jinak sdíleny informace, které jsou podle unijních nebo vnitrostátních předpisů považovány za utajované, měla by se použít odpovídající zvláštní pravidla o nakládání s utajovanými informacemi.	(66) Pokud jsou podle ustanovení této směrnice vyměňovány, hlášeny nebo jinak sdíleny informace, které jsou v souladu s unijními nebo vnitrostátními předpisy považovány za utajované, měla by se použít odpovídající zvláštní pravidla o nakládání s utajovanými informacemi. Kromě toho by agentura ENISA měla mít zavedenou infrastrukturu, postupy a pravidla pro nakládání s citlivými a utajovanými informacemi v souladu s platnými bezpečnostními pravidly na ochranu utajovaných informací EU.

Pozměňovací návrh  67

 

Návrh směrnice

Bod odůvodnění 68

Znění navržené Komisí	Pozměňovací návrh
(68) Subjekty by měly být motivovány k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto mechanismů pro sdílení informací. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů.	(68) Subjekty by měly být motivovány a podporovány členskými státy k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, jako jsou subjekty zaměřené na služby a výzkum v oblasti kybernetické bezpečnosti, aby se účastnily takovýchto mechanismů pro sdílení informací. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů.

Pozměňovací návrh  68

 

Návrh směrnice

Bod odůvodnění 69

Znění navržené Komisí	Pozměňovací návrh
(69) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítí a informací ze strany subjektů, které provádějí orgány veřejné správy, týmy CERT, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb, by mělo představovat oprávněný zájem dotčeného správce údajů podle nařízení (EU) 2016/679. To by mělo zahrnovat opatření týkající se prevence, odhalování a analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích. Taková opatření mohou vyžadovat zpracovávání těchto druhů osobních údajů: IP adres, jednotných adres zdroje (URL), doménových jmen a e-mailových adres.	(69) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítí a informací ze strany základních a důležitých subjektů, které provádějí týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb je nezbytné pro splnění jejich právních povinností stanovených v této směrnici. Takové zpracování osobních údajů může být nezbytné i pro účely oprávněných zájmů základních a důležitých subjektů. Pokud tato směrnice vyžaduje zpracování osobních údajů pro účely kybernetické bezpečnosti a bezpečnosti sítě a informací v souladu s ustanoveními článků 18, 20 a 23 směrnice, považuje se toto zpracování za nezbytné pro splnění právní povinnosti podle čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679. Pro účely článků 26 a 27 této směrnice se zpracování uvedené v čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679 považuje za nezbytné pro účely oprávněných zájmů základních a důležitých subjektů. Opatření týkající se prevence, odhalování, identifikace, zamezení šíření, analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích vyžadují zpracovávání určitých kategorií osobních údajů, například IP adres, jednotných adres zdroje (URL), doménových jmen, e-mailových adres, časových razítek, informací o operačním systému nebo prohlížeči, souborů cookies nebo jiných informací označující modus operandi.

Pozměňovací návrh  69

 

Návrh směrnice

Bod odůvodnění 71

Znění navržené Komisí	Pozměňovací návrh
(71) K zajištění účinného vymáhání by měl být stanoven minimální seznam správních sankcí za porušení povinnosti v oblasti řízení kybernetických bezpečnostních rizik a hlášení, jež stanoví tato směrnice, čímž se vytvoří jasný a jednotný rámec pro takové sankce v celé Unii. Náležitá pozornost by měla být věnována povaze, závažnosti a době trvání protiprávního jednání, skutečné způsobené škodě či ztrátám nebo potenciálním škodám či ztrátám, které mohly být vyvolány, úmyslné nebo nedbalostní povaze protiprávního jednání, opatřením přijatým za účelem prevence nebo zmenšení způsobené škody nebo ztrát, míře odpovědnosti nebo jakémukoli relevantnímu protiprávnímu jednání v minulosti, míře spolupráce s příslušným orgánem a jakýmkoli jiným přitěžujícím nebo polehčujícím faktorům. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listinou základních práv Evropské unie, včetně účinné právní ochrany a spravedlivého procesu.	(71) K zajištění účinného vymáhání by měl být stanoven minimální seznam správních sankcí za porušení povinnosti v oblasti řízení kybernetických bezpečnostních rizik a hlášení, jež stanoví tato směrnice, čímž se vytvoří jasný a jednotný rámec pro takové sankce v celé Unii. Náležitá pozornost by měla být věnována povaze, závažnosti a době trvání protiprávního jednání, způsobené škodě či ztrátám, úmyslné nebo nedbalostní povaze protiprávního jednání, opatřením přijatým za účelem prevence nebo zmenšení způsobené škody nebo ztrát, míře odpovědnosti nebo jakémukoli relevantnímu protiprávnímu jednání v minulosti, míře spolupráce s příslušným orgánem a jakýmkoli jiným přitěžujícím nebo polehčujícím faktorům. Sankce, včetně správních pokut, by měly být přiměřené a jejich uložení by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie (dále jen „Listina“), včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práv na obhajobu.

Pozměňovací návrh  70

 

Návrh směrnice

Bod odůvodnění 72

Znění navržené Komisí	Pozměňovací návrh
(72) S cílem zajistit účinné vymáhání povinností stanovených v této směrnici by každý příslušný orgán měl mít pravomoc ukládat správní pokuty nebo požadovat uložení správních pokut.	(72) S cílem zajistit účinné vymáhání povinností stanovených v této směrnici by každý příslušný orgán měl mít pravomoc ukládat správní pokuty nebo požadovat uložení správních pokut, pokud k porušení došlo úmyslně či z důvodu nedbalosti nebo pokud byl dotčený subjekt na porušení předpisů upozorněn.

Pozměňovací návrh  71

 

Návrh směrnice

Bod odůvodnění 76

Znění navržené Komisí	Pozměňovací návrh
(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny uplatňovat sankce spočívající v pozastavení osvědčení nebo povolení týkajícího se části nebo všech služeb, jež poskytuje základní subjekt, a uložení dočasného zákazu výkonu řídící funkce fyzické osoby. Vzhledem k závažnosti a dopadu těchto sankcí na činnost subjektů a v konečném důsledku na jejich zákazníky, měly by být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tyto sankce by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byly tyto sankce uloženy. Uložení takových sankcí musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.	(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny dočasně pozastavit osvědčení nebo povolení týkající se části nebo všech příslušných služeb, jež poskytuje základní subjekt, a požadovat uložení dočasného zákazu výkonu řídící funkce fyzické osoby na úrovni výkonného ředitele nebo zákonného zástupce. Pro dočasný zákaz výkonu řídících funkcí fyzické osoby na úrovni výkonného ředitele nebo zákonného zástupce v subjektech veřejné správy by měly členské státy vypracovat zvláštní postupy a pravidla. Při vypracovávání těchto postupů a pravidel by měly zohlednit specifika jednotlivých úrovní a svých systémů veřejné správy. Vzhledem k jejich závažnosti a dopadu na činnost subjektů a v konečném důsledku na jejich zákazníky, by tato dočasná pozastavení nebo tyto zákazy měly být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tato dočasná pozastavení nebo tyto dočasné zákazy by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byla tato dočasná pozastavení nebo tyto dočasné zákazy uloženy. Uložení takových dočasných pozastavení nebo zákazů musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.

Pozměňovací návrh  72

 

Návrh směrnice

Bod odůvodnění 79

Znění navržené Komisí	Pozměňovací návrh
(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali odborníci určení členskými státy.	(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali nezávislí odborníci určení členskými státy. Vzájemná hodnocení mohou poskytnout cenné poznatky a doporučení, jež posílí celkové schopnosti v oblasti kybernetické bezpečnosti. Mohou zejména přispět ke snazšímu předávání technologií, nástrojů, opatření a procesů mezi členskými státy zapojenými do vzájemného hodnocení, vytvořit funkční způsob, jak sdílet osvědčené postupy mezi členskými státy s různou úrovní vyspělosti v oblasti kybernetické bezpečnosti a umožnit zavedení vysoké společné úrovně kybernetické bezpečnosti v celé Unii. Před vzájemným hodnocením by měl členský stát, který je předmětem přezkumu, provést sebehodnocení kontrolovaných aspektů a všech další cílených otázek, které členskému státu, jenž je předmětem vzájemného hodnocení, sdělí určení odborníci před zahájením procesu. S cílem zjednodušit celý proces a zabránit procedurálním nesrovnalostem a zpožděním by Komise měla ve spolupráci s agenturou ENISA a skupinou pro spolupráci vypracovat šablony pro sebehodnocení kontrolovaných aspektů, které členské státy, jež jsou předmětem přezkumu, vyplní a dodají určeným odborníkům před zahájením procesu vzájemného hodnocení.

Pozměňovací návrh  73

 

Návrh směrnice

Bod odůvodnění 80

Znění navržené Komisí	Pozměňovací návrh
(80) Za účelem zohlednění nových kybernetických hrozeb, technologického vývoje nebo odvětvových zvláštností by Komisi měla být svěřena pravomoc přijmout akty v souladu s článkem 290 SFEU, pokud jde o prvky související s opatřeními v oblasti řízení rizik, jež vyžaduje tato směrnice. Komise by rovněž měla být zmocněna přijmout akty v přenesené pravomoci, jimiž stanoví, které kategorie základních subjektů budou povinny získat osvědčení a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů26. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.	(80) Za účelem zohlednění nových kybernetických hrozeb, technologického vývoje nebo odvětvových zvláštností by Komisi měla být svěřena pravomoc přijmout akty v souladu s článkem 290 SFEU, pokud jde o prvky související s opatřeními řízení rizik v oblasti kybernetické bezpečnosti a s povinnostmi hlášení, jež vyžaduje tato směrnice. Komise by rovněž měla být zmocněna přijmout akty v přenesené pravomoci, jimiž stanoví, které kategorie základních a důležitých subjektů budou povinny získat osvědčení a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.
__________________
26 Úř. věst. L 123, 12.5.2016, s. 1.

Pozměňovací návrh  74

 

Návrh směrnice

Bod odůvodnění 81

Znění navržené Komisí	Pozměňovací návrh
(81) Za účelem zajištění jednotných podmínek k provedení příslušných ustanovení této směrnice týkajících se procesních opatření nezbytných pro fungování skupiny pro spolupráci, technických prvků opatření k řízení rizik nebo druhu informací, formátu a postupu oznamování incidentů by Komisi měly být svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.27	(81) Za účelem zajištění jednotných podmínek k provedení příslušných ustanovení této směrnice týkajících se procesních opatření nezbytných pro fungování skupiny pro spolupráci a postupu oznamování incidentů by Komisi měly být svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.27
__________________	__________________
27 Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).	27 Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

Pozměňovací návrh  75

 

Návrh směrnice

Bod odůvodnění 82

Znění navržené Komisí	Pozměňovací návrh
(82) Komise by měla provádět pravidelný přezkum této směrnice za konzultace se zainteresovanými stranami, zejména pokud jde o nutnost změn s ohledem na měnící se společenské, politické, technologické nebo tržní podmínky.	(82) Komise by měla provádět pravidelný přezkum této směrnice za konzultace se zainteresovanými stranami, zejména pokud jde o rozhodnutí, zda je vhodné navrhnout změny s ohledem na měnící se společenské, politické, technologické nebo tržní podmínky. V rámci přezkumů by Komise měla posoudit, jaký význam mají odvětví, pododvětví a druhy subjektů uvedené v přílohách pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Komise by měla mimo jiné posoudit, zda by poskytovatelé digitálních služeb, kteří jsou klasifikováni jako velmi velké on-line platformy ve smyslu článku 25 nařízení (EU) XXXX/XXXX [jednotný trh digitálních služeb (akt o digitálních službách)] nebo jako strážci služeb ve smyslu čl. 2 odst. 1 nařízení (EU) XXXX/XXXX [spravedlivé trhy otevřené hospodářské soutěži v digitálním odvětví (akt o digitálních trzích)], měli být podle této směrnice označeni za základní subjekty. Mimoto by Komise měla posoudit, zda je vhodné změnit přílohu I směrnice Evropského parlamentu a Rady 2020/18281a doplněním odkazu na tuto směrnici.
	__________________
	1aSměrnice Evropského parlamentu a Rady (EU) 2020/1828 ze dne 25. listopadu 2020 o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů a o zrušení směrnice 2009/22/ES (Úř. věst. L 409, 4.12.2020, s. 1).

Pozměňovací návrh 76 

Návrh směrnice

Bod odůvodnění 82 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(82a) Tato směrnice stanoví požadavky v oblasti kybernetické bezpečnosti pro členské státy, jakož i pro základní a důležité subjekty usazené v Unii. Tyto požadavky na kybernetickou bezpečnost by měly rovněž uplatňovat orgány, instituce a jiné subjekty Unie na základě legislativního aktu Unie.

Pozměňovací návrh  77

 

Návrh směrnice

Bod odůvodnění 82 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(82b) Tato směrnice vytváří nové úkoly pro agenturu ENISA, čímž posiluje její úlohu. V důsledku této směrnice by rovněž mohl vzniknout požadavek, aby plnění úkolů agenturou ENISA, které jí nyní stanoví nařízení (EU) 2019/881, odpovídalo vyššímu standardu než dříve. S cílem zajistit, aby agentura ENISA měla potřebné finanční a lidské zdroje pro stávající a nové činnosti, jež má v rámci svých úkolů vykonávat, a aby splňovala veškeré vyšší standardy vyplývající z její posílené úlohy, měl by být odpovídajícím způsobem navýšen její rozpočet. V zájmu zajištění účinného využívání zdrojů by navíc měla být agentuře ENISA poskytnuta větší flexibilita, pokud jde o její možnosti interního přidělování zdrojů, aby tak mohla účinně vykonávat své úkoly a plnit očekávání.

Pozměňovací návrh  78

 

Návrh směrnice

Bod odůvodnění 84

Znění navržené Komisí	Pozměňovací návrh
(84) Tato směrnice dodržuje základní práva a ctí zásady uznané Listinou základních práv Evropské unie, zejména právo na respektování soukromého života a komunikace, právo na ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Tato směrnice by měla být prováděna v souladu s těmito právy a zásadami,	(84) Tato směrnice dodržuje základní práva a ctí zásady uznané Listinou, zejména právo na respektování soukromého života a komunikace, právo na ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Patří sem i právo příjemců služeb poskytovaných základními a důležitými subjekty na účinnou právní ochranu před soudem. Tato směrnice by měla být prováděna v souladu s těmito právy a zásadami.

Pozměňovací návrh  79

 

Návrh směrnice

Čl. 1 – odst. 2 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) stanoví povinnosti členských států v oblasti dohledu a vymáhání.

Pozměňovací návrh  80

 

Návrh směrnice

Čl. 2 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty druhu, který je v příloze I označován za základní a v příloze II za důležitý. Tato směrnice se nevztahuje na subjekty, které splňují definici mikropodniků a malých podniků ve smyslu doporučení Komise 2003/361/ES.28	1. Tato směrnice se vztahuje na veřejné a soukromé základní a důležité subjekty takového druhu, který je v příloze I označován za základní a v příloze II za důležitý, jež poskytují své služby nebo vykonávají svou činnost v rámci Unie. Tato směrnice se nevztahuje na malé podniky nebo mikropodniky ve smyslu čl. 2 odst. 2 a 3 přílohy doporučení Komise 2003/361/ES28. Ustanovení čl. 3 odst. 4 přílohy tohoto doporučení se nepoužije.
__________________	__________________
28 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).	28 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).

Pozměňovací návrh  81

 

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
Tato směrnice se však vztahuje také na subjekty uvedené v přílohách I a II bez ohledu na jejich velikost, pokud:	Tato směrnice se vztahuje také na základní a důležité subjekty bez ohledu na jejich velikost, pokud:

Pozměňovací návrh  82

 

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 1 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) by možné narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;	d) by narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;

Pozměňovací návrh  83

 

Návrh směrnice

Čl. 2 – odst. 2 - subodst. 1 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) by možné narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;	e) by narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;

Pozměňovací návrh  84

 

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Členské státy stanoví seznam subjektů určených podle písmen b) až f) a předloží jej je do [6 měsíců po uplynutí lhůty pro provedení] Komisi. Členské státy tento seznam pravidelně přezkoumávají, a to alespoň každé dva roky od předložení, a v případě potřeby jej aktualizují.	vypouští se

Pozměňovací návrh  85

 

Návrh směrnice

Čl. 2 – odst. 2 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	2a. Do … [6 měsíců po uplynutí lhůty pro provedení ve vnitrostátním právu] členské státy sestaví seznam základních a důležitých subjektů, včetně subjektů uvedených v odstavci 1 a subjektů určených podle odst. 2 písm. b) až f) a čl. 24 odst. 1. Členské státy tento seznam pravidelně přezkoumávají, a to alespoň každé dva roky od předložení, a v případě potřeby jej aktualizují.

Pozměňovací návrh  86

 

Návrh směrnice

Čl. 2 – odst. 2 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	2b. Členské státy zajistí, aby základní a důležité subjekty předkládaly příslušným orgánům alespoň tyto informace:
	a) název subjektu;
	b) adresu a aktuální kontaktní údaje, včetně e-mailových adres, rozsahu IP adres a telefonních čísel; a
	c) příslušná odvětví a pododvětví uvedená v přílohách I a II.
	Základní a důležité subjekty oznámí všechny změny údajů, které předložily v souladu s prvním pododstavcem, a to neprodleně, nejpozději však do dvou týdnů od data, kdy změna začala platit. Komise bez zbytečného odkladu vydá za tímto účelem za pomoci agentury ENISA pokyny a šablony týkající se povinností stanovených v tomto odstavci.

Pozměňovací návrh  87

 

Návrh směrnice

Čl. 2 – odst. 2 c (nový)

Znění navržené Komisí	Pozměňovací návrh
	2c. Do...[6 měsíců po uplynutí lhůty pro provedení ve vnitrostátním právu] a poté každé dva roky oznámí členské státy:
	a) Komisi a skupině pro spolupráci počet všech základních a důležitých subjektů určených pro každé odvětví a pododvětví uvedené v přílohách I a II;
	b) Komisi názvy subjektů určených podle odst. 2 písm. b) až f).

Pozměňovací návrh  88

 

Návrh směrnice

Čl. 2 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Touto směrnicí nejsou dotčeny směrnice Rady 2008/114/ES30 a směrnice Evropského parlamentu a Rady 2011/93/EU31 a 2013/40/EU32.	4. Touto směrnicí nejsou dotčeny směrnice Rady 2008/114/ES30 a směrnice Evropského parlamentu a Rady 2011/93/EU31 a 2013/40/EU32 a 2002/58/ES32a.
__________________	__________________
30 Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (Úř. věst. L 345, 23.12.2008, s. 75).	30 Směrnice Rady 2008/114/ES ze dne 8. prosince 2008 o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu (Úř. věst. L 345, 23.12.2008, s. 75).
31 Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).	31 Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).
32 Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8).	32 Směrnice Evropského parlamentu a Rady 2013/40/EU ze dne 12. srpna 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV (Úř. věst. L 218, 14.8.2013, s. 8).
	32a Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

Pozměňovací návrh  89

 

Návrh směrnice

Čl. 2 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Pokud ustanovení právních aktů Unie pro konkrétní odvětví vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo aby oznamovaly incidenty či významné kybernetické hrozby, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VI, se neuplatní.	6. Pokud ustanovení právních aktů Unie pro konkrétní odvětví vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo aby oznamovaly incidenty, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VI, se neuplatní. Komise bez zbytečného odkladu vydá pokyny týkající se provádění odvětvových aktů práva Unie s cílem zajistit, aby tyto akty splňovaly požadavky na kybernetickou bezpečnost stanovené touto směrnicí a aby nedocházelo k překrývání v předpisech či právní nejistotě. Při přípravě těchto pokynů zohlední Komise osvědčené postupy a odborné znalosti agentury ENISA a skupiny pro spolupráci.

Pozměňovací návrh  90

 

Návrh směrnice

Čl. 2 – odst. 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. Základní a důležité subjekty, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb zpracovávají osobní údaje v míře nezbytně nutné a přiměřené pro účely zajištění kybernetické bezpečnosti a bezpečnosti sítí a informací, aby splnily povinnosti stanovené v této směrnici. Toto zpracovávání osobních údajů pro účely této směrnice se provádí v souladu s nařízením (EU) 2016/679, zejména s jeho článkem 6.

Pozměňovací návrh  91

 

Návrh směrnice

Čl. 2 – odst. 6 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	6b. Zpracování osobních údajů podle této směrnice poskytovateli veřejných sítí elektronických komunikací nebo poskytovatelů veřejně dostupných služeb elektronických komunikací uvedenými v příloze I bodě 8 se provádí v souladu se směrnicí 2002/58/ES.

Pozměňovací návrh  92

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 4 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	4a) „případem, kdy téměř došlo k incidentu“ událost, která mohla narušit dostupnost, autenticitu, integritu nebo důvěrnost údajů nebo která mohla způsobit škodu, ale jejímu negativnímu dopadu bylo úspěšně zabráněno;

Pozměňovací návrh  93

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 6

Znění navržené Komisí	Pozměňovací návrh
6) „řešením incidentu“ veškeré akce a postupy, jejichž cílem je incident odhalit, analyzovat, zamezit jeho šíření a reagovat na něj;	6) „řešením incidentu“ veškeré akce a postupy, jejichž cílem je incidentu předejít, odhalit jej, analyzovat, zamezit jeho šíření a reagovat na něj;

Pozměňovací návrh  94

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 7a (nový)

Znění navržené Komisí	Pozměňovací návrh
	7a) „rizikem“ potenciální ztráta nebo narušení v důsledku incidentu, přičemž toto riziko je vyjádřeno jako kombinace rozsahu takové ztráty nebo takového narušení a pravděpodobnosti vzniku tohoto incidentu;

Pozměňovací návrh  95

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 11

Znění navržené Komisí	Pozměňovací návrh
11) „technickou specifikací“ technická specifikace ve smyslu čl. 2 bodu 4 nařízení (EU) č. 1025/2012;	11) „technickou specifikací“ technická specifikace podle definice v čl. 2 bodě 20 nařízení (EU) č. 2019/881;

Pozměňovací návrh  96

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 13

Znění navržené Komisí	Pozměňovací návrh
13) „systémem doménových jmen (DNS)“ hierarchický distribuovaný systém doménových jmen, který umožňuje koncovým uživatelům přístup ke službám a zdrojům na internetu;	13) „systémem doménových jmen (DNS)“ hierarchický distribuovaný systém doménových jmen, který umožňuje identifikaci internetových služeb a zdrojů a současně umožňuje, aby zařízení koncových uživatelů využívala služby směrování internetu a připojení za účelem přístupu k těmto službám a zdrojům;

Pozměňovací návrh  97

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 14

Znění navržené Komisí	Pozměňovací návrh
14) „poskytovatelem služeb systému doménových jmen (DNS)“ subjekt, který poskytuje rekurzívní nebo autoritativní služby pro překlad doménových jmen koncovým uživatelům internetu a dalším poskytovatelům služeb DNS;	14) „poskytovatelem služeb systému doménových jmen (DNS)“ subjekt, který poskytuje:

Pozměňovací návrh  98

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 14 – písm. a (nové)

Znění navržené Komisí	Pozměňovací návrh
	a) otevřené a veřejné rekurzívní služby pro překlad doménových jmen koncovým uživatelům internetu; nebo

Pozměňovací návrh  99

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 14 – písm. b (nové)

Znění navržené Komisí	Pozměňovací návrh
	b) autoritativní služby pro překlad doménových jmen jako službu, kterou mohou zajistit subjekty třetích stran;

Pozměňovací návrh  100

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 15

Znění navržené Komisí	Pozměňovací návrh
15) „registrem internetových domén nejvyšší úrovně“ subjekt, kterému byla delegována konkrétní TLD a je odpovědný za správu TLD, včetně registrace doménových jmen v rámci TLD a technického provozu TLD, včetně provozu jejích jmenných serverů, vedení jejích databází a distribuce souborů zón TLD mezi jmennými servery;	15) „registrem internetových domén nejvyšší úrovně“ subjekt, kterému byla delegována konkrétní TLD a je odpovědný za správu TLD, včetně registrace doménových jmen v rámci TLD a technického provozu TLD, včetně provozu jejích jmenných serverů, vedení jejích databází a distribuce souborů zón TLD mezi jmennými servery, bez ohledu na to, zda kteroukoli z těchto operací provádí subjekt nebo je zajišťována externě;

Pozměňovací návrh  101

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 15 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	15a) „službami registrace doménových jmen“ služby poskytované registry a registrátory doménových jmen, poskytovateli služeb ochrany osobních údajů nebo registrace proxy serverů, makléři nebo prodejci domén a jakékoli další služby, které souvisí s registrací doménových jmen;

Pozměňovací návrh  102

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 23 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	23a) „veřejnou sítí elektronických komunikací“ veřejná síť elektronických komunikací ve smyslu definice v čl. 2 bodu 8 směrnice (EU) 2018/1972;

Pozměňovací návrh  103

 

Návrh směrnice

Čl. 4 – odst. 1 – bod 23 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	23b) „službou elektronických komunikací“ služba elektronických komunikací ve smyslu definice v čl. 2 bodu 4 směrnice (EU) 2018/1972;

Pozměňovací návrh  104

 

Návrh směrnice

Čl. 5 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, ve které vymezí strategické cíle a příslušná politická a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje zejména:	1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, ve které vymezí strategické cíle, technické, organizační a finanční zdroje potřebné k jejich dosažení a příslušná politická a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje zejména:

Pozměňovací návrh  105

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) definici cílů a priorit strategie kybernetické bezpečnosti členských států;	a) definici cílů a priorit strategie kybernetické bezpečnosti členského státu;

Pozměňovací návrh  106

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) správní rámec pro naplnění těchto cílů a priorit, včetně politik uvedených v odstavci 2 a úloh a povinností veřejných orgánů a subjektů i dalších relevantních subjektů;	b) správní rámec pro naplnění těchto cílů a priorit, včetně politik uvedených v odstavci 2;

Pozměňovací návrh  107

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) rámec pro přiřazení úloh a povinností veřejných orgánů a subjektů i dalších relevantních aktérů na podporu spolupráce a koordinace na vnitrostátní úrovni mezi příslušnými orgány určenými podle čl. 7 odst. 1 a čl. 8 odst. 1, jednotným kontaktním místem určeným podle čl. 8 odst. 3 a týmy CSIRT určenými podle článku 9;

Pozměňovací návrh  108

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) seznam různých orgánů a subjektů zapojených do provádění národní strategie kybernetické bezpečnosti;	e) seznam různých orgánů a subjektů zapojených do provádění národní strategie kybernetické bezpečnosti, včetně kontaktního místa pro kybernetickou bezpečnost pro malé a střední podniky, které poskytuje podporu při provádění konkrétních opatření v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  109

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politický rámec pro lepší koordinaci mezi příslušnými orgány podle této směrnice a směrnice Evropského parlamentu a Rady (EU) XXXX/XXXX38 [směrnice o odolnosti kritických subjektů] pro účely sdílení informací o incidentech a kybernetických hrozbách pro výkon úkolů v oblasti dohledu.	f) politický rámec pro lepší koordinaci mezi příslušnými orgány podle této směrnice a směrnice Evropského parlamentu a Rady (EU) XXXX/XXXX38 [směrnice o odolnosti kritických subjektů], jak na vnitrostátní úrovni, tak i mezi členskými státy, pro účely sdílení informací o incidentech a kybernetických hrozbách pro výkon úkolů v oblasti dohledu.
__________________	__________________
38 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	38 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  110

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. f a (nové)

Znění navržené Komisí	Pozměňovací návrh
	fa) posouzení obecné úrovně povědomí občanů o kybernetické bezpečnosti.

Pozměňovací návrh  111

 

Návrh směrnice

Čl. 5 – odst. 2 – point -a (nový)

Znění navržené Komisí	Pozměňovací návrh
	-a) politiku týkající se kybernetické bezpečnosti pro každé odvětví, na něž se vztahuje tato směrnice;

Pozměňovací návrh  112

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek;	b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek, a to i pokud jde o požadavky na šifrování a o využívání produktů kybernetické bezpečnosti s otevřeným zdrojovým kódem;

Pozměňovací návrh  113

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) politiku týkající se udržení celkové dostupnosti a integrity veřejného jádra otevřeného internetu;	d) politiku týkající se udržení celkové dostupnosti a integrity veřejného jádra otevřeného internetu, včetně kybernetické bezpečnosti podmořských komunikačních kabelů;

Pozměňovací návrh  114

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. d a (nové)

Znění navržené Komisí	Pozměňovací návrh
	da) politiku na podporu rozvoje a integrace nových technologií, jako je umělá inteligence, v rámci nástrojů a aplikací zvyšujících kybernetickou bezpečnost;

Pozměňovací návrh  115

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. d b (nové)

Znění navržené Komisí	Pozměňovací návrh
	db) politiku na podporu integrace nástrojů a aplikací s otevřeným zdrojovým kódem;

Pozměňovací návrh  116

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politiku za účelem podpory akademických a výzkumných institucí při vývoji nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury;	f) politiku za účelem podpory akademických a výzkumných institucí při vývoji, zlepšování a zavádění nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury;

Pozměňovací návrh  117

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.	h) politiku na podporu kybernetické bezpečnosti malých a středních podniků, včetně těch, které nespadají do oblasti působnosti této směrnice, která řeší jejich specifické potřeby a poskytuje snadno dostupné pokyny a podporu, mimo jiné pokyny k řešení výzev v rámci dodavatelského řetězce;

Pozměňovací návrh  118

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ha) politiku na podporu kybernetické hygieny zahrnující základní soubor postupů a kontrol a zvyšování obecného povědomí občanů o kybernetických bezpečnostních hrozbách a osvědčených postupech;

Pozměňovací návrh  119

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h b (nové)

Znění navržené Komisí	Pozměňovací návrh
	hb) politiku na podporu aktivní kybernetické obrany.

Pozměňovací návrh  120

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h c (nové)

Znění navržené Komisí	Pozměňovací návrh
	hc) politiku, která orgánům pomůže rozvíjet kompetence a porozumění v oblasti bezpečnostních záležitostí pro účely navrhování, výstavby a řízení propojených míst;

Pozměňovací návrh  121

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h d (nové)

Znění navržené Komisí	Pozměňovací návrh
	hd) politiku zaměřenou konkrétně na hrozbu útoků prostřednictvím vyděračského softwaru (ransomware) a narušování obchodního modelu těchto útoků;

Pozměňovací návrh  122

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h e (nové)

Znění navržené Komisí	Pozměňovací návrh
	he) politiku, včetně příslušných postupů a správních rámců, na podporu a prosazování vytváření partnerství veřejného a soukromého sektoru v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  123

 

Návrh směrnice

Čl. 5 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z oznámení vyloučit konkrétní informace, pokud je to naprosto nezbytné pro zachování národní bezpečnosti.	3. Členské státy oznámí své národní strategie kybernetické bezpečnosti Komisi do tří měsíců od jejich přijetí. Členské státy mohou z oznámení vyloučit konkrétní informace, pokud je to nezbytné pro zachování národní bezpečnosti.

Pozměňovací návrh  124

 

Návrh směrnice

Čl. 5 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy posuzují své národní strategie kybernetické bezpečnosti alespoň každé čtyři roky podle klíčových ukazatelů výkonnosti a v případě potřeby je změní. Při zpracování národní strategie a klíčových ukazatelů výkonnosti pro posouzení strategie poskytuje členským státům na jejich žádost součinnost Evropská agentura pro bezpečnost sítí a informací (ENISA).	4. Členské státy posuzují své národní strategie kybernetické bezpečnosti alespoň každé čtyři roky podle klíčových ukazatelů výkonnosti a v případě potřeby je změní. Při zpracování národní strategie a klíčových ukazatelů výkonnosti pro posouzení strategie poskytuje členským státům na jejich žádost součinnost Evropská agentura pro bezpečnost sítí a informací (ENISA). Agentura ENISA poskytne členským státům pokyny s cílem uvést své již formulované vnitrostátní strategie kybernetické bezpečnosti do souladu s požadavky a povinnostmi stanovenými v této směrnici.

Pozměňovací návrh  125

 

Návrh směrnice

Čl. 6 – název

Znění navržené Komisí	Pozměňovací návrh
Koordinované zveřejňování informací o zranitelnostech a Evropský registr zranitelností	Koordinované odhalování zranitelností a Evropská databáze zranitelností

Pozměňovací návrh  126

 

Návrh směrnice

Čl. 6 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Každý členský stát určí jeden ze svých týmů CSIRT podle článku 9 jako koordinátora za účelem koordinovaného zveřejňování informací o zranitelnostech. Tento určený tým CSIRT vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby usnadňuje interakci mezi oznamujícím subjektem a výrobcem nebo poskytovatelem produktů nebo služeb IKT. Pokud se hlášená zranitelnost týká více výrobců nebo poskytovatelů produktů nebo služeb IKT v celé Unii, spolupracuje určený tým CSIRT z každého členského státu v rámci sítě CSIRT.	1. Každý členský stát určí jeden ze svých týmů CSIRT podle článku 9 jako koordinátora za účelem koordinovaného odhalování zranitelností. Tento určený tým CSIRT vystupuje jako důvěryhodný zprostředkovatel, který na žádost oznamujícího subjektu usnadňuje interakci mezi oznamujícím subjektem a výrobcem nebo poskytovatelem produktů nebo služeb IKT. Pokud se hlášená zranitelnost týká více výrobců nebo poskytovatelů produktů nebo služeb IKT v celé Unii, spolupracuje určený tým CSIRT z každého členského státu v rámci sítě CSIRT.

Pozměňovací návrh  127

 

Návrh směrnice

Čl. 6 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna.	2. Agentura ENISA vytvoří a spravuje Evropskou databázi zranitelností s využitím globálního registru společných zranitelností a expozic (CVE). Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy a přijme technická a organizační opatření nezbytná k zajištění bezpečnosti a integrity databáze s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů, jakož i subjektům, které nespadají do působnosti této směrnice, a jejich dodavatelům, odhalovat a registrovat zranitelná místa v produktech nebo službách IKT. Všem zúčastněným stranám je poskytnut přístup k informacím o zranitelných místech uvedeným v databázi, u nichž je možnost oprav nebo zmírňujících opatření. V databázi jsou zejména uvedeny informace popisující zranitelné místo, dotčený produkt IKT nebo služby IKT, závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, a dostupnost příslušných oprav. Pokud opravy nejsou dostupné, jsou součástí databáze i pokyny pro uživatele zranitelných produktů a služeb IKT ohledně toho, jak lze rizika vyplývající z odhalených zranitelných míst zmírnit.

Pozměňovací návrh  128

 

Návrh směrnice

Čl. 7 – odst. 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	1a. Pokud členský stát určí více než jeden příslušný orgán uvedený v odstavci 1, jasně uvede, který z těchto příslušných orgánů bude působit jako koordinátor pro řešení rozsáhlých incidentů a krizí.

Pozměňovací návrh  129

 

Návrh směrnice

Čl. 7 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Každý členský stát určí kapacity, prostředky a postupy, které mohou být nasazeny v případě krize pro účely této směrnice.	(Netýká se českého znění.)

Pozměňovací návrh  130

 

Návrh směrnice

Čl. 7 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy oznámí Komisi své určené příslušné orgány podle odstavce 1 a předloží své národní plány reakce na kybernetické bezpečnostní incidenty a krize podle odstavce 3 do tří měsíců od tohoto určení a přijetí těchto plánů. Členské státy mohou z plánu vyloučit konkrétní informace, pokud je to naprosto nezbytné pro jejich národní bezpečnost.	4. Členské státy oznámí Komisi své určené příslušné orgány podle odstavce 1 a předloží síti EU-CyCLONe své národní plány reakce na kybernetické bezpečnostní incidenty a krize podle odstavce 3 do tří měsíců od tohoto určení a přijetí těchto plánů. Členské státy mohou z plánu vyloučit konkrétní informace, pokud je to naprosto nezbytné pro jejich národní bezpečnost.

Pozměňovací návrh  131

 

Návrh směrnice

Čl. 8 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Každý členský stát určí jedno vnitrostátní jednotné kontaktní místo pro kybernetickou bezpečnost („jednotné kontaktní místo“). Určí-li členský stát pouze jeden příslušný orgán, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.	3. Každý členský stát určí jeden z příslušných orgánů uvedených v odstavci 1 jako vnitrostátní jednotné kontaktní místo pro kybernetickou bezpečnost (dále jen „jednotné kontaktní místo“). Určí-li členský stát pouze jeden příslušný orgán, je tento orgán rovněž jednotným kontaktním místem pro tento členský stát.

Pozměňovací návrh  132

 

Návrh směrnice

Čl. 8 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Každé jednotné kontaktní místo plní styčnou funkci pro účely přeshraniční spolupráce orgánů svého členského státu s příslušnými orgány v jiných členských státech a také meziodvětvové spolupráce s jinými příslušnými vnitrostátními orgány ve svém členském státě.	4. Každé jednotné kontaktní místo plní styčnou funkci pro účely přeshraniční spolupráce orgánů svého členského státu s příslušnými orgány v jiných členských státech, s Komisí a s agenturou ENISA a také pro účely meziodvětvové spolupráce s jinými příslušnými vnitrostátními orgány ve svém členském státě.

Pozměňovací návrh  133

 

Návrh směrnice

Čl. 9 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje pro účinné plnění svých úkolů podle čl. 10 odst. 2.	2. Členské státy zajistí, aby měl každý tým CSIRT odpovídající zdroje a disponoval technickými dovednostmi pro účinné plnění svých úkolů podle čl. 10 odst. 2.

Pozměňovací návrh  134

 

Návrh směrnice

Čl. 9 – odst. 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. Členské státy zajistí možnost účinné, účelné a bezpečné výměny informací na všech stupních utajení mezi svými vlastními týmy CSIRT a týmy CSIRT ze třetích zemí na stejném stupni utajení.

Pozměňovací návrh  135

 

Návrh směrnice

Čl. 9 – odst. 6 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	6b. Aniž by byly dotčeny právní předpisy Unie, zejména nařízení (EU) 2016/679, týmy CSIRT spolupracují s týmy CSIRT nebo rovnocennými orgány z kandidátských zemí Unie a jiných třetích zemí na západním Balkáně a ve Východním partnerství, a je-li to možné, poskytují jim podporu v oblasti kybernetické bezpečnosti.

Pozměňovací návrh  136

 

Návrh směrnice

Čl. 9 – odst. 7

Znění navržené Komisí	Pozměňovací návrh
7. Členské státy bez zbytečného odkladu oznámí Komisi týmy CSIRT určené podle odstavce 1, koordinátora CSIRT určeného podle čl. 6 odst. 1 a jejich úkoly stanovené v souvislosti se subjekty uvedenými v přílohách I a II.	7. Členské státy bez zbytečného odkladu oznámí Komisi týmy CSIRT určené podle odstavce 1 a koordinátora CSIRT určeného podle čl. 6 odst. 1, včetně jejich úkolů stanovených ve vztahu k základním a důležitým subjektům.

Pozměňovací návrh  137

 

Návrh směrnice

Čl. 10 – název

Znění navržené Komisí	Pozměňovací návrh
Požadavky na týmy CSIRT a jejich úkoly	Požadavky na týmy CSIRT a jejich technické dovednosti a úkoly

Pozměňovací návrh  138

 

Návrh směrnice

Čl. 10 – odst. 1 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) týmy CSIRT jsou vybaveny vhodným systémem řízení a směrování požadavků, zejména pro usnadnění účelného a efektivního předávání;	c) týmy CSIRT jsou vybaveny vhodným systémem pro klasifikaci, směrování a sledování požadavků, zejména pro usnadnění účelného a efektivního předávání;

Pozměňovací návrh  139

 

Návrh směrnice

Čl. 10 – odst. 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) týmy CSIRT musí mít zavedeny vhodné kodexy chování, aby byla zajištěna důvěrnost a důvěryhodnost jejich fungování;

Pozměňovací návrh  140

 

Návrh směrnice

Čl. 10 – odst. 1 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) týmy CSIRT jsou náležitě personálně obsazeny tak, aby byly kdykoli k dispozici;	d) týmy CSIRT jsou náležitě personálně obsazeny tak, aby byly kdykoli k dispozici a zajistily vhodné rámce odborné přípravy svých zaměstnanců;

Pozměňovací návrh  141

 

Návrh směrnice

Čl. 10 – odst. 1 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity jejich služeb;	e) týmy CSIRT jsou vybaveny redundantními systémy a záložním pracovním prostorem pro zajištění kontinuity jejich služeb, včetně široké konektivity napříč sítěmi, informačních systémů, služeb a zařízení;

Pozměňovací návrh  142

 

Návrh směrnice

Čl. 10 – odst. 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	1a. Týmy CSIRT si osvojí alespoň tyto technické dovednosti:
	a) schopnost provádět monitorování sítí a informačních systémů v reálném čase nebo téměř v reálném čase a odhalovat anomálie;
	b) schopnost podporovat prevenci a odhalování průniku;
	c) schopnost shromažďovat údaje a provádět komplexní forenzní analýzu údajů a reverzní inženýrství kybernetických hrozeb;
	d) schopnost filtrovat škodlivý provoz na internetu;
	e) schopnost prosazovat přísné ověřování, přístupová práva a kontroly vstupu; a
	f) schopnost analyzovat kybernetické hrozby.

Pozměňovací návrh  143

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) monitorování kybernetických hrozeb, zranitelností a incidentů na vnitrostátní úrovni;	a) monitorování kybernetických hrozeb, zranitelností a incidentů na vnitrostátní úrovni a získávání zpravodajských informací o hrozbách v reálném čase;

Pozměňovací návrh  144

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) vydávání včasných varování a upozornění, oznamování a šíření informací o kybernetických hrozbách, zranitelnostech a incidentech základním a důležitým subjektům a dalším příslušným zúčastněným stranám;	b) vydávání včasných varování a upozornění, oznamování a šíření informací o kybernetických hrozbách, zranitelnostech a incidentech základním a důležitým subjektům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase;

Pozměňovací návrh  145

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) reakce na incidenty;	c) reakce na incidenty a poskytování pomoci zúčastněným subjektům;

Pozměňovací návrh  146

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) provádění aktivního skenování sítě a informačních systémů používaných k poskytování služeb subjektu, který o to požádal;	e) provádění aktivního skenování sítě a informačních systémů používaných k poskytování služeb subjektu na základě jeho žádosti nebo v případě závažného ohrožení národní bezpečnosti;

Pozměňovací návrh  147

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. f a (nové)

Znění navržené Komisí	Pozměňovací návrh
	fa) na žádost subjektu umožnění a konfigurace protokolování sítě za účelem ochrany údajů, včetně osobních údajů, před jejich neoprávněnou exfiltrací;

Pozměňovací návrh  148

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. f b (nové)

Znění navržené Komisí	Pozměňovací návrh
	fb) podpora zavádění bezpečných nástrojů pro sdílení informací podle čl. 9 odst. 3.

Pozměňovací návrh  149

 

Návrh směrnice

Čl. 10 – odst. 4 – návětí

Znění navržené Komisí	Pozměňovací návrh
4. V zájmu usnadnění spolupráce prosazují týmy CSIRT přijetí a používání společných či standardních postupů, klasifikace a taxonomie v oblasti:	4. V zájmu usnadnění spolupráce prosazují týmy CSIRT automatizaci výměny informací, přijetí a používání společných či standardních postupů, klasifikace a taxonomie v oblasti:

Pozměňovací návrh  150

 

Návrh směrnice

Čl. 11 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby buď jejich příslušné orgány, nebo týmy CSIRT obdržely hlášení o incidentech a významných kybernetických hrozbách a o případech, kdy téměř došlo k incidentu, podaná podle této směrnice. Pokud členský stát rozhodne, že jeho týmy CSIRT nemají tato hlášení přijímat, bude týmům CSIRT v rozsahu nezbytném pro plnění jejich úkolů povolen přístup k údajům o incidentech hlášených základními nebo důležitými subjekty podle článku 20.	2. Členské státy zajistí, aby jejich týmy CSIRT obdržely hlášení o významných incidentech podle článku 20 a o kybernetických hrozbách a případech, kdy téměř došlo k incidentu, podle článku 27 prostřednictvím jednotného kontaktního místa uvedeného v čl. 20 odst. 4a.

Pozměňovací návrh  151

 

Návrh směrnice

Čl. 11 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39 [nařízení DORA] v daném členském státě.	4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány, jednotnými kontaktními místy, týmy CSIRT, donucovacími orgány, vnitrostátními regulačními orgány nebo jinými příslušnými orgány odpovědnými za veřejné sítě elektronické komunikace nebo veřejně dostupné služby elektronických komunikací ve smyslu směrnice (EU) 2018/1972, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39 [nařízení DORA] v daném členském státě, a to v souladu s jejich příslušnými kompetencemi.
__________________	__________________
39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  152

 

Návrh směrnice

Čl. 11 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Členské státy zajistí, aby jejich příslušné orgány pravidelně poskytovaly informace příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] o kybernetických bezpečnostních rizicích, kybernetických hrozbách a incidentech postihujících základní subjekty určené jako kritické nebo jako subjekty rovnocenné kritickým subjektům podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů], jakož i o opatřeních, jež příslušné orgány přijaly v reakci na tato rizika a incidenty.	5. Členské státy zajistí, aby jejich příslušné orgány pravidelně a včas poskytovaly informace příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] o kybernetických bezpečnostních rizicích, kybernetických hrozbách a incidentech postihujících základní subjekty určené jako kritické nebo jako subjekty rovnocenné kritickým subjektům podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů], jakož i o opatřeních, jež příslušné orgány přijaly v reakci na tato rizika a incidenty.

Pozměňovací návrh  153

 

Návrh směrnice

Čl. 12 – odst. 3 – pododstavec 1

Znění navržené Komisí	Pozměňovací návrh
Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou účastnit evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].	Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatelé účastní Evropský parlament a Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou účastnit evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].

Pozměňovací návrh  154

 

Návrh směrnice

Čl. 12 – odst. 3 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Tam, kde je to vhodné, může skupina pro spolupráci přizvat ke spolupráci zástupce příslušných zúčastněných stran.	Tam, kde je to vhodné, může skupina pro spolupráci přizvat ke spolupráci zástupce příslušných zúčastněných stran, například Evropský sbor pro ochranu osobních údajů a zástupce odvětví.

Pozměňovací návrh  155

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) vyměňovat si osvědčené postupy a informace související s uplatňováním této směrnice, včetně informací souvisejících s kybernetickými hrozbami, incidenty, zranitelnostmi, případy, kdy téměř došlo k incidentu, iniciativami zaměřenými na zvyšování informovanosti, školením, cvičením a dovednostmi, budováním kapacit, jakož i normami a technickými specifikacemi;	b) vyměňovat si osvědčené postupy a informace související s uplatňováním této směrnice, včetně informací souvisejících s kybernetickými hrozbami, incidenty, zranitelnostmi, případy, kdy téměř došlo k incidentu, iniciativami zaměřenými na zvyšování informovanosti, školením, cvičením a dovednostmi, budováním kapacit, normami a technickými specifikacemi, jakož i určováním základních a důležitých subjektů;

Pozměňovací návrh  156

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) mapovat vnitrostátní řešení s cílem podporovat kompatibilitu řešení v oblasti kybernetické bezpečnosti uplatňovaných v každém konkrétním odvětví v celé Unii;

Pozměňovací návrh  157

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti;	c) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti a na celkové soudržnosti odvětvových požadavků na kybernetickou bezpečnost;

Pozměňovací návrh  158

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) projednávat zprávy o vzájemném hodnocení podle čl. 16 odst. 7;	f) projednávat zprávy o vzájemném hodnocení podle čl. 16 odst. 7 a vypracovávat závěry a doporučení;

Pozměňovací návrh  159

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. f a (nové)

Znění navržené Komisí	Pozměňovací návrh
	fa) provádět koordinovaná posouzení bezpečnostních rizik, která mohou být zahájena podle čl. 19 odst. 1 ve spolupráci s Komisí a agenturou ENISA;

Pozměňovací návrh  160

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. k a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ka) předkládat Komisi zprávy o zkušenostech získaných na strategické a operativní úrovni pro účely přezkumu uvedeného v článku 35;

Pozměňovací návrh  161

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. k b (nové)

Znění navržené Komisí	Pozměňovací návrh
	kb) provádět každoročně ve spolupráci s agenturou ENISA, Europolem a vnitrostátními donucovacími orgány hodnocení toho, které státy poskytují útočiště pachatelům trestných činů využívajících vyděračský software (ransomware).

Pozměňovací návrh  162

 

Návrh směrnice

Čl. 12 – odst. 8

Znění navržené Komisí	Pozměňovací návrh
8. Skupina pro spolupráci se schází pravidelně, alespoň jednou ročně, se skupinou pro odolnost kritických subjektů zřízenou podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za účelem podpory strategické spolupráce a výměny informací.	8. Skupina pro spolupráci se schází pravidelně, alespoň dvakrát ročně, se skupinou pro odolnost kritických subjektů zřízenou podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za účelem usnadnění strategické spolupráce a výměny informací.

Pozměňovací návrh  163

 

Návrh směrnice

Čl. 13 – odst. 3 – písm. a a (nové)

Znění navržené Komisí	Pozměňovací návrh
	aa) usnadňuje sdílení a přenos technologií a příslušných opatření, politik, osvědčených postupů a rámců mezi týmy CSIRT;

Pozměňovací návrh  164

 

Návrh směrnice

Čl. 13 – odst. 3 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) zajišťuje interoperabilitu, pokud jde o normy pro sdílení informací;

Pozměňovací návrh  165

 

Návrh směrnice

Čl. 14 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Za účelem podpory koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operační úrovni a pro zajištění pravidelné výměny informací mezi členskými státy a institucemi, orgány a agenturami Unie se tímto zřizuje Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe).	1. Za účelem podpory koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operační úrovni a pro zajištění pravidelné výměny relevantních informací mezi členskými státy a institucemi, orgány a agenturami Unie se tímto zřizuje Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe).

Pozměňovací návrh  166

 

Návrh směrnice

Čl. 14 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise a agentury ENISA. Agentura ENISA zajišťuje služby sekretariátu a podporuje bezpečnou výměnu informací.	2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise a agentury ENISA. Agentura ENISA zajišťuje služby sekretariátu sítě EU-CyCLONe a podporuje bezpečnou výměnu informací.

Pozměňovací návrh  167

 

Návrh směrnice

Čl. 14 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Síť EU-CyCLONe pravidelně podává skupině pro spolupráci zprávy o kybernetických hrozbách, incidentech a trendech, se zvláštním zaměřením na jejich dopad na základní a důležité subjekty.	5. Síť EU-CyCLONe pravidelně podává skupině pro spolupráci zprávy o rozsáhlých incidentech a krizích i o trendech se zvláštním zaměřením na jejich dopad na základní a důležité subjekty.

Pozměňovací návrh  168

 

Návrh směrnice

Čl. 15 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA ve spolupráci s Komisí vydává jednou za dva roky zprávu o stavu kybernetické bezpečnosti v Unii. Ve zprávě uvede zejména posouzení:	1. Agentura ENISA ve spolupráci s Komisí vydává jednou za dva roky zprávu o stavu kybernetické bezpečnosti v Unii a tuto zprávu předkládá a prezentuje Evropskému parlamentu. Zprávu dodá ve strojově čitelném formátu a uvede v ní zejména posouzení:

Pozměňovací návrh  169

 

Návrh směrnice

Čl. 15 – odst. 1 – písm. a a (nové)

Znění navržené Komisí	Pozměňovací návrh
	aa) obecné úrovně informovanosti a hygieny v oblasti kybernetické bezpečnosti mezi občany a subjekty, včetně malých a středních podniků, jakož i obecné úrovně bezpečnosti připojených zařízení;

Pozměňovací návrh  170

 

Návrh směrnice

Čl. 15 – odst. 1 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) indexu kybernetické bezpečnosti umožňující agregované posouzení úrovně vyspělosti kapacit v oblasti kybernetické bezpečnosti.	c) indexu kybernetické bezpečnosti umožňující agregované posouzení úrovně vyspělosti kapacit v oblasti kybernetické bezpečnosti v celé Unii, včetně sladění národních strategií kybernetické bezpečnosti členských států.

Pozměňovací návrh  171

 

Návrh směrnice

Čl. 15 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Ve zprávě uvede konkrétní doporučení k této oblasti politiky zaměřená na zvýšení úrovně kybernetické bezpečnosti v celé Unii a shrne zjištění za dané období z technických situačních zpráv EU v oblasti kybernetické bezpečnosti vydaných agenturou ENISA podle čl. 7 odst. 6 nařízení (EU) 2019/881.	2. Ve zprávě uvede konkrétní překážky a doporučení k této oblasti politiky zaměřená na zvýšení úrovně kybernetické bezpečnosti v celé Unii a shrne zjištění za dané období z technických situačních zpráv EU v oblasti kybernetické bezpečnosti vydaných agenturou ENISA podle čl. 7 odst. 6 nařízení (EU) 2019/881.

Pozměňovací návrh  172

 

Návrh směrnice

Čl. 15 – odst. 2 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	2a. Agentura ENISA ve spolupráci s Komisí a podle pokynů od skupiny pro spolupráci a sítě CSIRT vypracuje metodiku, včetně příslušných proměnných indexu kybernetické bezpečnosti uvedeného v odst. 1 písm. e).

Pozměňovací návrh  173

 

Návrh směrnice

Čl. 16 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA stanoví nejpozději do 18 měsíců po vstupu této směrnice v platnost metodiku a obsah vzájemných hodnocení pro posuzování účelnosti politik členských států v oblasti kybernetické bezpečnosti. Hodnocení provádějí techničtí odborníci na kybernetickou bezpečnost z členských států jiných, než je posuzovaný členský stát, přičemž hodnocení zahrnují alespoň:	1. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA stanoví nejpozději do 18 měsíců po vstupu této směrnice v platnost metodiku a obsah vzájemných hodnocení pro posuzování účelnosti politik členských států v oblasti kybernetické bezpečnosti. Vzájemná hodnocení provádějí při konzultacích s agenturou ENISA techničtí odborníci na kybernetickou bezpečnost z alespoň dvou členských států odlišných od posuzovaného členského státu, přičemž hodnocení zahrnují alespoň:

Pozměňovací návrh  174

 

Návrh směrnice

Čl. 16 – odst. 1 – písm. iii

Znění navržené Komisí	Pozměňovací návrh
iii) provozní kapacity a účelnost týmů CSIRT;	iii) provozní kapacity a účelnost týmů CSIRT při vykonávání jejich úkolů;

Pozměňovací návrh  175

 

Návrh směrnice

Čl. 16 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. O organizačních aspektech vzájemných hodnocení rozhoduje Komise za podpory agentury ENISA a po konzultaci se skupinou pro spolupráci je stanoví podle kritérií definovaných v metodice uvedené v odstavci 1. Při vzájemných hodnoceních se posuzují aspekty uvedené v odstavci 1 u všech členských států a odvětví, včetně cílené problematiky, která je specifická pro jeden nebo několik členských států nebo pro jedno nebo několik odvětví.	3. O organizačních aspektech vzájemných hodnocení rozhoduje Komise za podpory agentury ENISA a po konzultaci se skupinou pro spolupráci je stanoví podle kritérií definovaných v metodice uvedené v odstavci 1. Při vzájemných hodnoceních se posuzují aspekty uvedené v odstavci 1 u všech členských států a odvětví, včetně cílené problematiky, která je specifická pro jeden nebo několik členských států nebo pro jedno nebo několik odvětví. Určení odborníci provádějící hodnocení sdělí před jeho zahájením tuto cílenou problematiku členskému státu, na který se vzájemné hodnocení vztahuje.

Pozměňovací návrh  176

 

Návrh směrnice

Čl. 16 – odst. 3 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	3a. Před zahájením procesu vzájemného hodnocení provede členský stát, na který se toto hodnocení vztahuje, sebehodnocení u posuzovaných aspektů a poskytne toto sebehodnocení určeným odborníkům.

Pozměňovací návrh  177

 

Návrh směrnice

Čl. 16 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Vzájemná hodnocení zahrnují skutečné nebo virtuální návštěvy na místě i externí výměny. S ohledem na zásadu dobré spolupráce poskytnou posuzované členské státy určeným odborníkům požadované informace potřebné k posouzení kontrolovaných aspektů. Veškeré informace získané v rámci procesu vzájemného hodnocení lze použít pouze pro tento účel. Odborníci účastnící se vzájemného hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto hodnocení žádným třetím stranám.	4. Vzájemná hodnocení zahrnují skutečné nebo virtuální návštěvy na místě i externí výměny. S ohledem na zásadu dobré spolupráce poskytnou posuzované členské státy určeným odborníkům požadované informace potřebné k posouzení kontrolovaných aspektů. Komise ve spolupráci s agenturou ENISA vypracuje vhodné kodexy chování, které budou tvořit základ pracovních metod určených odborníků. Veškeré informace získané v rámci procesu vzájemného hodnocení lze použít pouze pro tento účel. Odborníci účastnící se vzájemného hodnocení nesmí sdělit žádné citlivé nebo důvěrné informace získané v průběhu tohoto hodnocení žádným třetím stranám.

Pozměňovací návrh  178

 

Návrh směrnice

Čl. 16 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Členský stát zajistí, aby byly ostatní členské státy, Komise a agentura ENISA bez zbytečného odkladu informovány o případném riziku střetu zájmů týkajícím se určených odborníků.	6. Členský stát zajistí, aby byly ostatní členské státy, Komise a agentura ENISA před zahájením procesu vzájemného hodnocení bez zbytečného odkladu informovány o případném riziku střetu zájmů týkajícím se určených odborníků.

Pozměňovací návrh  179

 

Návrh směrnice

Čl. 16 – odst. 7

Znění navržené Komisí	Pozměňovací návrh
7. Odborníci účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních a závěrech hodnocení. Zprávy předloží Komisi, skupině pro spolupráci, síti CSIRT a agentuře ENISA. Zprávy se projednají ve skupině pro spolupráci a v síti CSIRT. Zprávy mohou být zveřejněny na vyhrazených internetových stránkách skupiny pro spolupráci.	7. Odborníci účastnící se vzájemných hodnocení vypracují návrhy zpráv o zjištěních a závěrech hodnocení. Zprávy obsahují doporučení s cílem dosáhnout zlepšení v aspektech, jichž se týká proces vzájemného hodnocení. Zprávy předloží Komisi, skupině pro spolupráci, síti CSIRT a agentuře ENISA. Zprávy se projednají ve skupině pro spolupráci a v síti CSIRT. Zprávy mohou být zveřejněny na vyhrazených internetových stránkách skupiny pro spolupráci s vyloučením citlivých a důvěrných informací.

Pozměňovací návrh  180

 

Návrh směrnice

Čl. 17 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby členové vedoucího orgánu pravidelně absolvovali zvláštní školení, a získali tak dostatečné znalosti a dovednosti, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu.	2. Členské státy zajistí, aby členové vedoucího orgánu základních a důležitých subjektů pravidelně absolvovali zvláštní školení, a vybízejí základní a důležité subjekty, aby nabízely podobné školení všem zaměstnancům, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na služby poskytované subjektem.

Pozměňovací návrh  181

 

Návrh směrnice

Čl. 18 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb. S ohledem na nejnovější technický vývoj musí tato opatření zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika.	1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a k předcházení incidentům nebo minimalizaci jejich dopadů na příjemce jejich služeb a na další služby. S ohledem na nejnovější technický vývoj a na evropské nebo mezinárodní normy musí tato opatření zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika.

Pozměňovací návrh  182

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) řešení incidentů (prevence a odhalování incidentů a reakce na ně);	b) řešení incidentů;

Pozměňovací návrh  183

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) řízení kontinuity provozu a krizové řízení;	c) řízení kontinuity provozu, jako např. správa zálohování a obnova provozu po havárii a krizové řízení;

Pozměňovací návrh  184

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb;	d) zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb;

Pozměňovací návrh  185

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;	f) politiky a postupy (školení, testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  186

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. f a (nové)

Znění navržené Komisí	Pozměňovací návrh
	fa) základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;

Pozměňovací návrh 187

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. g

Znění navržené Komisí	Pozměňovací návrh
g) používání kryptografie a šifrování.	g) používání kryptografie, např. šifrování tam, kde je to vhodné;

Pozměňovací návrh  188

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. g a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ga) používání vícefaktorových autentizační řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace, a případně zabezpečených systémů tísňové komunikace v rámci subjektu.

Pozměňovací návrh  189

Návrh směrnice

Čl. 18 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy zajistí, aby v případě, že subjekt zjistí, že jeho služby nebo úkoly neodpovídají požadavkům stanoveným v odstavci 2, neprodleně přijal všechna nezbytná nápravná opatření, aby dotčená služba požadavky splňovala.	4. Členské státy zajistí, aby v případě, že subjekt zjistí, že jeho služby nebo úkoly neodpovídají požadavkům stanoveným v odstavci 2, neprodleně přijal všechna nezbytná, vhodná a přiměřená nápravná opatření, aby dotčená služba požadavky splňovala.

Pozměňovací návrh  190

 

Návrh směrnice

Čl. 18 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Komise může přijmout prováděcí akty, aby stanovila technické a metodické specifikace prvků uvedených v odstavci 2. Při přípravě těchto aktů postupuje Komise v souladu s přezkumným postupem uvedeným v čl. 37 odst. 2 a v maximální možné míře dodržuje mezinárodní a evropské normy, jakož i příslušné technické specifikace.	vypouští se

Pozměňovací návrh  191

 

Návrh směrnice

Čl. 18 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Komisi je svěřena pravomoc přijmout v souladu s článkem 36 akty v přenesené pravomoci, kterými doplní prvky stanovené v odstavci 2, aby zohledňovaly nové kybernetické hrozby, technologický vývoj nebo specifičnosti daného odvětví.	6. Komisi je svěřena pravomoc přijmout v souladu s článkem 36 akty v přenesené pravomoci, kterými doplní prvky stanovené v odstavci 2 tohoto článku, aby zohledňovaly nové kybernetické hrozby, technologický vývoj nebo specifičnosti daného odvětví, a rovněž doplní tuto směrnici stanovením technických a metodických specifikací opatření uvedených v odstavci 2 tohoto článku.

Pozměňovací návrh  192

 

Návrh směrnice

Čl. 19 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Skupina pro spolupráci může v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.	1. Skupina pro spolupráci může v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT a informačního a komunikačního systému (IKS), přičemž zohlední technické, případně netechnické rizikové faktory.

Pozměňovací návrh  193

 

Návrh směrnice

Čl. 19 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA určí specifické kritické služby, systémy nebo produkty IKT, jež mohou být předmětem koordinovaného posouzení rizik uvedeného v odstavci 1.	2. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA, a případně s příslušnými odpovědnými stranami, určí specifické kritické služby, systémy nebo produkty IKT a IKS, jež mohou být předmětem koordinovaného posouzení rizik uvedeného v odstavci 1.

Pozměňovací návrh  194

 

Návrh směrnice

Čl. 20 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT v souladu s odstavci 3 a 4 každý incident, který má závažný dopad na poskytování jejich služeb. Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb o incidentech, které by mohly negativně ovlivnit poskytování dané služby. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které příslušným orgánům nebo týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu.	1. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly týmu CSIRT v souladu s odstavci 3 a 4 každý závažný incident. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu.

Pozměňovací návrh  195

 

Návrh směrnice

Čl. 20 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident.
Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb, které mohou být ovlivněny významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou učinit v reakci na danou hrozbu. Ve vhodných případech subjekty příjemce uvědomí také o hrozbě samotné. Ohlášení nezakládá u oznamujícího subjektu vyšší míru právní odpovědnosti.	Ve vhodných případech členské státy zajistí, aby základní a důležité subjekty informovaly neprodleně příjemce svých služeb o ochranných nebo nápravných opatřeních v souvislosti s konkrétními incidenty a známými riziky, jež mohou příjemci učinit. Ve vhodných případech subjekty příjemce svých služeb informují o samotném incidentu nebo známém riziku. Informování příjemců probíhá v souladu se zásadou vynaložení nejvyššího úsilí a nezakládá u oznamujícího subjektu vyšší míru právní odpovědnosti.

Pozměňovací návrh  196

 

Návrh směrnice

Čl. 20 – odst. 3 – návětí

Znění navržené Komisí	Pozměňovací návrh
3. Incident se považuje za významný, jestliže:	3. Při posuzování závažnosti incidentu jsou vzaty v úvahu zejména tyto parametry, jsou-li k dispozici:

Pozměňovací návrh  197

 

Návrh směrnice

Čl. 20 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) incident dotčenému subjektu způsobil nebo může způsobit podstatné provozní narušení nebo finanční ztráty;	a) počet příjemců služeb dotčených incidentem;

Pozměňovací návrh  198

 

Návrh směrnice

Čl. 20 – odst. 3 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značné hmotné nebo nehmotné ztráty.	b) délka trvání incidentu;

Pozměňovací návrh  199

 

Návrh směrnice

Čl. 20 – odst. 3 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) zeměpisný rozsah oblasti dotčené incidentem;

Pozměňovací návrh  200

 

Návrh směrnice

Čl. 20 – odst. 3 – písm. b b (nové)

Znění navržené Komisí	Pozměňovací návrh
	bb) rozsah, v jakém je incidentem ovlivněno fungování a kontinuita služby;

Pozměňovací návrh  201

 

Návrh směrnice

Čl. 20 – odst. 3 – písm. b c (nové)

Znění navržené Komisí	Pozměňovací návrh
	bc) rozsah dopadu incidentu na společenské a ekonomické činnosti.

Pozměňovací návrh  202

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily příslušným orgánům nebo týmu CSIRT:	Členské státy zajistí, aby za účelem oznámení podle odstavce 1 dotčené subjekty předložily týmu CSIRT:

Pozměňovací návrh  203

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) neprodleně, nejpozději však do 24 hodin po zjištění incidentu, první oznámení, v němž případně uvedou, zda byl incident pravděpodobně způsoben neoprávněným nebo svévolným zásahem;	a) první oznámení závažného incidentu, které obsahuje tyto informace, jež oznamující subjekt získal na základě zásady vynaložení nejvyššího úsilí:

Pozměňovací návrh 204

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. a – písm. i (nové)

Znění navržené Komisí	Pozměňovací návrh
	i) pokud jde o incidenty, které významně narušily dostupnost služeb poskytovaných subjektem, tým CSIRT je informován neprodleně, nejpozději však do 24 hodin po zjištění incidentu;

Pozměňovací návrh  205

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. a – písm. ii (nové)

Znění navržené Komisí	Pozměňovací návrh
	ii) pokud jde o incidenty, které mají významný dopad na subjekt s výjimkou dostupnosti služeb poskytovaných subjektem, tým CSIRT je informován neprodleně, nejpozději však do 72 hodin po zjištění incidentu;

Pozměňovací návrh  206

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. a – písm. iii (nové)

Znění navržené Komisí	Pozměňovací návrh
	iii) pokud jde o incidenty, které mají významný dopad na služby poskytovatele služeb vytvářejících důvěru ve smyslu čl. 13 bodu 19 nařízení (EU) č. 910/2014 nebo na osobní údaje spravované poskytovatelem služeb vytvářejících důvěru, tým CSIRT je informován neprodleně, nejpozději však do 24 hodin po zjištění incidentu;

Pozměňovací návrh  207

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) na žádost příslušného orgánu nebo týmu CSIRT průběžnou zprávu o podstatných změnách stavu;	b) průběžnou zprávu o podstatných změnách stavu na žádost týmu CSIRT;

Pozměňovací návrh  208

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. c – návětí

Znění navržené Komisí	Pozměňovací návrh
c) nejpozději do jednoho měsíce od předložení oznámení podle písmene a) závěrečnou zprávu zahrnující alespoň:	c) nejpozději do jednoho měsíce od předložení prvního oznámení souhrnnou zprávu zahrnující alespoň:

Pozměňovací návrh  209

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) v případě, že v době předložení souhrnné zprávy podle písmene c) incident probíhá, předloží se závěrečná zpráva jeden měsíc po vyřešení incidentu;

Pozměňovací návrh  210

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Členské státy zajistí, aby se dotčený subjekt mohl v odůvodněných případech a po dohodě s příslušnými orgány nebo týmem CSIRT odchýlit od lhůt stanovených v písmeni a) a c).	Členské státy zajistí, aby se dotčený subjekt mohl v odůvodněných případech a po dohodě s týmem CSIRT odchýlit od lhůt stanovených v písm. a) bodě i) a ii) a písmeni c). Členské státy zajistí důvěrnost a odpovídající ochranu citlivých informací o incidentech sdílených s týmy CSIRT a přijmou opatření a postupy pro sdílení a opětovné využívání informací o incidentech.

Pozměňovací návrh  211

 

Návrh směrnice

Čl. 20 – odst. 4 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	4a. Členské státy zřídí jednotné kontaktní místo pro všechna oznámení požadovaná podle této směrnice a dalších příslušných právních předpisů Unie. Agentura ENISA ve spolupráci se skupinou pro spolupráci vypracuje a neustále zdokonaluje společné šablony hlášení prostřednictvím pokynů, které zjednoduší a zefektivní informace uvedené v hlášeních, jež vyžadují právní předpisy Unie, a sníží zátěž pro subjekty ohlašující incidenty.

Pozměňovací návrh  212

 

Návrh směrnice

Čl. 20 – odst. 4 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	4b. Základní a důležité subjekty uvedené v čl. 24 odst. 1 mohou splnit požadavky stanovené v odstavci 1 tohoto článku informováním týmu CSIRT členského státu, ve kterém mají tyto subjekty hlavní provozovnu v Unii, a informováním základních a důležitých subjektů, kterým poskytují služby, o každém závažném incidentu, o němž je známo, že bude mít dopad na příjemce služeb.

Pozměňovací návrh  213

 

Návrh směrnice

Čl. 20 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Příslušné vnitrostátní orgány nebo tým CSIRT poskytnou do 24 hodin po obdržení prvního oznámení podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvních připomínek k incidentu, a na žádost subjektu doporučí možná zmírňující opatření. Pokud tým CSIRT neobdržel oznámení podle odstavce 1, doporučení vydá příslušný orgán ve spolupráci s týmem CSIRT. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má incident povahu trestného činu, doporučí příslušné vnitrostátní orgány nebo tým CSIRT také ohlášení tohoto incidentu orgánům činným v trestním řízení.	5. Tým CSIRT poskytne do 24 hodin po obdržení prvního oznámení podle odst. 4 písm. a) oznamujícímu subjektu své vyjádření, včetně prvních připomínek k incidentu, a na žádost subjektu doporučí možná zmírňující opatření a poskytne včasné poradenství. Pokud o to dotčený subjekt požádá, poskytne mu tým CSIRT další technickou podporu. Jestliže existuje podezření, že má incident povahu trestného činu, doporučí tým CSIRT také ohlášení tohoto incidentu orgánům činným v trestním řízení. Tým CSIRT může sdílet informace o incidentu s dalšími základními a důležitými subjekty, přičemž zajistí důvěrnost informací poskytnutých subjektem ohlašujícím incidenty.

Pozměňovací návrh  214

 

Návrh směrnice

Čl. 20 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Tam, kde je to vhodné, a zejména pokud se incident podle odstavce 1 týká dvou nebo více členských států, informuje příslušný orgán nebo tým CSIRT, jimž byl incident ohlášen, ostatní dotčené členské státy a agenturu ENISA. Příslušné orgány, týmy CSIRT a jednotná kontaktní místa přitom v souladu s právem Unie nebo vnitrostátními právními předpisy, které jsou v souladu s právem Unie, zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.	6. Tam, kde je to vhodné, a zejména pokud se incident podle odstavce 1 týká dvou nebo více členských států, informuje tým CSIRT, jemuž byl incident ohlášen, ostatní dotčené členské státy a agenturu ENISA a poskytne příslušné informace. Týmy CSIRT a jednotná kontaktní místa přitom v souladu s právem Unie nebo vnitrostátními právními předpisy, které jsou v souladu s právem Unie, zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.

Pozměňovací návrh  215

 

Návrh směrnice

Čl. 20 – odst. 7

Znění navržené Komisí	Pozměňovací návrh
7. Pokud je nezbytné informovat veřejnost, aby se incidentu zabránilo nebo aby se probíhající incident vyřešil, nebo pokud je zveřejnění incidentu jinak ve veřejném zájmu, může příslušný orgán nebo tým CSIRT, případně orgány nebo týmy CSIRT jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o incidentu nebo požadovat, aby tak učinil daný subjekt.	7. Pokud je nezbytné informovat veřejnost, aby se incidentu zabránilo nebo aby se probíhající incident vyřešil, nebo pokud je zveřejnění incidentu jinak ve veřejném zájmu, může tým CSIRT, případně týmy CSIRT jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o incidentu nebo požadovat, aby tak učinil daný subjekt.

Pozměňovací návrh  216

 

Návrh směrnice

Čl. 20 – odst. 7 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	7a. Týmy CSIRT poskytnou neprodleně jednotným kontaktním místům, a případně příslušným orgánům, informace o závažných incidentech oznámených v souladu s odstavcem 1.

Pozměňovací návrh  217

 

Návrh směrnice

Čl. 20 – odst. 8

Znění navržené Komisí	Pozměňovací návrh
8. Na žádost příslušného orgánu nebo týmu CSIRT postoupí jednotné kontaktní místo hlášení obdržená podle odstavce 1 a 2 jednotným kontaktním místům dalších dotčených členských států.	8. Na žádost týmu CSIRT postoupí jednotné kontaktní místo hlášení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států, přičemž zajistí důvěrnost a odpovídající ochranu informací poskytnutých subjektem ohlašujícím incidenty.

Pozměňovací návrh  218

 

Návrh směrnice

Čl. 20 – odst. 9

Znění navržené Komisí	Pozměňovací návrh
9. Jednotné kontaktní místo předkládá každý měsíc agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o incidentech, závažných kybernetických hrozbách a případech, kdy téměř došlo k incidentu, oznámených podle odstavce 1 a 2 a podle článku 27. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA vydat technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny.	9. Jednotné kontaktní místo předkládá každý měsíc agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o incidentech, závažných kybernetických hrozbách a případech, kdy téměř došlo k incidentu, oznámených podle odstavce 1 tohoto článku a článku 27. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA vydat technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny.

Pozměňovací návrh  219

 

Návrh směrnice

Čl. 20 – odst. 10

Znění navržené Komisí	Pozměňovací návrh
10. Příslušné orgány poskytnou příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] informace o incidentech a kybernetických hrozbách oznámených podle odstavců 1 a 2 základními subjekty určenými jako kritické subjekty nebo subjekty, které jsou rovnocenné kritickým subjektům, podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů].	10. Příslušné orgány poskytnou příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] informace o incidentech a kybernetických hrozbách oznámených podle odstavce 1 tohoto článku a článku 27 základními subjekty určenými jako kritické subjekty nebo subjekty, které jsou rovnocenné kritickým subjektům, podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů].

Pozměňovací návrh  220

 

Návrh směrnice

Čl. 20 – odst. 11

Znění navržené Komisí	Pozměňovací návrh
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 a 2. Komise může rovněž přijmout prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.	11. Komise může přijmout prováděcí akty dále upřesňující postup oznámení předkládaných podle odstavce 1 tohoto článku a článku 27. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Pozměňovací návrh  221

 

Návrh směrnice

Čl. 20 – odst. 11 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	11a. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 36 za účelem doplnění této směrnice stanovením typu informací předkládaných podle odstavce 1 tohoto článku a dalším upřesněním parametrů, které je třeba zohlednit při posuzování závažnosti incidentu, jak je uvedeno v odstavci 3 tohoto článku.

Pozměňovací návrh  222

 

Návrh směrnice

Čl. 21 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. K prokázání splnění některých požadavků článku 18 mohou členské státy požadovat, aby základní a důležité subjekty certifikovaly některé produkty IKT, služby IKT a procesy IKT podle zvláštních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881. Produkty, služby a procesy podléhající certifikaci mohou být vyvinuty základním nebo důležitým subjektem nebo pořízeny od třetích stran.	1. Členské státy v návaznosti na pokyny agentury ENISA, Komise a poradní skupiny podporují, aby základní a důležité subjekty certifikovaly některé produkty, služby a procesy IKT – buď vyvinuté základním nebo důležitým subjektem nebo pořízené od třetích stran –, podle evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881 nebo – pokud tyto systémy ještě nejsou k dispozici – v rámci podobných mezinárodně uznávaných systémů certifikace. Členské státy kromě toho podporují základní a důležité subjekty, aby využívaly kvalifikované služby vytvářející důvěru podle nařízení (EU) č. 910/2014.

Pozměňovací návrh  223

 

Návrh směrnice

Čl. 21 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci upřesňující, které kategorie základních subjektů budou povinny obstarat si certifikát a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti podle odstavce 1. Akty v přenesené pravomoci se přijímají v souladu s článkem 36.	2. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 36 za účelem doplnění této směrnice upřesněním, které kategorie základních a důležitých subjektů jsou povinny obstarat si certifikát podle konkrétních evropských systémů certifikace kybernetické bezpečnosti podle článku 49 nařízení (EU) 2019/881. Tyto akty v přenesené pravomoci se zohlední, pokud se zjistí nedostatečná úroveň kybernetické bezpečnosti. Tomuto zohlednění předchází posouzení dopadu a v aktech je stanoveno prováděcí období.

Pozměňovací návrh  224

 

Návrh směrnice

Čl. 21 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Komise může požádat agenturu ENISA, aby v případech, kdy není k dispozici žádný vhodný evropský systém certifikace kybernetické bezpečnosti pro účely odstavce 2, připravila návrh systému podle čl. 48 odst. 2 nařízení (EU) 2019/881.	3. Komise může po konzultaci s poradní skupinou a Evropskou skupinou pro certifikaci kybernetické bezpečnosti požádat agenturu ENISA, aby v případech, kdy není k dispozici žádný vhodný evropský systém certifikace kybernetické bezpečnosti pro účely odstavce 2, připravila návrh systému podle čl. 48 odst. 2 nařízení (EU) 2019/881.

Pozměňovací návrh  225

 

Návrh směrnice

Čl. 22 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA ve spolupráci se členskými státy vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států, které by umožnily tyto oblasti pokrýt.	2. Agentura ENISA ve spolupráci se členskými státy, a případně po konzultaci s příslušnými zúčastněnými stranami, vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států, které by umožnily tyto oblasti pokrýt.

Pozměňovací návrh  226

 

Návrh směrnice

Čl. 22 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
	3. Komise ve spolupráci s agenturou ENISA podporuje a prosazuje rozvoj a provádění norem pro harmonizované provádění čl. 18 odst. 1 a 2 stanovených příslušnými orgány Unie a mezinárodními normalizačními organizacemi. Komise podporuje aktualizaci těchto norem s ohledem na technologický vývoj.

Pozměňovací návrh  227

 

Návrh směrnice

Čl. 23 – název

Znění navržené Komisí	Pozměňovací návrh
Databáze doménových jmen a registračních údajů	Struktura databáze doménových jmen a registračních údajů

Pozměňovací návrh  228

 

Návrh směrnice

Čl. 23 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD shromažďovaly a uchovávaly přesné a úplné údaje o registraci doménových jmen ve vyhrazeném databázovém zařízení, a to s náležitou péčí podle právních předpisů Unie o ochraně osobních údajů, pokud jde o data, jež jsou osobními údaji.	1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, požadují, aby registry TLD a subjekty poskytující služby registrace doménových jmen shromažďovaly a uchovávaly přesné, ověřené a úplné údaje o registraci doménových jmen ve struktuře databáze provozované za tímto účelem.

Pozměňovací návrh  229

 

Návrh směrnice

Čl. 23 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby databáze údajů o registraci doménových jmen uvedené v odstavci 1 obsahovaly podstatné informace umožňující identifikaci a kontaktování držitelů doménových jmen a kontaktní místa spravující doménová jména v registrech TLD.	2. Členské státy zajistí, aby struktura databáze údajů o registraci doménových jmen uvedená v odstavci 1 obsahovala podstatné informace zahrnující alespoň jména držitelů registrace, jejich fyzickou a e-mailovou adresu a také jejich telefonní číslo umožňující identifikaci a kontaktování držitelů doménových jmen a kontaktní místa spravující doménová jména v registrech TLD.

Pozměňovací návrh  230

 

Návrh směrnice

Čl. 23 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD měly zavedeny zásady a postupy zajišťující, aby databáze zahrnovaly přesné a úplné informace. Členské státy zajistí, aby byly tyto zásady a postupy veřejně dostupné.	3. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen měly zavedeny zásady a postupy zajišťující, aby databázová struktura zahrnovala přesné, ověřené a úplné informace. Členské státy zajistí, aby byly tyto zásady a postupy veřejně dostupné.

Pozměňovací návrh  231

 

Návrh směrnice

Čl. 23 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD zveřejnily neprodleně po registraci doménového jména údaje o registraci domény, které nejsou osobními údaji.	4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen zveřejňovaly neprodleně po registraci doménového jména údaje o registraci domény, které nejsou osobními údaji. Jedná-li se o držitele registrace – právnické osoby, měly by veřejně přístupné údaje o registraci domény zahrnovat alespoň název držitele registrace, jeho fyzickou a e-mailovou adresu a telefonní číslo.

Pozměňovací návrh  232

 

Návrh směrnice

Čl. 23 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD poskytovaly přístup ke konkrétním údajům o registraci doménových jmen na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD neprodleně reagovaly na všechny žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.	5. Členské státy vyžadují, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD poskytovaly přístup ke konkrétním údajům o registraci doménových jmen, včetně osobních údajů, na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy vyžadují, aby registry TLD a subjekty poskytující služby registrace doménových jmen reagovaly neprodleně, a v každém případě do 72 hodin od obdržení žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.

Pozměňovací návrh  233

 

Návrh směrnice

Čl. 24 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Pro účely této směrnice se má za to, že hlavním místem obchodní činnosti subjektů uvedených v odstavci 1 v Unii je členský stát, v němž přijímají rozhodnutí týkající se opatření k řízení rizik v oblasti kybernetické bezpečnosti. Jestliže tato rozhodnutí nejsou přijímána v žádné provozovně v Unii, má se za to, že hlavní místo obchodní činnosti je v členském státě, kde mají subjekty provozovnu s nejvyšším počtem zaměstnanců v Unii.	2. Pro účely této směrnice se má za to, že hlavním místem obchodní činnosti subjektů uvedených v odstavci 1 v Unii je členský stát, v němž přijímají rozhodnutí týkající se opatření k řízení rizik v oblasti kybernetické bezpečnosti. Jestliže tato rozhodnutí nejsou přijímána v žádné provozovně v Unii, má se za to, že hlavní místo obchodní činnosti je v členském státě, kde mají subjekty buď provozovnu s nejvyšším počtem zaměstnanců v Unii, nebo provozovnu, v níž se provádějí operace v oblasti kybernetické bezpečnosti.

Pozměňovací návrh  234

 

Návrh směrnice

Čl. 25 – název

Znění navržené Komisí	Pozměňovací návrh
Registr základních a důležitých subjektů	Registr agentury ENISA

Pozměňovací návrh  235

 

Návrh směrnice

Čl. 25 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA vytvoří a vede registr základních a důležitých subjektů uvedených v čl. 24 odst. 1. Subjekty předloží [nejpozději do 12 měsíců od vstupu této směrnice v platnost] agentuře ENISA tyto informace:	1. Agentura ENISA vytvoří a vede zabezpečený registr základních a důležitých subjektů uvedených v čl. 24 odst. 1, jenž zahrnuje tyto informace:

Pozměňovací návrh  236

 

Návrh směrnice

Čl. 25 – odst. 1 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) aktuální kontaktní údaje, včetně e-mailových adres a telefonních čísel subjektů.	c) aktuální kontaktní údaje, jako jsou e-mailové adresy, rozsah IP adres, telefonní čísla a příslušná odvětví a pododvětví uvedená v přílohách I a II.

Pozměňovací návrh  237

 

Návrh směrnice

Čl. 25 – odst. 1 – pododstavec 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	Do … [12 měsíců ode dne vstupu této směrnice v platnost] předloží základní a důležité subjekty informace uvedené v prvním pododstavci agentuře ENISA.

Pozměňovací návrh  238

 

Návrh směrnice

Čl. 26 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Aniž je dotčeno nařízení (EU) 2016/679 členské státy zajistí, aby základní a důležité subjekty mohly mezi sebou sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů, pokud toto sdílení informací:	1. Členské státy zajistí, aby základní a důležité subjekty a jiné příslušné subjekty nespadající do oblasti působnosti této směrnice mohly mezi sebou sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, případů, kdy téměř došlo k incidentu, zranitelností, technik a postupů, metadat a dat obsahu, indikátorů narušení, nepřátelské taktiky, modu operandi, informací specifických pro daný subjekt, varování při ohrožení kybernetické bezpečnosti, taktiky průmyslové špionáže a doporučené konfigurace bezpečnostních nástrojů, pokud toto sdílení informací:

Pozměňovací návrh  239

 

Návrh směrnice

Čl. 26 – odst. 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných kapacit, zveřejňováním informací o zranitelnostech a jejich nápravou, prostřednictvím metod zjišťování hrozeb, strategií zmírňování nebo fází reakce a obnovy.	b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných kapacit, zveřejňováním informací o zranitelnostech a jejich nápravou, prostřednictvím metod zjišťování, omezování a prevence hrozeb, strategií zmírňování nebo fází reakce a obnovy nebo podporou společného výzkumu kybernetických hrozeb ze strany subjektů veřejného a soukromého sektoru.

Pozměňovací návrh  240

 

Návrh směrnice

Čl. 26 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby k výměně informací docházelo v důvěryhodných komunitách základních a důležitých subjektů. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací s ohledem na potenciálně citlivou povahu sdílených informací v souladu s pravidly práva Unie uvedenými v odstavci 1.	2. Členské státy usnadní výměnu informací tím, že umožní vytvoření důvěryhodných komunit základních a důležitých subjektů a jejich poskytovatelů služeb nebo případně dalších dodavatelů. Tato výměna bude probíhat prostřednictvím ujednání o sdílení informací s ohledem na potenciálně citlivou povahu sdílených informací.

Pozměňovací návrh  241

 

Návrh směrnice

Čl. 26 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy stanoví pravidla upřesňující postup, provozní prvky (včetně použití vyhrazených platforem IKT), obsah a podmínky ujednání o sdílení informací podle odstavce 2. Tato pravidla rovněž podrobně upravují zapojení veřejných orgánů do těchto ujednání, jakož i provozní prvky, včetně využití vyhrazených platforem IT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 5 odst. 2 písm. g).	3. Členské státy usnadní vznik ujednání o sdílení informací o kybernetické bezpečnosti uvedených v odstavci 2 tím, že zpřístupní provozní prvky (včetně použití vyhrazených platforem IKT a nástrojů pro automatizaci) a obsah. Členské státy podrobně upraví zapojení veřejných orgánů do těchto ujednání a mohou stanovit určité podmínky pro informace zpřístupněné příslušnými orgány nebo týmy CSIRT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 5 odst. 2 písm. g).

Pozměňovací návrh  242

 

Návrh směrnice

Čl. 27 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
Členské státy zajistí, aniž je dotčen článek 3, aby subjekty, které nespadají do oblasti působnosti této směrnice, mohly dobrovolně oznamovat významné incidenty, kybernetické hrozby nebo případy, kdy téměř došlo k incidentu. Při zpracování oznámení postupují členské státy postupem uvedeným v článku 20. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními. Na základě dobrovolného oznámení nesmí být oznamujícímu subjektu uloženy žádné další povinnosti, které by mu nebyly uloženy, kdyby toto oznámení neučinil.	Členské státy zajistí, aby mohly týmům CSIRT dobrovolně podávat oznámení:

Pozměňovací návrh  243

 

Návrh směrnice

Čl. 27 – odst. 1 – písm. a (nové)

Znění navržené Komisí	Pozměňovací návrh
	a) základní a důležité subjekty, pokud jde o kybernetické hrozby a případy, kdy téměř došlo k incidentu;

Pozměňovací návrh  244

 

Návrh směrnice

Čl. 27 – odst. 1 – písm. b (nové)

Znění navržené Komisí	Pozměňovací návrh
	b) subjekty, které nespadají do oblasti působnosti této směrnice, pokud jde o závažné incidenty, kybernetické hrozby nebo případy, kdy téměř došlo k incidentu.

Pozměňovací návrh  245

 

Návrh směrnice

Čl. 27 – odst. 1 – pododstavec 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	Při zpracování těchto oznámení postupují členské státy postupem uvedeným v článku 20. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními. V případě potřeby poskytnou týmy CSIRT jednotnému kontaktnímu místu a případně příslušným orgánům informace o oznámeních obdržených podle tohoto článku, přičemž zajistí důvěrnost a náležitou ochranu informací, jež poskytl oznamující subjekt. Na základě dobrovolného oznámení nesmí být oznamujícímu subjektu uloženy žádné další povinnosti, které by mu nebyly uloženy, kdyby toto oznámení neučinil.

Pozměňovací návrh  246

 

Návrh směrnice

Čl. 28 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány pro ochranu osobních údajů.	2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány pro ochranu osobních údajů. Činí tak v souladu se svými pravomocemi a úkoly podle nařízení (EU) 2016/679.

Pozměňovací návrh  247

 

Návrh směrnice

Čl. 29 – odst. 2 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) kontrolám na místě i externímu dohledu, včetně namátkových kontrol;	a) kontrolám na místě i externímu dohledu včetně namátkových kontrol prováděným školenými odborníky;

Pozměňovací návrh  248

 

Návrh směrnice

Čl. 29 – odst. 2 – písm. a a (nové)

Znění navržené Komisí	Pozměňovací návrh
	aa) šetřením případů nedodržování povinností a jeho dopadům na bezpečnost služeb;

Pozměňovací návrh  249

 

Návrh směrnice

Čl. 29 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) pravidelným auditům;	b) ročním a cíleným bezpečnostním auditům, které provádí kvalifikované nezávislé subjekty nebo příslušné orgány;

Pozměňovací návrh  250

 

Návrh směrnice

Čl. 29 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	c) auditům ad hoc v případech odůvodněných na místě závažným mimořádným incidentem nebo nedodržením povinností ze strany základního subjektu;

Pozměňovací návrh  251

 

Návrh směrnice

Čl. 29 – odst. 2 – pododstavce 1a a 1b (nové)

Znění navržené Komisí	Pozměňovací návrh
	Cílené bezpečnostní audity uvedené v prvním pododstavci písmene b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
	Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit provedený kvalifikovaným nezávislým subjektem hradí dotčený subjekt.

Pozměňovací návrh  252

 

Návrh směrnice

Čl. 29 – odst. 2 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	2a. Při výkonu své pravomoci podle odst. 2 písm. a) až d) příslušné orgány minimalizují dopady na obchodní procesy daného subjektu.

Pozměňovací návrh  253

 

Návrh směrnice

Čl. 29 – odst. 4 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) vydat závazné pokyny nebo příkaz požadující, aby tyto subjekty napravily zjištěné nedostatky nebo porušení povinností stanovených v této směrnici;	b) vydat závazné pokyny, včetně pokynů týkajících se opatření nezbytných k zabránění incidentu nebo jeho nápravě, lhůt pro provedení těchto opatření a podávání zpráv o jejich provedení, nebo příkaz požadující, aby tyto subjekty napravily zjištěné nedostatky nebo porušení povinností stanovených v této směrnici;

Pozměňovací návrh  254

 

Návrh směrnice

Čl. 29 – odst. 4 – písm. i

Znění navržené Komisí	Pozměňovací návrh
i) učinit veřejné prohlášení, které identifikuje právnické a fyzické osoby odpovědné za porušení povinnosti stanovené v této směrnici a povahu tohoto porušení;	vypouští se

Pozměňovací návrh  255

 

Návrh směrnice

Čl. 29 – odst. 4 – písm. j

Znění navržené Komisí	Pozměňovací návrh
j) uložit nebo požádat o uložení správní pokuty podle vnitrostátních právních předpisů příslušnými orgány nebo soudy podle článku 31 vedle opatření uvedených v písmenech a) až i) tohoto odstavce nebo namísto těchto opatření, a to v závislosti na okolnostech každého jednotlivého případu.	j) uložit nebo požádat o uložení správní pokuty podle vnitrostátního práva předpisů příslušnými orgány nebo soudy podle článku 31 vedle opatření uvedených v písmenech a) až i) tohoto odstavce, a to v závislosti na okolnostech každého jednotlivého případu.

Pozměňovací návrh  256

 

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) pozastavit nebo požádat certifikační nebo schvalovací orgán o pozastavení certifikace nebo schválení týkající se všech nebo některých služeb nebo činností poskytovaných základním subjektem;	a) dočasně pozastavit nebo požádat certifikační nebo schvalovací orgán o dočasné pozastavení certifikace nebo schválení týkající se všech nebo některých příslušných služeb nebo činností poskytovaných základním subjektem;

Pozměňovací návrh  257

 

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) uložit nebo požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátními právními předpisy uložily dočasný zákaz výkonu manažerských funkcí v tomto subjektu jakékoli osobě, která má manažerskou odpovědnost na úrovni výkonného ředitele nebo zákonného zástupce v tomto základním subjektu, i jakékoli jiné fyzické osobě odpovědné za porušení.	b) jako krajní prostředek uložit nebo požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátním právem uložily dočasný zákaz výkonu manažerských funkcí v tomto subjektu jakékoli osobě, která má manažerskou odpovědnost na úrovni výkonného ředitele nebo zákonného zástupce v tomto základním subjektu.

Pozměňovací návrh  258

 

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Tato omezující opatření se použijí pouze do doby, než subjekt přijme opatření nezbytná k odstranění nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato omezující opatření uplatněna.	Dočasná pozastavení nebo zákazy podle tohoto odstavce se použijí pouze do doby, než subjekt přijme opatření nezbytná k odstranění nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato omezující opatření uplatněna. Uložení takových dočasných pozastavení nebo zákazů musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.

Pozměňovací návrh  259

 

Návrh směrnice

Čl. 29 – odst. 7 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) skutečně způsobené škody nebo vzniklé ztráty, případně potenciální škody nebo ztráty, které mohly být způsobeny, pokud je lze určit. Při hodnocení tohoto aspektu je třeba zohlednit mimo jiné skutečné nebo potenciální finanční nebo ekonomické ztráty, účinky na jiné služby, počet postižených nebo potenciálně postižených uživatelů;	c) způsobené škody nebo vzniklé ztráty, včetně finančních nebo ekonomických ztrát, účinků na jiné služby a počtu postižených uživatelů;

Pozměňovací návrh  260

 

Návrh směrnice

Čl. 29 – odst. 7 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) veškerá relevantní porušení, kterých se dotyčný subjekt dopustil v minulosti;

Pozměňovací návrh  261

 

Návrh směrnice

Čl. 29 – odst. 9

Znění navržené Komisí	Pozměňovací návrh
9. Členské státy zajistí, aby jejich příslušné orgány při výkonu svých pravomocí v oblasti dohledu a vymáhání zaměřených na zajištění dodržování povinností podle této směrnice ze strany základního subjektu určeného podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za kritický subjekt nebo subjekt, který je rovnocenný kritickému subjektu, informovaly příslušné orgány daného členského státu určené podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů]. Na žádost příslušných orgánů podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] mohou příslušné orgány vykonávat své dohledové a donucovací pravomoci u základního subjektu označeného jako kritický nebo rovnocenný kritickému subjektu.	9. Členské státy zajistí, aby jejich příslušné orgány při výkonu svých pravomocí v oblasti dohledu a vymáhání zaměřených na zajištění dodržování povinností podle této směrnice ze strany základního subjektu určeného podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za kritický subjekt nebo subjekt, který je rovnocenný kritickému subjektu, informovaly příslušné orgány všech příslušných členských států určené podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů]. Na žádost příslušných orgánů podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] mohou příslušné orgány vykonávat své dohledové a donucovací pravomoci u základního subjektu označeného jako kritický nebo rovnocenný kritickému subjektu.

Pozměňovací návrh  262

 

Návrh směrnice

Čl. 29 – odst. 9 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	9a. Členské státy zajistí, aby jejich příslušné orgány spolupracovaly s relevantními příslušnými orgány dotčeného členského státu určenými podle nařízení (EU) XXXX/XXXX [DORA].

Pozměňovací návrh  263

 

Návrh směrnice

Čl. 30 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Při předložení důkazů nebo informací naznačujících, že důležitý subjekt neplní povinnosti stanovené v této směrnici, zejména v článcích 18 a 20, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post.	1. Při předložení důkazů nebo informací naznačujících, že důležitý subjekt neplní povinnosti stanovené v této směrnici, zejména v článcích 18 a 20, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post. Členské státy zajistí, aby tato opatření byla účinná, přiměřená a odrazujícím a to s přihlédnutím k okolnostem každého jednotlivého případu.

Pozměňovací návrh  264

 

Návrh směrnice

Čl. 30 – odst. 2 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) kontrolám na místě i externímu dohledu ex post;	a) kontrolám na místě i externímu dohledu ex post, jež provádějí vyškolení odborníci;

Pozměňovací návrh  265

 

Návrh směrnice

Čl. 30 – odst. 2 – písm. a a (nové)

Znění navržené Komisí	Pozměňovací návrh
	aa) šetření případů nedodržování předpisů a jejich dopadům na bezpečnost služeb;

Pozměňovací návrh  266

 

Návrh směrnice

Čl. 30 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	b) cíleným bezpečnostním auditům, které provádí kvalifikované nezávislé subjekty nebo příslušné orgány;

Pozměňovací návrh  267

 

Návrh směrnice

Čl. 30 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) bezpečnostním prověrkám na základě objektivních, korektních a transparentních kritérií posouzení rizik;	c) bezpečnostním prověrkám na základě objektivních, nediskriminačních, korektních a transparentních kritérií posouzení rizik;

Pozměňovací návrh  268

 

Návrh směrnice

Čl. 30 – odst. 2 – pododstavce 1a a 1 b (nové)

Znění navržené Komisí	Pozměňovací návrh
	Cílené bezpečnostní audity uvedené v prvním pododstavci písmena b) jsou založeny na posouzení rizik, jež provede příslušný orgán nebo auditovaný subjekt, nebo na jiných dostupných informacích týkajících se rizik.
	Výsledky cíleného bezpečnostního auditu se zpřístupní příslušnému orgánu. Náklady na takový cílený bezpečnostní audit, který provede kvalifikovaný nezávislý subjekt, hradí dotčený subjekt.

Pozměňovací návrh  269

 

Návrh směrnice

Čl. 30 – odst. 4 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) učinit veřejné prohlášení, které identifikuje právnické a fyzické osoby odpovědné za porušení povinnosti stanovené v této směrnici a povahu tohoto porušení;	vypouští se

Pozměňovací návrh  270

 

Návrh směrnice

Čl. 30 – odst. 4 – písm. i

Znění navržené Komisí	Pozměňovací návrh
i) uložit nebo požádat o uložení správní pokuty podle vnitrostátních právních předpisů příslušnými orgány nebo soudy podle článku 31 vedle opatření uvedených v písmenech a) až h) tohoto odstavce nebo namísto těchto opatření, a to v závislosti na okolnostech každého jednotlivého případu.	i) uložit nebo požádat o uložení správní pokuty podle vnitrostátního práva příslušnými orgány nebo soudy podle článku 31 vedle opatření uvedených v písmenech a) až h) tohoto odstavce, a to v závislosti na okolnostech každého jednotlivého případu.

Pozměňovací návrh  271

 

Návrh směrnice

Čl. 31 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě opatření uvedených v čl. 29 odst. 4 písm. a) až i), čl. 29 odst. 5 a čl. 30 odst. 4 písm. a) až h) či místo nich.	2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě opatření uvedených v čl. 29 odst. 4 písm. a) až i), čl. 29 odst. 5 a čl. 30 odst. 4 písm. a) až h).

Pozměňovací návrh  272

 

Návrh směrnice

Čl. 32 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí v přiměřené lhůtě orgány dohledu příslušné podle článků 55 a 56 uvedeného nařízení.	1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 bodu 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí o tom bez zbytečného prodlení a v každém případě do 72 hodin od okamžiku, kdy se o porušení zabezpečení údajů dozvěděly, orgány dohledu příslušné podle článků 55 a 56 uvedeného nařízení.

Pozměňovací návrh  273

 

Návrh směrnice

Čl. 32 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, může příslušný orgán informovat dozorový úřad se sídlem ve stejném členském státě.	3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán dozorový úřad se sídlem ve stejném členském státě.

Pozměňovací návrh  274

 

Návrh směrnice

Čl. 35 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
Komise pravidelně přezkoumává fungování této směrnice a podává zprávu Evropskému parlamentu a Radě. Ve zprávě se zejména posoudí význam odvětví, pododvětví, velikosti a druhu subjektů uvedených v přílohách I a II pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Za tímto účelem a s cílem dále rozvíjet strategickou a operativní spolupráci Komise zohlední zprávy skupiny pro spolupráci a sítě CSIRT z hlediska zkušeností získaných na strategické a operativní úrovni. První zprávu předloží do ... 54 měsíců od data vstupu této směrnice v platnost.	Do [42 měsíců po datu vstupu této směrnice v platnost] a poté každých 36 měsíců přezkoumá Komise fungování této směrnice a podá zprávu Evropskému parlamentu a Radě. Ve zprávě se zejména posoudí význam odvětví, pododvětví, velikosti a druhu subjektů uvedených v přílohách I a II pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Za tímto účelem a s cílem dále rozvíjet strategickou a operativní spolupráci Komise zohlední zprávy skupiny pro spolupráci a sítě CSIRT z hlediska zkušeností získaných na strategické a operativní úrovni.
	V případě potřeby se ke zprávě přiloží legislativní návrh.

Pozměňovací návrh  275

 

Návrh směrnice

Čl. 36 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 18 odst. 6 a v čl. 21 odst. 2 je svěřena Komisi na dobu pěti let ode dne […]	2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 18 odst. 6, v čl. 20 odst. 11a a v čl. 21 odst. 2 je svěřena Komisi na dobu pěti let ode dne […]

Pozměňovací návrh  276

 

Návrh směrnice

Čl. 36 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 18 odst. 6 a v čl. 21 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.	3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 18 odst. 6, v čl. 20 odst. 11a a v čl. 21 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

Pozměňovací návrh  277

 

Návrh směrnice

Čl. 36 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 6 a čl. 21 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.	6. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 6, čl. 20 odst. 11a a čl. 21 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Pozměňovací návrh  278

 

Návrh směrnice

Čl. 42 – odst. 1a (nový)

Znění navržené Komisí	Pozměňovací návrh
	Články 39 a 40 se však použijí ode dne... [18 měsíců po datu vstupu této směrnice v platnost].

Pozměňovací návrh  279

 

Návrh směrnice

Příloha I – bod 2 – písm. d – odrážka 2 (nová)

Znění navržené Komisí

Pozměňovací návrh

2. Doprava

d) silniční

— provozovatelé služeb inteligentního dobíjení pro elektrická vozidla

 

Pozměňovací návrh  280

 

Návrh směrnice

Příloha II – tabulka – řádek 6 a (nový)

Znění navržené Komisí

Pozměňovací návrh

6a. Vzdělání a výzkum

— vysokoškolské a výzkumné instituce

 

 

 

 

VYSVĚTLUJÍCÍ PROHLÁŠENÍ

Zpravodaj si přeje, aby se Evropa stala nejlepším místem pro život a podnikání.

Zpravodaj proto vítá směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS2), která nahrazuje původní směrnici o bezpečnosti sítí a informačních systémů (NIS1). Návrh odráží změněné hrozby pro kybernetickou bezpečnost a zavádí minimální harmonizaci opatření v celé EU.

Evropské policejní síly se dnes stále více potýkají s prudkým nárůstem případů kyberkriminality. Může se jednat o trestnou činnost související s pokročilými technologiemi, trestnou činnost prováděnou kybernetickými prostředky a podvody výkonných ředitelů, ale zpravodaj by rád výslovně upozornil na agresivní nárůst ransomwareových gangů napadajících a vydírajících evropské cíle bez ohledu na jejich velikost nebo obrat. Sporní státní aktéři se naopak zaměřují na krádež duševního vlastnictví v průmyslovém měřítku, což vyžaduje odpovídající odpověď.

Podle agentury ENISA jsou však obecné výdaje organizací v EU na kybernetickou bezpečnost o 41 % nižší než u jejich protějšků v USA. Kromě toho bylo vážně omezeno sdílení informací mezi zeměmi a v rámci jednotlivých zemí, a to z důvodu obav týkajících se odpovědnosti podle obecného nařízení o ochraně osobních údajů. To je zřejmé jak ve veřejných, tak soukromých subjektech, které se obávají sdílení údajů. Ve směrnici o kybernetické bezpečnosti v Unii proto musí být jasně stanoveno, že sdílení informací má zásadní význam pro splnění požadavků týkajících se kybernetické bezpečnosti.

Společná úroveň kybernetické bezpečnosti v EU má zásadní význam pro fungování vnitřního trhu. Jsou nezbytné přesně vymezené právní předpisy, aby podniky, které působí v různých členských státech, podléhaly stejnému souboru pravidel. Cílem směrnice o kybernetické bezpečnosti je odstranit nejistotu a stávající nejasnosti.

Ve věku, kdy kyberkriminalita, špionáž nebo sabotáž může mít kaskádové účinky, směrnice o kybernetické bezpečnosti náležitě a podstatně rozšiřuje oblast působnosti. Návrh zahrnuje odvětví, která nebyla dříve považována za základní ani důležitá, ale jsou rozhodně za důležitá považována rasomwareovými gangy nebo některými národními státy. Na základě služeb, které subjekty poskytují společnostem, jsou rozděleny do těchto dvou právních kategorií: „základní“ a „důležité“ subjekty. Zpravodaj sdílí ambice návrhu Komise a domnívá se, že výzkumné a akademické instituce by měly být zařazeny jako nové odvětví. Tyto instituce se často stávají cílem a jejich duševní vlastnictví si zaslouží ochranu v rámci směrnice o kybernetické bezpečnosti.

Administrativní zátěž a byrokracie v podnicích musí být trvale v centru zájmu všech zákonodárců. Zpravodaj podporuje vyloučení mikropodniků a malých podniků. Dále se domnívá, že směrnice o kybernetické bezpečnosti by se neměla zaměřovat pouze na dodržování předpisů a trestněprávní opatření, ale také na pozitivní pobídky, jako je poskytování pokynů a pomoci malým a středním podnikům, které mají specifické potřeby a zájmy, nebo na volně nabízené služby za účelem kontroly konfigurace emailového serveru a internetových stránek. Tyto návrhy mají rovněž v tomto ohledu prokázat, že vlády musí být zaměřeny na služby.

Hlášení incidentů má zásadní význam pro kybernetickou bezpečnost: může zabránit tomu, aby se ostatní stali oběťmi kybernetického útoku. Zpravodaj by chtěl zmínit, že ve své bývalé funkci v oblasti kybernetické bezpečnosti často považoval za nemožné hlásit incident do 24 hodin. V této rané fázi je incident obvykle stále nejasný. Navrhovaný časový rámec 24 hodin se zpravodaji jeví jako nepřiměřený, a to i kvůli tomu, že odborníci se snaží tento problém zmírnit; podávání zpráv v této fázi má druhotný význam. Kybernetický incident a jeho důsledky jsou do 24 hodin jen zřídka dobře pochopeny a oznámení do 24 hodin by mohla vést k nesprávnému hlášení, podávání nadměrného množství zpráv a dalším nejasnostem. K těmto incidentům navíc často dochází v průběhu víkendu. Zpravodaj proto navrhuje uvést tuto směrnici do souladu s jinými právními předpisy Unie, jako je obecné nařízení o ochraně osobních údajů, a prodloužit tak lhůtu na 72 hodin.

Zpravodaj nepovažuje za žádoucí, aby podávání zpráv o možných incidentech bylo povinné. Mělo by být podporováno dobrovolné sdílení možných incidentů nebo případů, kdy k nim téměř došlo, ale střední a velké subjekty mohou v jednom dni potenciálně zachytit desítky, či dokonce stovky významných kybernetických hrozeb. Oznamování těchto potenciálních incidentů by bylo zatěžující a omezilo by účinnost reakce. Mohlo by to rovněž poškodit účinnost orgánů, které se těmito oznámeními musí zabývat, a oslabit tak důvěru systému podávání zpráv a jejich schopnost jednat v případě skutečných incidentů.

Oznamování potenciálních kybernetických hrozeb týmům CSIRT nebo příslušným orgánům by rovněž nemělo být povinné. Dodržování předpisů a odpovědnost odradí lovce hrozeb od činnosti; tedy zásadní součást ekosystému kybernetické bezpečnosti. Kromě toho existují (závažné) případy, kdy by bylo lepší hlásit hrozbu komunitě zpravodajských služeb, pokud jde o jejich oblast působnosti, namísto orgánům pro bezpečnost sítí a informací.

Opatření v oblasti kybernetické bezpečnosti by měla odpovídat velikosti subjektu a kybernetickým bezpečnostním rizikům, kterým čelí. Dohled a prosazování by proto měly být přiměřené. Pokuty a trestněprávní opatření jsou zásadní, mají-li být právní předpisy vyplývající ze směrnice pro kybernetickou bezpečnost účinné, ale zpravodaj se domnívá, že zákonodárci by měli zdůraznit, že existuje stupnice eskalace, a pouze po prokazatelném zanedbání opakovaných varování by mělo vrcholné vedení být připraveno pocítit sílu práva. Předcházení dvojímu dohledu prostřednictvím odvětvových právních předpisů je také důležité pro subjekty, které spadají do působnosti jak směrnice o kybernetické bezpečnosti, tak i odvětvově specifického nařízení, jako je DORA.

Zpravodaj vybízí všechny členské státy, aby vypracovaly národní strategii kybernetické bezpečnosti pro aktivní kybernetickou obranu. V Evropě jsme dobří v koordinaci poté, co došlo k incidentu, ale nárůst poznatků (veřejných i soukromých) o kybernetických útocích, než k nim dojde, s sebou nese také odpovědnost. Pouze pasivní sdílení těchto poznatků je nedostatečné; občané a subjekty očekávají od svých vlád aktivní stanovisko, pokud jde o ochranu kybernetické bezpečnosti. Členské státy musí mít schopnost zastrašit útoky a aktivně jim předcházet.

Pozornost vyžaduje i jádro internetu. Služby DNS musí zákazníkům nabízet bezpečné služby a ochranu soukromí. To ještě není obecně přijímáno.  Zpravodaj je znepokojen tím, že do působnosti návrhu Komise spadají občané, kteří mají vlastní službu DNS na laptopu nebo malém serveru doma. Zpravodaj si přeje, aby tyto osoby, často technicky zdatné, byly z působnosti této směrnice vyňaty. Dalším problémem je skutečnost, že provozovatelé kořenových jmenných serverů jsou zahrnuti do oblasti působnosti směrnice o kybernetické bezpečnosti. Od té doby, kdy v 70. a 80. letech 20. století došlo k rozvoji internetu, jsou tyto služby provozovány zkušenými odbornými dobrovolníky. Vzhledem k tomu, že tato služba není zpeněžena, a jelikož lze tvrdit, že vlády by ji neměly regulovat, zpravodaj se domnívá, že kořenové servery by měly být vyňaty z oblasti působnosti.

Zpravodaj považuje za velmi důležité posílit celkovou bezpečnost sítí a služeb elektronických komunikací a zlepšit integritu internetu. To znamená, že v celé Evropě by měly být používány interoperabilní technologie vytvářející důvěru. Jsou podporovány evropské resolvery DNS, které se zaměřují zejména na zajištění soukromí a bezpečnosti, jakož i fyzická ochrana páteřní sítě internetu a podmořských komunikačních kabelů. Tato směrnice by proto měla být vnímána v souvislosti s úplným balíčkem strategie kybernetické bezpečnosti, který Komise otevřela: potřebujeme bezpečnější jádro internetu.

Směrnice o kybernetické bezpečnosti dále poskytuje právní základ pro koordinované posuzování bezpečnostních rizik ze strany skupiny pro spolupráci. Soubor nástrojů 5G slouží jako vynikající příklad. Zpravodaj se domnívá, že tato posouzení rizik by mohla výrazně zlepšit bezpečnost a strategickou svrchovanost Unie, a domnívá se, že tato posouzení rizik by měla být prováděna na širokém okruhu služeb, systémů nebo produktů IKT. Výslovným příkladem, který chce v tomto ohledu zmínit, jsou skenery nákladu na letištích a v přístavech.

Nechtěně je vážně omezeno sdílení základních informací a mělo by být zlepšeno. Příklad: v minulých letech policejní síly v EU i mimo EU objevily a dešifrovaly servery od ransomwarových gangů, které někdy obsahovaly miliony obětí. Úkolem policie je pracovat na nových případech, aby týmy CSIRT mohly dosáhnout cílů a zmírňovat kybernetické hrozby díky odhalený informacím o těchto serverech. Bohužel vzhledem k neoprávněným právním překážkám nebyla téměř žádná oběť vyrozuměna ani jí nebyla poskytnuta pomoc. Proto je nezbytné, aby směrnice o kybernetické bezpečnosti vytvořila jasný právní základ pro zmírnění těchto hrozeb a pro sdílení informací nejen v rámci EU, ale také s partnery mimo EU.

S rozšířením rozsahu se týmy CSIRT musí připravit na nabídku škálovatelných a automatizovaných řešení pro rychlou a bezpečnou distribuci koordinovaného zveřejňování informací o zranitelnostech, hlášení incidentů a informací o hrozbách. Automatizace sdílení informací není pouze derivátem této směrnice: tvoří jeho jádro. Poskytnutí právního základu pro týmy CSIRT a společnosti pro sdílení údajů se svými zákazníky, partnery a orgány, a to jak v EU, tak mimo ni, je předpokladem pro všechny dobré záměry směrnice o kybernetické bezpečnosti.

 Dalším pozitivním rysem návrhu Komise je používání norem a certifikačních systémů. Certifikace by měla být možná prostřednictvím zvláštních evropských a mezinárodně uznávaných systémů, které by byly vhodnější než vnitrostátní systémy. Cílem by měla být harmonizace; pravidla v jednom členském státě by měla být podobná pravidlům v jiných členských státech.

Návrh směrnice o kybernetické bezpečnosti vyžaduje, aby agentura ENISA vytvořila a spravovala Evropský registr zranitelností. Zpravodaj se domnívá, že Evropská databáze zranitelností by měla být před registrem upřednostňována. Není důvod zdvojnásobovat to, co již existuje a co používá komunita pro kybernetickou bezpečnost jako společný standard ve všech částech světa. Zdvojnásobení zaseje svár a nejasnosti do komunity odborníků. Evropská databáze, nikoli registr, by měla využívat registr CVE; seznam záznamů o mezinárodních veřejně známých zranitelnostech kybernetické bezpečnosti používaných po celém světě. Zpravodaj se domnívá, že agentura ENISA by měla hrát významnou novou úlohu v registru CVE, který je nyní umístěn převážně v USA. Dále je třeba zabránit zdvojování úsilí; žádoucím výsledkem by měla být databáze s jedinečnými výzvami pro evropské organizace. V neposlední řadě zpravodaj zdůrazňuje, že je nanejvýš důležité, aby agentura ENISA zavedla infrastrukturu a postupy pro nakládání s utajovanými informacemi. Kybernetická bezpečnost by měla být řešena od stupně bez utajení až po (nejvyšší) stupeň utajení.

Údaje WHOIS, autoritativní záznam o vlastnictví domén, jsou jediným schůdným způsobem, jak získat informace nezbytné k identifikaci pachatelů trestné činnosti, sledování subjektů působících v oblasti hrozeb, předcházení škodám a ochraně on-line ekosystému. Komunita v oblasti kybernetické bezpečnosti je na něm závislá a umožňuje výzkumným pracovníkům, kteří se zaměřují na hrozby, stíhat protivníky, aby se občané a subjekty mohli chránit před nadcházejícími hrozbami. Jedná se o jediný spolehlivý mechanismus odpovědnosti na jinak anonymním internetu. Za poslední tři roky jsou však po vstupu obecného nařízení o ochraně osobních údajů v platnost údaje WHOIS někým považovány za otázku odpovědnosti. Trvalé fungování údajů WHOIS bylo bohužel a neodůvodněně zastaveno. Zpravodaj proto ve své zprávě opakovaně upozorňuje na zákonnost zpracování údajů z důvodů kybernetické bezpečnosti podle obecného nařízení o ochraně osobních údajů ve svém výslovném legislativním přání, aby byly údaje WHOIS znovu sdíleny.

Zpravodaj se celkově domnívá, že směrnice o kybernetické bezpečnosti je nezbytným krokem k harmonizaci našeho vnitřního trhu a zlepšení kybernetické bezpečnosti v celé EU.

 

 

 

STANOVISKO VÝBORU PRO OBČANSKÉ SVOBODY, SPRAVEDLNOST A VNITŘNÍ VĚCI (15.10.2021)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Zpravodaj(*): Lukas Mandl(*) 

Přidružený výbor – článek 57 jednacího řádu

 

 

STRUČNÉ ODŮVODNĚNÍ

Návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen „směrnice NIS2“) a o zrušení směrnice (EU) 2016/1148[2] je součástí širšího souboru iniciativ na unijní úrovni zaměřených na zvýšení odolnosti veřejných a soukromých subjektů vůči hrozbám. Cílem návrhu je vyřešit nedostatky stávajících právních předpisů a umožnit subjektům, na něž se vztahuje, lépe reagovat na nové výzvy, které Komise identifikovala ve svém posouzení dopadu, při jehož vypracovávání vedla rozsáhlé konzultace se zúčastněnými stranami. K těmto výzvám patří především zvýšená digitalizace vnitřního trhu a vyvíjející se prostředí bezpečnostních hrozeb.

 

Právním základem návrhu je článek 114 SFEU, tj. vnitřní trh. Výbor LIBE se nicméně domnívá, že je třeba zdůraznit, že opatření směrnice NIS2 vztahující se k síti a informačním systémům neslouží pouze k zajištění řádného fungování vnitřního trhu. Směrnice by rovněž měla pomoci přispět k bezpečnosti Unie jako celku, mimo jiné zabráněním rozdílům v náchylnosti vůči kybernetickým rizikům mezi členskými státy.

 

Za tímto účelem je třeba odstranit stávající rozdíly mezi členskými státy způsobené rozdílným výkladem práva. Zpravodaj proto vítá jednotnou podmínku pro určování subjektů spadajících do působnosti směrnice, kterou nařízení stanoví. Kromě toho předkládá návrhy, jak zabránit rozdílům v provádění: navrhuje uložit Komisi, aby vydala pokyny pro provádění lex specialis a kritéria vztahující se na malé a střední podniky (která by rovněž měla zajistit právní jasnost a zabránit zbytečné zátěži), a vyžadovat, aby skupina pro spolupráci dále upřesnila netechnické faktory, které je třeba zohlednit při posuzování rizik dodavatelského řetězce. Dále zdůrazňuje, že spolupráci mezi příslušnými orgány je třeba uskutečňovat jak v rámci členských států, tak i mezi nimi, a to v reálném čase.

 

Návrh zprávy rovněž zohledňuje řadu doporučení evropského inspektora ochrany údajů, která učinil ve svém stanovisku ke strategii kybernetické bezpečnosti a směrnici NIS2[3]. V bodech odůvodnění i v normativní části znění se především vyjasňuje, že žádným zpracováním osobních údajů podle směrnice NIS2 není dotčeno nařízení (EU) 2016/679 (GDPR)[4] ani směrnice 2002/58/ES[5] (ochrana soukromí na internetu). Vzhledem k užšímu rozsahu termínu „bezpečnost sítí a informačních systémů“ (vztahuje se pouze na ochranu technologie) ve srovnání s „kybernetickou bezpečností“ (vztahuje se i na činnosti na ochranu uživatelů) je první z uvedených termínů použit pouze v případech, kdy je kontext ryze technický. Co se týče doménových jmen a registračních údajů, navrhuje se ujasnit 1) právní základ zveřejňování „příslušných informací“ pro účely identifikace a kontaktování, 2) kategorie údajů o registraci datové domény, které se zveřejňují (na základě doporučení sdružení ICANN), a 3) subjekty, které mohou představovat „oprávněné žadatele o přístup“. V právním textu je rovněž upřesněno, že návrhem není ovlivněno určování příslušnosti a pravomoci úřadů pro dohled nad ochranou údajů podle GDPR. V neposlední řadě je poskytnut ucelenější právní základ pro spolupráci a výměnu relevantních informací mezi příslušnými úřady v rámci návrhu a dalšími příslušnými orgány dohledu, zejména orgány dohledu podle GDPR.

 

Další změny návrhu Komise, které zpravodaj výboru LIBE navrhuje, se týkají těchto záležitostí:

• V zájmu zajištění soudržnosti mezi směrnicí NIS2 a navrhovanou směrnicí o odolnosti kritických subjektů[6] byla formulace některých ustanovení sladěna s ustanoveními návrhu této směrnice. V souladu s podobnou změnou plánovanou pro směrnici o odolnosti kritických subjektů, která by se měla týkat stejných odvětví jako směrnice NIS2, se navrhuje zařadit do její působnosti „výrobu, zpracování a distribuci potravin“. 

• Pokud jde o osobní údaje, vyjasňuje se, že vyhledávání sítí a informačních systémů týmy CSIRT by nemělo být pouze v souladu s nařízením (EU) 2016/679 (GDPR)[7], ale i se směrnicí 2002/58/ES[8] (ochrana soukromí na internetu). Mezinárodní předávání osobních údajů podle této směrnice by mělo být v souladu s kapitolou V nařízení GDPR.

• Skupina pro spolupráci by se měla scházet dvakrát spíše než jen jednou v roce, aby posoudila nejnovější vývoj v oblasti kybernetické bezpečnosti. Schůzí skupiny pro spolupráci by se měl jako pozorovatel účastnit Evropský sbor pro ochranu osobních údajů.

• Agentura ENISA by měla vydávat zprávy o stavu kybernetické bezpečnosti v Unii každý rok spíše než jednou za dva roky. Zpráva by měla zohlednit také dopad kybernetických bezpečnostních incidentů na ochranu osobních údajů v Unii.

• Lhůta pro oznamování incidentů je sladěna s lhůtou pro oznamování případů porušení pravidel podle nařízení GDPR a činí tedy 72 hodin.

• Zatímco oznamování skutečných kybernetických bezpečnostních incidentů základními a důležitými subjekty by mělo být vskutku povinné, oznamování kybernetických hrozeb by mělo být dobrovolné, aby se snížila administrativní zátěž a zabránilo nadměrnému množství zpráv. Aby byl incident považován za významný, měl by způsobit skutečnou škodu a mít dopad na další fyzické a právnické osoby, místo toho, aby byla tato škoda či dopad „možný“.

• Okolnosti, které je třeba zohlednit při rozhodování o sankci za porušení pravidel pro kybernetickou bezpečnost, jsou sladěny s nařízením GDPR. Nemělo by být možné uložit fyzickým osobám dočasný zákaz výkonu řídících funkcí, protože by to bylo v rozporu se stávající praxí týkající se odpovědnosti podle práva Unie.

• Aby se zabránilo poškození pověsti, subjekty by neměly mít povinnost zveřejňovat aspekty nedodržení požadavků podle této směrnice ani totožnost fyzických nebo právnických osob, které se tohoto porušení dopustily.

POZMĚŇOVACÍ NÁVRHY

Výbor pro občanské svobody, spravedlnost a vnitřní věci vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

Pozměňovací návrh  1

Návrh směrnice

Bod odůvodnění 1

Znění navržené Komisí	Pozměňovací návrh
(1) Cílem směrnice Evropského parlamentu a Rady (EU) 2016/114811 bylo budovat schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě kybernetických bezpečnostních incidentů, a přispívat tak k účinnému fungování hospodářství a společnosti v Unii.	(1) Cílem směrnice Evropského parlamentu a Rady (EU) 2016/114811 bylo budovat schopnosti v oblasti kybernetické bezpečnosti v Unii, zmírňovat hrozby pro sítě a informační systémy užívané k poskytování základních služeb v klíčových odvětvích a zajišťovat kontinuitu takových služeb v případě kybernetických bezpečnostních incidentů, a přispívat tak k bezpečnosti a účinnému fungování hospodářství a společnosti v Unii.
__________________	__________________
11 Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194/1, 19.7.2016, s. 1). 1).	11 Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194/1, 19.7.2016, s. 1). 1).

Pozměňovací návrh  2

 

Návrh směrnice

Bod odůvodnění 2

Znění navržené Komisí	Pozměňovací návrh
(2) Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně odolnosti Unie v oblasti kybernetické bezpečnosti dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii, a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení vnitrostátních rámců stanovením národních strategií kybernetické bezpečnosti, stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Přispěla rovněž ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci12 a sítě vnitrostátních bezpečnostních týmů typu CSIRT (dále jen „síť CSIRT“)13. I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti.	(2) Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně odolnosti Unie v oblasti kybernetické bezpečnosti dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii, a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení vnitrostátních rámců stanovením národních strategií kybernetické bezpečnosti, stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Přispěla rovněž ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci a sítě vnitrostátních bezpečnostních týmů typu CSIRT (dále jen „síť CSIRT“). I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti. Rozšíření on-line činností v souvislosti s pandemií COVID-19 navíc upozornilo na význam kybernetické bezpečnosti, která je nezbytná pro to, aby občané EU mohli důvěřovat inovacím a konektivitě, jakož i na význam rozsáhlého vzdělávání a odborné přípravy v této oblasti. Komise by proto měla podporovat členské státy při tvorbě vzdělávacích programů v oblasti kybernetické bezpečnosti s cílem umožnit důležitým a základním subjektům přijímat odborníky v oblasti kybernetické bezpečnosti, kteří jim umožní splnit povinnosti vyplývající z této směrnice.
__________________	__________________
12 Článek 11 směrnice (EU) 2016/1148.	12 Článek 11 směrnice (EU) 2016/1148.
13 Článek 12 směrnice (EU) 2016/1148.	13 Článek 12 směrnice (EU) 2016/1148.

Pozměňovací návrh  3

 

Návrh směrnice

Bod odůvodnění 3

Znění navržené Komisí	Pozměňovací návrh
(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím.	(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství Unie, fungování naší demokracie a hodnotám a svobodě, na kterých je naše společnost založena. S ohledem na digitální transformaci každodenních činnosti v celé Unii jsou dnes proto připravenost a účinnost v oblasti kybernetické bezpečnosti pro bezpečnost Unie a řádné fungování vnitřního trhu důležitější než kdy předtím. To vyžaduje užší spolupráci orgánů jak v rámci členských států, tak mezi nimi, jakož i mezi vnitrostátními orgány a odpovědnými institucemi Unie.

Pozměňovací návrh  4

Návrh směrnice

Bod odůvodnění 5

Znění navržené Komisí	Pozměňovací návrh
(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.	(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Tyto rozdíly mohou v konečném důsledku vést k větší zranitelnosti některých členských států vůči hrozbám v oblasti kybernetické bezpečnosti, což může mít dopad na celou Unii, jak pokud jde o vnitřní trh, tak o její celkovou bezpečnost. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě a mezi příslušnými orgány členských států, jež bude probíhat v reálném čase, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.

Pozměňovací návrh  5

Návrh směrnice

Bod odůvodnění 6

Znění navržené Komisí	Pozměňovací návrh
(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14 .	(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních zájmů v oblasti národní bezpečnosti, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily prevenci, vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14.
__________________	__________________
14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).	14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).

Pozměňovací návrh  6

Návrh směrnice

Bod odůvodnění 8

Znění navržené Komisí	Pozměňovací návrh
(8) V souladu se směrnicí (EU) 2016/1148 byly členské státy odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb (dále jen „proces určování“). S cílem odstranit značné rozdíly mezi členskými státy v tomto ohledu a zajistit právní jistotu pro všechny příslušné subjekty, pokud jde o požadavky na řízení rizik a povinnosti hlášení, by mělo být stanoveno jednotné kritérium, které určí subjekty, jež spadají do oblasti působnosti této směrnice. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny střední a velké podniky ve smyslu doporučení Komise 2003/361/ES15, které působí v odvětvích nebo poskytují druh služeb, na něž se vztahuje tato směrnice. Od členských států by nemělo být vyžadováno, aby stanovily seznam subjektů, které splňují toto obecně použitelné kritérium související s velikostí podniku.	(8) Odpovědnost členských států – neboť v souladu se směrnicí (EU) 2016/1148 byly odpovědné za určení toho, které subjekty splňují kritéria pro zařazení mezi provozovatele základních služeb (dále jen „proces určování“), – vedla ke značným rozdílům mezi členskými státy v tomto ohledu. Aniž by byly dotčeny konkrétní výjimky v této směrnici, mělo by být stanoveno jednotné kritérium, které určí subjekty, jež spadají do oblasti působnosti této směrnice, a to s cílem odstranit tyto rozdíly a zajistit právní jistotu, pokud jde o požadavky na řízení rizik a povinnosti hlášení pro všechny příslušné subjekty. Toto kritérium by mělo spočívat v uplatnění pravidla velikostního omezení, podle kterého by do oblasti působnosti této směrnice spadaly všechny střední a velké podniky ve smyslu doporučení Komise 2003/361/ES15, které působí v odvětvích nebo poskytují druh služeb, na něž se vztahuje tato směrnice. Od členských států by nemělo být vyžadováno, aby stanovily seznam subjektů, které splňují toto obecně použitelné kritérium související s velikostí podniku.
__________________	__________________
15 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).	15 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).

Pozměňovací návrh  7

 

Návrh směrnice

Bod odůvodnění 8 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(8a) S ohledem na rozdíly ve vnitrostátních rámcích veřejné správy si členské státy ponechávají svou rozhodovací pravomoc, pokud jde o určení subjektů, které spadají do oblasti působnosti této směrnice.

Pozměňovací návrh  8

Návrh směrnice

Bod odůvodnění 9

Znění navržené Komisí	Pozměňovací návrh
(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi.	(9) Tato směrnice by se měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb na základě posouzení rizik, a to včetně subjektů definovaných jako kritické subjekty nebo jako subjekty rovnocenné kritickým subjektům podle směrnice Evropského parlamentu a Rady (EU) XXX/XXX1a. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi.
	__________________
	1a Směrnice Evropského parlamentu a Rady (EU) [XXX/XXX] ze dne XXX o odolnosti kritických subjektů (Úř. věst…).

Pozměňovací návrh  9

Návrh směrnice

Bod odůvodnění 10

Znění navržené Komisí	Pozměňovací návrh
(10) Komise může ve spolupráci se skupinou pro spolupráci vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky.	(10) Komise by ve spolupráci se skupinou pro spolupráci měla vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé subjekty.

Pozměňovací návrh  10

Návrh směrnice

Bod odůvodnění 12

Znění navržené Komisí	Pozměňovací návrh
(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly incidenty nebo závažné kybernetické hrozby s alespoň rovnocenným účinkem jako povinnosti stanovené v této směrnici, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Komise může vydávat pokyny v souvislosti s prováděním lex specialis. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.	(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly incidenty nebo závažné kybernetické hrozby s alespoň rovnocenným účinkem jako povinnosti stanovené v této směrnici, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Komise by měla vydávat pokyny v souvislosti s prováděním lex specialis. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.

Pozměňovací návrh  11

Návrh směrnice

Bod odůvodnění 14

Znění navržené Komisí	Pozměňovací návrh
(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX17 a k této směrnici. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi příslušným orgánem podle této směrnice a příslušným orgánem podle směrnice (EU) XXX/XXX v souvislosti se sdílením informací o incidentech a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat a vyměňovat si informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých klíčovými subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX vykonávaly své dohledové a vymáhací pravomoci vůči subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace.	(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX17 a k této směrnici, kdykoli to bude možné a vhodné. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi orgány v rámci členských států a mezi členskými státy, jež jsou příslušné podle této směrnice a podle směrnice (EU) XXX/XXX, v souvislosti se sdílením informací o kybernetických incidentech a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat, a to v rámci členských států i mezi členskými státy, a vyměňovat si informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých příslušnými orgány podle této směrnice, jež jsou relevantní pro klíčové subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX posoudily kybernetickou bezpečnost základního subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace v reálném čase.
__________________	__________________
17[vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	17[vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  12

Návrh směrnice

Bod odůvodnění 18

Znění navržené Komisí	Pozměňovací návrh
(18) Služby, jež nabízejí poskytovatelé služeb datových center, nemusí být vždy poskytovány ve formě služeb cloud computingu. Datová centra tedy ne vždy tvoří součást infrastruktury cloud computingu. Aby bylo možné řídit všechna rizika pro bezpečnost sítí a informačních systémů, měla by se tato směrnice vztahovat také na poskytovatele takových služeb datových center, které nejsou službami cloud computingu. Pro účely této směrnice by pojem „služba datových center“ měl zahrnovat poskytování služby, která zahrnuje struktury nebo skupiny struktur určené pro centralizované úpravy, vzájemné propojení a provozování informačních technologií a síťových zařízení poskytujících služby ukládání, zpracování a přepravu dat spolu se všemi zařízeními a infrastrukturami pro rozvod energie a kontrolu životního prostředí. Pojem „služba datových center“ se nevztahuje na interní, firemní datová centra vlastněná a provozovaná pro vlastní potřebu dotyčného subjektu.	(18) Služby, jež nabízejí poskytovatelé služeb datových center, nemusí být vždy poskytovány ve formě služeb cloud computingu. Datová centra tedy ne vždy tvoří součást infrastruktury cloud computingu. Aby bylo možné řídit všechna rizika pro kybernetickou bezpečnost, měla by se tato směrnice vztahovat také na poskytovatele takových služeb datových center, které nejsou službami cloud computingu. Pro účely této směrnice by pojem „služba datových center“ měl zahrnovat poskytování služby, která zahrnuje struktury nebo skupiny struktur určené pro centralizované úpravy, vzájemné propojení a provozování informačních technologií a síťových zařízení poskytujících služby ukládání, zpracování a přepravu dat spolu se všemi zařízeními a infrastrukturami pro rozvod energie a kontrolu životního prostředí. Pojem „služba datových center“ se nevztahuje na interní, firemní datová centra vlastněná a provozovaná pro vlastní potřebu dotyčného subjektu.

Pozměňovací návrh  13

Návrh směrnice

Bod odůvodnění 20

Znění navržené Komisí	Pozměňovací návrh
(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.	(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, produkce, zpracování a distribuce potravin, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Vystupňované útoky na informační systémy během pandemie COVID-19 prokázaly zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům. Proto jsou nutné další investice do kybernetické bezpečnosti.

Pozměňovací návrh  14

 

Návrh směrnice

Bod odůvodnění 20 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(20a) Je klíčové zvýšit informovanost o kybernetické bezpečnosti a kybernetickou odolnost ve všech kritických a důležitých subjektech, včetně subjektů veřejné správy.

 

Pozměňovací návrh  15

Návrh směrnice

Bod odůvodnění 21

Znění navržené Komisí	Pozměňovací návrh
(21) Vzhledem k odlišnostem jednotlivých vnitrostátních správních struktur a s cílem podpořit již existující odvětvová opatření nebo kontrolní a regulační orgány Unie by členské státy měly mít možnost určit více než jeden vnitrostátní příslušný orgán odpovědný za plnění úkolů spojených s bezpečností sítí a informačních systémů základních a důležitých subjektů podle této směrnice. Členským státům by mělo být umožněno, aby tuto úlohu svěřily již existujícímu orgánu.	(21) Vzhledem k odlišnostem jednotlivých vnitrostátních správních struktur a s cílem podpořit již existující odvětvová opatření nebo kontrolní a regulační orgány Unie by členské státy měly mít možnost určit více než jeden vnitrostátní příslušný orgán odpovědný za plnění úkolů spojených s bezpečností sítí a informačních systémů základních a důležitých subjektů podle této směrnice. Členským státům by mělo být umožněno, aby tuto úlohu svěřily již existujícímu orgánu, a měly by zajistit, aby tento orgán měl odpovídající zdroje pro účinné a efektivní plnění svých úkolů.

Pozměňovací návrh  16

Návrh směrnice

Bod odůvodnění 22

Znění navržené Komisí	Pozměňovací návrh
(22) Pro usnadnění přeshraniční spolupráce a komunikace mezi orgány a za účelem účinného provedení této směrnice je nezbytné, aby každý členský stát určil na vnitrostátní úrovni jednotné kontaktní místo pověřené koordinací v oblasti bezpečnosti sítí a informačních systémů a přeshraniční spolupráce na úrovni Unie.	(22) Pro usnadnění přeshraniční spolupráce a komunikace mezi orgány a za účelem účinného provedení této směrnice je nezbytné, aby každý členský stát určil na vnitrostátní úrovni jednotné kontaktní místo pověřené koordinací v oblasti kybernetické bezpečnosti a přeshraniční spolupráce na úrovni Unie.

Pozměňovací návrh  17

Návrh směrnice

Bod odůvodnění 23

Znění navržené Komisí	Pozměňovací návrh
(23) Příslušné orgány nebo týmy CSIRT by měly od subjektů dostávat oznámení o incidentech účinným a efektivním způsobem. Jednotným kontaktním místům by mělo být uloženo, aby zasílala oznámení o incidentech jednotným kontaktním místům jiných dotčených členských států. Aby bylo zajištěno jedno jednotné kontaktní místo v každém členském státě, měly by být jednotným kontaktním místům na úrovni členských států zasílány příslušné informace o incidentech týkajících se subjektů ve finančním odvětví od příslušných orgánů podle nařízení XXXX/XXXX, které by tato kontaktní místa měla být podle této směrnice schopna případně zasílat příslušným vnitrostátním orgánům nebo týmům CSIRT.	(23) Příslušné orgány nebo týmy CSIRT by měly od subjektů dostávat oznámení o incidentech účinným a efektivním způsobem. Jednotným kontaktním místům by mělo být uloženo, aby v reálném čase zasílala oznámení o incidentech jednotným kontaktním místům všech ostatních členských států. Aby bylo zajištěno jedno jednotné kontaktní místo v každém členském státě, měly by být jednotným kontaktním místům na úrovni členských států zasílány příslušné informace o incidentech týkajících se subjektů ve finančním odvětví od příslušných orgánů podle nařízení XXXX/XXXX, které by tato kontaktní místa měla být podle této směrnice schopna případně zasílat příslušným vnitrostátním orgánům nebo týmům CSIRT.

Pozměňovací návrh  18

Návrh směrnice

Bod odůvodnění 25

Znění navržené Komisí	Pozměňovací návrh
(25) Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 jménem a na žádost subjektu podle této směrnice aktivně prohledávaly sítě a informační systémy, které používá k poskytování svých služeb. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA).	(25) Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 a směrnicí 2002/58/ES jménem a na žádost subjektu podle této směrnice prováděly bezpečnostní kontrolu informačních systémů a rozsahu sítě, které používá k poskytování svých služeb, s cílem odhalit konkrétní hrozby, zmírnit je nebo jim zabránit. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA). Kromě toho by rizika v oblasti kybernetické bezpečnosti neměla být nikdy využívána jako záminka pro porušování základních práv.
__________________	__________________
19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).	19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

Pozměňovací návrh  19

Návrh směrnice

Bod odůvodnění 27

Znění navržené Komisí	Pozměňovací návrh
(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.	(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu nebo představují vážná rizika pro veřejnou bezpečnost v několika členských státech nebo v Unii jako celku. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii. Členské státy by měly sledovat způsob, jakým jsou prováděna pravidla EU, vzájemně se podporovat v případě jakýchkoli přeshraničních problémů, navázat strukturovanější dialog se soukromým sektorem a spolupracovat v oblasti bezpečnostních rizik a hrozeb spojených s novými technologiemi, jako tomu bylo v případě technologie 5G.
__________________	__________________
20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).	20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).

Pozměňovací návrh  20

Návrh směrnice

Bod odůvodnění 33

Znění navržené Komisí	Pozměňovací návrh
(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel.	(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní a odvětvová řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na vnitrostátní a odvětvové přístupy, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel.

Pozměňovací návrh  21

Návrh směrnice

Bod odůvodnění 34

Znění navržené Komisí	Pozměňovací návrh
(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Evropské centrum pro boj proti kyberkriminalitě (EC3), Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA).	(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla pozvat k účasti na své činnosti relevantní instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, zejména Europol, Agenturu Evropské unie pro bezpečnost letectví (EASA) a Agenturu Evropské unie pro kosmický program (EUSPA).

Pozměňovací návrh  22

Návrh směrnice

Bod odůvodnění 36

Znění navržené Komisí	Pozměňovací návrh
(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Takové dohody by měly zajistit odpovídající ochranu údajů.	(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Pokud jsou osobní údaje předávány do třetí země nebo mezinárodní organizaci, měla by se použít kapitola V nařízení (EU) 2016/679.

Pozměňovací návrh  23

 

Návrh směrnice

Bod odůvodnění 37

Znění navržené Komisí	Pozměňovací návrh
(37) Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení (EU) 2017/1584 prostřednictvím stávajících sítí pro spolupráci, zejména sítě styčných organizací pro kybernetické krize (EU-CyCLONe), sítě CSIRT a skupiny pro spolupráci. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních ujednání, jež vymezí podmínky této spolupráce. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla síť fungovat, mimo jiné včetně úloh, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z integrovaných opatření pro politickou reakci na krize. Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud má krize významný externí rozměr nebo rozměr společné bezpečnostní a obranné politiky (SBOP), měl by být aktivován mechanismus Evropské služby pro vnější činnost (ESVČ) pro reakce na krize.	(37) Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení (EU) 2017/1584 prostřednictvím stávajících sítí pro spolupráci, zejména sítě styčných organizací pro kybernetické krize (EU-CyCLONe), sítě CSIRT a skupiny pro spolupráci. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních ujednání, jež vymezí podmínky této spolupráce. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla síť fungovat, mimo jiné včetně úloh, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z integrovaných opatření pro politickou reakci na krize. Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud se krize týká dvou nebo více členských států a existuje podezření, že je trestní povahy, měla by být zvážena aktivace protokolu EU o vymáhání práva v případě nouze. Pokud má krize významný externí rozměr nebo rozměr společné bezpečnostní a obranné politiky (SBOP), měl by být aktivován mechanismus Evropské služby pro vnější činnost (ESVČ) pro reakce na krize.

Pozměňovací návrh  24

Návrh směrnice

Bod odůvodnění 45

Znění navržené Komisí	Pozměňovací návrh
(45) Subjekty by rovněž měly řešit kybernetická bezpečnostní rizika vyplývající z jejich interakcí a vztahů s jinými zúčastněnými stranami v rámci širšího ekosystému. Subjekty by zejména měly přijetím vhodných opatření zajistit, že jejich spolupráce s akademickými a výzkumnými institucemi probíhá v souladu s jejich politikami kybernetické bezpečnosti a řídí se osvědčenými postupy, pokud jde o bezpečný přístup a šíření informací obecně a ochranu duševního vlastnictví zvláště. Podobně by subjekty, jsou-li závislé na službách transformace dat a analýzy dat poskytovaných třetími stranami, vzhledem k důležitosti a hodnotě dat pro jejich činnost měly přijmout veškerá vhodná opatření v oblasti kybernetické bezpečnosti.	(45) Subjekty by rovněž měly řešit kybernetická bezpečnostní rizika vyplývající z jejich interakcí a vztahů s jinými zúčastněnými stranami v rámci širšího ekosystému. Subjekty by zejména měly přijetím vhodných opatření zajistit, že jejich spolupráce s akademickými a výzkumnými institucemi probíhá v souladu s jejich politikami kybernetické bezpečnosti a řídí se osvědčenými postupy, pokud jde o bezpečný přístup a šíření informací obecně a ochranu duševního vlastnictví zvláště. Podobně by subjekty, jsou-li závislé na službách transformace dat a analýzy dat poskytovaných třetími stranami, vzhledem k důležitosti a hodnotě dat pro svou činnost měly přijmout veškerá vhodná opatření v oblasti kybernetické bezpečnosti a hlásit všechny potenciální kybernetické útoky, které odhalí.

Pozměňovací návrh  25

 

Návrh směrnice

Bod odůvodnění 46 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(46a) Zvláštní pozornost by měla být věnována skutečnosti, že služby, systémy nebo produkty IKT, které podléhají zvláštním požadavkům v zemi původu, by mohly představovat překážku pro dodržování právních předpisů EU v oblasti ochrany soukromí a ochrany údajů. V případě potřeby by měl být v rámci takovýchto posouzení rizik konzultován Evropský sbor pro ochranu osobních údajů. Svobodný software a software s otevřeným zdrojovým kódem, jakož i hardware s otevřeným zdrojovým kódem by mohly přinést obrovské výhody z hlediska kybernetické bezpečnosti, zejména pokud jde o transparentnost a ověřitelnost prvků. Jelikož by to mohlo pomoci řešit a zmírnit konkrétní rizika v dodavatelském řetězci, mělo by být jejich využívání upřednostněno tam, kde je to proveditelné v souladu se stanoviskem evropského inspektora ochrany údajů č. 5/20211a.
	__________________
	1a Stanovisko Evropského inspektora ochrany údajů č. 5/2021 ke strategii kybernetické bezpečnosti EU a směrnici NIS 2, 11. března 2021.

Pozměňovací návrh  26

Návrh směrnice

Bod odůvodnění 47

Znění navržené Komisí	Pozměňovací návrh
(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.	(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory, které by měly být dále upřesněny koordinační skupinou a k nimž patří faktory vymezené v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.

Pozměňovací návrh  27

Návrh směrnice

Bod odůvodnění 48 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(48a) Malé a střední podniky často nemají velikost a zdroje nutné k tomu, aby mohly naplňovat širokou a zvětšující se škálu potřeb v oblasti kybernetické bezpečnosti v propojeném světě, kdy navíc dochází k nárůstu práce na dálku. Členské státy by se proto měly ve svých vnitrostátních strategiích v oblasti kybernetické bezpečnosti zabývat pokyny pro malé a střední podniky a jejich podporou.

Pozměňovací návrh  28

Návrh směrnice

Bod odůvodnění 50

Znění navržené Komisí	Pozměňovací návrh
(50) Vzhledem k rostoucímu významu interpersonálních komunikačních služeb nezávislých na číslech je nutné zajistit, aby i tyto služby podléhaly odpovídajícím bezpečnostním požadavkům v souladu s jejich zvláštní povahou a ekonomickým významem. Provozovatelé takových služeb by tedy měli rovněž zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Vzhledem k tomu, že poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech obvykle nevykonávají skutečnou kontrolu nad přenosem signálů v sítích, lze míru rizika pro tyto služby v některých ohledech považovat za nižší než v případě tradičních služeb elektronických komunikací. Totéž platí o interpersonálních komunikačních službách, které využívají čísla a které nevykonávají skutečnou kontrolu nad přenosem signálů.	(50) Vzhledem k rostoucímu významu interpersonálních komunikačních služeb nezávislých na číslech je nutné zajistit, aby i tyto služby podléhaly odpovídajícím bezpečnostním požadavkům v souladu s jejich zvláštní povahou a ekonomickým významem. Provozovatelé takových služeb by tedy měli rovněž zajišťovat úroveň kybernetické bezpečnosti odpovídající existující míře rizika. Vzhledem k tomu, že poskytovatelé interpersonálních komunikačních služeb nezávislých na číslech obvykle nevykonávají skutečnou kontrolu nad přenosem signálů v sítích, lze míru rizika pro tyto služby v některých ohledech považovat za nižší než v případě tradičních služeb elektronických komunikací. Totéž platí o interpersonálních komunikačních službách, které využívají čísla a které nevykonávají skutečnou kontrolu nad přenosem signálů.

Pozměňovací návrh  29

Návrh směrnice

Bod odůvodnění 52

Znění navržené Komisí	Pozměňovací návrh
(52) Ve vhodných případech by subjekty měly informovat příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá. Požadavek na informování příjemců o hrozbách by subjekty neměl zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma.	(52) Ve vhodných případech by subjekty měly mít možnost informovat příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá. Požadavek na informování příjemců o hrozbách by subjekty neměl zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma.

Pozměňovací návrh  30

Návrh směrnice

Bod odůvodnění 53

Znění navržené Komisí	Pozměňovací návrh
(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli příjemce služby zejména informovat o konkrétních a závažných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost své komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií.	(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli zejména uplatňovat bezpečnost již od fáze návrhu a standardní bezpečnost a měli by mít možnost příjemce služby informovat o konkrétních a závažných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost svých zařízení a komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií. V zájmu zvýšení bezpečnosti hardwaru a softwaru by poskytovatelé měli být vybízeni k tomu, aby používali hardware s otevřeným designem nebo otevřený hardware.

Pozměňovací návrh  31

Návrh směrnice

Bod odůvodnění 54

Znění navržené Komisí	Pozměňovací návrh
(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace by mělo být podporováno použití šifrování, a zejména šifrování mezi koncovými body, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami bezpečnosti a soukromí standardně a záměrně pro účely článku 18 mělo být povinné. Použití šifrování mezi koncovými body by mělo být v souladu s pravomocemi členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. Řešení k zajištění zákonného přístupu k informacím v rámci komunikace šifrované mezi koncovými body by měla zachovat účinnost šifrování při ochraně soukromí a bezpečnosti komunikací, a současně poskytnout účinnou reakci na trestnou činnost.	(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace, jakož i základní práva na ochranu údajů a soukromí by mělo být podporováno použití šifrování, a zejména šifrování mezi koncovými body, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami bezpečnosti a soukromí standardně a záměrně pro účely článku 18 mělo být povinné. Použití šifrování mezi koncovými body by mělo být v souladu s odpovědností členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit prevenci, vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie a s vnitrostátním právem. Řešení k zajištění zákonného přístupu k informacím v rámci komunikace šifrované mezi koncovými body by měla zachovat účinnost šifrování při ochraně soukromí a bezpečnosti komunikací. Žádné ustanovení tohoto nařízení by nemělo být vnímáno jako úsilí o oslabení šifrování mezi koncovými body prostřednictvím „zadních vrátek“ („backdoors“) nebo podobných řešení, neboť nedostatky v šifrování mohou být zneužívány k nekalým účelům. Jakákoli opatření zaměřená na oslabení šifrování nebo obcházení architektury technologie mohou představovat značná rizika pro účinné ochranné kapacity této technologie. Mělo by být zakázáno jakékoli nepovolené dešifrování nebo sledování elektronických komunikací s výjimkou sledování právními orgány, aby se zajistila účinnost technologie a její širší využití. Je důležité, aby členské státy řešily problémy, s nimiž se setkávají právní orgány i subjekty provádějící výzkum zranitelných míst. V některých členských státech jsou subjekty i fyzické osoby provádějící výzkum zranitelných míst vystaveny trestněprávní a občanskoprávní odpovědnosti. Členské státy se proto vyzývají, aby vydaly pokyny, na jejichž základě by byl výzkum informační bezpečnosti vyňat z trestního stíhání a odpovědnosti.

Pozměňovací návrh  32

Návrh směrnice

Bod odůvodnění 56

Znění navržené Komisí	Pozměňovací návrh
(56) Základní a důležité subjekty jsou často v situaci, kdy je konkrétní incident vzhledem k jeho povaze třeba v důsledku oznamovacích povinností uvedených v různých právních nástrojích ohlásit různým orgánům. Takové případy vytvářejí další zátěž a mohou také vést k nejasnostem, pokud jde o formát a postupy takových oznámení. Vzhledem k tomu a za účelem zjednodušení hlášení o bezpečnostních incidentech by členské státy měly stanovit jedno vstupní místo pro všechna oznámení vyžadovaná podle této směrnice i podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES. Agentura ENISA by ve spolupráci se skupinou pro spolupráci měla vypracovat společné šablony hlášení prostřednictvím pokynů, které by zjednodušily a zefektivnily informace uvedené v hlášeních, jež vyžaduje právo Unie, a snížily zátěž pro společnosti.	(56) Základní a důležité subjekty jsou často v situaci, kdy je konkrétní incident vzhledem k jeho povaze třeba v důsledku oznamovacích povinností uvedených v různých právních nástrojích ohlásit různým orgánům. Takové případy vytvářejí další zátěž a mohou také vést k nejasnostem, pokud jde o formát a postupy takových oznámení. Vzhledem k tomu a za účelem zjednodušení hlášení o bezpečnostních incidentech by členské státy měly stanovit jedno vstupní místo vyžadované podle této směrnice i podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES. Agentura ENISA by ve spolupráci se skupinou pro spolupráci a Evropským sborem pro ochranu osobních údajů měla vypracovat společné šablony hlášení prostřednictvím pokynů, které by zjednodušily a zefektivnily informace uvedené v hlášeních, jež vyžaduje právo Unie, a snížily zátěž pro společnosti.

Pozměňovací návrh  33

Návrh směrnice

Bod odůvodnění 57

Znění navržené Komisí	Pozměňovací návrh
(57) Existuje-li podezření, že určitý incident souvisí se závažnou trestnou činností podle unijního nebo vnitrostátního práva, měly by členské státy motivovat základní a důležité subjekty, aby na základě platných pravidel trestního řízení v souladu s právem Unie incidenty s podezřením na trestní povahu ohlašovaly z vlastní iniciativy donucovacím orgánům. V případě potřeby, a aniž jsou dotčena pravidla ochrany osobních údajů platná pro Europol, je žádoucí, aby koordinaci mezi příslušnými orgány a donucovacími orgány v různých členských státech usnadnily EC3 a agentura ENISA.	(57) Existuje-li podezření, že určitý incident souvisí se závažnou trestnou činností podle unijního nebo vnitrostátního práva, měly by členské státy motivovat základní a důležité subjekty, aby na základě platných pravidel trestního řízení v souladu s právem Unie incidenty s podezřením na trestní povahu ohlašovaly z vlastní iniciativy donucovacím orgánům. V případě potřeby, a aniž jsou dotčena pravidla ochrany osobních údajů platná pro Europol, je žádoucí, aby koordinaci mezi příslušnými orgány a donucovacími orgány v různých členských státech usnadnily Evropské centrum pro boj proti kyberkriminalitě (EC3) Europolu a agentura ENISA.

Pozměňovací návrh  34

Návrh směrnice

Bod odůvodnění 58

Znění navržené Komisí	Pozměňovací návrh
(58) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. V této souvislosti by příslušné orgány měly spolupracovat s orgány pro ochranu osobních údajů a orgány dozoru podle směrnice 2002/58/ES a vyměňovat si s nimi informace o všech relevantních záležitostech	(58) V důsledku incidentů je v mnoha případech ohrožena ochrana osobních údajů. V této souvislosti by příslušné orgány měly spolupracovat s orgány pro ochranu osobních údajů a dozorovými úřady a orgány dozoru podle nařízení (EU) 2016/679 a směrnice 2002/58/ES a vyměňovat si s nimi informace o všech relevantních záležitostech.

Pozměňovací návrh  35

Návrh směrnice

Bod odůvodnění 59

Znění navržené Komisí	Pozměňovací návrh
(59) Udržování přesných a úplných databází doménových jmen a registračních údajů (takzvaných „údajů WHOIS“) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s právem Unie v oblasti ochrany údajů.	(59) Udržování přesných a úplných databází doménových jmen a registračních údajů (takzvaných „údajů WHOIS“) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s platnými právními předpisy Unie v oblasti ochrany údajů.

Pozměňovací návrh  36

Návrh směrnice

Bod odůvodnění 62

Znění navržené Komisí	Pozměňovací návrh
(62) Registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén by měly veřejně zpřístupnit údaje o registraci domén, které nespadají do oblasti působnosti pravidel Unie na ochranu osobních údajů, například údajů, které se týkají právnických osob25. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by také měly v souladu s právem Unie na ochranu osobních údajů umožnit oprávněným žadatelům o přístup zákonný přístup ke konkrétním údajům o registraci domén týkajícím se fyzických osob. Členské státy by měly zajistit, aby registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén bez zbytečného odkladu reagovaly na žádosti oprávněných žadatelů o přístup o zpřístupnění údajů o registraci domén. Registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén by měly stanovit politiky a postupy pro zveřejňování a zpřístupnění registračních údajů, včetně dohod o úrovni služeb k vyřizování žádostí o přístup od oprávněných žadatelů o přístup. Postup poskytování přístupu může také obsahovat užívání rozhraní, portálu nebo jiného technického nástroje k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům. Za účelem podpory harmonizovaných postupů na vnitřním trhu může Komise přijmout pokyny o takových postupech, aniž jsou dotčeny pravomoci Evropského sboru pro ochranu osobních údajů.	(62) Za účelem splnění své právní povinnosti podle čl. 6 odst. 1 písm. c) a čl. 6 odst. 3 nařízení (EU) 2016/679 by registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén měly veřejně zpřístupnit některé údaje o registraci domén stanovené v právních předpisech členského státu, které se na ně vztahují, například doménové jméno a název právnické osoby. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by také měly umožnit oprávněným žadatelům o přístup, zejména příslušným orgánům podle této směrnice nebo dozorovým úřadům podle nařízení (EU) 2016/679 v souladu s jejich pravomocemi, zákonný přístup ke konkrétním údajům o registraci domén týkajícím se fyzických osob. Členské státy by měly zajistit, aby registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén bez zbytečného odkladu reagovaly na zákonné a řádně odůvodněné žádosti veřejných orgánů, včetně příslušných orgánů podle této směrnice, příslušných orgánů podle unijního nebo vnitrostátního práva pro prevenci, vyšetřování či stíhání trestných činů nebo dozorových úřadů podle nařízení (EU) 2016/679, o zpřístupnění údajů o registraci domén. Registry internetových domén nejvyšší úrovně a subjekty poskytující jim služby registrace domén by měly stanovit politiky a postupy pro zveřejňování a zpřístupnění registračních údajů, včetně dohod o úrovni služeb k vyřizování žádostí o přístup od oprávněných žadatelů o přístup. Postup poskytování přístupu může také obsahovat užívání rozhraní, portálu nebo jiného technického nástroje k zajištění účinného systému žádostí o registrační údaje a přístupu k těmto údajům. Za účelem podpory harmonizovaných postupů na vnitřním trhu může Komise přijmout pokyny o takových postupech, aniž jsou dotčeny pravomoci Evropského sboru pro ochranu osobních údajů.
__________________	__________________
25 Viz 14. bod odůvodnění NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, kde se uvádí, že „toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby“.

Pozměňovací návrh  37

Návrh směrnice

Bod odůvodnění 63

Znění navržené Komisí	Pozměňovací návrh
(63) Všechny základní a důležité subjekty podle této směrnice by měly podléhat pravomoci členského státu, ve kterém poskytují své služby. Poskytuje-li subjekt služby ve více než jednom členském státě, měl by podléhat samostatné a souběžné pravomoci každého z těchto členských států. Příslušné orgány těchto členských států by měly spolupracovat, poskytovat si navzájem pomoc a v případě potřeby provádět společné akce v oblasti dohledu.	(63) Pro účely této směrnice by všechny základní a důležité subjekty podle této směrnice měly podléhat pravomoci členského státu, ve kterém poskytují své služby. Poskytuje-li subjekt služby ve více než jednom členském státě, měl by podléhat samostatné a souběžné pravomoci každého z těchto členských států. Příslušné orgány těchto členských států by se měly dohodnout na základních klasifikacích, spolupracovat, kdykoli to bude možné, poskytovat si navzájem v reálném čase pomoc a v případě potřeby provádět společné akce v oblasti dohledu.

Pozměňovací návrh  38

Návrh směrnice

Bod odůvodnění 64

Znění navržené Komisí	Pozměňovací návrh
(64) S cílem zohlednit přeshraniční povahu služeb a činností poskytovatelů služeb systému doménových jmen, registrů internetových domén nejvyšší úrovně, poskytovatelů sítí pro doručování obsahu, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center a poskytovatelů digitálních služeb by pravomoc nad těmito subjekty měl mít pouze jeden členský stát. Pravomoc by měl mít ten členský stát, v němž má daný subjekt v rámci Unie hlavní místo obchodní činnosti. Kritérium místa obchodní činnosti pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavního místa obchodní činnosti, a tudíž ani nejsou rozhodujícími kritérii pro jeho určení. Hlavní místo obchodní činnosti by mělo být místo v Unii, kde jsou přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa společnosti v Unii. Pokud taková rozhodnutí nejsou v Unii přijímána, mělo by se mít za to, že hlavní místo obchodní činnosti je v členském státě, ve kterém má subjekt provozovnu s nejvyšším počtem zaměstnanců v Unii. Pokud jsou služby prováděny skupinou podniků, mělo by se za hlavní místo obchodní činnosti skupiny podniků považovat hlavní místo obchodní činnosti řídícího podniku.	(64) S cílem zohlednit přeshraniční povahu služeb a činností poskytovatelů služeb systému doménových jmen, registrů internetových domén nejvyšší úrovně, poskytovatelů sítí pro doručování obsahu, poskytovatelů služeb cloud computingu, poskytovatelů služeb datových center a poskytovatelů digitálních služeb by pravomoc nad těmito subjekty měl mít pouze jeden členský stát. Pro účely této směrnice by pravomoc měl mít ten členský stát, v němž má daný subjekt v rámci Unie hlavní místo obchodní činnosti. Kritérium místa obchodní činnosti pro účely této směrnice předpokládá účinný výkon činnosti prostřednictvím stálých struktur. Právní forma takových struktur, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. To, zda je toto kritérium splněno, by nemělo záviset na tom, zda se sítě a informační systémy fyzicky nacházejí na daném místě; sama přítomnost a samotné používání takových sítí a systémů nejsou podstatou hlavního místa obchodní činnosti, a tudíž ani nejsou rozhodujícími kritérii pro jeho určení. Hlavní místo obchodní činnosti by mělo být místo v Unii, kde jsou přijímána rozhodnutí týkající se opatření k řízení kybernetických bezpečnostních rizik. To bude obvykle odpovídat místu, kde se nachází ústřední správa společnosti v Unii. Pokud taková rozhodnutí nejsou v Unii přijímána, mělo by se mít za to, že hlavní místo obchodní činnosti je v členském státě, ve kterém má subjekt provozovnu s nejvyšším počtem zaměstnanců v Unii. Pokud jsou služby prováděny skupinou podniků, mělo by se za hlavní místo obchodní činnosti skupiny podniků považovat hlavní místo obchodní činnosti řídícího podniku.

Pozměňovací návrh  39

Návrh směrnice

Bod odůvodnění 69

Znění navržené Komisí	Pozměňovací návrh
(69) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítí a informací ze strany subjektů, které provádějí orgány veřejné správy, týmy CERT, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb, by mělo představovat oprávněný zájem dotčeného správce údajů podle nařízení (EU) 2016/679. To by mělo zahrnovat opatření týkající se prevence, odhalování a analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích. Taková opatření mohou vyžadovat zpracovávání těchto druhů osobních údajů: IP adres, jednotných adres zdroje (URL), doménových jmen a e-mailových adres.	(69) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítí a informací, které provádějí subjekty, orgány veřejné správy, týmy CERT, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb, je nezbytné k tomu, aby mohli plnit své právní povinnosti podle vnitrostátních právních předpisů, jež provádějí tuto směrnici, a vztahují se na něj proto čl. 6 odst. 1 písm. c) a čl. 6 odst. 3 nařízení (EU) 2016/679. Toto zpracování by navíc mělo představovat oprávněný zájem dotčeného správce údajů podle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679. To by mělo zahrnovat opatření týkající se prevence, odhalování a analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích. V mnoha případech jsou osobní údaje ohroženy v důsledku kybernetických incidentů, a proto by příslušné orgány a orgány pro ochranu údajů členských států EU měly spolupracovat a vyměňovat si informace o všech relevantních záležitostech s cílem jakékoli porušení ochrany osobních údajů řešit. Taková opatření mohou vyžadovat zpracovávání některých kategorií osobních údajů, včetně IP adres, jednotných adres zdroje (URL), doménových jmen a e-mailových adres.

Pozměňovací návrh  40

Návrh směrnice

Bod odůvodnění 71

Znění navržené Komisí	Pozměňovací návrh
(71) K zajištění účinného vymáhání by měl být stanoven minimální seznam správních sankcí za porušení povinnosti v oblasti řízení kybernetických bezpečnostních rizik a hlášení, jež stanoví tato směrnice, čímž se vytvoří jasný a jednotný rámec pro takové sankce v celé Unii. Náležitá pozornost by měla být věnována povaze, závažnosti a době trvání protiprávního jednání, skutečné způsobené škodě či ztrátám nebo potenciálním škodám či ztrátám, které mohly být vyvolány, úmyslné nebo nedbalostní povaze protiprávního jednání, opatřením přijatým za účelem prevence nebo zmenšení způsobené škody nebo ztrát, míře odpovědnosti nebo jakémukoli relevantnímu protiprávnímu jednání v minulosti, míře spolupráce s příslušným orgánem a jakýmkoli jiným přitěžujícím nebo polehčujícím faktorům. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listinou základních práv Evropské unie, včetně účinné právní ochrany a spravedlivého procesu.	(71) K zajištění účinného vymáhání by měl být stanoven minimální seznam správních sankcí za porušení povinnosti v oblasti řízení kybernetických bezpečnostních rizik a hlášení, jež stanoví tato směrnice, čímž se vytvoří jasný a jednotný rámec pro takové sankce v celé Unii. Náležitá pozornost by měla být věnována závažnosti a době trvání protiprávního jednání, skutečné způsobené škodě či ztrátám nebo potenciálním škodám či ztrátám, které mohly být vyvolány, jakémukoli relevantnímu předchozímu protiprávnímu jednání, způsobu, jakým se příslušný orgán o daném protiprávním jednání dozvěděl, úmyslné nebo nedbalostní povaze protiprávního jednání, opatřením přijatým za účelem prevence nebo zmenšení způsobené škody nebo ztrát, míře odpovědnosti nebo jakémukoli relevantnímu protiprávnímu jednání v minulosti, míře spolupráce s příslušným orgánem a jakýmkoli jiným přitěžujícím nebo polehčujícím faktorům. Uložené sankce včetně správních pokut by měly podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listinou základních práv Evropské unie, včetně účinné právní ochrany a spravedlivého procesu.

Pozměňovací návrh  41

Návrh směrnice

Bod odůvodnění 74

Znění navržené Komisí	Pozměňovací návrh
(74) Členským státům by mělo být umožněno, aby stanovily pravidla týkající se trestních sankcí za porušení vnitrostátních pravidel provádějících tuto směrnici. Uložení trestních sankcí za porušení těchto vnitrostátních pravidel a souvisejících správních sankcí by však nemělo vést k porušení zásady ne bis in idem, jak ji vykládá Soudní dvůr.	(74) Členským státům by mělo být umožněno, aby stanovily pravidla týkající se trestních sankcí za porušení vnitrostátních pravidel provádějících tuto směrnici. Tyto trestní sankce mohou rovněž zahrnovat odebrání zisků získaných na základě porušení tohoto nařízení. Uložení trestních sankcí za porušení těchto vnitrostátních pravidel a souvisejících správních sankcí by však nemělo vést k porušení zásady ne bis in idem, jak ji vykládá Soudní dvůr.

Pozměňovací návrh  42

Návrh směrnice

Bod odůvodnění 76

Znění navržené Komisí	Pozměňovací návrh
(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny uplatňovat sankce spočívající v pozastavení osvědčení nebo povolení týkajícího se části nebo všech služeb, jež poskytuje základní subjekt, a uložení dočasného zákazu výkonu řídící funkce fyzické osoby. Vzhledem k závažnosti a dopadu těchto sankcí na činnost subjektů a v konečném důsledku na jejich zákazníky, měly by být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tyto sankce by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byly tyto sankce uloženy. Uložení takových sankcí musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.	(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny uplatňovat sankce spočívající v pozastavení osvědčení nebo povolení týkajícího se části nebo všech služeb, jež poskytuje základní subjekt. Vzhledem k závažnosti a dopadu těchto sankcí na činnost subjektů a v konečném důsledku na jejich zákazníky, měly by být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tyto sankce by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byly tyto sankce uloženy. Uložení takových sankcí musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie, včetně účinných opravných prostředků, spravedlivého procesu, presumpce neviny a práva na obhajobu.

Pozměňovací návrh  43

Návrh směrnice

Bod odůvodnění 77

Znění navržené Komisí	Pozměňovací návrh
(77) Tato směrnice by měla stanovit pravidla spolupráce mezi příslušnými orgány a orgány dohledu v souladu s nařízením (EU) 2016/679 pro řešení případů porušení souvisejících s osobními údaji.	(77) Tato směrnice by měla stanovit pravidla spolupráce mezi příslušnými orgány podle této směrnice a dozorovými úřady podle nařízení (EU) 2016/679 pro řešení případů porušení souvisejících s osobními údaji.

Pozměňovací návrh  44

 

Návrh směrnice

Bod odůvodnění 79

Znění navržené Komisí	Pozměňovací návrh
(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali odborníci určení členskými státy.	(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali odborníci určení členskými státy. EU by měla usnadnit koordinovanou reakci na rozsáhlé kybernetické incidenty a krize a nabízet pomoc, aby přispěla k obnově po těchto kybernetických útocích.

Pozměňovací návrh  45

 

Návrh směrnice

Bod odůvodnění 82 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(82a) Tato směrnice se nevztahuje na orgány, instituce a jiné subjekty Unie. Instituce Unie by však mohly být považovány za základní nebo důležité subjekty podle této směrnice. Aby se dosáhlo jednotné úrovně ochrany pomocí soudržných a homogenních pravidel, měla by Komise do 31. prosince 2022 zveřejnit legislativní návrh na zahrnutí orgánů, institucí a jiných subjektů Unie do celounijního rámce pro kybernetickou bezpečnost.

Pozměňovací návrh  46

Návrh směrnice

Bod odůvodnění 84

Znění navržené Komisí	Pozměňovací návrh
(84) Tato směrnice dodržuje základní práva a ctí zásady uznané Listinou základních práv Evropské unie, zejména právo na respektování soukromého života a komunikace, právo na ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Tato směrnice by měla být prováděna v souladu s těmito právy a zásadami,	(84) Tato směrnice dodržuje základní práva a ctí zásady uznané Listinou základních práv Evropské unie, zejména právo na respektování soukromého života a komunikace, právo na ochranu osobních údajů, svobodu podnikání, právo na vlastnictví a právo na účinnou právní ochranu a spravedlivý proces. Tato směrnice by měla být prováděna v souladu s těmito právy a zásadami a při plném dodržování stávajících právních předpisů Unie, které upravují tyto otázky. Veškeré zpracování osobních údajů podle této směrnice podléhá nařízení (EU) 2016/679 a směrnici 2002/58/ES v rámci jejich příslušných oblastí působnosti, včetně úkolů a pravomocí dozorových úřadů a orgánů dozoru příslušných pro monitorování souladu s těmito právními nástroji.

Pozměňovací návrh  47

Návrh směrnice

Čl. 2 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Tato směrnice se vztahuje na veřejné a soukromé subjekty druhu, který je v příloze I označován za základní a v příloze II za důležitý. Tato směrnice se nevztahuje na subjekty, které splňují definici mikropodniků a malých podniků ve smyslu doporučení Komise 2003/361/ES28.	1. Tato směrnice se vztahuje na veřejné a soukromé subjekty druhu, který je v příloze I označován za základní a v příloze II za důležitý. Tato směrnice se nevztahuje na subjekty, které splňují definici mikropodniků a malých podniků ve smyslu doporučení Komise 2003/361/ES28. Ustanovení čl. 3 odst. 4 přílohy k doporučení Komise 2003/361/ES se nepoužije.
__________________	__________________
28 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).	28 Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků (Úř. věst. L 124, 20.5.2003, s. 36).

Pozměňovací návrh  48

Návrh směrnice

Čl. 2 – odst. 2 – návětí

Znění navržené Komisí	Pozměňovací návrh
2. Tato směrnice se však vztahuje také na subjekty uvedené v přílohách I a II bez ohledu na jejich velikost, pokud:	2. Tato směrnice se však vztahuje také na subjekty uvedené v přílohách I a II bez ohledu na jejich velikost na základě posouzení rizik podle článku 18, pokud:

Pozměňovací návrh  49

 

Návrh směrnice

Čl. 2 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) je subjekt výhradním dodavatelem služeb v členském státě;	c) je subjekt výhradním dodavatelem služeb na vnitrostátní nebo regionální úrovni;

Pozměňovací návrh  50

Návrh směrnice

Čl. 2 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) by možné narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;	d) by narušení služby poskytované tímto subjektem mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví;

Pozměňovací návrh  51

Návrh směrnice

Čl. 2 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) by možné narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;	e) by narušení služby poskytované tímto subjektem mohlo vyvolat systémová rizika, zejména pro ta odvětví, kde by takové narušení mohlo mít přeshraniční dopad;

Pozměňovací návrh  52

Návrh směrnice

Čl. 2 – odst. 4 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	4a. Veškeré zpracování osobních údajů podle této směrnice musí být v souladu s nařízením (EU) 2016/679 a směrnicí 2002/58/ES a musí být omezeno na to, co je pro účely této směrnice nezbytně nutné a přiměřené.

Pozměňovací návrh  53

Návrh směrnice

Čl. 2 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Aniž je dotčen článek 346 Smlouvy o fungování EU, se informace, které jsou důvěrné podle unijních a vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, vyměňují s Komisí a jinými příslušnými orgány pouze v případě, že je tato výměna nutná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou relevantní a přiměřené účelu této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy základních nebo důležitých subjektů.	5. Aniž je dotčen článek 346 Smlouvy o fungování EU, informace, které jsou důvěrné podle unijních a vnitrostátních pravidel, jako jsou pravidla pro zachovávání důvěrnosti obchodních informací, se vyměňují s Komisí a jinými příslušnými orgány pouze v případě, že je tato výměna nutná pro účely této směrnice. Vyměňované informace se omezí na informace, které jsou nezbytné pro účel této výměny. Při těchto výměnách informací se zachovává důvěrnost předmětných informací a jsou chráněny bezpečnost a obchodní zájmy základních nebo důležitých subjektů.

Pozměňovací návrh  54

Návrh směrnice

Čl. 2 – odst. 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. Komise do 31. prosince 2021 zveřejní legislativní návrh na zahrnutí orgánů, institucí a jiných subjektů Unie do celkového unijního rámce pro kybernetickou bezpečnost, aby tak byla pomocí soudržných a homogenních pravidel dosažena jednotná úroveň ochrany.

Pozměňovací návrh  55

Návrh směrnice

Čl. 4 – odst. 1 – bod 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) zařízení nebo skupina vzájemně propojených nebo souvisejících zařízení, z nichž jedno nebo více provádí na základě programu automatické zpracování digitálních dat;	b) zařízení nebo skupina vzájemně propojených nebo souvisejících zařízení, z nichž jedno nebo více provádí na základě programu automatické zpracování digitálních dat a která jsou integrována do informačního systému a využívána pro poskytování jejich zamýšlených služeb;

Pozměňovací návrh  56

Návrh směrnice

Čl. 4 – odst. 1 – bod 4

Znění navržené Komisí	Pozměňovací návrh
4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti bezpečnosti sítí a informačních systémů v tomto členském státě;	4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti kybernetické bezpečnosti v tomto členském státě;

Pozměňovací návrh  57

Návrh směrnice

Čl. 4 – odst. 1 – bod 12

Znění navržené Komisí	Pozměňovací návrh
12) „výměnným uzlem internetu (IXP)“ síťové zařízení umožňující propojení více než dvou nezávislých sítí (autonomních systémů), a to primárně pro účely usnadnění výměny dat zasílaných prostřednictvím internetu; výměnný uzel internetu poskytuje propojení pouze autonomním systémům; výměnný uzel internetu nevyžaduje, aby data zasílaná prostřednictvím internetu mezi kterýmikoli dvěma zúčastněnými autonomními systémy procházela přes jakýkoli třetí autonomní systém, ani zasílaná data nemění ani žádným jiným způsobem do jejich zasílání nezasahuje;	vypouští se

Pozměňovací návrh  58

Návrh směrnice

Čl. 4 – odst. 1 – bod 22

Znění navržené Komisí	Pozměňovací návrh
22) „platformou sociálních sítí“ platforma, která koncovým uživatelům umožňuje vzájemné propojení, sdílení, objevování a komunikaci napříč různými zařízeními, zejména prostřednictvím chatů, příspěvků, videí a doporučení;	vypouští se

Pozměňovací návrh  59

Návrh směrnice

Čl. 4 – odst. 1 – bod 24

Znění navržené Komisí	Pozměňovací návrh
24) „subjektem“ jakákoli fyzická nebo právnická osoba vytvořená a uznaná jako taková podle vnitrostátních právních předpisů v místě svého usazení, která může svým jménem vykonávat práva a podléhat povinnostem;	24) „subjektem“ jakákoli fyzická osoba nebo jakákoli právnická osoba vytvořená a uznaná jako taková podle vnitrostátních právních předpisů v místě svého usazení, která může svým jménem vykonávat práva a podléhat povinnostem;

Pozměňovací návrh  60

 

Návrh směrnice

Čl. 5 – odst. 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) definici cílů a priorit strategie kybernetické bezpečnosti členských států;	a) definici cílů a priorit strategie kybernetické bezpečnosti členských států s ohledem na obecnou úroveň povědomí občanů o kybernetické bezpečnosti a na obecnou úroveň bezpečnosti připojených spotřebitelských zařízení;

Pozměňovací návrh  61

Návrh směrnice

Čl. 5 – odst. 1 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politický rámec pro lepší koordinaci mezi příslušnými orgány podle této směrnice a směrnice Evropského parlamentu a Rady (EU) XXXX/XXXX38 [směrnice o odolnosti kritických subjektů] pro účely sdílení informací o incidentech a kybernetických hrozbách pro výkon úkolů v oblasti dohledu.	f) politický rámec pro lepší koordinaci mezi příslušnými orgány podle této směrnice a směrnice Evropského parlamentu a Rady (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů], jak na vnitrostátní úrovni, tak i mezi členskými státy, pro účely sdílení informací o incidentech a kybernetických hrozbách pro výkon úkolů v oblasti dohledu.
__________________	__________________
38 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	38 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  62

Návrh směrnice

Čl. 5 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek;	b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek, mimo jiné požadavků na šifrování a podporu využívání produktů kybernetické bezpečnosti s otevřeným zdrojovým kódem;

Pozměňovací návrh  63

Návrh směrnice

Čl. 5 – odst. 2 – písm. d a (nové)

Znění navržené Komisí	Pozměňovací návrh
	da) politiku podporující zachování používání veřejně přístupných dat a otevřených zdrojů v rámci koncepce „bezpečnost skrze transparentnost“;

Pozměňovací návrh  64

Návrh směrnice

Čl. 5 – odst. 2 – písm. d b (nové)

Znění navržené Komisí	Pozměňovací návrh
	db) politiku podporující soukromí a bezpečnost osobních údajů uživatelů on-line služeb;

Pozměňovací návrh  65

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) politiku za účelem prosazování a rozvíjení dovedností v oblasti kybernetické bezpečnosti, zvyšování informovanosti a výzkumných a vývojových iniciativ;	e) politiku za účelem prosazování a rozvíjení dovedností v oblasti kybernetické bezpečnosti, zvyšování informovanosti a výzkumných a vývojových iniciativ, včetně vypracování programů odborné přípravy v oblasti kybernetické bezpečnosti, aby měly subjekty k dispozici odborníky a techniky;

Pozměňovací návrh  66

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politiku za účelem podpory akademických a výzkumných institucí při vývoji nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury;	f) politiku za účelem podpory akademických a výzkumných institucí, které přispívají k vnitrostátní strategii v oblasti kybernetické bezpečnosti vývojem a zaváděním nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury, včetně konkrétních politik zaměřených na zastoupení žen a mužů a genderovou rovnováhu v tomto odvětví;

Pozměňovací návrh  67

Návrh směrnice

Čl. 5 – odst. 2 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.	h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám a jejich schopnosti reagovat na kybernetické bezpečnostní incidenty.

Pozměňovací návrh  68

 

Návrh směrnice

Čl. 6 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna.	2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna. V zájmu zajištění bezpečnosti a přístupnosti informací v registru zavede agentura ENISA nejmodernější bezpečnostní opatření a informace zpřístupní na odpovídajících rozhraních ve strojově čitelném formátu.

Pozměňovací návrh  69

 

Návrh směrnice

Čl. 7 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) cíle vnitrostátních opatření a činností v oblasti připravenosti;	a) cíle vnitrostátních a případně regionálních a přeshraničních opatření a činností v oblasti připravenosti;

Pozměňovací návrh  70

 

Návrh směrnice

Čl. 10 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) provádění aktivního skenování sítě a informačních systémů používaných k poskytování služeb subjektu, který o to požádal;	e) provádění bezpečnostního skenování informačních systémů a rozsahu sítě používaných k poskytování služeb subjektu, který o to požádal, s cílem identifikovat a zmírnit konkrétní hrozby nebo jim předejít; zpracování osobních údajů v souvislosti s tímto skenováním se omezí na nezbytně nutné údaje, v každém případě na IP adresy a internetové adresy (URL);

Pozměňovací návrh  71

Návrh směrnice

Čl. 11 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39  [nařízení DORA] v daném členském státě.	4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39 [nařízení DORA] v daném členském státě v souladu s jejich příslušnými pravomocemi.
__________________	__________________
39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  72

Návrh směrnice

Čl. 11 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Členské státy zajistí, aby jejich příslušné orgány pravidelně poskytovaly informace příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] o kybernetických bezpečnostních rizicích, kybernetických hrozbách a incidentech postihujících základní subjekty určené jako kritické nebo jako subjekty rovnocenné kritickým subjektům podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů], jakož i o opatřeních, jež příslušné orgány přijaly v reakci na tato rizika a incidenty.	5. Členské státy zajistí, aby jejich příslušné orgány pravidelně a včas poskytovaly informace příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] o kybernetických bezpečnostních rizicích, kybernetických hrozbách a incidentech postihujících základní subjekty určené jako kritické nebo jako subjekty rovnocenné kritickým subjektům podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů], jakož i o opatřeních, jež příslušné orgány přijaly v reakci na tato rizika a incidenty.

Pozměňovací návrh  73

Návrh směrnice

Čl. 12 – odst. 3 – návětí

Znění navržené Komisí	Pozměňovací návrh
3. Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou účastnit evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].	3. Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost, Evropské centrum pro boj proti kyberkriminalitě při Europolu a Evropský sbor pro ochranu osobních údajů. Činností skupiny pro spolupráci se mohou účastnit evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].

Pozměňovací návrh  74

 

Návrh směrnice

Čl. 12 – odst. 3 – pododstavec 1

Znění navržené Komisí	Pozměňovací návrh
Tam, kde je to vhodné, může skupina pro spolupráci přizvat ke spolupráci zástupce příslušných zúčastněných stran.	Je-li to relevantní pro plnění jejích úkolů, skupina pro spolupráci přizve ke spolupráci zástupce příslušných zúčastněných stran a dále Evropský parlament jako pozorovatele.

Pozměňovací návrh  75

Návrh směrnice

Čl. 12 – odst. 8

Znění navržené Komisí	Pozměňovací návrh
8. Skupina pro spolupráci se schází pravidelně, alespoň jednou ročně, se skupinou pro odolnost kritických subjektů zřízenou podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za účelem podpory strategické spolupráce a výměny informací.	8. Skupina pro spolupráci se schází pravidelně, alespoň dvakrát ročně, se skupinou pro odolnost kritických subjektů zřízenou podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za účelem usnadnění strategické spolupráce a výměny informací v reálném čase.

Pozměňovací návrh  76

Návrh směrnice

Čl. 13 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Síť CSIRT tvoří zástupci týmů CSIRT z členských států a týmu CERT–EU. Komise se účastní sítě CSIRT jako pozorovatel. Agentura ENISA zajistí služby sekretariátu a aktivně podporuje spolupráci mezi týmy CSIRT.	2. Síť CSIRT tvoří zástupci týmů CSIRT z členských států a týmu CERT–EU. Komise a Evropské centrum pro boj proti kyberkriminalitě při Europolu se účastní sítě CSIRT jako pozorovatelé. Agentura ENISA zajistí služby sekretariátu a aktivně podporuje spolupráci mezi týmy CSIRT.

Pozměňovací návrh  77

Návrh směrnice

Čl. 14 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise a agentury ENISA. Agentura ENISA zajišťuje služby sekretariátu a podporuje bezpečnou výměnu informací.	2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise a agentury ENISA. Evropské centrum pro boj proti kyberkriminalitě při Europolu se činností sítě EU-CyCLONe účastní jako pozorovatel. Agentura ENISA zajišťuje služby sekretariátu a podporuje bezpečnou výměnu informací.

Pozměňovací návrh  78

Návrh směrnice

Čl. 14 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Síť EU-CyCLONe spolupracuje se sítí CSIRT podle sjednaných procesních pravidel.	6. Síť EU-CyCLONe spolupracuje se sítí CSIRT podle sjednaných procesních pravidel a s donucovacími orgány v rámci protokolu EU o vymáhání práva v případě nouze.

Pozměňovací návrh  79

Návrh směrnice

Čl. 15 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA ve spolupráci s Komisí vydává jednou za dva roky zprávu o stavu kybernetické bezpečnosti v Unii. Ve zprávě uvede zejména posouzení:	1. Agentura ENISA ve spolupráci s Komisí vydává jednou ročně zprávu o stavu kybernetické bezpečnosti v Unii. Ve zprávě, kterou dodá ve strojově čitelném formátu, uvede zejména posouzení:

Pozměňovací návrh  80

Návrh směrnice

Čl. 15 – odst. 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) dopadu kybernetických bezpečnostních incidentů na ochranu osobních údajů v Unii.

Pozměňovací návrh  81

Návrh směrnice

Čl. 15 – odst. 1 – písm. c b (nové)

Znění navržené Komisí	Pozměňovací návrh
	cb) přehled obecné úrovně povědomí o kybernetické bezpečnosti a jejího používání mezi občany, jakož i obecné úrovně bezpečnosti připojených spotřebitelských zařízení, která jsou v Unii uváděna na trh.

Pozměňovací návrh  82

Návrh směrnice

Čl. 17 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby členové vedoucího orgánu pravidelně absolvovali zvláštní školení, a získali tak dostatečné znalosti a dovednosti, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu.	2. Členské státy zajistí, aby členové vedoucího orgánu a pověření odborníci na kybernetickou bezpečnost pravidelně absolvovali zvláštní školení, a získali tak dostatečné znalosti a dovednosti, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu.

Pozměňovací návrh  83

Návrh směrnice

Čl. 18 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb. S ohledem na nejnovější technický vývoj musí tato opatření zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika.	1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení rizik pro kybernetickou bezpečnost sítě a informačních systémů, jež tyto subjekty používají pro poskytování svých služeb, a k zajištění kontinuity těchto služeb a zmírnění rizik pro práva jednotlivců při zpracování jejich osobních údajů. S ohledem na nejnovější technický vývoj musí tato opatření zajišťovat úroveň kybernetické bezpečnosti sítí a informačních systémů odpovídající existující míře rizika.

Pozměňovací návrh  84

Návrh směrnice

Čl. 18 – odst. 2 – písm. g

Znění navržené Komisí	Pozměňovací návrh
g) používání kryptografie a šifrování.	g) používání kryptografie a silného šifrování.

Pozměňovací návrh  85

Návrh směrnice

Čl. 18 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) subjekty zohlednily zranitelnosti specifické pro každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a praktik v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.	3. Členské státy zajistí, aby při zvažování vhodných a přiměřených opatření uvedených v odst. 2 písm. d) subjekty zohlednily zranitelnosti specifické pro každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a praktik v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje. Příslušné orgány poskytují subjektům pokyny pro praktické a přiměřené uplatňování těchto opatření.

Pozměňovací návrh  86

Návrh směrnice

Čl. 18 – odst. 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. Členské státy přiznají uživateli sítě a informačního systému poskytovaného základním nebo významným subjektem právo získat od tohoto subjektu informace o zavedených technických a organizačních opatřeních k řízení rizik pro bezpečnost sítí a informačních systémů. Členské státy stanoví omezení tohoto práva.

Pozměňovací návrh  87

Návrh směrnice

Čl. 19 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Skupina pro spolupráci může v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.	1. Skupina pro spolupráci provede ve spolupráci s Komisí a agenturou ENISA koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.

Pozměňovací návrh  88

 

Návrh směrnice

Čl. 20 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT v souladu s odstavci 3 a 4 každý incident, který má závažný dopad na poskytování jejich služeb. Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb o incidentech, které by mohly negativně ovlivnit poskytování dané služby. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které příslušným orgánům nebo týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu.	1. Členské státy zajistí, aby základní a důležité subjekty neprodleně, nejpozději však do 24 hodin, oznamovaly příslušným orgánům nebo týmu CSIRT v souladu s odstavci 3 a 4 každý incident, který má závažný dopad na poskytování jejich služeb, a pokud by incident mohl mít nebo má škodlivou povahu, aby jej oznámily příslušným donucovacím orgánům. Tyto subjekty neprodleně, nejpozději však do 24 hodin, informují příjemce svých služeb o incidentech, které by mohly negativně ovlivnit poskytování dané služby, a poskytnou jim informace, které jim umožní zmírnit nepříznivé dopady kybernetických útoků. Ve výjimečných případech, kdy by zveřejnění mohlo vyvolat další kybernetické útoky, by zásadní a důležité subjekty mohly oznámení odložit. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které příslušným orgánům nebo týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu.

Pozměňovací návrh  89

Návrh směrnice

Čl. 20 – odst. 2 – návětí

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident.	2. Členské státy zajistí, aby základní a důležité subjekty mohly příslušným orgánům nebo týmu CSIRT oznámit každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident.

Pozměňovací návrh  90

Návrh směrnice

Čl. 20 – odst. 2 – pododstavec 1

Znění navržené Komisí	Pozměňovací návrh
Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb, které mohou být ovlivněny významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou učinit v reakci na danou hrozbu. Ve vhodných případech subjekty příjemce uvědomí také o hrozbě samotné. Ohlášení nezakládá u oznamujícího subjektu vyšší míru právní odpovědnosti.	Ve vhodných případech mohou tyto subjekty informovat příjemce svých služeb, které mohou být ovlivněny významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou učinit v reakci na danou hrozbu. Pokud tyto subjekty učiní takové ohlášení, uvědomí příjemce také o hrozbě samotné. Ohlášení nezakládá u oznamujícího subjektu vyšší míru právní odpovědnosti.

Pozměňovací návrh  91

Návrh směrnice

Čl. 20 – odst. 4 – písm. c – návětí

Znění navržené Komisí	Pozměňovací návrh
c) nejpozději do jednoho měsíce od předložení oznámení podle písmene a) závěrečnou zprávu zahrnující alespoň:	c) nejpozději do jednoho měsíce od předložení oznámení podle písmene a) komplexní zprávu zahrnující alespoň:

Pozměňovací návrh  92

Návrh směrnice

Čl. 20 – odst. 4 – písm. c – bod ii

Znění navržené Komisí	Pozměňovací návrh
ii) druh hrozby nebo základní příčinu, která incident pravděpodobně spustila;	ii) druh kybernetické hrozby nebo základní příčinu, která incident pravděpodobně spustila;

Pozměňovací návrh  93

Návrh směrnice

Čl. 20 – odst. 4 – písm. c – bod iii

Znění navržené Komisí	Pozměňovací návrh
iii) učiněná a probíhající opatření ke zmírnění následků.	iii) učiněná a probíhající opatření ke zmírnění následků nebo nápravná opatření.

Pozměňovací návrh  94

Návrh směrnice

Čl. 20 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Tam, kde je to vhodné, a zejména pokud se incident podle odstavce 1 týká dvou nebo více členských států, informuje příslušný orgán nebo tým CSIRT, jimž byl incident ohlášen, ostatní dotčené členské státy a agenturu ENISA. Příslušné orgány, týmy CSIRT a jednotná kontaktní místa přitom v souladu s právem Unie nebo vnitrostátními právními předpisy, které jsou v souladu s právem Unie, zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.	6. Tam, kde je to vhodné, a zejména pokud se incident podle odstavce 1 týká dvou nebo více členských států, informuje příslušný orgán nebo tým CSIRT, jimž byl incident ohlášen, ostatní dotčené členské státy a agenturu ENISA. Pokud se incident týká dvou nebo více členských států a existuje podezření, že má trestní povahu, příslušný orgán nebo tým CSIRT informuje EUROPOL. Příslušné orgány, týmy CSIRT a jednotná kontaktní místa přitom v souladu s právem Unie nebo vnitrostátními právními předpisy, které jsou v souladu s právem Unie, zachovávají bezpečnost a obchodní zájmy subjektu, jakož i důvěrnost poskytnutých informací.

Pozměňovací návrh  95

 

Návrh směrnice

Čl. 22 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA ve spolupráci se členskými státy vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států, které by umožnily tyto oblasti pokrýt.	2. Agentura ENISA po konzultaci s Evropským sborem pro ochranu osobních údajů a ve spolupráci s členskými státy vydá doporučení a pokyny týkající se technických oblastí, které by měly být zohledněny ve vztahu k odstavci 1, jakož i s ohledem na již existující normy, včetně vnitrostátních norem členských států, které by umožnily tyto oblasti pokrýt.

Pozměňovací návrh  96

Návrh směrnice

Čl. 23 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD shromažďovaly a uchovávaly přesné a úplné údaje o registraci doménových jmen ve vyhrazeném databázovém zařízení, a to s náležitou péčí podle právních předpisů Unie o ochraně osobních údajů, pokud jde o data, jež jsou osobními údaji.	1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, zajistí, aby TLD měly zavedeny politiky a postupy, které zaručí shromažďování a uchovávání přesných a úplných údajů o registraci doménových jmen ve vyhrazeném databázovém zařízení v souladu s právními předpisy Unie o ochraně osobních údajů, pokud jde o data, jež jsou osobními údaji. Členské státy zajistí, aby tyto politiky a postupy byly veřejně přístupné.

Pozměňovací návrh  97

Návrh směrnice

Čl. 23 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby databáze údajů o registraci doménových jmen uvedené v odstavci 1 obsahovaly podstatné informace umožňující identifikaci a kontaktování držitelů doménových jmen a kontaktní místa spravující doménová jména v registrech TLD.	2. Členské státy zajistí, aby databáze údajů o registraci doménových jmen uvedené v odstavci 1 obsahovaly nezbytné informace umožňující identifikaci a kontaktování držitelů doménových jmen, konkrétně jejich jméno, poštovní a e-mailovou adresu a telefonní číslo, a kontaktní místa spravující doménová jména v registrech TLD.

Pozměňovací návrh  98

Návrh směrnice

Čl. 23 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD měly zavedeny zásady a postupy zajišťující, aby databáze zahrnovaly přesné a úplné informace. Členské státy zajistí, aby byly tyto zásady a postupy veřejně dostupné.	vypouští se

Odůvodnění

Tento odstavec byl zařazen do čl. 23 odst. 1.

Pozměňovací návrh  99

Návrh směrnice

Čl. 23 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD zveřejnily neprodleně po registraci doménového jména údaje o registraci domény, které nejsou osobními údaji.	4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD neprodleně po registraci doménového jména zveřejnily v souladu s čl. 6 odst. 1 písm. c) a čl. 6 odst. 3 nařízení (EU) 2016/679 určité údaje o registraci doménového jména, jako je doménové jméno a název právnické osoby.

Pozměňovací návrh  100

Návrh směrnice

Čl. 23 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD poskytovaly přístup ke konkrétním údajům o registraci doménových jmen na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD neprodleně reagovaly na všechny žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.	5. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD poskytovaly přístup ke konkrétním údajům o registraci doménových jmen na oprávněnou a řádně odůvodněnou žádost orgánů veřejné správy, včetně příslušných orgánů podle této směrnice, příslušných orgánů podle unijního nebo vnitrostátního práva pro prevenci, vyšetřování či stíhání trestných činů nebo dozorových úřadů podle nařízení (EU) 2016/679, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD neprodleně reagovaly na všechny zákonné a řádně zdůvodněné žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.

Pozměňovací návrh  101

Návrh směrnice

Čl. 24 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Jestliže subjekt uvedený v odstavci 1 není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Má se za to, že tento subjekt podléhá pravomoci členského státu, v němž je zástupce usazen. Neexistuje-li určený zástupce v Unii podle tohoto článku, může právní kroky proti subjektu za neplnění povinností podle této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.	3. Jestliže subjekt uvedený v odstavci 1 není v Unii usazen, ale nabízí v Unii služby, určí svého zástupce v Unii. Tento zástupce musí být usazen v jednom z členských států, v němž jsou služby nabízeny. Aniž jsou dotčeny pravomoci dozorových úřadů podle nařízení (EU) 2016/679, má se za to, že tento subjekt podléhá pravomoci členského státu, v němž je zástupce usazen. Neexistuje-li určený zástupce v Unii podle tohoto článku, může právní kroky proti subjektu za neplnění povinností podle této směrnice podniknout kterýkoli členský stát, v němž tento subjekt poskytuje služby.

Pozměňovací návrh  102

Návrh směrnice

Čl. 25 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA vytvoří a vede registr základních a důležitých subjektů uvedených v čl. 24 odst. 1. Subjekty předloží [nejpozději do 12 měsíců od vstupu této směrnice v platnost] agentuře ENISA tyto informace:	1. Agentura ENISA vytvoří a vede zabezpečený registr základních a důležitých subjektů uvedených v čl. 24 odst. 1. Subjekty předloží [nejpozději do 12 měsíců od vstupu této směrnice v platnost] agentuře ENISA tyto informace:

Pozměňovací návrh  103

Návrh směrnice

Čl. 26 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Aniž je dotčeno nařízení (EU) 2016/679 členské státy zajistí, aby základní a důležité subjekty mohly mezi sebou sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů, pokud toto sdílení informací:	1. Aniž je dotčeno nařízení (EU) 2016/679 nebo směrnice 2002/58/ES, členské státy zajistí, aby základní a důležité subjekty mohly mezi sebou sdílet podstatné informace o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů a poloze nebo totožnosti útočníka, pokud toto sdílení informací:

Pozměňovací návrh  104

Návrh směrnice

Čl. 28 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány pro ochranu osobních údajů.	2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány dohledu, aniž jsou dotčeny kompetence, úkoly a pravomoci dozorových úřadů podle nařízení (EU) 2016/679. Za tímto účelem si příslušné orgány a orgány dohledu vyměňují informace relevantní pro jejich příslušnou oblast působnosti. Kromě toho příslušné orgány na žádost příslušných orgánů dohledu poskytnou veškeré informace získané v rámci auditů a šetření, které se týkají zpracování osobních údajů.

Pozměňovací návrh  105

Návrh směrnice

Čl. 29 – odst. 4 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) nařídit těmto subjektům, aby konkrétním způsobem zveřejnily aspekty nedodržování povinností stanovených v této směrnici;	vypouští se

Pozměňovací návrh  106

Návrh směrnice

Čl. 29 – odst. 5 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) uložit nebo požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátními právními předpisy uložily dočasný zákaz výkonu manažerských funkcí v tomto subjektu jakékoli osobě, která má manažerskou odpovědnost na úrovni výkonného ředitele nebo zákonného zástupce v tomto základním subjektu, i jakékoli jiné fyzické osobě odpovědné za porušení.	vypouští se

Pozměňovací návrh  107

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 1

Znění navržené Komisí	Pozměňovací návrh
Tato omezující opatření se použijí pouze do doby, než subjekt přijme opatření nezbytná k odstranění nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž byla tato omezující opatření uplatněna.	Toto omezující opatření se použije pouze do doby, než subjekt přijme opatření nezbytná k odstranění nedostatků nebo splnění požadavků příslušného orgánu, kvůli nimž bylo toto omezující opatření uplatněno.

Pozměňovací návrh  108

Návrh směrnice

Čl. 29 – odst. 7 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) skutečně způsobené škody nebo vzniklé ztráty, případně potenciální škody nebo ztráty, které mohly být způsobeny, pokud je lze určit. Při hodnocení tohoto aspektu je třeba zohlednit mimo jiné skutečné nebo potenciální finanční nebo ekonomické ztráty, účinky na jiné služby, počet postižených nebo potenciálně postižených uživatelů;	c) skutečně hmotné nebo nehmotné škody nebo vzniklé ztráty, pokud je lze určit. Při hodnocení tohoto aspektu je třeba zohlednit mimo jiné skutečné nebo potenciální finanční nebo ekonomické ztráty, účinky na jiné služby, počet postižených nebo potenciálně postižených uživatelů;

Pozměňovací návrh  109

Návrh směrnice

Čl. 29 – odst. 7 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) veškerá relevantní porušení, kterých se dotyčný subjekt dopustil v minulosti;

Pozměňovací návrh  110

Návrh směrnice

Čl. 29 – odst. 7 – písm. c b (nové)

Znění navržené Komisí	Pozměňovací návrh
	cb) způsob, jakým se příslušný orgán dozvěděl o porušení, zejména zda a případně v jaké míře porušení oznámil subjekt;

Pozměňovací návrh  111

Návrh směrnice

Čl. 29 – odst. 7 – písm. g

Znění navržené Komisí	Pozměňovací návrh
g) míru spolupráce fyzické nebo právnické osoby považované za odpovědnou s příslušnými orgány.	g) míru spolupráce s příslušnými orgány za účelem nápravy porušení a zmírnění jeho možných nežádoucích účinků;

Pozměňovací návrh  112

Návrh směrnice

Čl. 29 – odst. 7 – písm. g a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ga) jakoukoliv jinou přitěžující nebo polehčující okolnost daného případu, např. získaný finanční prospěch či zamezené ztráty přímo či nepřímo vyplývající z porušení.

Pozměňovací návrh  113

Návrh směrnice

Čl. 29 – odst. 9

Znění navržené Komisí	Pozměňovací návrh
9. Členské státy zajistí, aby jejich příslušné orgány při výkonu svých pravomocí v oblasti dohledu a vymáhání zaměřených na zajištění dodržování povinností podle této směrnice ze strany základního subjektu určeného podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za kritický subjekt nebo subjekt, který je rovnocenný kritickému subjektu, informovaly příslušné orgány daného členského státu určené podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů]. Na žádost příslušných orgánů podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] mohou příslušné orgány vykonávat své dohledové a donucovací pravomoci u základního subjektu označeného jako kritický nebo rovnocenný kritickému subjektu.	9. Členské státy zajistí, aby jejich příslušné orgány při výkonu svých pravomocí v oblasti dohledu a vymáhání zaměřených na zajištění dodržování povinností podle této směrnice ze strany základního subjektu určeného podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] za kritický subjekt nebo subjekt, který je rovnocenný kritickému subjektu, informovaly v reálném čase příslušné orgány všech členských států určených podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů]. Na žádost příslušných orgánů podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] mohou příslušné orgány vykonávat své dohledové a donucovací pravomoci u základního subjektu označeného jako kritický nebo rovnocenný kritickému subjektu.

Pozměňovací návrh  114

Návrh směrnice

Čl. 30 – odst. 4 – písm. g

Znění navržené Komisí	Pozměňovací návrh
g) nařídit těmto subjektům, aby konkrétním způsobem zveřejnily aspekty nedodržování jejich povinností stanovených v této směrnici;	vypouští se

Pozměňovací návrh  115

Návrh směrnice

Čl. 30 – odst. 4 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) učinit veřejné prohlášení, které identifikuje právnické a fyzické osoby odpovědné za porušení povinnosti stanovené v této směrnici a povahu tohoto porušení;	h) učinit veřejné prohlášení, které identifikuje právnické osoby odpovědné za porušení povinnosti stanovené v této směrnici a povahu tohoto porušení;

Pozměňovací návrh  116

Návrh směrnice

Čl. 31 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě opatření uvedených v čl. 29 odst. 4 písm. a) až i), čl. 29 odst. 5 a čl. 30 odst. 4 písm. a) až h) či místo nich.	2. Správní pokuty se ukládají navíc k opatřením uvedeným v čl. 29 odst. 4 písm. a) až i), čl. 29 odst. 5 a čl. 30 odst. 4 písm. a) až h) či místo nich podle okolností každého jednotlivého případu.

Pozměňovací návrh  117

Návrh směrnice

Čl. 31 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Při rozhodování o uložení správní pokuty a při rozhodování o její výši se v každém jednotlivém případě náležitě přihlédne alespoň k prvkům uvedeným v čl. 29 odst. 7.	3. Rozhodování o uložení správní pokuty závisí na okolnostech každého jednotlivého případu a při rozhodování o její výši se v každém jednotlivém případě náležitě přihlédne alespoň k prvkům uvedeným v čl. 29 odst. 7.

Pozměňovací návrh  118

Návrh směrnice

Čl. 32 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí v přiměřené lhůtě orgány dohledu příslušné podle článků 55 a 56 uvedeného nařízení.	1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí neprodleně a v každém případě do 24 hodin dozorové úřady příslušné podle článků 55 a 56 uvedeného nařízení.

Pozměňovací návrh  119

Návrh směrnice

Čl. 32 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, může příslušný orgán informovat dozorový úřad se sídlem ve stejném členském státě.	3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán dozorový úřad se sídlem ve stejném členském státě.

Pozměňovací návrh  120

Návrh směrnice

Článek 34 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	Článek 34a
	Odpovědnost za nedodržení směrnice
	Aniž jsou dotčeny dostupné správní nebo mimosoudní opravné prostředky, mají příjemci služeb poskytovaných základními a důležitými subjekty, kterým vznikla škoda v důsledku nedodržení této směrnice ze strany poskytovatelů, právo na účinnou soudní ochranu.

Pozměňovací návrh  121

Návrh směrnice

Čl. 35 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
Komise pravidelně přezkoumává fungování této směrnice a podává zprávu Evropskému parlamentu a Radě. Ve zprávě se zejména posoudí význam odvětví, pododvětví, velikosti a druhu subjektů uvedených v přílohách I a II pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Za tímto účelem a s cílem dále rozvíjet strategickou a operativní spolupráci Komise zohlední zprávy skupiny pro spolupráci a sítě CSIRT z hlediska zkušeností získaných na strategické a operativní úrovni. První zprávu předloží do ... 54 měsíců od data vstupu této směrnice v platnost.	Komise přezkoumává fungování této směrnice každé tři roky a podává zprávu Evropskému parlamentu a Radě. Ve zprávě zejména posoudí, do jaké míry směrnice přispívá k zajištění vysoké úrovně bezpečnosti a integrity sítě a informačních systémů a současně zajišťuje optimální ochranu soukromého života a osobních údajů, a význam odvětví, pododvětví, velikosti a druhu subjektů uvedených v přílohách I a II pro fungování hospodářství a společnosti v souvislosti s kybernetickou bezpečností. Za tímto účelem a s cílem dále rozvíjet strategickou a operativní spolupráci Komise zohlední zprávy skupiny pro spolupráci a sítě CSIRT z hlediska zkušeností získaných na strategické a operativní úrovni. První zprávu předloží do ... 36 měsíců od data vstupu této směrnice v platnost.

Pozměňovací návrh  122

Návrh směrnice

Příloha I – bod 5 (Zdravotnictví) – odrážka 6 (nová)

Znění navržené Komisí
Odvětví	Pododvětví	Druh subjektu
5. Zdravotnictví		– poskytovatelé zdravotní péče ve smyslu čl. 3 písm. g) směrnice 2011/24/EU (90)
		– referenční laboratoře EU ve smyslu článku 15 nařízení XXXX/XXXX o vážných přeshraničních zdravotních hrozbách91
		– subjekty provádějící výzkum a vývoj týkající se léčivých přípravků ve smyslu čl. 1 bodu 2 směrnice 2001/83/ES (92 )
		– subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky ve smyslu sekce C oddílu 21 klasifikace NACE Rev. 2
		– subjekty vyrábějící zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví (uvedené na „seznamu kritických zdravotnických prostředků při mimořádné situaci v oblasti veřejného zdraví“) ve smyslu článku 20 nařízení XXXX93
91 [Nařízení Evropského parlamentu a Rady o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 1082/2013/EU, odkaz bude aktualizován, jakmile bude návrh COM(2020) 727 final přijat].
92Směrnice Evropského parlamentu a Rady 2001/83/ES ze dne 6. listopadu 2001 o kodexu Společenství týkajícím se humánních léčivých přípravků (Úř. věst. L 311, 28.11.2001, s. 67).
93 [Nařízení Evropského parlamentu a Rady o posílené úloze Evropské agentury pro léčivé přípravky při připravenosti na krize a krizovém řízení v oblasti léčivých přípravků a zdravotnických prostředků, odkaz bude aktualizován, jakmile bude návrh COM(2020) 725 final přijat].
Pozměňovací návrh
Odvětví Pododvětví Druh subjektu 5. Zdravotnictví   – poskytovatelé zdravotní péče ve smyslu čl. 3 písm. g) směrnice 2011/24/EU (90) – referenční laboratoře EU ve smyslu článku 15 nařízení XXXX/XXXX o vážných přeshraničních zdravotních hrozbách91 – subjekty provádějící výzkum a vývoj týkající se léčivých přípravků ve smyslu čl. 1 bodu 2 směrnice 2001/83/ES (92 ) – subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky ve smyslu sekce C oddílu 21 klasifikace NACE Rev. 2 – subjekty vyrábějící zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví (uvedené na „seznamu kritických zdravotnických prostředků při mimořádné situaci v oblasti veřejného zdraví“) ve smyslu článku 20 nařízení XXXX93 – subjekty, které jsou držiteli povolení distribuce podle článku 79 směrnice 2001/83/ES 91 [Nařízení Evropského parlamentu a Rady o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 1082/2013/EU, odkaz bude aktualizován, jakmile bude návrh COM(2020) 727 final přijat]. 92Směrnice Evropského parlamentu a Rady 2001/83/ES ze dne 6. listopadu 2001 o kodexu Společenství týkajícím se humánních léčivých přípravků (Úř. věst. L 311, 28.11.2001, s. 67). 93 [Nařízení Evropského parlamentu a Rady o posílené úloze Evropské agentury pro léčivé přípravky při připravenosti na krize a krizovém řízení v oblasti léčivých přípravků a zdravotnických prostředků, odkaz bude aktualizován, jakmile bude návrh COM(2020) 725 final přijat].

 

 

 

 

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název	Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a zrušení směrnice (EU) 2016/1148
Referenční údaje	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Příslušný výbor  Datum oznámení na zasedání	ITRE 21.1.2021
Výbor, který vypracoval stanovisko  Datum oznámení na zasedání	LIBE 21.1.2021
Přidružené výbory - datum oznámení na zasedání	20.5.2021
Zpravodaj(ka)  Datum jmenování	Lukas Mandl 12.4.2021
Projednání ve výboru	16.6.2021	3.9.2021	11.10.2021
Datum přijetí	12.10.2021
Výsledek konečného hlasování	+: –: 0:	44 14 4
Členové přítomní při konečném hlasování	Magdalena Adamowicz, Katarina Barley, Pernando Barrena Arza, Pietro Bartolo, Nicolas Bay, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Patrick Breyer, Saskia Bricmont, Jorge Buxadé Villalba, Damien Carême, Caterina Chinnici, Clare Daly, Marcel de Graaff, Anna Júlia Donáth, Lena Düpont, Cornelia Ernst, Laura Ferrara, Nicolaus Fest, Maria Grapini, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Peter Kofod, Moritz Körner, Jeroen Lenaers, Juan Fernando López Aguilar, Lukas Mandl, Roberta Metsola, Nadine Morano, Javier Moreno Sánchez, Maite Pagazaurtundúa, Nicola Procaccini, Emil Radev, Paulo Rangel, Terry Reintke, Diana Riba i Giner, Ralf Seekatz, Michal Šimečka, Birgit Sippel, Sara Skyttedal, Martin Sonneborn, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Milan Uhrík, Tom Vandendriessche, Bettina Vollath, Elissavet Vozemberg-Vrionidi, Jadwiga Wiśniewska, Javier Zarzalejos
Náhradníci přítomní při konečném hlasování	Olivier Chastel, Tanja Fajon, Jan-Christoph Oetjen, Philippe Olivier, Anne-Sophie Pelletier, Thijs Reuten, Rob Rooken, Maria Walsh

 

JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO

44	+
ID	Nicolas Bay, Nicolaus Fest, Peter Kofod, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche
NI	Laura Ferrara
PPE	Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Lena Düpont, Jeroen Lenaers, Lukas Mandl, Roberta Metsola, Nadine Morano, Emil Radev, Paulo Rangel, Ralf Seekatz, Sara Skyttedal, Elissavet Vozemberg-Vrionidi, Maria Walsh, Javier Zarzalejos
Renew	Olivier Chastel, Anna Júlia Donáth, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Jan-Christoph Oetjen, Maite Pagazaurtundúa, Michal Šimečka, Ramona Strugariu
S&D	Katarina Barley, Pietro Bartolo, Caterina Chinnici, Tanja Fajon, Maria Grapini, Marina Kaljurand, Juan Fernando López Aguilar, Javier Moreno Sánchez, Thijs Reuten, Birgit Sippel, Bettina Vollath
Verts/ALE	Damien Carême

 

14	-
ECR	Jorge Buxadé Villalba, Patryk Jaki, Assita Kanko, Nicola Procaccini, Rob Rooken, Jadwiga Wiśniewska
ID	Marcel de Graaff
NI	Martin Sonneborn, Milan Uhrík
Verts/ALE	Patrick Breyer, Saskia Bricmont, Terry Reintke, Diana Riba i Giner, Tineke Strik

 

4	0
The Left	Pernando Barrena Arza, Clare Daly, Cornelia Ernst, Anne-Sophie Pelletier

 

Význam zkratek:

+ : pro

- : proti

0 : zdrželi se

 

 

 

 

STANOVISKO VÝBORU PRO ZAHRANIČNÍ VĚCI (15.7.2021)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

(2020/0359(COD))

Zpravodajka: Markéta Gregorová

 

 

POZMĚŇOVACÍ NÁVRHY

Výbor pro zahraniční věci vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

Pozměňovací návrh  1

Návrh směrnice

Bod odůvodnění 2

Znění navržené Komisí	Pozměňovací návrh
(2) Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně odolnosti Unie v oblasti kybernetické bezpečnosti dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii, a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení vnitrostátních rámců stanovením národních strategií kybernetické bezpečnosti, stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Přispěla rovněž ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci12 a sítě vnitrostátních bezpečnostních týmů typu CSIRT (dále jen „síť CSIRT“)13. I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti.	(2) Od vstupu směrnice (EU) 2016/1148 v platnost bylo ve zvyšování úrovně odolnosti Unie v oblasti kybernetické bezpečnosti dosaženo významného pokroku. Z přezkumu uvedené směrnice vyplynulo, že posloužila jako katalyzátor institucionálního a regulačního přístupu ke kybernetické bezpečnosti v Unii, a současně připravila půdu pro významnou změnu v myšlení. Uvedená směrnice zajistila dokončení vnitrostátních rámců stanovením národních strategií kybernetické bezpečnosti, stanovením vnitrostátních schopností a prováděním regulačních opatření pokrývajících základní infrastruktury a subjekty určené každým členským státem. Přispěla rovněž ke spolupráci na úrovni Unie vytvořením skupiny pro spolupráci12 a sítě vnitrostátních bezpečnostních týmů typu CSIRT (dále jen „síť CSIRT“)13. Směrnice (EU) 2016/1148 byla prvním celounijním legislativním aktem v oblasti kybernetické bezpečnosti, který stanovil právní opatření k posílení celkové úrovně kybernetické odolnosti také v oblasti bezpečnosti a obrany v Unii tím, že zajistil spolupráci členských států a kulturu bezpečnosti napříč odvětvími. I přes tyto úspěchy odhalil přezkum směrnice (EU) 2016/1148 přirozené nedostatky, které jí brání v účinném řešení současných a vznikajících výzev v oblasti kybernetické bezpečnosti, které často vznikají mimo Unii a představují závažnou hrozbu pro vnitřní a vnější bezpečnost na úrovni Unie.
_________________	_________________
12 Článek 11 směrnice (EU) 2016/1148.	12 Článek 11 směrnice (EU) 2016/1148.
13 Článek 12 směrnice (EU) 2016/1148.	13 Článek 12 směrnice (EU) 2016/1148.

Pozměňovací návrh  2

Návrh směrnice

Bod odůvodnění 3 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(3a) Unie chápe „vícerozměrný“ charakter hybridních kampaní, neboť kombinují nátlakové a podvratné akce, přičemž k destabilizaci protivníka využívají tradiční i nekonvenční nástroje a taktiky (diplomatické, vojenské, hospodářské a technologické). Jsou koncipovány tak, aby bylo těžké je odhalit nebo označit jejich původce, a mohou je využívat jak státní, tak nestátní aktéři1a. Internet a on-line sítě poskytují státním a nestátním aktérům nové možnosti agresivního jednání. Mohou být použity k napadení kritické infrastruktury a demokratických procesů, k realizaci přesvědčivých dezinformačních a propagandistických kampaní, k odcizení informací a ke zveřejňování citlivých údajů. V nejhorších případech kybernetické útoky umožňují, aby protivník převzal kontrolu nad aktivy, jako jsou vojenské systémy a struktury velení1b. Současně důkladná spolupráce se soukromým sektorem a občanskými zúčastněnými stranami, včetně průmyslových odvětví a subjektů zapojených do řízení kritických infrastruktur, má zásadní význam, a měla by být posílena vzhledem k typickým vlastnostem kybernetické oblasti, v níž technologické inovace řídí především soukromé společnosti, které často nepůsobí ve vojenské oblasti; Proti takovým rozsáhlým kybernetickým bezpečnostním incidentům a krizím na úrovni Unie by měla být odpovídajícím způsobem připravena a chráněna prostřednictvím společných cvičení odborné přípravy, neboť mají potenciál uplatnit článek 222 SFEU (dále jen „ustanovení o solidaritě“).
	_________________
	1a Evropská komise / vysoký představitel Unie pro zahraniční věci a bezpečnostní politiku, „Společné sdělení o zvýšení odolnosti a posílení schopností k řešení hybridních hrozeb“,  JOIN(2018) 16 final, Brusel, 13. června 2018, s. 1.
	1b https://www.iss.europa.eu/sites/default/files/EUISSFiles/CP_151.pdf

Pozměňovací návrh  3

Návrh směrnice

Bod odůvodnění 3 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(3b) V případě rozsáhlých incidentů a krizí v oblasti kybernetické bezpečnosti na úrovni Unie jsou vzhledem k velké vzájemné závislosti mezi odvětvími a zeměmi nutná koordinovaná opatření, která zajistí rychlou a účinnou odezvu a lepší prevenci takovýchto situací a připravenost na ně v budoucnu. Pro zajištění bezpečnosti Unie v rámci jejích hranic i mimo ně má zásadní význam dostupnost kyberneticky odolných sítí a informačních systémů a dostupnost, důvěrnost a integrita údajů. Snaha EU získat významnější geopolitickou úlohu spočívá rovněž v důvěryhodné kybernetické obraně a odrazování, včetně schopnosti včas a účinně identifikovat škodlivá opatření a odpovídajícím způsobem na ně reagovat; Vzhledem k nejasným hranicím mezi oblastí civilních a vojenských záležitosti a dvojímu využití kybernetických nástrojů a technologií je třeba, aby byl v digitální oblasti uplatňován komplexní a holistický přístup. To se vztahuje i na operace a mise v rámci společné bezpečnostní a obranné politiky, které provádí Unie s cílem zajistit mír a stabilitu ve svém sousedství i mimo něj. V tomto ohledu posílí strategický kompas EU ambice v oblasti bezpečnosti a obrany, bude určovat úroveň jejich provádění a promítne tyto ambice do potřeb v oblasti schopností včetně kybernetické obrany, čímž se zvýší schopnost EU a členských států předcházet nepřátelským činnostem v kyberprostoru, odrazovat od nich, reagovat na ně a zotavovat se z nich, a to tím, že posílí její postavení, informovanost o situaci, nástroje, postupy a partnerství; Spolupráce Unie s mezinárodními organizacemi, jako je NATO, přispívá k diskusím o tom, jak předcházet hybridním a kybernetickým útokům, odrazovat od nich a reagovat na ně, a hledat způsoby, jak vytvořit společnou analýzu kybernetických hrozeb.

Pozměňovací návrh  4

Návrh směrnice

Bod odůvodnění 6

Znění navržené Komisí	Pozměňovací návrh
(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14 .	(6) Tato směrnice ponechává nedotčenou schopnost členských států přijímat nezbytná opatření, aby zajistily ochranu svých základních bezpečnostních zájmů, ochranu veřejného pořádku a veřejné bezpečnosti a umožnily vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie a základními právy. Nezávisle na současném technologickém prostředí je naprosto zásadní, aby byly vždy v plném rozsahu dodržovány řádné procesy a ostatní záruky a základní práva, zejména právo na respektování soukromého života a komunikace a právo na ochranu osobních údajů. Podobně je v zájmu zajištění celkové odolnosti nezbytné nejen posílit technologické infrastruktury a disponovat schopností reakce, ale také zvýšit povědomí veřejnosti o kybernetických rizicích a bezpečnosti; V souladu s článkem 346 SFEU není žádný členský stát povinen poskytovat informace, jejichž zpřístupnění by bylo v rozporu se základními zájmy jeho veřejné bezpečnosti. V tomto ohledu jsou relevantní pravidla členských států a Unie o ochraně utajovaných informací, dohody o zachování důvěrnosti údajů nebo neformální dohody o zachování důvěrnosti, jako je například tzv. „semaforový protokol“ (Traffic Light Protocol)14.
_________________	_________________
14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).	14 Semaforový protokol je prostředek pro toho, kdo sdílí informace, aby informoval své publikum o jakýchkoli omezeních dalšího šíření těchto informací. Používá se téměř ve všech komunitách CSIRT a některých střediscích pro sdílení a analýzu informací (ISAC).

Pozměňovací návrh  5

Návrh směrnice

Bod odůvodnění 14 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(14a) S cílem vyvinout bezpečný systém propojení a vycházet z evropské kvantové komunikační infrastruktury (EuroQCI) a družicové komunikace Evropské unie v rámci státní správy (GOVSATCOM), zejména zavedení systému GALILEO GNSS pro uživatele obrany, přičemž by měl jakýkoli budoucí vývoj zohlednit slučování rychlosti a sofistikovanosti kvantové výpočetní techniky s vysoce autonomními vojenskými systémy, a členské státy by měly jako prioritu zajistit, aby byla upřednostněna ochrana celé elektronické komunikační sítě, jako jsou vzdušné, pozemní a podmořské systémy. Současně je třeba vytvořit společnou vizi strategie pro přijímání "cloud computingu" pro citlivá odvětví s cílem definovat přístup Unie založený na společných normách mezi podobně smýšlejícími partnerskými státy;

Pozměňovací návrh  6

Návrh směrnice

Bod odůvodnění 20

Znění navržené Komisí	Pozměňovací návrh
(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.	(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Infrastruktura, která je vlastněná, spravovaná nebo provozovaná Unií nebo jejím jménem v rámci jejích vesmírných programů má obzvláště velký význam pro bezpečnost Unie a jejích členských států a řádné fungování misí společné bezpečnostní a obranné politiky Unie (SBOP). Tuto infrastrukturu je zapotřebí náležitě chránit, a to v souladu s nařízením Evropského parlamentu a Rady (EU) č. 2021/69618a. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu a ohrozit bezpečnost občanů Unie. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.
	_________________
	18a Nařízení Evropského parlamentu a Rady (EU) 2021/696 ze dne 28. dubna 2021, kterým se zavádí Kosmický program Unie a zřizuje Agentura Evropské unie pro Kosmický program a zrušují nařízení (EU) č. 912/2010, (EU) č. 1285/2013 a (EU) č. 377/2014 a rozhodnutí č. 541/2014/EU (Úř. věst. L 170, 12.5.2021, s. 69).

Pozměňovací návrh  7

Návrh směrnice

Bod odůvodnění 26

Znění navržené Komisí	Pozměňovací návrh
(26) S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také dalších sítí pro mezinárodní spolupráci.	(26) S ohledem na význam mezinárodní spolupráce na poli kybernetické bezpečnosti by týmy CSIRT měly mít možnost účastnit se kromě sítě CSIRT zřízené touto směrnicí také dalších sítí pro mezinárodní spolupráci, aby se přispělo k rozvoji standardů Unie, které mohou formovat podmínky v oblasti kybernetické bezpečnosti na mezinárodní úrovni. Členské státy by rovněž mohly prozkoumat možnost prohloubení spolupráce s podobně smýšlejícími partnerskými zeměmi a mezinárodními organizacemi, jako je Rada Evropy, Organizace Severoatlantické smlouvy, Organizace pro hospodářskou spolupráci a rozvoj, Organizace pro bezpečnost a spolupráci v Evropě a Organizace spojených národů, s cílem zajistit mnohostranné dohody o kybernetických normách, odpovědném chování státu a nestátních subjektů v kyberprostoru a účinné globální digitální správě, jakož i vytvořit otevřený, svobodný, stabilní a bezpečný kyberprostor založený na mezinárodním právu.

Pozměňovací návrh  8

Návrh směrnice

Bod odůvodnění 27

Znění navržené Komisí	Pozměňovací návrh
(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.	(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu nebo mohou ohrozit bezpečnost občanů a hospodářské a finanční zájmy Unie. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii. Unie a členské státy by také měly dále podporovat cvičení a politické diskuse založené na scénářích týkající se rámce krizového řízení, aby se zajistila soudržnost vnitřních a vnějších politik a zaručilo společné chápání postupů pro uplatňování doložky solidarity.
_________________	_________________
20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).	20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).

Pozměňovací návrh  9

Návrh směrnice

Bod odůvodnění 36

Znění navržené Komisí	Pozměňovací návrh
(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Takové dohody by měly zajistit odpovídající ochranu údajů.	(36) Unie by ve vhodných případech měla v souladu s článkem 218 SFEU uzavírat mezinárodní dohody s třetími zeměmi nebo mezinárodními organizacemi, které umožní a zorganizují jejich účast na některých činnostech skupiny pro spolupráci a sítě CSIRT. Takové dohody mají zajistit odpovídající ochranu údajů a měly by podporovat přístup na trh a řešit bezpečnostní rizika a současně posilovat globální odolnost a zvyšovat informovanost o kybernetických hrozbách a nepřátelských činnostech v kyberprostoru. Unie by rovněž měla i nadále podporovat budování kapacit ve třetích zemích. Členské státy by měly ve vhodných případech podporovat účast podobně smýšlejících partnerských zemí, které sdílejí naše evropské hodnoty, na příslušných projektech PESCO. Proto by Unie měla prozkoumat možnost opětovného zahájení procesu zaměřeného na uzavření formálního a strukturovaného rámce pro spolupráci v této oblasti v budoucnosti.

Pozměňovací návrh  10

Návrh směrnice

Bod odůvodnění 37

Znění navržené Komisí	Pozměňovací návrh
(37) Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení (EU) 2017/1584 prostřednictvím stávajících sítí pro spolupráci, zejména sítě styčných organizací pro kybernetické krize (EU-CyCLONe), sítě CSIRT a skupiny pro spolupráci. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních ujednání, jež vymezí podmínky této spolupráce. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla síť fungovat, mimo jiné včetně úloh, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z integrovaných opatření pro politickou reakci na krize. Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud má krize významný externí rozměr nebo rozměr společné bezpečnostní a obranné politiky (SBOP), měl by být aktivován mechanismus Evropské služby pro vnější činnost (ESVČ) pro reakce na krize.	(37) Členské státy by měly přispět k vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize uvedeného v doporučení (EU) 2017/1584 prostřednictvím stávajících sítí pro spolupráci, zejména sítě styčných organizací pro kybernetické krize (EU-CyCLONe), sítě CSIRT a skupiny pro spolupráci, Evropského centra pro boj proti kyberkriminalitě a Zpravodajského a informačního centra Unie (EU INTCEN), aby se dosáhlo dalšího pokroku v oblasti strategické zpravodajské spolupráce týkající se kybernetických hrozeb a činností, a to s cílem dále podpořit informovanost Unie o situaci a její rozhodovací procesy v rámci společné diplomatické reakce. Sítě EU-CyCLONe a CSIRT by měly spolupracovat na základě procesních ujednání, jež vymezí podmínky této spolupráce. Jednací řád sítě EU-CyCLONe by měl dále vymezit podmínky, za nichž by měla síť fungovat, mimo jiné včetně úloh, způsobů spolupráce, interakcí s jinými relevantními subjekty a šablon pro sdílení informací, jakož i způsobů komunikace. Pokud jde o krizové řízení na úrovni Unie, měly by příslušné strany vycházet z integrovaných opatření pro politickou reakci na krize, která také podporují to, aby byla reakce na uplatnění doložky solidarity koordinována na politické úrovni. Komise by za tímto účelem měla využít proces meziodvětvové koordinace na vysoké úrovni v krizových situacích ARGUS. Pokud má krize významný externí rozměr nebo rozměr společné bezpečnostní a obranné politiky (SBOP), měl by být aktivován mechanismus Evropské služby pro vnější činnost (ESVČ) pro reakce na krize a jakékoli opatření, jehož cílem je ochrana operací a misí v rámci společné bezpečnostní a obranné politiky a delegací Unie. Unie by navíc měla plně využívat svého souboru nástrojů pro diplomacii v oblasti kybernetiky.

Pozměňovací návrh  11

Návrh směrnice

Bod odůvodnění 40 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(40a) Členské státy by měly považovat aktivní program kybernetické obrany za součást své vnitrostátní strategie kybernetické bezpečnosti, která zahrnuje pravidelná společná cvičení odborné přípravy mezi členskými státy a napříč mezinárodními organizacemi. Takovýto program by měl zajišťovat synchronizovanou kapacitu pro zjišťování, odhalování, analýzu a zmírňování hrozeb v reálném čase. Aktivní kybernetická obrana funguje rychlostí sítě za využití senzorů, softwaru a zpravodajských informací s cílem odhalit a zastavit nepřátelské činnosti v ideálním případě ještě předtím, než mohou ohrozit fungování sítí a systémů. Kromě toho by členské státy měly výrazně zlepšit metodu sdílení informací, vymezit společnou normu pro komunikaci, která by mohla být použita pro utajované a neutajované informace, s cílem posílit rychlou činnost. Unie a členské státy by rovněž měly posílit své schopnosti přisuzovat kybernetické útoky pachatelům, aby mohly účinně odrazovat od kybernetických útoků a reagovat na ně přiměřeným způsobem v souladu s mezinárodním právem.

Pozměňovací návrh  12

Návrh směrnice

Bod odůvodnění 40 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(40b) Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti vytvořit program aktivní kybernetické obrany. Aktivní kybernetická obrana je proaktivní odhalování, analýza a zmírňování narušení bezpečnosti sítě v reálném čase v kombinaci s využíváním kapacit zavedených mimo síť, která je předmětem útoku. Zakládá se na defenzivní strategii, která vylučuje útočná opatření proti kritické civilní infrastruktuře protivníka, jež by byla porušením mezinárodního práva (jako je dodatkový protokol k Ženevské úmluvě z roku 1977). Kritický význam pro zajištění jednotného úsilí při úspěšném odhalování a prevenci kybernetických útoků má schopnost rychle a automaticky sdílet informace o hrozbách a jejich analýzy a porozumět jim, jakož i výstrahy před hrozbami a opatření, která na ně reagují. Činnosti v rámci aktivní kybernetické obrany by mohly zahrnovat konfigurace e-mailových serverů, konfigurace internetových stránek, umožňování záznamu dat a filtrování systému doménových jmen (DNS). Členské státy by měly přijmout politiky, které zajistí co nejširší přístup k nejvýkonnějším nástrojům kybernetické bezpečnosti, podpoří společnosti, malé a střední podniky a podniky s nízkou finanční kapacitou, a to prostřednictvím výhod, grantů, půjček nebo daňových výhod zaměřených na získání produktů a služeb na nejvyšší úrovni kybernetické bezpečnosti, aby se zabránilo tomu, že se jejich náklady stanou prvkem diskriminace. Členské státy by rovněž měly usilovat o podporu partnerství s akademickými pracovníky a dalšími výzkumnými středisky zaměřenými na podporu programu pro kybernetickou bezpečnost v oblasti výzkumu a vývoje s cílem vyvinout prostřednictvím multidisciplinárního přístupu nové společné technologie, nástroje a dovednosti použitelné v civilním i obranném odvětví. Partnerství by měla být financována ze stávajících a nových nástrojů financování pod záštitou Komise.

Pozměňovací návrh  13

Návrh směrnice

Bod odůvodnění 43

Znění navržené Komisí	Pozměňovací návrh
(43) Řešení kybernetických bezpečnostních rizik vyplývajících z dodavatelského řetězce subjektu nebo jeho vztahů s dodavateli je zvlášť důležité vzhledem k počtu incidentů, kdy se subjekty staly obětí kybernetických útoků a kdy nepřátelské subjekty byly schopny narušit bezpečnost sítí a informačních systémů daného subjektu tím, že využily zranitelných míst v produktech a službách třetí strany. Subjekty by proto měly posoudit a zohlednit celkovou kvalitu produktů a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů k zajištění bezpečného vývoje.	(43) Řešení kybernetických bezpečnostních rizik vyplývajících z dodavatelského řetězce subjektu nebo jeho vztahů s dodavateli je zvlášť důležité vzhledem k počtu incidentů, kdy se subjekty staly obětí kybernetických útoků a kdy nepřátelské subjekty byly schopny narušit bezpečnost sítí a informačních systémů daného subjektu tím, že využily zranitelných míst v produktech a službách třetí strany. Subjekty by proto měly posoudit a zohlednit celkovou kvalitu produktů a postupů kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich systémů řízení rizik a postupů k zajištění bezpečného vývoje, v souladu s normami Unie pro kybernetickou bezpečnost.

Pozměňovací návrh  14

Návrh směrnice

Bod odůvodnění 43 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(43a) Potenciální netechnické rizikové faktory, jako je nepatřičný vliv třetí země na dodavatele a poskytovatele služeb, zejména v případě alternativních modelů správy, zahrnují skrytá slabá místa nebo zadní vrátky a možné systémové narušení dodávek, zejména v případě technologické závislosti nebo závislosti na poskytovateli. Vzhledem k tomu, že využití zranitelných míst v odvětví obrany může způsobit závažné narušení a škodu, vyžaduje kybernetická bezpečnost v obranném průmyslu zvláštní opatření k zajištění bezpečnosti dodavatelských řetězců, zejména pokud jde o subjekty, které jsou v dodavatelském řetězci na nižším místě a nevyžadují přístup k utajovaným informacím, ale mohly by představovat závažné riziko pro celé odvětví. Zvláštní pozornost by měla být věnována dopadu, který by jakékoli porušení mohlo mít, a hrozbě jakékoli potenciální manipulace se síťovými daty, která by mohla vést k tomu, že by kritické obranné prostředky byly zbytečné nebo by dokonce převažovaly nad příslušnými operačními systémy, což by je činilo zranitelnými vůči "únosu".

Pozměňovací návrh  15

Návrh směrnice

Bod odůvodnění 46

Znění navržené Komisí	Pozměňovací návrh
(46) K dalšímu řešení klíčových rizik dodavatelského řetězce a na pomoc subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, aby odpovídajícím způsobem řídily dodavatelský řetězec a kybernetická bezpečnostní rizika související s dodavateli, by skupina pro spolupráci, jež zahrnuje příslušné vnitrostátní orgány, ve spolupráci s Komisí a agenturou ENISA měla provést koordinovaná posouzení rizik dodavatelských řetězců v jednotlivých odvětvích, jak bylo již provedeno pro sítě 5G v návaznosti na doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G21 , za účelem určení příslušných hrozeb a zranitelných míst v každém odvětví, v němž existují kritické služby IKT, systémy nebo produkty IKT.	(46) K dalšímu řešení klíčových rizik dodavatelského řetězce a na pomoc subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, aby odpovídajícím způsobem řídily dodavatelský řetězec a kybernetická bezpečnostní rizika související s dodavateli, by skupina pro spolupráci, jež zahrnuje příslušné vnitrostátní orgány, ve spolupráci s Komisí, ENISA a Evropskou službou pro vnější činnost, měla provést koordinovaná posouzení rizik dodavatelských řetězců v jednotlivých odvětvích, jak bylo již provedeno pro sítě 5G v návaznosti na doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G21 , za účelem určení příslušných hrozeb a zranitelných míst v každém odvětví, v němž existují kritické služby IKT, systémy nebo produkty IKT, a navrhnout adekvátní opatření.
_________________	_________________
21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).	21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).

Pozměňovací návrh  16

Návrh směrnice

Bod odůvodnění 68

Znění navržené Komisí	Pozměňovací návrh
(68) Subjekty by měly být motivovány k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto mechanismů pro sdílení informací. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů.	(68) Subjekty by měly být motivovány k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto mechanismů pro sdílení informací. Kromě toho by členské státy mohly rovněž prozkoumat možnost začlenění subjektů z podobně smýšlejících partnerských zemí. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů. Za stejným účelem by členské státy měly podporovat příslušné orgány a týmy CSIRT při vytváření bezplatných nebo dostupných programů pomoci v oblasti kybernetické bezpečnosti, vzdělávání a auditů pro subjekty, které nespadají do oblasti působnosti této směrnice, zejména začínající podniky, malé a střední podniky a nevládní organizace.

Pozměňovací návrh  17

Návrh směrnice

Bod odůvodnění 68 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(68a) Vzhledem k tomu, že kybernetická bezpečnost má civilní i vojenský rozměr, měla by být rovněž podporována výměna informací napříč odvětvími (obrana, civilní odvětví, vymáhání práva a vnější činnost). Společná kybernetická jednotka by mohla hrát důležitou úlohu při ochraně EU před kybernetickými útoky tím, že by pomohla aktérům získat společné porozumění o oblasti hrozeb a koordinovat svou reakci.

Pozměňovací návrh  18

Návrh směrnice

Bod odůvodnění 73

Znění navržené Komisí	Pozměňovací návrh
(73) Jsou-li správní pokuty uloženy podniku, měl by se podnikem pro tyto účely rozumět podnik v souladu s články 101 a 102 SFEU. Jsou-li správní pokuty uloženy osobám, které nejsou podnikem, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby. Mělo by být ponecháno na členských státech, aby určily, zda a v jaké míře by měly správním pokutám podléhat orgány veřejné správy. Uložením správní pokuty není dotčeno uplatnění jiných pravomocí příslušných orgánů nebo jiných sankcí stanovených ve vnitrostátních pravidlech provádějících tuto směrnici.	(73) Jsou-li správní pokuty uloženy podniku, měl by se podnikem pro tyto účely rozumět podnik v souladu s články 101 a 102 SFEU. Jsou-li správní pokuty uloženy osobám, které nejsou podnikem, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby, aniž by tím byly dotčeny cíle této směrnice. Mělo by být ponecháno na členských státech, aby určily, zda a v jaké míře by měly správním pokutám podléhat orgány veřejné správy. Uložením správní pokuty není dotčeno uplatnění jiných pravomocí příslušných orgánů nebo jiných sankcí stanovených ve vnitrostátních pravidlech provádějících tuto směrnici.

Pozměňovací návrh  19

Návrh směrnice

Čl. 5 – odst. 2 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) politiku zabývající se kybernetickou bezpečností v dodavatelském řetězci pro produkty a služby IKT využívané základními a důležitými subjekty k poskytování služeb;	a) politiku zabývající se kybernetickou bezpečností v dodavatelském řetězci pro produkty a služby IKT používané zásadními a významnými subjekty při poskytování jejich služeb, a to na základě komplexního posouzení potenciálních hrozeb pro dodavatelské řetězce;

Pozměňovací návrh  20

Návrh směrnice

Čl. 5 – odst. 2 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) politiku na podporu interoperability a dodržování společných norem Unie v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  21

Návrh směrnice

Čl. 5 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) politiku týkající se udržení celkové dostupnosti a integrity veřejného jádra otevřeného internetu;	d) politiku týkající se udržení celkové dostupnosti a integrity veřejného jádra otevřeného internetu, včetně kybernetické bezpečnosti internetových základních struktur a případně podmořských komunikačních kabelů;

Pozměňovací návrh  22

Návrh směrnice

Čl. 5 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politiku za účelem podpory akademických a výzkumných institucí při vývoji nástrojů kybernetické bezpečnosti a zabezpečené síťové infrastruktury;	f) politiku za účelem podpory akademických a výzkumných institucí při vývoji nástrojů kybernetické bezpečnosti a výzkumu a vývoje v oblasti kybernetické bezpečnosti a zabezpečené síťové infrastruktury;

Pozměňovací návrh  23

Návrh směrnice

Čl. 5 – odst. 2 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.	h) politiku zaměřenou na specifické potřeby začínajících podniků, malých a středních podniků a nevládních organizací, zejména těch, které jsou vyloučeny z oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám, reakci na kybernetické bezpečnostní incidenty a hledání pomoci v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  24

Návrh směrnice

Čl. 5 – odst. 2 – písm. h a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ha) politiku podpory využívání a rozvoje softwaru s otevřeným zdrojovým kódem;

Pozměňovací návrh  25

Návrh směrnice

Čl. 6 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Každý členský stát určí jeden ze svých týmů CSIRT podle článku 9 jako koordinátora za účelem koordinovaného zveřejňování informací o zranitelnostech. Tento určený tým CSIRT vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby usnadňuje interakci mezi oznamujícím subjektem a výrobcem nebo poskytovatelem produktů nebo služeb IKT. Pokud se hlášená zranitelnost týká více výrobců nebo poskytovatelů produktů nebo služeb IKT v celé Unii, spolupracuje určený tým CSIRT z každého členského státu v rámci sítě CSIRT.	1. Každý členský stát určí jeden ze svých týmů CSIRT podle článku 9 jako koordinátora za účelem povinného odpovědného zveřejňování informací o zranitelnostech. Tento určený tým CSIRT vystupuje jako důvěryhodný zprostředkovatel, který v případě potřeby usnadňuje interakci mezi oznamujícím subjektem a výrobcem nebo poskytovatelem produktů nebo služeb IKT. Pokud se hlášená zranitelnost týká více výrobců nebo poskytovatelů produktů nebo služeb IKT v celé Unii, spolupracuje určený tým CSIRT z každého členského státu v rámci sítě CSIRT.

Pozměňovací návrh  26

Návrh směrnice

Čl. 6 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna.	2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V souladu s čl. 10 odst. 2 by týmy CSIRT měly vedle pomoci při zmírňování rizik usnadnit přístup k informacím o zranitelných místech registrovaných v Evropském registru zranitelností i subjektům, které nespadají do oblasti působnosti této směrnice, zejména začínajícím podnikům, malým a středním podnikům a nevládním organizacím. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna.

Pozměňovací návrh  27

Návrh směrnice

Čl. 7 – odst. 3 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie.	f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie, včetně reakcí na příslušné žádosti na základě doložky solidarity.

Pozměňovací návrh  28

Návrh směrnice

Čl. 7 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy oznámí Komisi své určené příslušné orgány podle odstavce 1 a předloží své národní plány reakce na kybernetické bezpečnostní incidenty a krize podle odstavce 3 do tří měsíců od tohoto určení a přijetí těchto plánů. Členské státy mohou z plánu vyloučit konkrétní informace, pokud je to naprosto nezbytné pro jejich národní bezpečnost.	4. Členské státy oznámí Komisi své určené příslušné orgány podle odstavce 1 a předloží své národní plány reakce na kybernetické bezpečnostní incidenty a krize podle odstavce 3 do tří měsíců od tohoto určení a přijetí těchto plánů. Členské státy mohou z plánu vyloučit konkrétní informace, pokud je to naprosto nezbytné pro jejich národní bezpečnost. V případě rozsáhlých incidentů a krizí v oblasti kybernetické bezpečnosti, které se týkají více než jednoho členského státu a jsou relevantní na úrovni Unie, se zavádí odpovídající struktury pro řízení krizí a správu. Takovéto struktury organizují výměnu informací, koordinaci a spolupráci se strukturami Unie v oblasti vnější bezpečnosti a řízení vojenských krizí a se subjekty členských států odpovědnými za bezpečnost a obranu.

Pozměňovací návrh  29

Návrh směrnice

Čl. 9 – odst. 4 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	4a. Týmy CSIRT spolupracují a vyměňují si relevantní informace s vnitrostátními institucemi odpovědnými za udržování veřejné bezpečnosti, obrany a národní bezpečnosti.

Pozměňovací návrh  30

Návrh směrnice

Čl. 9 – odst. 4 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	4b. Týmy CSIRT by měly spolupracovat a ve vhodných případech a aniž je dotčeno nařízení (EU) 2016/679 nebo právo Unie, si vyměňovat s důvěryhodnými třetími zeměmi a mezinárodními organizacemi relevantní informace o kybernetických hrozbách, zranitelných místech, osvědčených postupech a normách.

Pozměňovací návrh  31

Návrh směrnice

Čl. 9 – odst. 4 c (nový)

Znění navržené Komisí	Pozměňovací návrh
	4c. Aniž by byly dotčeny právní předpisy Unie, zejména nařízení (EU) 2016/679, poskytují týmy CSIRT nebo rovnocenné struktury v kandidátských zemích Unie a jiným třetím zemím na západním Balkáně a ve Východním partnerství v oblasti kybernetické bezpečnosti pomoc týmům CSIRT nebo rovnocenným strukturám.

Pozměňovací návrh  32

Návrh směrnice

Čl. 10 – odst. 2 – písm. e a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ea) vytváření bezplatných nebo dostupných programů pomoci v oblasti kybernetické bezpečnosti, vzdělávání a auditů pro subjekty, které nespadají do oblasti působnosti této směrnice, zejména začínající podniky, malé a střední podniky a nevládní organizace;

Pozměňovací návrh  33

Návrh směrnice

Čl. 11 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39 [nařízení DORA] v daném členském státě.	4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů, vnitrostátní kontrolními orgány pro umělou inteligenci, příslušnými vnitrostátními orgány pro správu údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX [nařízení DORA]39 v daném členském státě.
_________________	_________________
39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  34

Návrh směrnice

Čl. 12 – odst. 3 – návětí

Znění navržené Komisí	Pozměňovací návrh
3. Skupina pro spolupráci je tvořena zástupci členských států, Komise a agentury ENISA. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činností skupiny pro spolupráci se mohou účastnit evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].	3. Skupina pro spolupráci je tvořena zástupci členských států, Komise, agentury ENISA a Evropské obranné agentury. Činností skupiny pro spolupráci se jako pozorovatel účastní Evropská služba pro vnější činnost. Činnosti skupiny pro spolupráci se účastní vnitrostátní dozorové úřady pro umělou inteligenci, vnitrostátní orgány příslušné pro správu údajů a evropské orgány dohledu v souladu s čl. 17 odst. 5 písm. c) nařízení (EU) XXXX/XXXX [nařízení DORA].

Pozměňovací návrh  35

Návrh směrnice

Čl. 12 – odst. 4 – písm. e a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ea) zapojení do spolupráce, vzájemné pomoci a výměny osvědčených postupů a informací s důvěryhodnými třetími zeměmi a mezinárodními organizacemi, aniž je dotčeno právo Unie;

Pozměňovací návrh  36

Návrh směrnice

Čl. 13 – odst. 3 – písm. k

Znění navržené Komisí	Pozměňovací návrh
k) spolupracuje a zajišťuje výměnu informací s regionálními bezpečnostními operačními středisky a bezpečnostními operačními středisky na úrovni Unie za účelem zlepšení společné informovanosti o situaci u incidentů a hrozeb v celé Unii;	k) spolupracuje a zajišťuje výměnu informací s regionálními bezpečnostními operačními středisky a bezpečnostními operačními středisky na úrovni Unie a případně vojenskými týmy CERT za účelem zlepšení společné informovanosti o situaci u incidentů a hrozeb v celé Unii;

Pozměňovací návrh  37

Návrh směrnice

Čl. 14 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise a agentury ENISA. Agentura ENISA zajišťuje služby sekretariátu a podporuje bezpečnou výměnu informací.	2. Síť EU-CyCLONe je tvořena zástupci orgánů krizového řízení členských států určených podle článku 7, Komise, ESVČ a agentury ENISA. Agentura ENISA zajišťuje služby sekretariátu a podporuje bezpečnou výměnu informací. Takovýmto národním orgánům krizového řízení poskytuje poradenství poradní skupina vycházející z občanské společnosti. V případě rozsáhlých incidentů a krizí v oblasti kybernetické bezpečnosti na úrovni Unie, které se týkají více než jednoho členského státu, se zavádí odpovídající struktura pro řízení krizí na úrovni Unie. Tato struktura zahrnuje týmy CSIRT, síť CSIRT, koordinační skupiny, Komisi, ESVČ a agenturu ENISA. Rovněž připravuje a provádí aktivaci a uplatnění doložky solidarity.

Pozměňovací návrh  38

Návrh směrnice

Čl. 14 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) zvýšit úroveň připravenosti na řešení rozsáhlých incidentů a krizí;	a) zvýšit úroveň připravenosti na řešení rozsáhlých incidentů a krizí a kontaktů s agenturami členských států odpovědnými za národní bezpečnost a obranu území;

Pozměňovací návrh  39

Návrh směrnice

Čl. 17 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby členové vedoucího orgánu pravidelně absolvovali zvláštní školení, a získali tak dostatečné znalosti a dovednosti, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu.	2. Členské státy zajistí, aby členové vedoucího orgánu pravidelně absolvovali zvláštní školení, a získali tak dostatečné znalosti a dovednosti, aby mohli posoudit a vyhodnotit kybernetická bezpečnostní rizika a řídicí postupy a jejich dopad na provoz subjektu. Členské státy podporují zásadní a důležité subjekty, aby pravidelně vyhodnocovaly členy řídících orgánů uvedených v odstavci 1 tohoto článku, pokud jde o přiměřenost jejich dovedností pro zajištění souladu s článkem 18.

Pozměňovací návrh  40

Návrh směrnice

Čl. 18 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) subjekty zohlednily zranitelnosti specifické pro každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a praktik v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.	3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) subjekty zohlednily konkrétní slabá místa každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich bezpečných postupů pro rozvoj v souladu s normami a právními předpisy Unie v oblasti kybernetické bezpečnosti a potenciálních netechnických rizikových faktorů, jako jsou skrytá slabá místa nebo "zadní vrátka" a potenciální narušení systémových dodávek.

Pozměňovací návrh  41

Návrh směrnice

Čl. 19 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Skupina pro spolupráci může v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.	1. Skupina pro spolupráci může v součinnosti s Komisí, agenturou ENISA a Evropskou službou pro vnější činnost provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.

Pozměňovací návrh  42

Návrh směrnice

Čl. 19 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA určí specifické kritické služby, systémy nebo produkty IKT, jež mohou být předmětem koordinovaného posouzení rizik uvedeného v odstavci 1.	2. Komise po konzultaci se skupinou pro spolupráci, agenturou ENISA a Evropskou službou pro vnější činnost určí specifické kritické služby, systémy nebo produkty IKT, jež mohou být předmětem koordinovaného posouzení rizik uvedeného v odstavci 1.

Pozměňovací návrh  43

Návrh směrnice

Čl. 19 – odst. 2 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	2a. Po zjištění rizik pro konkrétní kritické služby, systémy nebo výrobní dodavatelské řetězce v oblasti IKT vydá Komise po konzultaci se skupinou pro spolupráci, agenturou ENISA a agenturou ENISA a Evropskou službou pro vnější činnost pro členské státy a příslušné vnitrostátní orgány vymezené v tomto nařízení s cílem ošetřit zjištěná rizika a zvýšit odolnost vůči nim.

Pozměňovací návrh  44

Návrh směrnice

Čl. 25 – odst. 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) informace o vedoucím orgánu odpovědném za opatření k řízení kybernetických bezpečnostních rizik definovaná v článku 18, jak jsou vymezena v článku 17;

Pozměňovací návrh  45

Návrh směrnice

Čl. 29 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	c) cíleným bezpečnostním auditům založeným na posouzení rizik nebo dostupných informací týkajících se rizik, včetně rizik souvisejících s dodavatelskými řetězci definovanými v čl. 18 odst. 3;

Pozměňovací návrh  46

Návrh směrnice

Čl. 30 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	b) cíleným bezpečnostním auditům založeným na posouzení rizik nebo dostupných informací týkajících se rizik, včetně rizik souvisejících s dodavatelskými řetězci definovanými v čl. 18 odst. 3;

Pozměňovací návrh  47

Návrh směrnice

Příloha I – ZÁKLADNÍ SUBJEKTY: ODVĚTVÍ, PODODVĚTVÍ A DRUHY SUBJEKTŮ – Odvětví 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. Vzdělávání a výzkum – vysokoškolské instituce a výzkumné ústavy

Pozměňovací návrh  48

Návrh směrnice

Příloha I – ZÁKLADNÍ SUBJEKTY: ODVĚTVÍ, PODODVĚTVÍ A DRUHY SUBJEKTŮ – Odvětví 9 Veřejná správa – Druh subjektu

Znění navržené Komisí	Pozměňovací návrh
– ústřední subjekty veřejné správy	– ústřední subjekty veřejné správy
– subjekty veřejné správy územních jednotek úrovně NUTS 1 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003 (27)	– subjekty veřejné správy územních jednotek úrovně NUTS 1 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003 (27, 27a (nová))
– subjekty veřejné správy územních jednotek úrovně NUTS 2 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003	– subjekty veřejné správy územních jednotek úrovně NUTS 2 uvedených na seznamu v příloze I nařízení (ES) č. 1059/2003(27b (nová))
__________________	__________________
27 Nařízení Evropského parlamentu a Rady (ES) č. 1059/2003 ze dne 26. května 2003 o zavedení společné klasifikace územních statistických jednotek (NUTS) (Úř. věst. L 154, 21.6.2003, s. 1).	27 Nařízení Evropského parlamentu a Rady (ES) č. 1059/2003 ze dne 26. května 2003 o zavedení společné klasifikace územních statistických jednotek (NUTS) (Úř. věst. L 154, 21.6.2003, s. 1).
	27 a (nové) nebo rovnocenné správní jednotky v členských státech, v nichž se klasifikace NUTS ještě neodráží ve správním institucionálním uspořádání.
	27b (nové) Nebo rovnocenné správní jednotky v členských státech, v nichž se klasifikace NUTS ještě neodráží ve správním institucionálním uspořádání.

 

 

 

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název	Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a zrušení směrnice (EU) 2016/1148
Referenční údaje	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Příslušný výbor  Datum oznámení na zasedání	ITRE 21.1.2021
Výbor, který vypracoval stanovisko  Datum oznámení na zasedání	AFET 21.1.2021
Zpravodaj(ka)  Datum jmenování	Markéta Gregorová 22.2.2021
Projednání ve výboru	25.5.2021	16.6.2021	17.6.2021
Datum přijetí	14.7.2021
Výsledek konečného hlasování	+: –: 0:	59 5 6
Členové přítomní při konečném hlasování	Alviina Alametsä, Alexander Alexandrov Yordanov, Maria Arena, Petras Auštrevičius, Traian Băsescu, Anna Bonfrisco, Reinhard Bütikofer, Fabio Massimo Castaldo, Susanna Ceccardi, Włodzimierz Cimoszewicz, Katalin Cseh, Tanja Fajon, Anna Fotyga, Michael Gahler, Giorgos Georgiou, Sunčana Glavak, Raphaël Glucksmann, Klemen Grošelj, Bernard Guetta, Márton Gyöngyösi, Andrzej Halicki, Sandra Kalniete, Dietmar Köster, Maximilian Krah, Andrius Kubilius, Ilhan Kyuchyuk, David Lega, Miriam Lexmann, Nathalie Loiseau, Antonio López-Istúriz White, Jaak Madison, Claudiu Manda, Thierry Mariani, Vangelis Meimarakis, Sven Mikser, Francisco José Millán Mon, Javier Nart, Urmas Paet, Demetris Papadakis, Kostas Papadakis, Tonino Picula, Manu Pineda, Giuliano Pisapia, Thijs Reuten, Jérôme Rivière, María Soraya Rodríguez Ramos, Nacho Sánchez Amor, Isabel Santos, Jacek Saryusz-Wolski, Andreas Schieder, Radosław Sikorski, Jordi Solé, Sergei Stanishev, Tineke Strik, Hermann Tertsch, Hilde Vautmans, Harald Vilimsky, Idoia Villanueva Ruiz, Viola Von Cramon-Taubadel, Thomas Waitz, Witold Jan Waszczykowski, Charlie Weimers, Isabel Wiseler-Lima, Salima Yenbou, Željana Zovko
Náhradníci přítomní při konečném hlasování	Ioan-Rareş Bogdan, Andrey Kovatchev, Marisa Matias, Gabriel Mato, Milan Zver

 

JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO

59	+
ECR	Anna Fotyga, Jacek Saryusz-Wolski, Hermann Tertsch, Witold Jan Waszczykowski
ID	Anna Bonfrisco, Susanna Ceccardi
NI	Fabio Massimo Castaldo, Márton Gyöngyösi
PPE	Alexander Alexandrov Yordanov, Traian Băsescu, Ioan-Rareş Bogdan, Michael Gahler, Sunčana Glavak, Andrzej Halicki, Sandra Kalniete, Andrey Kovatchev, Andrius Kubilius, David Lega, Miriam Lexmann, Antonio López-Istúriz White, Gabriel Mato, Vangelis Meimarakis, Francisco José Millán Mon, Radosław Sikorski, Isabel Wiseler-Lima, Željana Zovko, Milan Zver
Renew	Petras Auštrevičius, Katalin Cseh, Klemen Grošelj, Bernard Guetta, Ilhan Kyuchyuk, Nathalie Loiseau, Javier Nart, Urmas Paet, María Soraya Rodríguez Ramos, Hilde Vautmans
S&D	Maria Arena, Włodzimierz Cimoszewicz, Tanja Fajon, Raphaël Glucksmann, Dietmar Köster, Claudiu Manda, Sven Mikser, Demetris Papadakis, Tonino Picula, Giuliano Pisapia, Thijs Reuten, Nacho Sánchez Amor, Isabel Santos, Andreas Schieder, Sergei Stanishev
Verts/ALE	Alviina Alametsä, Reinhard Bütikofer, Jordi Solé, Tineke Strik, Viola Von Cramon-Taubadel, Thomas Waitz, Salima Yenbou

 

5	-
NI	Kostas Papadakis
The Left	Giorgos Georgiou, Marisa Matias, Manu Pineda, Idoia Villanueva Ruiz

 

6	0
ECR	Charlie Weimers
ID	Maximilian Krah, Jaak Madison, Thierry Mariani, Jérôme Rivière, Harald Vilimsky

 

 

Význam zkratek:

+ : pro

- : proti

0 : zdrželi se

 

 

 

STANOVISKO VÝBORU PRO VNITŘNÍ TRH A OCHRANU SPOTŘEBITELŮ (14.7.2021)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Zpravodaj: Morten Løkkegaard

 

 

STRUČNÉ ODŮVODNĚNÍ

Zpravodaj legislativní návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2) obecně vítá. Zpravodaj je přesvědčen o tom, že ve stále digitalizovanějším světě je bezpečnost na internetu klíčovým faktorem pro zaručení bezpečného digitálního prostředí i fungování jednotného trhu, na kterém mohou spotřebitelé i hospodářské subjekty jednat svobodně.

Ve srovnání se směrnicí (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (NIS 1) představuje návrh NIS 2 výrazné zlepšení. Jeho součástí je výčet klíčových nedostatků NIS 1, jako je nízká úroveň kybernetické odolnosti podniků a odvětví, ale i nestejná odolnost a nízká úroveň společného situačního povědomí a reakce na krize v členských státech i mezi nimi. Zpravodaj vítá snahu tuto situaci prostřednictvím NIS 2 napravit.

Oblast působnosti

Zpravodaj oceňuje rozšíření oblasti působnosti návrhu NIS 2, zejména zahrnutí nových odvětví, jako je veřejná správa. Jmenovitý seznam zahrnutých odvětví a služeb tak jistě omezí možnost členských států řídit se při definování konkrétních subjektů, na něž se směrnice bude vztahovat, vlastním uvážením, a v důsledku se tím sníží roztříštěnost jednotného trhu.

V rámci dotčených odvětví a služeb navrhla Komise jako jednotné kritérium pro určení subjektů spadajících do oblasti působnosti směrnice pravidlo velikostního omezení. Toto kritérium nepochybně přináší výhody, kterými je právní jistota a současné snížení rozdílů mezi členskými státy.

Přestože zpravodaj rozšíření působnosti na základě odvětví vítá, je toho názoru, že toto obecné kritérium by mělo být spojeno s posouzením kritické důležitosti subjektů v každém odvětví. To by umožnilo, aby střední a velké subjekty, které jsou na základě posouzení rizik považovány za subjekty s nízkou mírou kritické důležitosti a závislosti na jinak kritických subjektech, byly ponechány mimo oblast působnosti směrnice.

Zpravodaj zdůrazňuje, že tato změna by neměla být považována za prostor pro vzájemně rozdílné výklady mezi členskými státy. Aby se zajistilo, že se tím ještě nezhorší roztříštěné provádění mezi jednotlivými členskými státy, Komise je vybízena k tomu, aby v tomto ohledu vydala jasné pokyny.

Zpravodaj v neposlední řadě vítá vyloučení mikropodniků a malých podniků z oblasti působnosti směrnice, zároveň se však domnívá, že je třeba podporovat jejich dobrovolné začlenění, neboť kybernetické útoky cílí a dopadají i na tyto subjekty.

Koordinované regulační rámce pro kybernetickou bezpečnost

Zpravodaj vítá kapitolu vymezující různé prvky národních strategií kybernetické bezpečnosti a nástroje krizového řízení v nich uvedené. Navrhujeme, aby v rámci národních strategií kybernetické bezpečnosti členské státy přijaly politiku podporující používání kryptografie a šifrování, zejména ze strany malých a středních podniků.

Zpravodaj vítá, že agentura ENISA vyvíjí Evropský registr zranitelnosti, domnívá se však, že je důležité, aby zápisy v registru respektovaly důvěrnost obchodních informací a obchodní tajemství a aby v souvislosti s ním nebyla na subjekty kladena zbytečná zátěž.

Spolupráce mezi členskými státy

Obzvláště vítáme strukturovanější spolupráci mezi členskými státy v rámci skupiny pro spolupráci, síť CSIRT a nově vytvořenou skupinu pro rozsáhlé incidenty podle směrnice NIS 2. Je však zapotřebí zajistit, aby se mezi členskými státy zvýšila úroveň důvěry a ochoty vyměňovat si informace, neboť účinnost této spolupráce hraje zásadní úlohu při zajišťování vysoké úrovně kybernetické bezpečnosti v EU.

S ohledem k tomuto postoji byla vypracována řada pozměňovacích návrhů, které mají úlohu těchto sítí posílit. Zpravodaj se obzvláště domnívá, že přínosným způsobem posílení vzájemné důvěry členských států je vzájemné hodnocení, a je toho názoru, že tato hodnocení by měla hrát zásadní úlohu při posuzování účinnosti jednotlivých politik členských států v oblasti kybernetické bezpečnosti.

Řízení kybernetických bezpečnostních rizik

Oceňujeme rozšíření posouzení rizik na celý dodavatelský řetězec (články 18 a 19), zpravodaj však zdůrazňuje, že tento bod je třeba vyjasnit, aby byly subjektům, na které se daný požadavek vztahuje, a členským státům poskytnuty jasné pokyny pro provádění koordinovaného hodnocení bezpečnostních rizik ve zvláště kritických odvětvích nebo dodavatelských řetězcích.

Oznamovací povinnosti

Zpravodaj se domnívá, že určité body revidované směrnice by měly být jasněji vymezeny, zejména pokud jde o některé povinnosti stanovené pro společnosti v oblasti působnosti směrnice NIS 2. Zpravodaj usiluje o omezení administrativní zátěže a o to, aby bylo podnikům usnadněno dodržovat nová pravidla s ohledem na konečný cíl, jímž je účinné provádění této směrnice.

Zpravodaj navrhuje prodloužit navrhovanou lhůtu pro předložení počátečního oznámení, která je nyní stanovena na 24 hodin, na 72 hodin, což by společnostem umožnilo, aby se mohly s probíhajícím útokem účinně vypořádat před tím, než jej oznámí. Dále navrhujeme vypustit veškeré odkazy na povinné oznamování takzvaných „potenciálních incidentů“.

 

POZMĚŇOVACÍ NÁVRHY

Výbor pro vnitřní trh a ochranu spotřebitelů vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

 

Pozměňovací návrh  1

Návrh směrnice

Bod odůvodnění 5

Znění navržené Komisí	Pozměňovací návrh
(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.	(5) Všechny tyto rozdíly vyvolávají roztříštěnost vnitřního trhu a mohou mít škodlivý účinek na jeho fungování s tím, že ovlivňují zejména přeshraniční poskytování služeb a úroveň odolnosti v oblasti kybernetické bezpečnosti v důsledku uplatňování odlišných norem. Cílem této směrnice je takové značné rozdíly mezi členskými státy odstranit a posílit vnitřní trh, zejména stanovením minimálních pravidel upravujících fungování koordinovaného regulačního rámce, stanovením mechanismů účinné spolupráce příslušných orgánů v každém členském státě, aktualizací seznamu odvětví a činností, na něž se vztahují povinnosti v oblasti kybernetické bezpečnosti, a zavedením účinných nápravných opatření a sankcí, jež napomáhají účinnému vymáhání těchto povinností. Směrnice (EU) 2016/1148 by proto měla být zrušena a nahrazena touto směrnicí.

Pozměňovací návrh  2

Návrh směrnice

Bod odůvodnění 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(6a) Touto směrnicí nejsou dotčena pravidla stanovená právem Unie o ochraně osobních údajů.

Pozměňovací návrh  3

Návrh směrnice

Bod odůvodnění 9

Znění navržené Komisí	Pozměňovací návrh
(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi.	(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi. Komise by měla poskytnout jasné pokyny ke kritériím určujícím, které malé podniky nebo mikropodniky by byly základní nebo důležité, zejména pokud jde o poskytování služeb ve více členských státech.

Pozměňovací návrh  4

Návrh směrnice

Bod odůvodnění 10

Znění navržené Komisí	Pozměňovací návrh
(10) Komise může ve spolupráci se skupinou pro spolupráci vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky.	(10) Komise by měla ve spolupráci se skupinou pro spolupráci vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky.

Pozměňovací návrh  5

Návrh směrnice

Bod odůvodnění 12 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(12a) Rozšíření oblasti působnosti této směrnice spočívá v tom, že bude zahrnovat subjekty podléhající odvětvovým právním přepisům. Aby se zabránilo jakémukoli zdvojování regulace nebo regulační zátěži, Komise by měla zajistit, aby byly odvětvové předpisy, na základě kterých musí základní nebo důležité subjekty buď přijmout opatření k řízení kybernetických bezpečnostních rizik, nebo oznamovat incidenty nebo významné kybernetické hrozby, v souladu s touto směrnicí.

Pozměňovací návrh  6

Návrh směrnice

Bod odůvodnění 12 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(12b) Komise by měla zveřejnit jasné pokyny, které připojí k této směrnici, aby pomohla zajistit harmonizaci jejího provádění ve všech členských státech a zabránit roztříštěnosti.

Pozměňovací návrh  7

Návrh směrnice

Bod odůvodnění 12 c (nový)

Znění navržené Komisí	Pozměňovací návrh
	(12c) Komise by rovněž měla vydat pokyny s cílem pomoci členským státům správně provádět ustanovení týkající se oblasti působnosti a vyhodnotit přiměřenost povinností stanovených touto směrnicí s ohledem na kritičnost subjektů spadajících do její oblasti působnosti, zejména pokud se vztahuje na subjekty s komplexními obchodními modely nebo provozním prostředím, kdy daný subjekt může současně splňovat kritéria stanovená pro základní i důležité subjekty nebo současně vykonávat činnosti, kdy některé z nich spadají do oblasti působnosti této směrnice a jiné nikoli. V případech, kdy hlavní činnost subjektů nespadá do oblasti působnosti této směrnice, ale jiná vedlejší činnost do její oblasti působnosti spadá, měla by se ustanovení vztahovat pouze na určitou funkci nebo oddělení v rámci subjektu, které spadá do oblasti působnosti směrnice.

Pozměňovací návrh  8

Návrh směrnice

Bod odůvodnění 14

Znění navržené Komisí	Pozměňovací návrh
(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX a k této směrnici17. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi příslušným orgánem podle této směrnice a příslušným orgánem podle směrnice (EU) XXX/XXX v souvislosti se sdílením informací o incidentech a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat a vyměňovat si informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých klíčovými subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX vykonávaly své dohledové a vymáhací pravomoci vůči subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace.	(14) Vzhledem ke vzájemným vazbám mezi kybernetickou bezpečností a fyzickou bezpečností subjektů by měl být zajištěn soudržný přístup ke směrnici Evropského parlamentu a Rady (EU) XXX/XXX a k této směrnici17. Za tímto účelem by členské státy měly zajistit, aby klíčové subjekty a rovnocenné subjekty podle směrnice (EU) XXX/XXX byly považovány za základní subjekty podle této směrnice. Členské státy by také měly zajistit, aby jejich národní strategie kybernetické bezpečnosti stanovily rámec politik pro posílení koordinace mezi příslušným orgánem podle této směrnice a příslušným orgánem podle směrnice (EU) XXX/XXX v souvislosti s ohlašováním incidentů, sdílením informací o incidentech nebo případech, kdy téměř došlo k incidentu, a kybernetických hrozbách a plněním úkolů v oblasti dohledu. Orgány by podle obou směrnic měly spolupracovat a vyměňovat si informace, zejména informace týkající se určení klíčových subjektů, kybernetických hrozeb, kybernetických bezpečnostních rizik, incidentů dotýkajících se klíčových subjektů a opatření v oblasti kybernetické bezpečnosti přijatých klíčovými subjekty. Příslušným orgánům podle této směrnice by mělo být umožněno, aby na žádost příslušných orgánů podle směrnice (EU) XXX/XXX vykonávaly své dohledové a vymáhací pravomoci vůči subjektu, který byl označen jako klíčový. Oba orgány by za tímto účelem měly spolupracovat a vyměňovat si informace.
__________________	__________________
17 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	17 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  9

Návrh směrnice

Bod odůvodnění 15

Znění navržené Komisí	Pozměňovací návrh
(15) Podpora a ochrana spolehlivého, odolného a bezpečného systému doménových jmen jsou klíčovým faktorem pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika a společnost. Tato směrnice by se proto měla vztahovat na všechny poskytovatele služeb systému doménových jmen v celém řetězci řešení systému doménových jmen, včetně operátorů kořenových jmenných serverů, serverů internetových domén nejvyšší úrovně, autoritativních jmenných serverů pro doménová jména a rekurzivních resolverů.	(15) Podpora a ochrana spolehlivého, odolného a bezpečného systému doménových jmen jsou klíčovým faktorem pro zachování integrity internetu a jsou nezbytné pro jeho nepřetržitý a stabilní provoz, na kterém závisí digitální ekonomika, vnitřní trh a společnost. Tato směrnice by se proto měla vztahovat na všechny poskytovatele služeb systému doménových jmen v celém řetězci řešení systému doménových jmen, včetně operátorů kořenových jmenných serverů, serverů internetových domén nejvyšší úrovně, autoritativních jmenných serverů pro doménová jména a rekurzivních resolverů, poskytovatelů služeb ochrany osobních údajů nebo registrace proxy, makléřů nebo prodejců domén a jakýchkoli dalších služeb, které souvisí s registrací doménových jmen.

Pozměňovací návrh  10

Návrh směrnice

Bod odůvodnění 20

Znění navržené Komisí	Pozměňovací návrh
(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům.	(20) Tyto rostoucí vzájemné závislosti jsou výsledkem stále více přeshraniční a vzájemně propojené sítě poskytování služeb pomocí klíčových infrastruktur v celé Unii v odvětvích energetiky, dopravy, digitální infrastruktury, pitné a odpadní vody, zdravotnictví, některých prvků veřejné správy a rovněž vesmíru, pokud jde o poskytování určitých služeb závisejících na pozemních infrastrukturách, které vlastní, řídí a provozují buď členské státy, nebo soukromé subjekty, a proto nezahrnují infrastruktury vlastněné, řízené a provozované Unií nebo jménem Unie v rámci jejích vesmírných programů. Tyto vzájemné závislosti znamenají, že jakékoli narušení hospodářské soutěže, a dokonce i takové narušení, které je původně omezeno na jeden subjekt nebo jedno odvětví, může mít širší dominové účinky, jež mohou potenciálně mít dalekosáhlé negativní dopady na poskytování služeb na celém vnitřním trhu. Pandemie COVID-19 prokázala zranitelnost našich stále více vzájemně závislých společností, jsou-li vystaveny málo pravděpodobným rizikům, a potřebu chránit vnitřní trh prostřednictvím společných strategií a opatření na úrovni Unie.

Pozměňovací návrh  11

Návrh směrnice

Bod odůvodnění 23

Znění navržené Komisí	Pozměňovací návrh
(23) Příslušné orgány nebo týmy CSIRT by měly od subjektů dostávat oznámení o incidentech účinným a efektivním způsobem. Jednotným kontaktním místům by mělo být uloženo, aby zasílala oznámení o incidentech jednotným kontaktním místům jiných dotčených členských států. Aby bylo zajištěno jedno jednotné kontaktní místo v každém členském státě, měly by být jednotným kontaktním místům na úrovni členských států zasílány příslušné informace o incidentech týkajících se subjektů ve finančním odvětví od příslušných orgánů podle nařízení XXXX/XXXX, které by tato kontaktní místa měla být podle této směrnice schopna případně zasílat příslušným vnitrostátním orgánům nebo týmům CSIRT.	(23) Příslušné orgány nebo týmy CSIRT by měly od subjektů dostávat oznámení o incidentech standardizovaným, účinným a efektivním způsobem. Jednotným kontaktním místům by mělo být uloženo, aby zasílala oznámení o incidentech jednotným kontaktním místům jiných dotčených členských států. Aby bylo zajištěno jedno jednotné kontaktní místo v každém členském státě, měly by být jednotným kontaktním místům zasílány příslušné informace o incidentech týkajících se subjektů ve finančním odvětví od příslušných orgánů podle nařízení XXXX/XXXX, které by tato kontaktní místa měla být podle této směrnice schopna případně zasílat příslušným vnitrostátním orgánům nebo týmům CSIRT.

Pozměňovací návrh  12

Návrh směrnice

Bod odůvodnění 25

Znění navržené Komisí	Pozměňovací návrh
(25) Pokud jde o osobní údaje, týmům CSIRT by mělo být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 jménem a na žádost subjektu podle této směrnice aktivně prohledávaly sítě a informační systémy, které používá k poskytování svých služeb. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA).	(25) Aby mohly týmy CSIRT identifikovat a zmírňovat zvláštní hrozby týkající se osobních údajů a těmto hrozbám předcházet, mělo by jim být umožněno, aby v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/67919 jménem a na žádost subjektu podle této směrnice prohledávaly sítě a informační systémy, které používá k poskytování svých služeb. Členské státy by se měly zaměřit na to, aby všem odvětvovým týmům CSIRT zajistily stejné technické podmínky. Při budování vnitrostátních týmů CSIRT mohou členské státy požádat o součinnost Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA).
__________________	__________________
19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).	19 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

Pozměňovací návrh  13

Návrh směrnice

Bod odůvodnění 26 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(26a) Členské státy by měly v rámci svých národních strategií kybernetické bezpečnosti zavést opatření na podporu a začlenění inteligentních systémů pro předcházení kybernetickým bezpečnostním incidentům a hrozbám a jejich odhalování. Členské státy by měly v souladu se svými národními strategiemi kybernetické bezpečnosti a s cílem chránit spotřebitele zavést opatření zaměřená na zvýšení povědomí o kybernetické bezpečnosti a gramotnost v této oblasti. Členské státy by při přijímání národních strategií kybernetické bezpečnosti měly zajistit politické rámce, které by se zabývaly zákonným přístupem k informacím.

Pozměňovací návrh  14

Návrh směrnice

Bod odůvodnění 27

Znění navržené Komisí	Pozměňovací návrh
(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.	(27) V souladu s přílohou doporučení Komise (EU) 2017/1548 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (dále jen „plán“)20 by rozsáhlý incident měl označovat incident s významným dopadem na nejméně dva členské státy nebo takový incident, při kterém narušení přesahuje schopnost členského státu na něj reagovat, a ohrožuje tak vnitřní trh. V závislosti na jejich příčině a dopadu mohou rozsáhlé incidenty eskalovat a přejít ve skutečné krize, jež neumožní řádné fungování vnitřního trhu. Vzhledem k širokému dopadu a ve většině případů i přeshraniční povaze takových incidentů by členské státy a příslušné orgány, instituce a agentury Unie měly na technické, operativní a politické úrovni spolupracovat a odpovídajícím způsobem koordinovat reakci v celé Unii.
__________________	__________________
20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).	20 Doporučení Komise (EU) 2017/1584 ze dne 13. září 2017 o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize (Úř. věst. L 239, 19.9.2017, s. 36).

Pozměňovací návrh  15

Návrh směrnice

Bod odůvodnění 28

Znění navržené Komisí	Pozměňovací návrh
(28) Využití zranitelných míst v sítích a informačních systémech může způsobit vážná narušení a škody, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování kybernetických bezpečnostních rizik. Subjekty, které takové systémy vyvíjejí, by proto měly stanovit vhodné postupy k řešení zranitelných míst, jakmile jsou zjištěna. Jelikož zranitelná místa jsou často zjištěna a ohlášena (odhalena) třetími stranami (subjekty ohlašujícími incidenty), výrobce nebo poskytovatel produktů nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelných místech od třetích stran. Vodítko pro řešení zranitelností a odhalování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29417. Pokud jde o odhalování zranitelných míst, je obzvláště důležitá koordinace mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů nebo služeb IKT. Koordinované odhalování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelná místa hlášena organizacím takovým způsobem, který organizaci umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované odhalování zranitelností by také mělo zahrnovat koordinaci mezi subjektem ohlašujícím incidenty a organizací, pokud jde o načasování odstranění a zveřejnění zranitelných míst.	(28) Využití zranitelných míst v sítích a informačních systémech může způsobit vážná narušení a škody podnikům a spotřebitelům, a rychlé určení a náprava těchto zranitelností je proto důležitým faktorem při snižování kybernetických bezpečnostních rizik. Subjekty, které takové systémy vyvíjejí, by proto měly stanovit vhodné postupy k řešení zranitelných míst, jakmile jsou zjištěna. Jelikož zranitelná místa jsou často zjištěna a ohlášena (odhalena) třetími stranami (subjekty ohlašujícími incidenty), výrobce nebo poskytovatel produktů nebo služeb IKT by měl rovněž zavést nezbytné postupy pro získávání informací o zranitelných místech od třetích stran. Vodítko pro řešení zranitelností a odhalování zranitelností v této souvislosti poskytují mezinárodní normy ISO/IEC 30111 a ISO/IEC 29417. Pokud jde o odhalování zranitelných míst, je obzvláště důležitá koordinace mezi subjekty ohlašujícími incidenty a výrobci nebo poskytovateli produktů nebo služeb IKT. Koordinované odhalování zranitelností specifikuje strukturovaný proces, jehož prostřednictvím jsou zranitelná místa hlášena organizacím takovým způsobem, který organizaci umožní diagnostikovat a odstranit zranitelnost dříve, než budou podrobné informace o ní sděleny třetím stranám nebo veřejnosti. Koordinované odhalování zranitelností by také mělo zahrnovat koordinaci mezi subjektem ohlašujícím incidenty a organizací, pokud jde o načasování odstranění a zveřejnění zranitelných míst.

Pozměňovací návrh  16

Návrh směrnice

Bod odůvodnění 28 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(28a) Komise, agentura ENISA a členské státy by měly i nadále podporovat mezinárodní sbližování s normami a stávajícími osvědčenými odvětvovými postupy v oblasti řízení rizik, například v oblastech posuzování bezpečnosti dodavatelského řetězce, sdílení informací a zveřejňování informací o zranitelnostech.

Pozměňovací návrh  17

Návrh směrnice

Bod odůvodnění 30

Znění navržené Komisí	Pozměňovací návrh
(30) Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. V této souvislosti jsou zdroje veřejně přístupných informací o zranitelných místech důležitým nástrojem pro subjekty a jejich uživatele, ale i pro příslušné vnitrostátní orgány v Unii a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla zavést registr zranitelností, kde základní a důležité subjekty a jejich dodavatelé, a stejně tak i subjekty, které nespadají do oblasti působnosti této směrnice, mohou na základě dobrovolnosti odhalovat zranitelná místa a poskytovat o nich informace, jež uživatelům umožní přijímat vhodná opatření ke zmírnění dopadů.	(30) Přístup ke správným a včasným informacím o zranitelnostech dotýkajících se produktů a služeb IKT přispívá k zesílenému řízení kybernetických bezpečnostních rizik. V této souvislosti jsou zdroje veřejně přístupných informací o zranitelných místech důležitým nástrojem pro subjekty a jejich uživatele, ale i pro příslušné vnitrostátní orgány v Unii a týmy CSIRT. Z tohoto důvodu by agentura ENISA měla zavést databázi zranitelností, kde základní a důležité subjekty a jejich dodavatelé, a stejně tak i subjekty, které nespadají do oblasti působnosti této směrnice, mohou na základě dobrovolnosti odhalovat zranitelná místa a poskytovat o nich informace, jež uživatelům umožní přijímat vhodná opatření ke zmírnění dopadů.

Pozměňovací návrh  18

Návrh směrnice

Bod odůvodnění 31

Znění navržené Komisí	Pozměňovací návrh
(31) Ačkoli podobné registry nebo databáze zranitelností existují, jsou hostovány a spravovány subjekty, které nejsou usazeny v Unii. Evropský registr zranitelností spravovaný agenturou ENISA by poskytl lepší transparentnost procesu odhalování předtím, než je zranitelné místo oficiálně zveřejněno, a odolnost v případech narušení nebo přerušení poskytování podobných služeb. S cílem zabránit zdvojení úsilí a v co největší možné míře usilovat o komplementaritu, by agentura ENISA měla zkoumat možnost uzavření strukturovaných dohod o spolupráci s podobnými registry v jurisdikcích třetích zemí.	(31) Ačkoli podobné registry nebo databáze zranitelností existují, jsou hostovány a spravovány subjekty, které nejsou usazeny v Unii. Evropská databáze zranitelností spravovaný agenturou ENISA by poskytl lepší transparentnost procesu odhalování předtím, než je zranitelné místo oficiálně zveřejněno, a odolnost v případech narušení nebo přerušení poskytování podobných služeb. S cílem zabránit zdvojení úsilí a v co největší možné míře usilovat o komplementaritu, by agentura ENISA měla zkoumat možnost uzavření strukturovaných dohod o spolupráci s databázemi nebo registry zranitelností v jurisdikcích třetích zemí a předávání zpráv příslušným registrům za předpokladu, že taková činnost nenaruší ochranu důvěrných informací a obchodních tajemství.

Pozměňovací návrh  19

Návrh směrnice

Bod odůvodnění 32

Znění navržené Komisí	Pozměňovací návrh
(32) Skupina pro spolupráci by měla každé dva roky přijmout pracovní program včetně opatření, které má skupina podniknout ke splnění svých cílů a úkolů. Časový rámec prvního programu, který by byl podle této směrnice přijat, by byl sladěn s časovým rámcem posledního programu přijatého podle směrnice (EU) 2016/1148, aby se zabránilo možnému přerušení práce skupiny.	(32) Skupina pro spolupráci by měla diskutovat o politických prioritách a zásadních výzvách pro kybernetickou bezpečnost a každé dva roky přijmout pracovní program včetně opatření, které má skupina podniknout ke splnění svých cílů a úkolů. Časový rámec prvního programu, který by byl podle této směrnice přijat, by byl sladěn s časovým rámcem posledního programu přijatého podle směrnice (EU) 2016/1148, aby se zabránilo možnému přerušení práce skupiny.

Pozměňovací návrh  20

Návrh směrnice

Bod odůvodnění 32 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(32a) Skupina pro spolupráci by se měla skládat ze zástupců členských států, Komise a agentury ENISA.

Pozměňovací návrh  21

Návrh směrnice

Bod odůvodnění 34

Znění navržené Komisí	Pozměňovací návrh
(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Evropské centrum pro boj proti kyberkriminalitě (EC3), Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA).	(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Evropské centrum pro boj proti kyberkriminalitě (EC3), Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA), jakož i další relevantní instituce a agentury Unie.

Pozměňovací návrh  22

Návrh směrnice

Bod odůvodnění 35

Znění navržené Komisí	Pozměňovací návrh
(35) Příslušné orgány a týmy CSIRT by měly být zmocněny se účastnit výměnných programů pro úředníky z jiných členských států za účelem zlepšení spolupráce. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu.	(35) Příslušné orgány a týmy CSIRT by měly být zmocněny se účastnit výměnných a společných školicích programů pro úředníky z jiných členských států za účelem zlepšení spolupráce a posílení důvěry mezi členskými státy. Příslušné orgány by měly přijmout nezbytná opatření, jež umožní úředníkům z jiných členských států účinně se zapojit do činností hostitelského příslušného orgánu nebo týmu CSIRT.

Pozměňovací návrh  23

Návrh směrnice

Bod odůvodnění 39

Znění navržené Komisí	Pozměňovací návrh
(39) Pro účely této směrnice by pojem „případy, kdy téměř došlo k incidentu“ měl poukazovat na událost, která by mohla potenciálně způsobit škodu, ale jejímu plnému projevení bylo úspěšně zabráněno.	vypouští se

Pozměňovací návrh  24

Návrh směrnice

Bod odůvodnění 45 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(45a) Kromě toho by subjekty měly rovněž zajistit odpovídající vzdělávání a odbornou přípravu svých zaměstnanců v oblasti kybernetické bezpečnosti na všech úrovních podniku.

Pozměňovací návrh  25

Návrh směrnice

Bod odůvodnění 46

Znění navržené Komisí	Pozměňovací návrh
(46) K dalšímu řešení klíčových rizik dodavatelského řetězce a na pomoc subjektům působícím v odvětvích, na něž se vztahuje tato směrnice, aby odpovídajícím způsobem řídily dodavatelský řetězec a kybernetická bezpečnostní rizika související s dodavateli, by skupina pro spolupráci, jež zahrnuje příslušné vnitrostátní orgány, ve spolupráci s Komisí a agenturou ENISA měla provést koordinovaná posouzení rizik dodavatelských řetězců v jednotlivých odvětvích, jak bylo již provedeno pro sítě 5G v návaznosti na doporučení (EU) 2019/534 o kybernetické bezpečnosti sítí 5G21, za účelem určení příslušných hrozeb a zranitelných míst v každém odvětví, v němž existují kritické služby IKT, systémy nebo produkty IKT.	(Netýká se českého znění.)
__________________	__________________
21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).	21 Doporučení Komise (EU) 2019/534 ze dne 26. března 2019 Kybernetická bezpečnost sítí 5G (Úř. věst. L 88, 29.3.2019, s. 42).

Pozměňovací návrh  26

Návrh směrnice

Bod odůvodnění 47

Znění navržené Komisí	Pozměňovací návrh
(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.	(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy a kritičnost dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.

Pozměňovací návrh  27

Návrh směrnice

Bod odůvodnění 51

Znění navržené Komisí	Pozměňovací návrh
(51) Vnitřní trh více než kdy předtím spoléhá na fungování internetu. Na službách poskytovaných po internetu jsou závislé služby prakticky všech základních a důležitých subjektů. S cílem zajistit bezproblémové poskytování služeb základních a důležitých subjektů je důležité, aby veřejné sítě elektronických komunikací, jako jsou například internetové páteřní sítě nebo podmořské komunikační kabely, měly zavedena odpovídající opatření v oblasti kybernetické bezpečnosti a hlásily incidenty, které se jich týkají.	(51) Vnitřní trh více než kdy předtím spoléhá na fungování internetu. Na službách poskytovaných po internetu jsou závislé služby prakticky všech základních a důležitých subjektů a spotřebitelé na ně z velké části spoléhají ve svém každodenním životě. S cílem zajistit bezproblémové poskytování služeb základních a důležitých subjektů je důležité, aby veřejné sítě elektronických komunikací, jako jsou například internetové páteřní sítě nebo podmořské komunikační kabely, měly zavedena odpovídající opatření v oblasti kybernetické bezpečnosti a hlásily incidenty, které se jich týkají.

Pozměňovací návrh  28

Návrh směrnice

Bod odůvodnění 52

Znění navržené Komisí	Pozměňovací návrh
(52) Ve vhodných případech by subjekty měly informovat příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá. Požadavek na informování příjemců o hrozbách by subjekty neměl zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma.	(52) Subjekty by měly usilovat o to, aby informovaly příjemce svých služeb o konkrétních a závažných hrozbách a o opatřeních, která mohou přijmout, aby snížili riziko, jež jim z těchto hrozeb vyplývá, zejména pokud tato opatření mohou posílit ochranu spotřebitele. Tento požadavek by subjekty neměl zbavovat povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření s cílem zamezit jakýmkoli kybernetickým hrozbám nebo je odstranit a obnovit běžnou úroveň bezpečnosti služby. Tyto informace o bezpečnostních hrozbách by měly být příjemcům poskytovány zdarma a měly by být formulovány snadno srozumitelným jazykem.

Pozměňovací návrh  29

Návrh směrnice

Bod odůvodnění 53

Znění navržené Komisí	Pozměňovací návrh
(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli příjemce služby zejména informovat o konkrétních a závažných kybernetických hrozbách a o opatřeních, která mohou přijmout, aby chránili bezpečnost své komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií.	(53) Poskytovatelé veřejných sítí elektronických komunikací nebo veřejně dostupných služeb elektronických komunikací by měli příjemce služby zejména informovat o konkrétních a závažných kybernetických hrozbách a o dodatečných opatřeních, která mohou přijmout, aby chránili bezpečnost svých zařízení a své komunikace, například použitím specifických druhů softwaru nebo šifrovacích technologií.

Pozměňovací návrh  30

Návrh směrnice

Bod odůvodnění 54

Znění navržené Komisí	Pozměňovací návrh
(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace by mělo být podporováno použití šifrování, a zejména šifrování mezi koncovými body, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami bezpečnosti a soukromí standardně a záměrně pro účely článku 18 mělo být povinné. Použití šifrování mezi koncovými body by mělo být v souladu s pravomocemi členských států zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. Řešení k zajištění zákonného přístupu k informacím v rámci komunikace šifrované mezi koncovými body by měla zachovat účinnost šifrování při ochraně soukromí a bezpečnosti komunikací, a současně poskytnout účinnou reakci na trestnou činnost.	(54) S cílem zajistit bezpečnost sítí a služeb elektronické komunikace by mělo být podporováno použití šifrování, a zejména šifrování mezi koncovými body, a v případě nutnosti by pro poskytovatele těchto služeb a sítí v souladu se zásadami bezpečnosti a soukromí standardně a záměrně pro účely opatření k řízení kybernetických bezpečnostních rizik mělo být povinné. Použitím šifrování mezi koncovými body nejsou dotčeny pravomoci, politická opatření ani postupy členských států, kterými mají zajistit ochranu podstatných zájmů své bezpečnosti a veřejné bezpečnosti a umožnit vyšetřování, odhalování a stíhání trestných činů v souladu s právem Unie. Řešení k zajištění zákonného přístupu k informacím v rámci komunikace šifrované mezi koncovými body by měla zachovat účinnost šifrování při ochraně soukromí a bezpečnosti komunikací, a současně poskytnout účinnou reakci na trestnou činnost. Veškerá přijatá opatření musí být striktně v souladu se zásadami proporcionality a subsidiarity.

Pozměňovací návrh  31

Návrh směrnice

Bod odůvodnění 55

Znění navržené Komisí	Pozměňovací návrh
(55) Tato směrnice stanoví dvoustupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty dozvědí o incidentu, měly by být povinny předložit počáteční oznámení do 24 hodin a poté závěrečnou zprávu nejpozději do jednoho měsíce. Počáteční oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné, aby byl příslušný orgán zpraven o incidentu, a které subjektu umožňují v případě potřeby požádat o pomoc. V tomto oznámení by v daném případě mělo být uvedeno, zda je incident pravděpodobně způsoben protiprávním či zlovolným jednáním. Členské státy by měly zajistit, aby požadavek na předložení tohoto počátečního oznámení neodváděl zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Aby se dále zabránilo tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, členské státy by měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od lhůt 24 hodin pro počáteční oznámení a jeden měsíc pro konečnou zprávu.	(55) Tato směrnice stanoví několikastupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty dozvědí o incidentu nebo případu, kdy téměř došlo k incidentu, měly by být povinny předložit počáteční oznámení do 72 hodin a poté souhrnnou zprávu nejpozději tři měsíce po předložení počátečního oznámení a závěrečnou zprávu nejpozději do jednoho měsíce po vyřešení incidentu. Počáteční oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné, aby byl příslušný orgán zpraven o incidentu, a které subjektu umožňují v případě potřeby požádat o pomoc. V tomto oznámení by v daném případě mělo být uvedeno, zda je incident pravděpodobně způsoben protiprávním či zlovolným jednáním. Členské státy by měly zajistit, aby požadavek na předložení tohoto počátečního oznámení neodváděl zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Počátečnímu oznámení by mělo předcházet včasné varování, ke kterému dojde během prvních 24 hodin, aniž by platila jakákoli povinnost uvést dodatečné informace. Toto včasné varování by mělo být předloženo co nejdříve, což subjektům umožní rychle požádat příslušné orgány nebo týmy CSIRT o podporu a příslušným orgánům nebo týmům CSIRT umožní zmírnit možné šíření oznámeného incidentu a bude sloužit jako nástroj k získávání poznatků o situaci pro týmy CSIRT. Aby se dále zabránilo tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, členské státy by měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od stanovených lhůt.

Pozměňovací návrh  32

Návrh směrnice

Bod odůvodnění 56

Znění navržené Komisí	Pozměňovací návrh
(56) Základní a důležité subjekty jsou často v situaci, kdy je konkrétní incident vzhledem k jeho povaze třeba v důsledku oznamovacích povinností uvedených v různých právních nástrojích ohlásit různým orgánům. Takové případy vytvářejí další zátěž a mohou také vést k nejasnostem, pokud jde o formát a postupy takových oznámení. Vzhledem k tomu a za účelem zjednodušení hlášení o bezpečnostních incidentech by členské státy měly stanovit jedno vstupní místo pro všechna oznámení vyžadovaná podle této směrnice i podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES. Agentura ENISA by ve spolupráci se skupinou pro spolupráci měla vypracovat společné šablony hlášení prostřednictvím pokynů, které by zjednodušily a zefektivnily informace uvedené v hlášeních, jež vyžaduje právo Unie, a snížily zátěž pro společnosti.	(56) Základní a důležité subjekty jsou často v situaci, kdy je konkrétní incident vzhledem k jeho povaze třeba v důsledku oznamovacích povinností uvedených v různých právních nástrojích ohlásit různým orgánům. Takové případy vytvářejí další zátěž a mohou také vést k nejasnostem, pokud jde o formát a postupy takových oznámení. Vzhledem k tomu a za účelem zjednodušení hlášení o bezpečnostních incidentech a dodržování zásady „pouze jednou“ by členské státy měly stanovit jedno vstupní místo pro všechna oznámení vyžadovaná podle této směrnice i podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES. Agentura ENISA by ve spolupráci se skupinou pro spolupráci měla vypracovat společné šablony hlášení prostřednictvím pokynů, které by zjednodušily a zefektivnily informace uvedené v hlášeních, jež vyžaduje právo Unie, a snížily zátěž pro společnosti.

Pozměňovací návrh  33

Návrh směrnice

Bod odůvodnění 59

Znění navržené Komisí	Pozměňovací návrh
(59) Udržování přesných a úplných databází doménových jmen a registračních údajů (takzvaných „údajů WHOIS“) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s právem Unie v oblasti ochrany údajů.	(59) Udržování přesných, ověřených a úplných databází doménových jmen a registračních údajů (takzvaných „údajů WHOIS“) a poskytování zákonného přístupu k těmto údajům má zásadní význam pro zajištění bezpečnosti, stability a odolnosti systému doménových jmen (DNS), což na druhé straně přispívá k vyšší společné úrovni kybernetické bezpečnosti v Unii. Pokud zpracování údajů zahrnuje osobní údaje, musí takové zpracování být v souladu s právem Unie v oblasti ochrany údajů.

Pozměňovací návrh  34

Návrh směrnice

Bod odůvodnění 61

Znění navržené Komisí	Pozměňovací návrh
(61) S cílem zajistit dostupnost přesných a úplných údajů o registraci domén by registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně (takzvaní registrátoři) měly shromažďovat údaje o registraci domén a zaručovat integritu a dostupnost těchto údajů. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by zejména měly stanovit politiky a postupy pro shromažďování a uchovávání přesných a úplných registračních údajů a rovněž zamezit uvádění nesprávných registračních údajů a opravovat je v souladu s pravidly Unie o ochraně osobních údajů.	(61) S cílem zajistit dostupnost přesných a úplných údajů o registraci domén by registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén (včetně služeb poskytovaných registry a registrátory doménových jmen, poskytovatelů služeb ochrany osobních údajů nebo registrace proxy, makléřů nebo prodejců domén a jakýchkoli dalších služeb, které souvisí s registrací doménových jmen) měly shromažďovat údaje o registraci domén a zaručovat integritu a dostupnost těchto údajů. Registry internetových domén nejvyšší úrovně a subjekty poskytující služby registrace domén nejvyšší úrovně by zejména měly stanovit politiky a postupy pro shromažďování a uchovávání přesných a úplných registračních údajů a rovněž zamezit uvádění nesprávných registračních údajů a opravovat je v souladu s pravidly Unie o ochraně osobních údajů.

Pozměňovací návrh  35

Návrh směrnice

Bod odůvodnění 68

Znění navržené Komisí	Pozměňovací návrh
(68) Subjekty by měly být motivovány k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto mechanismů pro sdílení informací. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů.	(68) Subjekty by měly být motivovány a podporovány členskými státy k tomu, aby společně využívaly pákového efektu svých individuálních znalostí a praktických zkušeností na strategické, taktické a operativní úrovni a tím posílit své schopnosti odpovídajícím způsobem posuzovat a sledovat kybernetické hrozby, bránit se jim a reagovat na ně. Je proto nezbytné umožnit vznik mechanismů na úrovni Unie pro dobrovolná ujednání o sdílení informací. Členské státy by za tímto účelem měly aktivně podporovat a motivovat také relevantní subjekty, jež nespadají do oblasti působnosti této směrnice, aby se účastnily takovýchto mechanismů pro sdílení informací. Tyto mechanismy by měly fungovat v plném souladu s pravidly Unie v oblasti hospodářské soutěže a s právními předpisy Unie o ochraně údajů.

Pozměňovací návrh  36

Návrh směrnice

Bod odůvodnění 69

Znění navržené Komisí	Pozměňovací návrh
(69) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítí a informací ze strany subjektů, které provádějí orgány veřejné správy, týmy CERT, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb, by mělo představovat oprávněný zájem dotčeného správce údajů podle nařízení (EU) 2016/679. To by mělo zahrnovat opatření týkající se prevence, odhalování a analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích. Taková opatření mohou vyžadovat zpracovávání těchto druhů osobních údajů: IP adres, jednotných adres zdroje (URL), doménových jmen a e-mailových adres.	(69) Zpracování osobních údajů, jež by mělo být omezeno na to, co je nezbytně nutné a přiměřené pro zajištění bezpečnosti sítí a informací a ochrany spotřebitele ze strany subjektů, které provádějí orgány veřejné správy, týmy CERT, týmy CSIRT a poskytovatelé bezpečnostních technologií a služeb, by mělo představovat oprávněný zájem dotčeného správce údajů podle nařízení (EU) 2016/679. To by mělo zahrnovat opatření týkající se prevence, odhalování a analýzy incidentů a reakce na incidenty, opatření ke zvyšování povědomí o konkrétních kybernetických hrozbách, výměnu informací v rámci odstraňování a koordinovaného odhalování zranitelných míst, a také dobrovolnou výměnu informací o těchto incidentech, kybernetických hrozbách a zranitelných místech, indikátorech narušení, taktice, technikách a postupech, varováních v oblasti kybernetické bezpečnosti a konfiguračních nástrojích. Taková opatření mohou vyžadovat zpracovávání těchto druhů osobních údajů: IP adres, jednotných adres zdroje (URL), doménových jmen a e-mailových adres.

Pozměňovací návrh  37

Návrh směrnice

Bod odůvodnění 70

Znění navržené Komisí	Pozměňovací návrh
(70) S cílem posílit pravomoci a činnosti dohledu, které pomáhají zajistit účinný soulad s předpisy, by tato směrnice měla stanovit minimální seznam opatření a prostředků dohledu, jejichž prostřednictvím mohou příslušné orgány uskutečňovat dohled nad základními a důležitými subjekty. Tato směrnice by kromě toho měla zavést rozlišení režimů dohledu mezi základními a důležitými subjekty s cílem zajistit spravedlivou rovnováhu povinností pro oba druhy subjektů a příslušné orgány. Základní subjekty by tak měly podléhat plnohodnotnému režimu dohledu (dohled ex ante a ex post), zatímco důležité subjekty by měly podléhat mírnému režimu dohledu, pouze dohledu ex post. Mírný režim znamená, že důležité subjekty by neměly systematicky dokumentovat soulad s požadavky na řízení kybernetických bezpečnostních rizik a příslušné orgány by měly provádět reaktivní ex post přístup k dohledu, a neměly by tedy obecnou povinnost dohlížet na tyto subjekty.	(70) S cílem posílit pravomoci a činnosti dohledu, které pomáhají zajistit účinný soulad s předpisy, a dosáhnout společné vysoké úrovně bezpečnosti v celém digitálním odvětví, včetně předcházení rizikům pro uživatele nebo jiné sítě, informační systémy a služby, by tato směrnice měla stanovit minimální seznam opatření a prostředků dohledu, jejichž prostřednictvím mohou příslušné orgány uskutečňovat dohled nad základními a důležitými subjekty. Tato směrnice by kromě toho měla zavést rozlišení režimů dohledu mezi základními a důležitými subjekty s cílem zajistit spravedlivou rovnováhu povinností pro oba druhy subjektů a příslušné orgány. Základní subjekty by tak měly podléhat plnohodnotnému režimu dohledu (dohled ex ante a ex post), zatímco důležité subjekty by měly podléhat mírnému režimu dohledu, a to pouze dohledu ex post, při zohlednění přístupu založeného na posouzení rizik. Mírný režim znamená, že důležité subjekty by neměly systematicky dokumentovat soulad s požadavky na řízení kybernetických bezpečnostních rizik a příslušné orgány by měly provádět reaktivní ex post přístup k dohledu, a neměly by tedy obecnou povinnost dohlížet na tyto subjekty s výjimkou případů prokazatelného porušení povinností.

Pozměňovací návrh  38

Návrh směrnice

Bod odůvodnění 76

Znění navržené Komisí	Pozměňovací návrh
(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny uplatňovat sankce spočívající v pozastavení osvědčení nebo povolení týkajícího se části nebo všech služeb, jež poskytuje základní subjekt, a uložení dočasného zákazu výkonu řídící funkce fyzické osoby. Vzhledem k závažnosti a dopadu těchto sankcí na činnost subjektů a v konečném důsledku na jejich zákazníky, měly by být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tyto sankce by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byly tyto sankce uloženy. Uložení takových sankcí musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.	(76) Aby se dále posílila účinnost a odrazující účinek sankcí, jež mají být uloženy za porušení povinností stanovených podle této směrnice, měly by být příslušné orgány oprávněny uplatňovat sankce spočívající v pozastavení osvědčení nebo povolení týkajícího se příslušných služeb, jež poskytuje základní subjekt. Vzhledem k závažnosti a dopadu těchto sankcí na činnost subjektů a v konečném důsledku na jejich zákazníky, měly by být uplatňovány pouze úměrně závažnosti porušení a s ohledem na konkrétní okolnosti každého případu, včetně úmyslné nebo nedbalostní povahy porušení, opatřením přijatým k zamezení nebo zmírnění způsobené škody nebo ztrát. Tyto sankce by se měly používat jen jako krajní prostředek, což znamená pouze po vyčerpání ostatních relevantních donucovacích opatření, jež stanoví tato směrnice, a pouze po dobu, než subjekty, vůči kterým jsou uplatněny, přijmou nezbytná opatření k nápravě nedostatků nebo k dosažení souladu s požadavky příslušného orgánu, kvůli kterým byly tyto sankce uloženy. Uložení takových sankcí musí podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listiny základních práv Evropské unie, včetně účinné právní ochrany, spravedlivého procesu, presumpce neviny a práva na obhajobu.

Pozměňovací návrh  39

Návrh směrnice

Bod odůvodnění 79

Znění navržené Komisí	Pozměňovací návrh
(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali odborníci určení členskými státy.	(79) Měl by být zaveden mechanismus vzájemného hodnocení, který umožní, aby provádění politik kybernetické bezpečnosti, včetně úrovně schopností a dostupných zdrojů členských států, posuzovali odborníci určení členskými státy a agenturou ENISA, a který umožní výměnu osvědčených postupů.

Pozměňovací návrh  40

Návrh směrnice

Bod odůvodnění 80

Znění navržené Komisí	Pozměňovací návrh
(80) Za účelem zohlednění nových kybernetických hrozeb, technologického vývoje nebo odvětvových zvláštností by Komisi měla být svěřena pravomoc přijmout akty v souladu s článkem 290 SFEU, pokud jde o prvky související s opatřeními v oblasti řízení rizik, jež vyžaduje tato směrnice. Komise by rovněž měla být zmocněna přijmout akty v přenesené pravomoci, jimiž stanoví, které kategorie základních subjektů budou povinny získat osvědčení a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů26. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.	(80) Za účelem zohlednění nových kybernetických hrozeb, technologického vývoje nebo odvětvových zvláštností by Komisi měla být svěřena pravomoc přijmout akty v souladu s článkem 290 SFEU, pokud jde o prvky související s opatřeními v oblasti řízení rizik, jež vyžaduje tato směrnice. Komise by měla být zmocněna přijmout akty v přenesené pravomoci, jimiž stanoví technické prvky opatření k řízení rizik. Komisi by rovněž měla být svěřena pravomoc přijímat akty v přenesené pravomoci, kterými upřesní druh informací, které základní a důležité subjekty předloží o každém incidentu, který má významný dopad na poskytování jejich služeb, nebo o veškerých případech, kdy k incidentu téměř došlo, a vymezí jimi případy, kdy by měl být incident považován za významný. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů26. Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.
__________________	__________________
26 Úř. věst. L 123, 12.5.2016, s. 1.	26 Úř. věst. L 123, 12.5.2016, s. 1.

Pozměňovací návrh  41

Návrh směrnice

Bod odůvodnění 81

Znění navržené Komisí	Pozměňovací návrh
(81) Za účelem zajištění jednotných podmínek k provedení příslušných ustanovení této směrnice týkajících se procesních opatření nezbytných pro fungování skupiny pro spolupráci, technických prvků opatření k řízení rizik nebo druhu informací, formátu a postupu oznamování incidentů by Komisi měly být svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.27	(81) Za účelem zajištění jednotných podmínek k provedení příslušných ustanovení této směrnice týkajících se procesních opatření nezbytných pro fungování skupiny pro spolupráci, formátu a postupu oznamování incidentů by Komisi měly být svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.27
__________________	__________________
27 Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).	27 Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

Pozměňovací návrh  42

Návrh směrnice

Čl. 1 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Touto směrnicí se stanoví opatření pro zajištění vysoké společné úrovně kybernetické bezpečnosti v rámci Unie.	1. Touto směrnicí se stanoví opatření pro zajištění vysoké společné úrovně kybernetické bezpečnosti v rámci Unie s cílem vytvořit důvěryhodné digitální prostředí pro občany a hospodářské subjekty, odstranit překážky a zlepšit fungování vnitřního trhu.

Pozměňovací návrh  43

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
2. Tato směrnice se však vztahuje také na subjekty uvedené v přílohách I a II bez ohledu na jejich velikost, pokud:	2. Tato směrnice se však vztahuje také na druhy subjektů uvedené v přílohách I a II bez ohledu na jejich velikost, pokud:

Pozměňovací návrh  44

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 2 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	Komise vydá pokyny s cílem napomoci členským státům správně provádět ustanovení o oblasti působnosti a rovněž s cílem udělit určitým významným subjektům možné výjimky z oblasti působnosti směrnice nebo některých jejích ustanovení s ohledem na jejich nízkou úroveň kritičnosti v jejich odvětví nebo nízkou míru závislosti na jiných odvětvích nebo druzích služeb. Členské státy oznámí Komisi svá odůvodněná rozhodnutí v tomto ohledu, přičemž plně zohlední pokyny Komise.

Pozměňovací návrh  45

Návrh směrnice

Čl. 4 – odst. 1 – bod 4

Znění navržené Komisí	Pozměňovací návrh
4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti bezpečnosti sítí a informačních systémů v tomto členském státě;	4) „národní strategií kybernetické bezpečnosti“ soudržný rámec členského státu vymezující strategické cíle a priority v oblasti bezpečnosti sítí a informačních systémů v tomto členském státě, jakož i politická opatření nezbytná k jejich dosažení;

Pozměňovací návrh  46

Návrh směrnice

Čl. 4 – odst. 1 – bod 5 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	5a) „přeshraničním incidentem“ incident, který má dopad na provozovatele pod dohledem příslušných vnitrostátních orgánů z alespoň dvou různých členských států;

Pozměňovací návrh  47

Návrh směrnice

Čl. 4 – odst. 1 – bod 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a) „případem, kdy téměř došlo k incidentu“ událost, která potenciálně mohla způsobit škodu, ale jejímu plnému projevení bylo úspěšně zabráněno;

Pozměňovací návrh  48

Návrh směrnice

Čl. 4 – odst. 1 – bod 15 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	15a) „službami registrace doménových jmen“ služby poskytované registry doménových jmen a registrátory, poskytovateli služeb ochrany osobních údajů nebo registrace proxy, makléři nebo prodejci domén a jakékoli další služby, které souvisí s registrací doménových jmen;

Pozměňovací návrh  49

Návrh směrnice

Čl. 5 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, ve které vymezí strategické cíle a příslušná politická a regulační opatření s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje zejména:	1. Každý členský stát přijme národní strategii kybernetické bezpečnosti, ve které vymezí strategické cíle a příslušná politická a regulační opatření, včetně odpovídajících lidských a finančních zdrojů, s cílem dosáhnout vysoké úrovně kybernetické bezpečnosti a udržovat ji. Národní strategie kybernetické bezpečnosti zahrnuje zejména:

Pozměňovací návrh  50

Návrh směrnice

Čl. 5 – odst. 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) správní rámec pro naplnění těchto cílů a priorit, včetně politik uvedených v odstavci 2 a úloh a povinností veřejných orgánů a subjektů i dalších relevantních subjektů;	b) správní rámec pro naplnění těchto cílů a priorit, včetně politik uvedených v odstavci 2 a úloh a povinností veřejných orgánů a subjektů i dalších relevantních subjektů, včetně subjektů odpovědných za kybernetickou zpravodajskou činnost a kybernetickou obranu;

Pozměňovací návrh  51

Návrh směrnice

Čl. 5 – odst. 1 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) hodnocení za účelem určení relevantních zařízení a kybernetických rizik v tomto členském státě;	c) hodnocení za účelem určení relevantních zařízení a kybernetických rizik v tomto členském státě, včetně možných nedostatků, které mohou mít negativní dopad na jednotný trh;

Pozměňovací návrh  52

Návrh směrnice

Čl. 5 – odst. 1 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) seznam různých orgánů a subjektů zapojených do provádění národní strategie kybernetické bezpečnosti;	e) seznam různých orgánů a subjektů zapojených do provádění národní strategie kybernetické bezpečnosti, včetně jednotného kontaktního místa pro malé a střední podniky;

Pozměňovací návrh  53

Návrh směrnice

Čl. 5 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek;	b) pokyny týkající se zařazení a specifikace požadavků na kybernetickou bezpečnost produktů a služeb IKT při zadávání veřejných zakázek, včetně využívání produktů kybernetické bezpečnosti s otevřeným zdrojovým kódem;

Pozměňovací návrh  54

Návrh směrnice

Čl. 5 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) politiku za účelem prosazování a usnadňování koordinovaného odhalování zranitelných míst ve smyslu článku 6;	c) politiku za účelem prosazování a usnadňování koordinovaného odhalování zranitelných míst ve smyslu článku 6, mimo jiné stanovením pokynů a osvědčených postupů založených na již zavedených mezinárodně uznávaných normách pro řešení a odhalování zranitelných míst;

Pozměňovací návrh  55

Návrh směrnice

Čl. 5 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) politiku za účelem prosazování a rozvíjení dovedností v oblasti kybernetické bezpečnosti, zvyšování informovanosti a výzkumných a vývojových iniciativ;	e) politiku za účelem prosazování kybernetické bezpečnosti pro spotřebitele, zvyšování jejich informovanosti o kybernetických hrozbách, zvyšování kybernetické gramotnosti, posilování důvěry uživatelů, technologicky neutrálních kybernetických dovedností v oblasti kybernetické bezpečnosti a vzdělávání a podpory výzkumných a vývojových iniciativ a kybernetické bezpečnosti propojených produktů;

Pozměňovací návrh  56

Návrh směrnice

Čl. 5 – odst. 2 – písm. e a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ea) politiku podporující používání kryptografie a šifrování, zejména ze strany malých a středních podniků;

Pozměňovací návrh  57

Návrh směrnice

Čl. 5 – odst. 2 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.	h) politiku podporující kybernetickou bezpečnost a řešící zvláštní potřeby malých a středních podniků při plnění povinností stanovených touto směrnicí, jakož i zvláštní potřeby těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám, mimo jiné prostřednictvím financování a vzdělávání, přičemž cílem této činnosti je podpořit přijetí opatření v oblasti kybernetické bezpečnosti.

Pozměňovací návrh  58

Návrh směrnice

Čl. 5 – odst. 2 – písm. h a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ha) tato politika zahrnuje zřízení vnitrostátního jednotného kontaktního místa pro malé a střední podniky a rámec pro nejúčinnější využívání center pro digitální inovace a dostupných finančních prostředků při dosahování cílů politiky;

Pozměňovací návrh  59

Návrh směrnice

Čl. 5 – odst. 2 – písm. h b (nové)

Znění navržené Komisí	Pozměňovací návrh
	hb) politiku podporující soudržné a synergické využívání dostupných finančních prostředků;

Pozměňovací návrh  60

Návrh směrnice

Čl. 5 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy posuzují své národní strategie kybernetické bezpečnosti alespoň každé čtyři roky podle klíčových ukazatelů výkonnosti a v případě potřeby je změní. Při zpracování národní strategie a klíčových ukazatelů výkonnosti pro posouzení strategie poskytuje členským státům na jejich žádost součinnost Evropská agentura pro bezpečnost sítí a informací (ENISA).	4. Členské státy posuzují své národní strategie kybernetické bezpečnosti alespoň každé čtyři roky podle klíčových ukazatelů výkonnosti a v případě potřeby je změní. Při zpracování národní strategie a klíčových ukazatelů výkonnosti pro posouzení strategie poskytuje členským státům na jejich žádost součinnost Evropská agentura pro bezpečnost sítí a informací (ENISA). Agentura ENISA rovněž předkládá členským státům doporučení týkající se vypracování klíčových ukazatelů výkonnosti pro posouzení národní strategie, která jsou srovnatelná na úrovni Unie.

Pozměňovací návrh  61

Návrh směrnice

Čl. 6 – název

Znění navržené Komisí	Pozměňovací návrh
Koordinované zveřejňování informací o zranitelnostech a Evropský registr zranitelností	Koordinované zveřejňování informací o zranitelnostech a Evropská databáze zranitelností

Pozměňovací návrh  62

Návrh směrnice

Čl. 6 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Agentura ENISA vytvoří a spravuje Evropský registr zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám. V registru jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna.	2. Agentura ENISA vytvoří a spravuje Evropskou databázi zranitelností. Za tímto účelem ENISA zřídí a spravuje informační systémy, politiky a postupy, jakož i vhodné strategie odhalování zranitelností, s cílem zejména umožnit důležitým a základním subjektům a jejich dodavatelům sítí a informačních systémů odhalovat a snadno registrovat zranitelná místa v produktech nebo službách IKT a poskytovat přístup k příslušným informacím o těchto zranitelnostech uvedeným v registru všem zúčastněným stranám za předpokladu, že tyto kroky neoslabí ochranu důvěrnosti a obchodních tajemství. V databázi zranitelností jsou zejména uvedeny informace popisující slabé místo, dotčený produkt IKT nebo služby IKT a závažnost této zranitelnosti z hlediska okolností, za nichž může být využita, dostupnost příslušných oprav, a pokud opravy nejsou dostupné, pokyny pro uživatele zranitelných produktů a služeb, jak mohou být rizika vyplývající z odhalených slabých míst zmírněna. Aby se zabránilo zdvojování činnosti, uzavře agentura ENISA dohodu o sdílení informací a dohodu o strukturované spolupráci se společným registrem zranitelností a expozic a případně s dalšími databázemi, které jsou vytvářeny a spravovány důvěryhodnými partnery po celém světě.

Pozměňovací návrh  63

Návrh směrnice

Čl. 7 – odst. 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	1a. Pokud členský stát určí více než jeden příslušný orgán uvedený v odstavci 1, jasně uvede, který z těchto příslušných orgánů bude sloužit jako hlavní kontaktní místo během rozsáhlého incidentu nebo krize.

Pozměňovací návrh  64

Návrh směrnice

Čl. 7 – odst. 3 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) vnitrostátní postupy a ujednání mezi příslušnými vnitrostátními orgány a subjekty, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie.	f) vnitrostátní postupy a koordinace mezi příslušnými vnitrostátními orgány a subjekty, včetně těch, které jsou odpovědné za kybernetickou zpravodajskou činnost a kybernetickou obranu, aby byla zajištěna účinná účast členského státu a podpora koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na úrovni Unie.

Pozměňovací návrh  65

Návrh směrnice

Čl. 10 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) poskytování dynamické analýzy rizik a incidentů a přehledu o situaci v oblasti kybernetické bezpečnosti;	d) poskytování dynamické analýzy rizik a incidentů a přehledu o situaci v oblasti kybernetické bezpečnosti, mimo jiné prostřednictvím analýzy včasných varování a oznámení podle článku 20;

Pozměňovací návrh  66

Návrh směrnice

Čl. 10 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) provádění aktivního skenování sítě a informačních systémů používaných k poskytování služeb subjektu, který o to požádal;	e) provádění skenování sítě a informačních systémů používaných k poskytování služeb subjektu, který o to požádal, s cílem identifikovat a zmírnit specifické hrozby nebo jim předejít;

Pozměňovací návrh  67

Návrh směrnice

Čl. 10 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) účast v síti CSIRT a poskytování vzájemné pomoci dalším členům sítě na jejich žádost.	f) aktivní účast v síti CSIRT a poskytování vzájemné pomoci dalším členům sítě na jejich žádost;

Pozměňovací návrh  68

Návrh směrnice

Čl. 10 – odst. 2 – písm. f a (nové)

Znění navržené Komisí	Pozměňovací návrh
	fa) poskytování operativní pomoci a pokynů subjektům uvedeným v přílohách I a II, a zejména malým a středním podnikům;

Pozměňovací návrh  69

Návrh směrnice

Čl. 10 – odst. 2 – písm. f b (nové)

Znění navržené Komisí	Pozměňovací návrh
	fb) účast na společných cvičeních v oblasti kybernetické bezpečnosti na úrovni Unie.

Pozměňovací návrh  70

Návrh směrnice

Čl. 11 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby buď jejich příslušné orgány, nebo týmy CSIRT obdržely hlášení o incidentech a významných kybernetických hrozbách a o případech, kdy téměř došlo k incidentu, podaná podle této směrnice. Pokud členský stát rozhodne, že jeho týmy CSIRT nemají tato hlášení přijímat, bude týmům CSIRT v rozsahu nezbytném pro plnění jejich úkolů povolen přístup k údajům o incidentech hlášených základními nebo důležitými subjekty podle článku 20.	2. Členské státy zajistí, aby buď jejich příslušné orgány, nebo týmy CSIRT obdržely hlášení o incidentech a významných kybernetických hrozbách a o případech, kdy téměř došlo k incidentu, podaná podle této směrnice. Pokud členský stát rozhodne, že jeho týmy CSIRT nemají tato hlášení přijímat, bude týmům CSIRT v rozsahu nezbytném pro účinné plnění jejich úkolů povolen odpovídající přístup k údajům o incidentech hlášených základními nebo důležitými subjekty podle článku 20.

Pozměňovací návrh  71

Návrh směrnice

Čl. 11 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX39 [nařízení DORA] v daném členském státě.	4. V rozsahu nezbytném pro účelné plnění úkolů a povinností stanovených touto směrnicí zajistí členské státy vhodnou spolupráci mezi příslušnými orgány a jednotnými kontaktními místy a donucovacími orgány, úřady pro ochranu osobních údajů a orgány odpovědnými za kritickou infrastrukturu podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] a vnitrostátními finančními orgány určenými v souladu s nařízením Evropského parlamentu a Rady (EU) XXXX/XXXX [nařízení DORA]39 v daném členském státě, jakož i s orgány působícími v oblasti kybernetické obrany a kybernetické zpravodajské činnosti.
__________________	__________________
39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]	39 [vložte úplný název a údaje o vyhlášení v Úředním věstníku, až budou známy]

Pozměňovací návrh  72

Návrh směrnice

Čl. 12 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Skupina pro spolupráci vykonává své úkoly na základě dvouletých pracovních programů, jak je uvedeno v odstavci 6.	2. Skupina pro spolupráci se pravidelně schází a vykonává své úkoly na základě dvouletých pracovních programů, jak je uvedeno v odstavci 6.

Pozměňovací návrh  73

Návrh směrnice

Čl. 12 – odst. 3 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Tam, kde je to vhodné, může skupina pro spolupráci přizvat ke spolupráci zástupce příslušných zúčastněných stran.	Tam, kde je to vhodné, může skupina pro spolupráci přizvat ke spolupráci zástupce příslušných institucí a agentur Unie, jakož i zúčastněných stran.

Pozměňovací návrh  74

Návrh směrnice

Čl. 12 – odst. 4 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) poskytovat příslušným orgánům doporučení v souvislosti s provedením této směrnice ve vnitrostátním právu a jejím uplatňováním;	a) poskytovat příslušným orgánům doporučení v souvislosti s provedením této směrnice ve vnitrostátním právu a jejím uplatňováním a prosazovat její jednotné provádění v členských státech;

Pozměňovací návrh  75

Návrh směrnice

Čl. 12 – odst. 4 – písm. a a (nové)

Znění navržené Komisí	Pozměňovací návrh
	aa) vyměňovat si informace o politických prioritách a zásadních výzvách v oblasti kybernetické bezpečnosti a vymezit hlavní cíle kybernetické bezpečnosti;

Pozměňovací návrh  76

Návrh směrnice

Čl. 12 – odst. 4 – písm. a b (nové)

Znění navržené Komisí	Pozměňovací návrh
	ab) projednávat národní strategie členských států a jejich připravenost;

Pozměňovací návrh  77

Návrh směrnice

Čl. 12 – odst. 4 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti;	c) vyměňovat si doporučení a spolupracovat s Komisí na nových politických iniciativách v oblasti kybernetické bezpečnosti a s Evropskou službou pro vnější činnost, pokud jde o geopolitické aspekty kybernetické bezpečnosti v Unii;

Pozměňovací návrh  78

Návrh směrnice

Čl. 12 – odst. 4 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) projednávat zprávy o vzájemném hodnocení podle čl. 16 odst. 7;	f) projednávat zprávy o vzájemném hodnocení podle čl. 16 odst. 7, posuzovat jeho fungování a vypracovávat závěry a doporučení;

Pozměňovací návrh  79

Návrh směrnice

Čl. 12 – odst. 4 – písm. k a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ka) podporovat agenturu ENISA při organizování společné odborné přípravy příslušných vnitrostátních orgánů na úrovni Unie.

Pozměňovací návrh  80

Návrh směrnice

Čl. 12 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Do …  24 měsíců od data vstupu této směrnice v platnost a poté každé dva roky vypracuje skupina pro spolupráci pracovní program týkající se akcí, jež mají být realizovány za účelem plnění jejích cílů a úkolů. Časový rámec prvního programu přijatého podle této směrnice se sladí s časovým rámcem posledního programu přijatého podle směrnice (EU) 2016/1148.	6. Do …  12 měsíců od data vstupu této směrnice v platnost a poté každé dva roky vypracuje skupina pro spolupráci pracovní program týkající se akcí, jež mají být realizovány za účelem plnění jejích cílů a úkolů. Časový rámec prvního programu přijatého podle této směrnice se sladí s časovým rámcem posledního programu přijatého podle směrnice (EU) 2016/1148.

Pozměňovací návrh  81

Návrh směrnice

Čl. 12 – odst. 8 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	8a. Skupina pro spolupráci pravidelně zveřejňuje souhrnnou zprávu o své činnosti, aniž je dotčena důvěrnost informací sdílených na jejích schůzích.

Pozměňovací návrh  82

Návrh směrnice

Čl. 13 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) zajišťuje výměnu informací o schopnostech týmů CSIRT;	a) zajišťuje výměnu informací o schopnostech a připravenosti týmů CSIRT;

Pozměňovací návrh  83

Návrh směrnice

Čl. 13 – odst. 3 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) zajišťuje výměnu příslušných informací o incidentech, případech, kdy téměř došlo k incidentu, kybernetických hrozbách, rizicích a zranitelnostech;	b) zajišťuje výměnu příslušných informací o incidentech, případech, kdy téměř došlo k incidentu, kybernetických hrozbách, rizicích a zranitelnostech a podporuje operační schopnosti členských států;

Pozměňovací návrh  84

Návrh směrnice

Čl. 13 – odst. 3 – písm. d a (nové)

Znění navržené Komisí	Pozměňovací návrh
	da) zajišťuje výměnu a projednání informací týkajících se přeshraničních incidentů;

Pozměňovací návrh  85

Návrh směrnice

Čl. 13 – odst. 3 – písm. g – písm. i a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ia) sdílení informací;

Pozměňovací návrh  86

Návrh směrnice

Čl. 13 – odst. 3 – písm. j

Znění navržené Komisí	Pozměňovací návrh
j) na žádost jednotlivých týmů CSIRT jedná o jejich schopnostech a připravenosti;	j) jedná o schopnostech a připravenosti týmů CSIRT;

Pozměňovací návrh  87

Návrh směrnice

Čl. 13 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Pro účely přezkumu podle článku 35 a do 24 měsíců od data vstupu této směrnice v platnost a poté každé dva roky posoudí síť CSIRT pokrok dosažený v provozní spolupráci a vypracuje zprávu. Ve zprávě se zejména uvedou závěry o výsledcích vzájemného hodnocení podle článku 16 provedeného ve vztahu k národním týmům CSIRT, včetně závěrů a doporučení podle tohoto článku. Tato zpráva bude rovněž předložena skupině pro spolupráci.	4. Pro účely přezkumu podle článku 35 a do [24 měsíců od data vstupu této směrnice v platnost] a poté každoročně posoudí síť CSIRT pokrok dosažený v provozní spolupráci a vypracuje zprávu. Ve zprávě se zejména uvedou závěry o výsledcích vzájemného hodnocení podle článku 16 provedeného ve vztahu k národním týmům CSIRT, včetně závěrů a doporučení podle tohoto článku. Tato zpráva bude rovněž předložena skupině pro spolupráci.

Pozměňovací návrh  88

Návrh směrnice

Čl. 14 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) zvýšit úroveň připravenosti na řešení rozsáhlých incidentů a krizí;	a) zvýšit úroveň připravenosti na řešení rozsáhlých incidentů a krizí, včetně přeshraničních kybernetických hrozeb;

Pozměňovací návrh  89

Návrh směrnice

Čl. 14 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Síť EU-CyCLONe pravidelně podává skupině pro spolupráci zprávy o kybernetických hrozbách, incidentech a trendech, se zvláštním zaměřením na jejich dopad na základní a důležité subjekty.	5. Síť EU-CyCLONe pravidelně podává skupině pro spolupráci zprávy o kybernetických hrozbách, incidentech a trendech, se zvláštním zaměřením na jejich dopad na základní a důležité subjekty a na odolnost těchto subjektů.

Pozměňovací návrh  90

Návrh směrnice

Čl. 14 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Síť EU-CyCLONe spolupracuje se sítí CSIRT podle sjednaných procesních pravidel.	6. Síť EU-CyCLONe úzce spolupracuje se sítí CSIRT podle sjednaných procesních pravidel.

Pozměňovací návrh  91

Návrh směrnice

Čl. 15 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA ve spolupráci s Komisí vydává jednou za dva roky zprávu o stavu kybernetické bezpečnosti v Unii. Ve zprávě uvede zejména posouzení:	1. Agentura ENISA ve spolupráci s Komisí vydává jednou za dva roky zprávu o stavu kybernetické bezpečnosti v Unii a předkládá ji Evropskému parlamentu. Ve zprávě uvede zejména posouzení:

Pozměňovací návrh  92

Návrh směrnice

Čl. 15 – odst. 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) vývoje kapacit v oblasti kybernetické bezpečnosti v celé Unii;	a) vývoje kapacit v oblasti kybernetické bezpečnosti v celé Unii, včetně obecné úrovně dovedností a kompetencí v oblasti kybernetické bezpečnosti, celkové úrovně odolnosti vnitřního trhu vůči kybernetickým hrozbám a rozsahu provádění této směrnice ve všech členských státech;

Pozměňovací návrh  93

Návrh směrnice

Čl. 15 – odst. 1 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) indexu kybernetické bezpečnosti umožňující agregované posouzení úrovně vyspělosti kapacit v oblasti kybernetické bezpečnosti.	c) indexu kybernetické bezpečnosti umožňující agregované posouzení úrovně vyspělosti kapacit v oblasti kybernetické bezpečnosti, včetně celkového posouzení kybernetické bezpečnosti spotřebitelů;

Pozměňovací návrh  94

Návrh směrnice

Čl. 15 – odst. 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) geopolitických aspektů, které mají přímý nebo nepřímý dopad na stav kybernetické bezpečnosti v Unii.

Pozměňovací návrh  95

Návrh směrnice

Čl. 16 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA stanoví nejpozději do 18 měsíců po vstupu této směrnice v platnost metodiku a obsah vzájemných hodnocení pro posuzování účelnosti politik členských států v oblasti kybernetické bezpečnosti. Hodnocení provádějí techničtí odborníci na kybernetickou bezpečnost z členských států jiných, než je posuzovaný členský stát, přičemž hodnocení zahrnují alespoň:	1. Komise po konzultaci se skupinou pro spolupráci a agenturou ENISA stanoví nejpozději do 12 měsíců po vstupu této směrnice v platnost metodiku a obsah vzájemných hodnocení pro posuzování účelnosti politik členských států v oblasti kybernetické bezpečnosti. Hodnocení provádějí techničtí odborníci na kybernetickou bezpečnost z alespoň dvou členských států jiných, než je posuzovaný členský stát, a agentury ENISA, přičemž hodnocení zahrnují alespoň:

Pozměňovací návrh  96

Návrh směrnice

Čl. 16 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Metodika zahrnuje objektivní, nediskriminační, korektní a transparentní kritéria, na jejichž základě určí členské státy odborníky způsobilé provádět vzájemná hodnocení. Agentura ENISA a Komise určí odborníky, kteří se budou vzájemných hodnocení účastnit jako pozorovatelé. Komise za podpory agentury ENISA stanoví v rámci metodiky podle odstavce 1 objektivní, nediskriminační, korektní a transparentní systém výběru a náhodného přidělování odborníků ke každému vzájemnému hodnocení.	2. Metodika zahrnuje objektivní, nediskriminační, technologicky neutrální, korektní a transparentní kritéria, na jejichž základě určí členské státy odborníky způsobilé provádět vzájemná hodnocení. Agentura ENISA a Komise určí odborníky, kteří se budou vzájemných hodnocení účastnit jako pozorovatelé. Komise za podpory agentury ENISA stanoví v rámci metodiky podle odstavce 1 objektivní, nediskriminační, korektní a transparentní systém výběru a náhodného přidělování odborníků ke každému vzájemnému hodnocení.

Pozměňovací návrh  97

Návrh směrnice

Čl. 18 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb. S ohledem na nejnovější technický vývoj musí tato opatření zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika.	1. Členské státy zajistí, aby základní a důležité subjekty přijaly technická a organizační opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, jež tyto subjekty používají pro poskytování svých služeb. Tato opatření budou vhodná a přiměřená úrovni kritické důležitosti daného odvětví nebo druhu služby, jakož i úrovni závislosti daného subjektu z jiných odvětví nebo druhů služeb, a budou přijata na základě posouzení rizik. S ohledem na nejnovější technický vývoj musí tato opatření zajišťovat úroveň bezpečnosti sítí a informačních systémů odpovídající existující míře rizika. Zejména musí být přijata opatření k prevenci a minimalizaci dopadu bezpečnostních incidentů na příjemce služeb těchto subjektů.

Pozměňovací návrh  98

Návrh směrnice

Čl. 18 – odst. 2 – písm. d

Znění navržené Komisí	Pozměňovací návrh
d) zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb;	d) opatření k posouzení bezpečnostních rizik dodavatelského řetězce včetně posouzení bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb;

Pozměňovací návrh  99

Návrh směrnice

Čl. 18 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;	f) politiky a postupy (testování a audit) a pravidelná cvičení v oblasti kybernetické bezpečnosti za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;

Pozměňovací návrh  100

Návrh směrnice

Čl. 18 – odst. 2 – písm. g

Znění navržené Komisí	Pozměňovací návrh
g) používání kryptografie a šifrování.	g) používání kryptografie, šifrování, a zejména šifrování mezi koncovými body;

Pozměňovací návrh  101

Návrh směrnice

Čl. 18 – odst. 2 – písm. g a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ga) politická opatření k zajištění odpovídající odborné přípravy a informovanosti v oblasti kybernetické bezpečnosti.

Pozměňovací návrh  102

Návrh směrnice

Čl. 18 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) subjekty zohlednily zranitelnosti specifické pro každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a praktik v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.	3. Členské státy zajistí, aby při zvažování vhodných opatření uvedených v odst. 2 písm. d) subjekty zohlednily, odkud získávají příslušné informace, zranitelnosti specifické pro každého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a praktik v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupů bezpečného vývoje.

Pozměňovací návrh  103

Návrh směrnice

Čl. 18 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Komise může přijmout prováděcí akty, aby stanovila technické a metodické specifikace prvků uvedených v odstavci 2. Při přípravě těchto aktů postupuje Komise v souladu s přezkumným postupem uvedeným v čl. 37 odst. 2 a v maximální možné míře dodržuje mezinárodní a evropské normy, jakož i příslušné technické specifikace.	5. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci, aby stanovila technické a metodické specifikace prvků uvedených v odstavci 2 a v maximální možné míře dodržovala mezinárodní a evropské normy, jakož i příslušné technické specifikace. Při vypracovávání aktů v přenesené pravomoci Komise rovněž konzultuje všechny příslušné zúčastněné strany.

Pozměňovací návrh  104

Návrh směrnice

Čl. 18 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Komisi je svěřena pravomoc přijmout v souladu s článkem 36 akty v přenesené pravomoci, kterými doplní prvky stanovené v odstavci 2, aby zohledňovaly nové kybernetické hrozby, technologický vývoj nebo specifičnosti daného odvětví.	6. Komise v součinnosti se skupinou pro spolupráci a agenturou ENISA poskytuje pokyny a informuje o osvědčených postupech pro dodržování předpisů ze strany subjektů způsobem přiměřeným daným požadavkům, které jsou stanoveny v odstavci 2, a zejména požadavku uvedenému v písmenu d) tohoto odstavce.

Pozměňovací návrh  105

Návrh směrnice

Čl. 19 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Skupina pro spolupráci může v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory.	1. S cílem posílit celkovou úroveň kybernetické bezpečnosti může skupina pro spolupráci v součinnosti s Komisí a agenturou ENISA provést koordinované posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů IKT, přičemž zohlední technické, případně netechnické rizikové faktory, jako jsou geopolitická rizika.

Pozměňovací návrh  106

Návrh směrnice

Čl. 20 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT v souladu s odstavci 3 a 4 každý incident, který má závažný dopad na poskytování jejich služeb. Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb o incidentech, které by mohly negativně ovlivnit poskytování dané služby. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které příslušným orgánům nebo týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu.	1. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT v souladu s odstavci 3 a 4 každý incident, který má závažný dopad na poskytování jejich služeb, nebo každý případ, kdy téměř došlo k incidentu. Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb o incidentech, které by mohly negativně ovlivnit poskytování dané služby. Členské státy zajistí, aby tyto subjekty oznamovaly mimo jiné všechny informace, které příslušným orgánům nebo týmu CSIRT umožní posoudit případný přeshraniční dopad daného incidentu nebo případu, kdy téměř došlo k incidentu.

Pozměňovací návrh  107

Návrh směrnice

Čl. 20 – odst. 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	1a. Za účelem zjednodušení povinnosti hlášení členské státy stanoví jednotné kontaktní místo pro všechna oznámení vyžadovaná podle této směrnice i podle jiných právních předpisů Unie, jako je nařízení (EU) 2016/679 a směrnice 2002/58/ES.

Pozměňovací návrh  108

Návrh směrnice

Čl. 20 – odst. 1 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	1b. Agentura ENISA ve spolupráci se skupinou pro spolupráci vypracuje společné formuláře pro hlášení ve formě pokynů, které zjednoduší a zefektivní informace uvedené v hlášeních, jež vyžaduje právo Unie, a sníží zátěž pro společnosti spojenou s dodržováním předpisů.

Pozměňovací návrh  109

Návrh směrnice

Čl. 20 – odst. 2 – pododstavec 1

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby základní a důležité subjekty neprodleně oznamovaly příslušným orgánům nebo týmu CSIRT každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident.	vypouští se

Pozměňovací návrh  110

Návrh směrnice

Čl. 20 – odst. 2 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Ve vhodných případech tyto subjekty neprodleně informují příjemce svých služeb, které mohou být ovlivněny významnou kybernetickou hrozbou, o všech krocích nebo nápravných opatřeních, jež příjemci mohou učinit v reakci na danou hrozbu. Ve vhodných případech subjekty příjemce uvědomí také o hrozbě samotné. Ohlášení nezakládá u oznamujícího subjektu vyšší míru právní odpovědnosti.	vypouští se

Pozměňovací návrh  111

Návrh směrnice

Čl. 20 – odst. 3 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) incident dotčenému subjektu způsobil nebo může způsobit podstatné provozní narušení nebo finanční ztráty;	a) incident dotčenému subjektu způsobil podstatné provozní narušení nebo finanční ztráty;

Pozměňovací návrh  112

Návrh směrnice

Čl. 20 – odst. 3 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) incident způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značné hmotné nebo nehmotné ztráty.	b) incident způsobil jiným fyzickým nebo právnickým osobám značné hmotné nebo nehmotné ztráty.

Pozměňovací návrh  113

Návrh směrnice

Čl. 20 – odst. 3 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	3a. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 36 za účelem doplnění této směrnice stanovením typu informací předkládaných podle odstavce 1 tohoto článku a dalším upřesněním případů, kdy je incident považován za významný, jak je uvedeno v odstavci 3 tohoto článku.

Pozměňovací návrh  114

Návrh směrnice

Čl. 20 – odst. 4 – point -a (nový)

Znění navržené Komisí	Pozměňovací návrh
	-a) do 24 hodin od okamžiku, kdy se daný subjekt o incidentu dozvěděl, včasné varování, aniž by musel uvést dodatečné informace týkající se incidentu;

Pozměňovací návrh  115

Návrh směrnice

Čl. 20 – odst. 4 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) neprodleně, nejpozději však do 24 hodin po zjištění incidentu, první oznámení, v němž případně uvedou, zda byl incident pravděpodobně způsoben neoprávněným nebo svévolným zásahem;	a) neprodleně, nejpozději však do 72 hodin po zjištění incidentu, první oznámení, v němž případně uvedou, zda byl incident pravděpodobně způsoben neoprávněným nebo svévolným zásahem;

Pozměňovací návrh  116

Návrh směrnice

Čl. 20 – odst. 4 – písm. c – návětí

Znění navržené Komisí	Pozměňovací návrh
c) nejpozději do jednoho měsíce od předložení oznámení podle písmene a) závěrečnou zprávu zahrnující alespoň:	c) nejpozději do tří měsíců od předložení oznámení podle písmene a) souhrnnou zprávu zahrnující alespoň:

Pozměňovací návrh  117

Návrh směrnice

Čl. 20 – odst. 4 – písm. c – písm. i

Znění navržené Komisí	Pozměňovací návrh
i) podrobný popis incidentu, jeho závažnost a dopad;	i) podrobnější popis incidentu, jeho závažnost a dopad;

Pozměňovací návrh  118

Návrh směrnice

Čl. 20 – odst. 4 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) v případě, že v době předložení souhrnné zprávy podle písmene c) incident stále probíhá, předloží se závěrečná zpráva jeden měsíc po zmírnění incidentu;

Pozměňovací návrh  119

Návrh směrnice

Čl. 20 – odst. 7

Znění navržené Komisí	Pozměňovací návrh
7. Pokud je nezbytné informovat veřejnost, aby se incidentu zabránilo nebo aby se probíhající incident vyřešil, nebo pokud je zveřejnění incidentu jinak ve veřejném zájmu, může příslušný orgán nebo tým CSIRT, případně orgány nebo týmy CSIRT jiných dotčených členských států po konzultaci s dotčeným subjektem informovat veřejnost o incidentu nebo požadovat, aby tak učinil daný subjekt.	7. Pokud je nezbytné informovat veřejnost, aby se incidentu zabránilo nebo aby se probíhající incident vyřešil, nebo pokud je zveřejnění incidentu jinak ve veřejném zájmu, informuje příslušný orgán nebo tým CSIRT, případně orgány nebo týmy CSIRT jiných dotčených členských států po konzultaci s dotčeným subjektem veřejnost o incidentu nebo požádá, aby tak učinil daný subjekt.

Pozměňovací návrh  120

Návrh směrnice

Čl. 20 – odst. 8

Znění navržené Komisí	Pozměňovací návrh
8. Na žádost příslušného orgánu nebo týmu CSIRT postoupí jednotné kontaktní místo hlášení obdržená podle odstavce 1 a 2 jednotným kontaktním místům dalších dotčených členských států.	8. Na žádost příslušného orgánu nebo týmu CSIRT postoupí jednotné kontaktní místo hlášení obdržená podle odstavce 1 jednotným kontaktním místům dalších dotčených členských států.

Pozměňovací návrh  121

Návrh směrnice

Čl. 20 – odst. 9

Znění navržené Komisí	Pozměňovací návrh
9. Jednotné kontaktní místo předkládá každý měsíc agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o incidentech, závažných kybernetických hrozbách a případech, kdy téměř došlo k incidentu, oznámených podle odstavce 1 a 2 a podle článku 27. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA vydat technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny.	9. Jednotné kontaktní místo předkládá každý měsíc agentuře ENISA souhrnnou zprávu zahrnující anonymizovaná a agregovaná data o incidentech, závažných kybernetických hrozbách a případech, kdy téměř došlo k incidentu, oznámených podle odstavce 1 a podle článku 27. V zájmu větší srovnatelnosti poskytovaných informací může agentura ENISA vydat technické pokyny k parametrům informací, jež mají být v souhrnné zprávě uvedeny.

Pozměňovací návrh  122

Návrh směrnice

Čl. 20 – odst. 10

Znění navržené Komisí	Pozměňovací návrh
10. Příslušné orgány poskytnou příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] informace o incidentech a kybernetických hrozbách oznámených podle odstavců 1 a 2 základními subjekty určenými jako kritické subjekty nebo subjekty, které jsou rovnocenné kritickým subjektům, podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů].	10. Příslušné orgány poskytnou příslušným orgánům určeným podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů] informace o incidentech a kybernetických hrozbách oznámených podle odstavce 1 základními subjekty určenými jako kritické subjekty nebo subjekty, které jsou rovnocenné kritickým subjektům, podle směrnice (EU) XXXX/XXXX [směrnice o odolnosti kritických subjektů].

Pozměňovací návrh  123

Návrh směrnice

Čl. 20 – odst. 11

Znění navržené Komisí	Pozměňovací návrh
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 a 2. Komise může rovněž přijmout prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.	11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1. Komise může rovněž přijmout prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Pozměňovací návrh  124

Návrh směrnice

Čl. 21 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. K prokázání splnění některých požadavků článku 18 mohou členské státy požadovat, aby základní a důležité subjekty certifikovaly některé produkty IKT, služby IKT a procesy IKT podle zvláštních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881. Produkty, služby a procesy podléhající certifikaci mohou být vyvinuty základním nebo důležitým subjektem nebo pořízeny od třetích stran.	1. K prokázání splnění některých požadavků článku 18 a s cílem zvýšit úroveň kybernetické bezpečnosti vybízejí po konzultaci se skupinou pro spolupráci a agenturou ENISA členské státy základní a důležité subjekty k tomu, aby certifikovaly některé produkty IKT, služby IKT a procesy IKT, ať už byly vypracovány základním nebo důležitým subjektem nebo získány od třetích stran, podle evropských systémů kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881 nebo podle podobných mezinárodně uznávaných systémů certifikace. Kdykoli je to možné, vybízí členské státy k harmonizovanému využívání přijatých systémů certifikace.

Pozměňovací návrh  125

Návrh směrnice

Čl. 21 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci upřesňující, které kategorie základních subjektů budou povinny obstarat si certifikát a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti podle odstavce 1. Akty v přenesené pravomoci se přijímají v souladu s článkem 36.	2. Komise pravidelně posuzuje účinnost a využívání přijatých evropských systémů certifikace kybernetické bezpečnosti podle článku 49 nařízení (EU) 2019/881 a určí, které kategorie základních subjektů budou vyzvány k tomu, aby si obstaraly certifikát, a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti podle odstavce 1.

Pozměňovací návrh  126

Návrh směrnice

Čl. 22 – odst. -1 (nový)

Znění navržené Komisí	Pozměňovací návrh
	-1. Komise ve spolupráci s agenturou ENISA podpoří a prosadí rozvoj a provádění norem pro harmonizované provádění čl. 18 odst. 1 a 2 stanovených příslušnými orgány Unie a mezinárodními normalizačními organizacemi. Komise podpoří aktualizaci těchto norem s ohledem na technologický vývoj.

Pozměňovací návrh  127

Návrh směrnice

Čl. 22 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy za účelem harmonizovaného provádění čl. 18 odst. 1 a 2 podporují používání evropských nebo mezinárodně uznávaných norem nebo specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.	1. Členské státy za účelem harmonizovaného provádění čl. 18 odst. 1 a 2 a v souladu s pokyny agentury ENISA a skupiny pro spolupráci podporují používání evropských nebo mezinárodně uznávaných norem nebo specifikací upravujících bezpečnost sítí a informačních systémů, aniž by přitom vyžadovaly používání konkrétního druhu technologie nebo diskriminujícím způsobem prosazovaly jeho používání.

Pozměňovací návrh  128

Návrh směrnice

Čl. 23 – název

Znění navržené Komisí	Pozměňovací návrh
Databáze doménových jmen a registračních údajů	Databázová infrastruktura doménových jmen a registračních údajů

Pozměňovací návrh  129

Návrh směrnice

Čl. 23 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD shromažďovaly a uchovávaly přesné a úplné údaje o registraci doménových jmen ve vyhrazeném databázovém zařízení, a to s náležitou péčí podle právních předpisů Unie o ochraně osobních údajů, pokud jde o data, jež jsou osobními údaji.	1. Aby členské státy přispěly k bezpečnosti, stabilitě a odolnosti DNS, zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD shromažďovaly, ověřovaly a uchovávaly přesné a úplné údaje o registraci doménových jmen, které jsou nezbytné pro poskytování jejich služeb, ve vyhrazeném databázovém zařízení, a to s náležitou péčí podle právních předpisů Unie o ochraně osobních údajů, pokud jde o data, jež jsou osobními údaji.

Pozměňovací návrh  130

Návrh směrnice

Čl. 23 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Členské státy zajistí, aby databáze údajů o registraci doménových jmen uvedené v odstavci 1 obsahovaly podstatné informace umožňující identifikaci a kontaktování držitelů doménových jmen a kontaktní místa spravující doménová jména v registrech TLD.	2. Členské státy zajistí, aby databázová infrastruktura údajů o registraci doménových jmen uvedená v odstavci 1 obsahovala podstatné informace zahrnující alespoň jména držitelů registrace, jejich fyzickou a e-mailovou adresu a také jejich telefonní číslo, což jsou údaje nezbytné k identifikaci a kontaktování držitelů doménových jmen, a kontaktní místa spravující doménová jména v registrech TLD, včetně alespoň jména držitelů registrace, fyzické adresy, e-mailové adresy a telefonního čísla.

Pozměňovací návrh  131

Návrh směrnice

Čl. 23 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD měly zavedeny zásady a postupy zajišťující, aby databáze zahrnovaly přesné a úplné informace. Členské státy zajistí, aby byly tyto zásady a postupy veřejně dostupné.	3. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD měly zavedeny zásady a postupy zajišťující, aby databázová infrastruktura zahrnovala přesné, ověřené a úplné informace a aby nepřesné a neúplné údaje byly opraveny nebo neprodleně vymazány držitelem registrace. Členské státy zajistí, aby byly tyto zásady a postupy veřejně dostupné.

Pozměňovací návrh  132

Návrh směrnice

Čl. 23 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD zveřejnily neprodleně po registraci doménového jména údaje o registraci domény, které nejsou osobními údaji.	4. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen zveřejnily neprodleně, nejpozději však do 24 hodin po registraci doménového jména, veškeré údaje o registraci domény právnických osob jako držitelů registrace.

Pozměňovací návrh  133

Návrh směrnice

Čl. 23 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD poskytovaly přístup ke konkrétním údajům o registraci doménových jmen na oprávněnou a řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen pro TLD neprodleně reagovaly na všechny žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.	5. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen musely poskytovat přístup ke konkrétním údajům o registraci doménových jmen na řádně odůvodněnou žádost oprávněných žadatelů o přístup, a to v souladu s právními předpisy Unie o ochraně osobních údajů. Členské státy zajistí, aby registry TLD a subjekty poskytující služby registrace doménových jmen neprodleně, a v každém případě do 72 hodin, reagovaly na všechny oprávněné a řádně odůvodněné žádosti o přístup. Členské státy zajistí, aby byly zásady a postupy zveřejňování těchto údajů veřejně dostupné.

Pozměňovací návrh  134

Návrh směrnice

Čl. 24 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Pro účely této směrnice se má za to, že hlavním místem obchodní činnosti subjektů uvedených v odstavci 1 v Unii je členský stát, v němž přijímají rozhodnutí týkající se opatření k řízení rizik v oblasti kybernetické bezpečnosti. Jestliže tato rozhodnutí nejsou přijímána v žádné provozovně v Unii, má se za to, že hlavní místo obchodní činnosti je v členském státě, kde mají subjekty provozovnu s nejvyšším počtem zaměstnanců v Unii.	2. Pro účely této směrnice se má za to, že hlavním místem obchodní činnosti subjektů uvedených v odstavci 1 v Unii je členský stát, v němž přijímají rozhodnutí týkající se opatření k řízení rizik v oblasti kybernetické bezpečnosti. Jestliže tato rozhodnutí nejsou přijímána v žádné provozovně v Unii, má se za to, že hlavní místo obchodní činnosti je v členském státě, kde mají subjekty provozovnu s nejvyšším počtem zaměstnanců v Unii. Děje se tak způsobem, který zajistí, že na vnitrostátní regulační orgány nebude kladena nepřiměřená zátěž.

Pozměňovací návrh  135

Návrh směrnice

Čl. 25 – odst. 1 – návětí

Znění navržené Komisí	Pozměňovací návrh
1. Agentura ENISA vytvoří a vede registr základních a důležitých subjektů uvedených v čl. 24 odst. 1. Subjekty předloží [nejpozději do 12 měsíců od vstupu této směrnice v platnost] agentuře ENISA tyto informace:	1. Agentura ENISA vytvoří a vede registr základních a důležitých subjektů uvedených v čl. 24 odst. 1. Subjekty za tímto účelem předloží [nejpozději do 12 měsíců od vstupu této směrnice v platnost] agentuře ENISA tyto informace:

Pozměňovací návrh  136

Návrh směrnice

Čl. 26 – odst. 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných kapacit, zveřejňováním informací o zranitelnostech a jejich nápravou, prostřednictvím metod zjišťování hrozeb, strategií zmírňování nebo fází reakce a obnovy.	b) zvyšuje úroveň kybernetické bezpečnosti, zejména zvyšováním informovanosti o kybernetických hrozbách, omezováním nebo bráněním schopnosti těchto hrozeb šířit se, podporou obranných kapacit, zveřejňováním informací o zranitelnostech a jejich nápravou, prostřednictvím metod zjišťování hrozeb a jejich předcházení, strategií zmírňování nebo fází reakce a obnovy.

Pozměňovací návrh  137

Návrh směrnice

Čl. 26 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Členské státy stanoví pravidla upřesňující postup, provozní prvky (včetně použití vyhrazených platforem IKT), obsah a podmínky ujednání o sdílení informací podle odstavce 2. Tato pravidla rovněž podrobně upravují zapojení veřejných orgánů do těchto ujednání, jakož i provozní prvky, včetně využití vyhrazených platforem IT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 5 odst. 2 písm. g).	3. Členské státy stanoví pokyny upřesňující postup, provozní prvky (včetně použití vyhrazených platforem IKT), obsah a podmínky ujednání o sdílení informací podle odstavce 2. Tyto pokyny rovněž zahrnují podrobné údaje o případném zapojení veřejných orgánů a nezávislých odborníků do těchto ujednání, jakož i provozní prvky, včetně využití vyhrazených platforem IT. Členské státy nabídnou podporu při uplatňování těchto ujednání v souladu se svými politikami uvedenými v čl. 5 odst. 2 písm. g).

Pozměňovací návrh  138

Návrh směrnice

Čl. 26 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. V souladu s právem Unie podporuje agentura ENISA vznik ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2 poskytováním osvědčených postupů a doporučení.	5. V souladu s právem Unie podporuje agentura ENISA vznik ujednání o sdílení informací o kybernetické bezpečnosti podle odstavce 2 poskytováním osvědčených postupů a doporučení a tím, že usnadňuje sdílení informací na úrovni Unie, přičemž chrání citlivé obchodní informace. K poskytnutí osvědčených postupů je na žádost základních a důležitých subjektů vyzvána skupina pro spolupráci.

Pozměňovací návrh  139

Návrh směrnice

Čl. 27 – odst. -1 (nový)

Znění navržené Komisí	Pozměňovací návrh
	-1. Členské státy zajistí, aby základní a důležité subjekty mohly dobrovolně podávat oznámení o kybernetických hrozbách, které tyto subjekty zjistí a které by mohly mít za následek významný incident. Členské státy zajistí, aby za účelem těchto oznámení subjekty jednaly v souladu s postupem stanoveným v článku 20. Na základě dobrovolného oznámení nesmí být oznamujícímu subjektu uloženy žádné dodatečné povinnosti.

Pozměňovací návrh  140

Návrh směrnice

Čl. 27 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
Členské státy zajistí, aniž je dotčen článek 3, aby subjekty, které nespadají do oblasti působnosti této směrnice, mohly dobrovolně oznamovat významné incidenty, kybernetické hrozby nebo případy, kdy téměř došlo k incidentu. Při zpracování oznámení postupují členské státy postupem uvedeným v článku 20. Členské státy mohou dát přednost zpracování povinných oznámení před dobrovolnými oznámeními. Na základě dobrovolného oznámení nesmí být oznamujícímu subjektu uloženy žádné další povinnosti, které by mu nebyly uloženy, kdyby toto oznámení neučinil.	1. Členské státy zajistí, aniž je dotčen článek 3, aby subjekty, které nespadají do oblasti působnosti této směrnice, mohly dobrovolně oznamovat významné incidenty, kybernetické hrozby nebo případy, kdy téměř došlo k incidentu. Při zpracování oznámení postupují členské státy postupem uvedeným v článku 20. Členské státy upřednostní zpracování povinných oznámení před dobrovolnými oznámeními. Na základě dobrovolného oznámení nesmí být oznamujícímu subjektu uloženy žádné další povinnosti, které by mu nebyly uloženy, kdyby toto oznámení neučinil, příslušný členský stát mu však může poskytnout pomoc ze strany týmů CSIRT.

Pozměňovací návrh  141

Návrh směrnice

Čl. 28 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Členské státy zajistí, aby příslušné orgány účinně monitorovaly dodržování této směrnice a činily opatření nezbytná k zajištění jejího dodržování, zejména povinností stanovených v článcích 18 a 20.	1. Členské státy zajistí, aby příslušné orgány účinně monitorovaly dodržování této směrnice a činily opatření nezbytná k zajištění jejího dodržování, zejména povinností stanovených v článcích 18 a 20, a aby jim byly poskytnuty odpovídající prostředky potřebné k plnění jejich úlohy.

Pozměňovací návrh  142

Návrh směrnice

Čl. 28 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány pro ochranu osobních údajů.	2. Při řešení incidentů, v jejichž důsledku došlo k porušení ochrany osobních údajů, příslušné orgány úzce spolupracují s orgány pro ochranu osobních údajů, přičemž v relevantních případech spolupracují také s orgány pro ochranu údajů z jiných členských států.

Pozměňovací návrh  143

Návrh směrnice

Čl. 29 – odst. 2 – písm. c

Znění navržené Komisí	Pozměňovací návrh
c) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	c) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik, které provádí kvalifikované nezávislé subjekty nebo příslušné orgány;

Pozměňovací návrh  144

Návrh směrnice

Čl. 29 – odst. 2 – písm. f

Znění navržené Komisí	Pozměňovací návrh
f) požadavkům na přístup k údajům, dokumentům nebo veškerým informacím potřebným pro výkon jejich dohledových úkolů;	f) požadavkům na přístup k relevantním údajům, dokumentům nebo informacím potřebným pro výkon jejich dohledových úkolů;

Pozměňovací návrh  145

Návrh směrnice

Čl. 29 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Při výkonu svých pravomocí podle odst. 2 písm. e) až g) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.	3. Při výkonu svých pravomocí podle odst. 2 písm. e) až g) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány, a omezí své žádosti na rozsah incidentu nebo znepokojivé události.

Pozměňovací návrh  146

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) pozastavit nebo požádat certifikační nebo schvalovací orgán o pozastavení certifikace nebo schválení týkající se všech nebo některých služeb nebo činností poskytovaných základním subjektem;	a) pozastavit nebo požádat certifikační nebo schvalovací orgán o pozastavení certifikace nebo schválení týkající se příslušných služeb nebo činností poskytovaných základním subjektem;

Pozměňovací návrh  147

Návrh směrnice

Čl. 29 – odst. 5 – pododstavec 1 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) uložit nebo požadovat, aby příslušné orgány nebo soudy v souladu s vnitrostátními právními předpisy uložily dočasný zákaz výkonu manažerských funkcí v tomto subjektu jakékoli osobě, která má manažerskou odpovědnost na úrovni výkonného ředitele nebo zákonného zástupce v tomto základním subjektu, i jakékoli jiné fyzické osobě odpovědné za porušení.	vypouští se

Pozměňovací návrh  148

Návrh směrnice

Čl. 30 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Při předložení důkazů nebo informací naznačujících, že důležitý subjekt neplní povinnosti stanovené v této směrnici, zejména v článcích 18 a 20, členské státy zajistí, aby příslušné orgány v případě potřeby přijaly opatření prostřednictvím dohledových opatření ex post.	1. Při předložení důkazů nebo informací naznačujících, že důležitý subjekt neplní povinnosti stanovené v této směrnici, zejména v článcích 18 a 20, členské státy zajistí, aby příslušné orgány v případě potřeby a s ohledem na přístup založený na rizicích přijaly opatření prostřednictvím dohledových opatření ex post.

Pozměňovací návrh  149

Návrh směrnice

Čl. 30 – odst. 2 – písm. b

Znění navržené Komisí	Pozměňovací návrh
b) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik;	b) cíleným bezpečnostním auditům na základě posouzení rizik nebo dostupných informací týkajících se rizik, které provede kvalifikovaný nezávislý subjekt nebo příslušný orgán;

Pozměňovací návrh  150

Návrh směrnice

Čl. 30 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Při výkonu svých pravomocí podle odst. 2 písm. d) nebo e) uvedou příslušné orgány účel žádosti a upřesní informace, které jsou požadovány.	3. Při výkonu svých pravomocí podle odst. 2 písm. d) nebo e) uvedou příslušné orgány účel žádosti, upřesní informace, které jsou požadovány, a omezí své žádosti na rozsah incidentu nebo znepokojivé události.

Pozměňovací návrh  151

Návrh směrnice

Čl. 31 – odst. 4

Znění navržené Komisí	Pozměňovací návrh
4. Členské státy zajistí, aby za porušení povinností stanovených v článku 18 nebo článku 20 byly v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na nejméně 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu podniku, ke kterému patřil základní nebo důležitý subjekt v předchozím rozpočtovém roce, podle toho, co je vyšší.	4. Členské státy zajistí, aby za porušení povinností stanovených v článku 18 nebo článku 20 byly v souladu s odstavci 2 a 3 tohoto článku uloženy správní pokuty, jejichž maximální výše bude stanovena na 10 000 000 EUR nebo 2 % celkového celosvětového ročního obratu podniku, ke kterému patřil základní nebo důležitý subjekt v předchozím rozpočtovém roce, podle toho, co je vyšší.

Pozměňovací návrh  152

Návrh směrnice

Čl. 32 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí v přiměřené lhůtě orgány dohledu příslušné podle článků 55 a 56 uvedeného nařízení.	1. Pokud mají příslušné orgány informace naznačující, že porušení povinností stanovených v článcích 18 a 20 základním nebo důležitým subjektem má za následek porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 nařízení (EU) 2016/679, které musí být oznámeno podle článku 33 uvedeného nařízení, uvědomí neprodleně a v každém případě do 72 hodin orgány dohledu příslušné podle článků 55 a 56 uvedeného nařízení.

Pozměňovací návrh  153

Návrh směrnice

Čl. 32 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, může příslušný orgán informovat dozorový úřad se sídlem ve stejném členském státě.	3. Pokud má dozorový úřad příslušný podle nařízení (EU) 2016/679 sídlo v jiném členském státě než příslušný orgán, informuje příslušný orgán také dozorový úřad se sídlem ve stejném členském státě.

Pozměňovací návrh  154

Návrh směrnice

Čl. 36 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 18 odst. 6 a v čl. 21 odst. 2 je svěřena Komisi na dobu pěti let ode dne […]	2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 18 odst. 5 a v čl. 20 odst. 3 je svěřena Komisi na dobu pěti let ode dne […]

Pozměňovací návrh  155

Návrh směrnice

Čl. 36 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 18 odst. 6 a v čl. 21 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.	3. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 5 a čl. 20 odst. 3 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.

Pozměňovací návrh  156

Návrh směrnice

Čl. 36 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 6 a čl. 21 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.	6. Akt v přenesené pravomoci přijatý podle čl. 18 odst. 5 a čl. 20 odst. 3 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

 

PŘÍLOHA: LIST OF ENTITIES OR PERSONS
FROM WHOM THE RAPPORTEUR HAS RECEIVED INPUT

The following list is drawn up on a purely voluntary basis under the exclusive responsibility of the rapporteur. The rapporteur has received input from the following entities or persons in the preparation of the opinion, until the adoption thereof in committee:

Person	Entity
	BSA (The Software Alliance)
	BusinessEurope
	Confederation of Danish Industries
	Danish Permanent Representation
	Deutsche Telekom
	Digital Europe
	DOT Europe
	ETNO (European Telecommunications Network Operators)
	French Permanent Representation
	German Permanent Representation
	HUAWEI
	IFPI
	INTEL
	ITI (The Information Technology Industry Council)
	Kaspersky
	MÆRSK
	Microsoft
	ICANN
	MOTION PICTURE ASSOCIATION
	Orgalim
	Palo Alto Networks
	Rettighedsalliancen

 

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název	Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a zrušení směrnice (EU) 2016/1148
Referenční údaje	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Příslušný výbor  Datum oznámení na zasedání	ITRE 21.1.2021
Výbor, který vypracoval stanovisko  Datum oznámení na zasedání	IMCO 21.1.2021
Zpravodaj(ka)  Datum jmenování	Morten Løkkegaard 9.2.2021
Projednání ve výboru	26.5.2021	21.6.2021
Datum přijetí	12.7.2021
Výsledek konečného hlasování	+: –: 0:	42 1 2
Členové přítomní při konečném hlasování	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Brando Benifei, Adam Bielan, Hynek Blaško, Biljana Borzan, Vlad-Marius Botoş, Markus Buchheit, Andrea Caroppo, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Carlo Fidanza, Evelyne Gebhardt, Alexandra Geese, Sandro Gozi, Maria Grapini, Svenja Hahn, Virginie Joron, Eugen Jurzyca, Marcel Kolaja, Kateřina Konečná, Andrey Kovatchev, Jean-Lin Lacapelle, Maria-Manuel Leitão-Marques, Morten Løkkegaard, Antonius Manders, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein, Marco Zullo
Náhradníci přítomní při konečném hlasování	Clara Aguilera, Maria da Graça Carvalho, Christian Doleschal, Claude Gruffat, Jiří Pospíšil, Kosma Złotowski

 

 

JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO

42	+
ECR	Adam Bielan, Carlo Fidanza, Kosma Złotowski
ID	Alessandra Basso, Hynek Blaško, Markus Buchheit, Virginie Joron, Jean-Lin Lacapelle
PPE	Pablo Arias Echeverría, Andrea Caroppo, Maria da Graça Carvalho, Deirdre Clune, Christian Doleschal, Andrey Kovatchev, Antonius Manders, Jiří Pospíšil, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Sandro Gozi, Morten Løkkegaard, Marco Zullo
S&D	Alex Agius Saliba, Clara Aguilera, Brando Benifei, Biljana Borzan, Evelyne Gebhardt, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Claude Gruffat, Marcel Kolaja

 

1	-
NI	Miroslav Radačovský

 

2	0
ECR	Eugen Jurzyca
Renew	Svenja Hahn

 

Význam zkratek:

+ : pro

- : proti

0 : zdrželi se

 

 

 

 

 

STANOVISKO VÝBORU PRO DOPRAVU A CESTOVNÍ RUCH (14.7.2021)

pro Výbor pro průmysl, výzkum a energetiku

k návrhu směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Zpravodaj: Jakop G. Dalunde

 

 

STRUČNÉ ODŮVODNĚNÍ

Odvětví dopravy je vůči hrozbám v oblasti kybernetické bezpečnosti stále více zranitelnější a tyto hrozby jej stále více postihují. Vzhledem ke svým specifickým rysům je toto odvětví rovněž vystaveno řadě zvláštních slabých míst. Pozměňovací návrhy v tomto návrhu stanoviska jsou proto navrhovány s ohledem na tyto zvláštnosti, přestože jsou obecné povahy. Mé návrhy jsou relevantní pro dopravu z těchto důvodů:

 doprava často představuje mezinárodní podnikání, v němž mnoho subjektů spadá do jurisdikce několika členských států. Toto odvětví je proto silně ovlivněno nadměrnými rozdíly mezi členskými státy, pokud jde o řízení rizik v oblasti kybernetické bezpečnosti a povinností podávat zprávy;

 odvětví dopravy spoléhá na bezpečnou výměnu údajů mezi různými subjekty. Vzhledem k provázanosti odvětví logistiky by nedostatečná kybernetická bezpečnost jednoho subjektu mohla ohrozit celý systém a mít závažné důsledky pro provoz jiných subjektů;

 doprava je odvětvím s vysokým podílem lidské práce, a je proto obzvláště citlivá na kybernetické bezpečnostní hrozby mířené na zaměstnance.

Z těchto důvodů se pozměňovací návrhy zaměřují na tyto oblasti: posouzení míry rozdílů mezi členskými státy, pokud jde o povinnosti v oblasti kybernetické bezpečnosti, podporu sladění těchto povinností prostřednictvím nelegislativních prostředků, podporu školení zaměstnanců a šíření znalostí o rizicích v oblasti kybernetické bezpečnosti.

Kromě těchto obecných bodů je třeba poznamenat, že odvětví dopravy stále více využívá dálkové senzory, jež jsou při poskytování služeb schopné se připojit k internetu, a že samotná vozidla jsou stále více digitalizovaná. Ačkoli tato zařízení nemusí být nutně součástí širších informačních systémů, mohou vyžadovat zvláštní bezpečnostní hodnocení.

POZMĚŇOVACÍ NÁVRHY

Výbor pro dopravu a cestovní ruch vyzývá Výbor pro průmysl, výzkum a energetiku jako příslušný výbor, aby zohlednil tyto pozměňovací návrhy:

 

Pozměňovací návrh  1

 

Návrh směrnice

Bod odůvodnění 3

Znění navržené Komisí	Pozměňovací návrh
(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, včetně přeshraniční výměny. Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty brzdit provádění hospodářských činností na vnitřním trhu, způsobovat finanční ztráty, narušovat důvěru uživatelů a způsobovat velké škody hospodářství a společnosti Unie. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro řádné fungování vnitřního trhu důležitější než kdy předtím.	(3) Sítě a informační systémy se rozvinuly v ústřední prvek každodenního života s rychlou digitální transformací a vzájemnou propojeností společnosti, což přispívá k růstu nových obchodních modelů a  modelů služeb, jako jsou modely související se zakázkovou ekonomikou, sdílenou ekonomikou a ekonomikou platforem, a to i v oblasti přeshraniční výměny a přístupu „mobilita jako služba“ (MaaS). Tento vývoj vedl k prudkému rozšíření prostředí kybernetických bezpečnostních hrozeb a přináší nové výzvy, které vyžadují přizpůsobené, koordinované a inovativní reakce ve všech členských státech. Počet, rozsah, sofistikovanost, četnost výskytu a dopad kybernetických bezpečnostních incidentů narůstají a představují značnou hrozbu pro fungování sítí a informačních systémů. V důsledku toho mohou kybernetické incidenty škodit blahu společnosti, brzdit provádění hospodářských činností na vnitřním trhu i společenských aktivit, způsobovat finanční ztráty, narušovat důvěru uživatelů a pracovníků a způsobovat velké škody hospodářství a společnosti Unie, nebo dokonce představovat teroristickou hrozbu. Připravenost a účinnost v oblasti kybernetické bezpečnosti jsou dnes proto pro ochranu základních práv a svobod Unie a řádné fungování vnitřního trhu důležitější než kdy předtím. Kybernetická bezpečnost je navíc klíčovým faktorem, který mnoha klíčovým odvětvím, jako je doprava, umožňuje úspěšně se adaptovat na digitální transformaci a plně využít hospodářských, sociálních a udržitelných přínosů digitalizace.

Pozměňovací návrh  2

 

Návrh směrnice

Bod odůvodnění 9

Znění navržené Komisí	Pozměňovací návrh
(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi.	(9) Tato směrnice by se však měla vztahovat i na malé subjekty nebo mikrosubjekty, které splňují určitá kritéria, jež naznačují klíčovou úlohu pro hospodářství nebo společnosti členských států nebo pro konkrétní odvětví či konkrétní druhy služeb. Členské státy by měly být odpovědné za stanovení seznamu takových subjektů a předložit ho Komisi. Tento postup by se měl provádět s plným pochopením specifičnosti malých a středních podniků a neměl by pro ně představovat nadměrnou administrativní zátěž.

Pozměňovací návrh  3

 

Návrh směrnice

Bod odůvodnění 10

Znění navržené Komisí	Pozměňovací návrh
(10) Komise může ve spolupráci se skupinou pro spolupráci vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky.	(10) Komise může ve spolupráci se skupinou pro spolupráci a relevantními zúčastněnými stranami vydávat pokyny ohledně plnění kritérií platných pro mikropodniky a malé podniky. Komise by rovněž měla zajistit, že budou všem mikropodnikům a malým podnikům spadajícím do oblasti působnosti této směrnice poskytovány vhodné pokyny. Komise by měla v tomto ohledu s podporou členských států mikropodnikům a malým podnikům poskytovat informace. .

Pozměňovací návrh  4

 

Návrh směrnice

Bod odůvodnění 12

Znění navržené Komisí	Pozměňovací návrh
(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly incidenty nebo závažné kybernetické hrozby s alespoň rovnocenným účinkem jako povinnosti stanovené v této směrnici, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Komise může vydávat pokyny v souvislosti s prováděním lex specialis. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.	(12) Právní předpisy a nástroje specifické pro jednotlivá odvětví mohou přispět k zajištění vysoké úrovně kybernetické bezpečnosti při současném plném zohlednění zvláštností a složitosti těchto odvětví. Pokud právní akt Unie specifický pro určité odvětví vyžaduje, aby základní nebo důležité subjekty přijaly opatření k řízení kybernetických bezpečnostních rizik, nebo aby oznamovaly incidenty nebo závažné kybernetické hrozby s alespoň rovnocenným účinkem jako povinnosti stanovené v této směrnici, měla by platit tato ustanovení specifická pro dané odvětví, včetně ustanovení o dohledu a vymáhání. Aby se zabránilo právní nejistotě a zbytečné administrativní zátěži při výkladu a uplatňování této směrnice, měla by Komise zajistit soudržnost mezi touto směrnicí a příslušnými odvětvovými právními předpisy. Za tímto účelem by Komise měla v příslušných právních předpisech a regulačních požadavcích nebo postupech identifikovat zdvojení či nadbytečnosti s cílem odstranit je. Komise může vydávat pokyny v souvislosti s prováděním lex specialis. Tato směrnice nebrání přijetí dalších aktů Unie specifických pro určitá odvětví a týkajících se opatření k řízení kybernetických bezpečnostních rizik a oznamování incidentů. Touto směrnicí nejsou dotčeny stávající prováděcí pravomoci, jež byly Komisi svěřeny v řadě odvětví, včetně odvětví dopravy a energetiky.

Pozměňovací návrh  5

 

Návrh směrnice

Bod odůvodnění 15 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(15a) Rostoucí digitalizace klíčových hospodářských odvětví, jako je doprava, by měla probíhat bezpečným způsobem a zahrnovat odolnost, aby se zajistilo, že na rizika a hrozby bude celý dodavatelský řetězec reagovat odpovídajícím způsobem. Proto je zapotřebí koordinovaný přístup, který zajistí minimální úroveň bezpečnosti pro zařízení připojená k internetu, zejména pokud se vyskytují v odvětvích, jako je doprava, nebo jsou součástí vozidel, a zavede standardní používání šifrování mezi koncovými body.

Pozměňovací návrh  6

 

Návrh směrnice

Bod odůvodnění 17

Znění navržené Komisí	Pozměňovací návrh
(17) Vzhledem ke vzniku inovativních technologií a nových obchodních modelů se předpokládá, že v reakci na vyvíjející se potřeby zákazníků se na trhu objeví nové modely zavádění a služeb cloud computingu. V této souvislosti lze služby cloud computingu poskytovat ve vysoce distribuované podobě, ještě blíže k místu, kde jsou data generována nebo shromažďována, a přejít tak od tradičního modelu k vysoce distribuovanému modelu (tzv. „edge computing“).	(17) Vzhledem ke vzniku inovativních technologií, jako je umělá inteligence, nových obchodních modelů a nových modelů flexibilní práce a práce na dálku se předpokládá, že v reakci na vyvíjející se potřeby zákazníků a podniků se na trhu objeví nové modely zavádění a služeb cloud computingu. V této souvislosti lze služby cloud computingu poskytovat ve vysoce distribuované podobě, ještě blíže k místu, kde jsou data generována nebo shromažďována, a přejít tak od tradičního modelu k vysoce distribuovanému modelu (tzv. „edge computing“).

Pozměňovací návrh  7

 

Návrh směrnice

Bod odůvodnění 18 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(18a) Vzhledem k tomu, že zavedení autonomní mobility přinese značné výhody, ale rovněž s sebou nese řadu nových rizik, zejména pokud jde o bezpečnost silničního provozu, kybernetickou bezpečnost, práva duševního vlastnictví, otázky týkající se ochrany údajů a přístupu k údajům, technickou infrastrukturu, standardizaci a zaměstnanost, je velmi důležité zajistit, aby právní rámec Unie odpovídajícím způsobem reagoval na tyto výzvy a účinně řídil všechna rizika pro bezpečnost sítí a informačních systémů.

Pozměňovací návrh  8

 

Návrh směrnice

Bod odůvodnění 18 b (nový)

Znění navržené Komisí	Pozměňovací návrh
	(18b) Pandemie koronaviru ukázala, jak je důležité připravit Unii na digitální desetiletí a že je třeba neustále zlepšovat kybernetickou odolnost. Cílem této směrnice je proto stanovit minimální pravidla pro fungování koordinovaného regulačního rámce s cílem umožnit digitální transformaci a inovace v autonomní dopravě, logistice a řízení dopravy ve všech druzích dopravy a posílit odolnost uživatelů, zejména mikropodniků, malých a středních podniků a začínajících podniků, vůči kybernetickým útokům a kapacitu na řešení zranitelných míst.

Pozměňovací návrh  9

 

Návrh směrnice

Bod odůvodnění 19

Znění navržené Komisí	Pozměňovací návrh
(19) Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES18 a rovněž poskytovatelé expresních a kurýrních doručovacích služeb by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, a zejména výběr, třídění nebo dodání, včetně služeb souvisejících s vyzvedáváním. Přepravní služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by neměly spadat do oblasti působnosti poštovních služeb.	(19) Poskytovatelé poštovních služeb ve smyslu směrnice Evropského parlamentu a Rady 97/67/ES18 a rovněž poskytovatelé expresních a kurýrních doručovacích služeb by měli této směrnici podléhat, pokud poskytují alespoň jeden z kroků v poštovním řetězci, a zejména výběr, třídění nebo dodání, včetně služeb souvisejících s vyzvedáváním. Přepravní služby a doručovací služby, které nejsou poskytovány ve spojení s některým z těchto kroků, by neměly spadat do oblasti působnosti poštovních služeb.
__________________	__________________
18 Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby (Úř. věst. L 15, 21.1.1998, s. 14).	18 Směrnice Evropského parlamentu a Rady 97/67/ES ze dne 15. prosince 1997 o společných pravidlech pro rozvoj vnitřního trhu poštovních služeb Společenství a zvyšování kvality služby (Úř. věst. L 15, 21.1.1998, s. 14).

Pozměňovací návrh  10

 

Návrh směrnice

Bod odůvodnění 27 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(27a) Členské státy by se ve svých vnitrostátních strategiích kybernetické bezpečnosti měly zaměřit na specifické potřeby malých a středních podniků v oblasti kybernetické bezpečnosti, konkrétně na nízké povědomí o kybernetické bezpečnosti, nedostatečnou bezpečnost IT na dálku, vysoké náklady na řešení v oblasti kybernetické bezpečnosti a zvýšenou úroveň hrozby. Členské státy by měly mít kontaktní místo pro kybernetickou bezpečnost pro MSP, na němž by mohly poskytovat příslušné informace, služby a poradenství.

Pozměňovací návrh  11

 

Návrh směrnice

Bod odůvodnění 33

Znění navržené Komisí	Pozměňovací návrh
(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel.	(33) Při vypracování pokynů by skupina pro spolupráci měla důsledně: mapovat vnitrostátní řešení a zkušenosti, posuzovat dopad výstupů skupiny pro spolupráci na přístupy členských států, diskutovat o problémech spojených s prováděním a formulovat konkrétní doporučení, která je třeba zohlednit prostřednictvím lepšího provádění stávajících pravidel, a to zejména k usnadnění sladění provádění této směrnice ve členských státech. Skupina pro spolupráci by měla rovněž zmapovat vnitrostátní řešení s cílem šířit kompatibilitu řešení v oblasti kybernetické bezpečnosti uplatňovaných v jednotlivých odvětvích v celé Evropě. To je obzvláště důležité pro odvětví, která mají mezinárodní a přeshraniční povahu, jako je doprava.

Pozměňovací návrh  12

 

Návrh směrnice

Bod odůvodnění 34

Znění navržené Komisí	Pozměňovací návrh
(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako je Evropské centrum pro boj proti kyberkriminalitě (EC3), Agentura Evropské unie pro bezpečnost letectví (EASA) a Agentura Evropské unie pro kosmický program (EUSPA).	(34) Skupina pro spolupráci by i nadále měla být flexibilním fórem a měla by být schopna reagovat na měnící se a nové priority a výzvy politik, a přitom brát v úvahu dostupnost zdrojů. Měla by organizovat pravidelná společná setkání s relevantními soukromými zúčastněnými stranami z celé Unie za účelem projednání činností prováděných skupinou a shromažďování vstupů týkajících se vznikajících politických výzev. S cílem posílit spolupráci na úrovni Unie by skupina měla zvážit případné pozvání k účasti na její činnosti pro instituce a agentury Unie zapojené do politiky v oblasti kybernetické bezpečnosti, jako jsou Evropské centrum pro boj proti kyberkriminalitě (EC3), Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost, agentury Evropské unie odpovědné za bezpečnou dopravu – Agentura Evropské unie pro bezpečnost letectví (EASA), Evropská agentura pro námořní bezpečnost (EMSA), Agentura Evropské unie pro železnice (ERA) a Agentura Evropské unie pro kosmický program (EUSPA), jakož i jakýkoli jiný subjekt nebo agentura, jejichž odborné znalosti jsou relevantní pro diskuse skupiny.

Pozměňovací návrh  13

 

Návrh směrnice

Bod odůvodnění 37 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(37a) Nadměrné rozdíly v oblasti řízení kybernetických bezpečnostních rizik a povinností podávat zprávy při provedení této směrnice v členských státech by mohly ohrozit společnou úroveň kybernetické bezpečnosti v Unii. Agentura ENISA by proto měla ve spolupráci s Komisí ve své dvouleté zprávě o stavu kybernetické bezpečnosti v Unii vyhodnocovat míru rozdílů mezi členskými státy, pokud jde o řízení kybernetických bezpečnostních rizik a povinnosti podávat zprávy.

Pozměňovací návrh  14

 

Návrh směrnice

Bod odůvodnění 46 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	(46a) V zájmu zachování a ochrany kritických dodavatelských řetězců by se pozornost měla zaměřit také na ochranu celého dopravního a logistického řetězce. Dopravní a logistické řetězce sestávají z velkého počtu vzájemně propojených subjektů a systémů, v nichž se zboží přepravuje intermodálním způsobem prostřednictvím silniční, železniční, vnitrozemské vodní a námořní dopravy. Tento proces vyžaduje rychlou a spolehlivou výměnu údajů mezi různými články dopravního a logistického řetězce prostřednictvím různých rozhraní. Vzhledem k propojené povaze různých článků řetězce hrozí, že nedostatečné zabezpečení proti kybernetickým rizikům ohrozí fungování celého řetězce prostřednictvím domino efektu vyvolaného kybernetickým incidentem v jedné nebo několika částech dopravního a logistického řetězce.

Pozměňovací návrh  15

 

Návrh směrnice

Bod odůvodnění 47

Znění navržené Komisí	Pozměňovací návrh
(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.	(47) Posouzení rizik dodavatelského řetězce by s ohledem na charakteristické rysy dotčeného odvětví měla zohlednit jak technické, tak případné netechnické faktory včetně faktorů vymezených v doporučení (EU) 2019/534, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G, na němž se dohodla skupina pro spolupráci. K určení dodavatelských řetězců, které by měly podléhat koordinovanému posouzení rizik, by měla být vzata v úvahu tato kritéria: i) rozsah, v jakém základní a důležité subjekty využívají konkrétní kritické služby, systémy a produkty IKT a jsou na nich závislé; ii) relevantnost konkrétních služeb, systémů nebo produktů IKT pro plnění kritických nebo citlivých funkcí, včetně zpracování osobních údajů; iii) dostupnost alternativních služeb, systémů nebo produktů IKT; iv) odolnost celého dodavatelského řetězce služeb, systémů nebo produktů IKT vůči narušení; iva) míra, do níž jsou konkrétní kritické služby, systémy nebo produkty IKT, které přímo využívají spotřebitelé, odolné a uživatelsky vstřícné; a v) u vznikajících služeb, systémů nebo produktů IKT jejich budoucí význam pro činnost subjektů.

Pozměňovací návrh  16

 

Návrh směrnice

Bod odůvodnění 55

Znění navržené Komisí	Pozměňovací návrh
(55) Tato směrnice stanoví dvoustupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty dozvědí o incidentu, měly by být povinny předložit počáteční oznámení do 24 hodin a poté závěrečnou zprávu nejpozději do jednoho měsíce. Počáteční oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné, aby byl příslušný orgán zpraven o incidentu, a které subjektu umožňují v případě potřeby požádat o pomoc. V tomto oznámení by v daném případě mělo být uvedeno, zda je incident pravděpodobně způsoben protiprávním či zlovolným jednáním. Členské státy by měly zajistit, aby požadavek na předložení tohoto počátečního oznámení neodváděl zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Aby se dále zabránilo tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, členské státy by měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od lhůt 24 hodin pro počáteční oznámení a jeden měsíc pro konečnou zprávu.	(55) Tato směrnice stanoví dvoustupňový přístup k hlášení incidentů, tak aby bylo dosaženo správné rovnováhy mezi rychlým hlášením, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu, na jedné straně a podrobným hlášením, které čerpá cenná poučení z jednotlivých incidentů a s postupem času zvyšuje odolnost jednotlivých společností a celých odvětví vůči kybernetickým hrozbám, na straně druhé. Jakmile se subjekty dozvědí o incidentu, měly by být povinny předložit počáteční oznámení do 36 hodin a poté závěrečnou zprávu nejpozději do jednoho měsíce. Počáteční oznámení by mělo obsahovat pouze informace, které jsou zcela nezbytné, aby byl příslušný orgán zpraven o incidentu, a které subjektu umožňují v případě potřeby požádat o pomoc. V tomto oznámení by v daném případě mělo být uvedeno, zda je incident pravděpodobně způsoben protiprávním či zlovolným jednáním. Členské státy by měly zajistit, aby požadavek na předložení tohoto počátečního oznámení neodváděl zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu, které by měly mít přednost. Aby se dále zabránilo tomu, že by povinnosti hlášení incidentu odváděly zdroje od řešení reakce na incident nebo jinak narušovaly úsilí subjektů v tomto ohledu, členské státy by měly rovněž stanovit, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od lhůt 36 hodin pro počáteční oznámení a jeden měsíc pro konečnou zprávu.

Pozměňovací návrh  17

Návrh směrnice

Čl. 2 – odst. 2 – pododstavec 2

Znění navržené Komisí	Pozměňovací návrh
Členské státy stanoví seznam subjektů určených podle písmen b) až f) a předloží jej je do [6 měsíců po uplynutí lhůty pro provedení] Komisi. Členské státy tento seznam pravidelně přezkoumávají, a to alespoň každé dva roky od předložení, a v případě potřeby jej aktualizují.	Členské státy v úzké spolupráci s relevantními zúčastněnými stranami z daného odvětví stanoví seznam subjektů určených podle písmen b) až f) a předloží jej je do [6 měsíců po uplynutí lhůty pro provedení] Komisi. Členské státy tento seznam pravidelně přezkoumávají, a to alespoň každé dva roky od předložení, a v případě potřeby jej aktualizují.

Pozměňovací návrh  18

Návrh směrnice

Čl. 2 – odst. 6

Znění navržené Komisí	Pozměňovací návrh
6. Pokud ustanovení právních aktů Unie pro konkrétní odvětví vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo aby oznamovaly incidenty či významné kybernetické hrozby, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VI, se neuplatní.	6. Pokud ustanovení právních aktů Unie pro konkrétní odvětví vyžadují, aby základní nebo důležité subjekty přijaly opatření k řízení rizik v oblasti kybernetické bezpečnosti nebo aby oznamovaly incidenty či významné kybernetické hrozby, a pokud je účinek těchto opatření alespoň rovnocenný účinku povinností stanovených v této směrnici, a to i s ohledem na pravomoci, mandát a funkce příslušných dozorových orgánů, příslušná ustanovení této směrnice, včetně ustanovení o dohledu a vymáhání v kapitole VI, se neuplatní.

Pozměňovací návrh  19

 

Návrh směrnice

Čl. 5 – odst. 2 – písm. h

Znění navržené Komisí	Pozměňovací návrh
h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.	h) politiku řešící zvláštní potřeby malých a středních podniků, zejména těch, které nespadají do oblasti působnosti této směrnice, v souvislosti s pokyny, poskytováním nezbytných a komplexních informací a podporou při zlepšování jejich odolnosti vůči kybernetickým hrozbám.

Pozměňovací návrh  20

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) poskytovat příslušným orgánům doporučení v souvislosti s provedením této směrnice ve vnitrostátním právu a jejím uplatňováním;	a) poskytovat příslušným orgánům doporučení v souvislosti s provedením této směrnice ve vnitrostátním právu a jejím uplatňováním s cílem minimalizovat rozdíly mezi standardy jednotlivých členských států v oblasti řízení kybernetických bezpečnostních rizik a oznamovacích povinností;

 

Pozměňovací návrh  21

 

Návrh směrnice

Čl. 12 – odst. 4 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) mapovat vnitrostátní řešení s cílem podporovat kompatibilitu řešení v oblasti kybernetické bezpečnosti uplatňovaných v každém konkrétním odvětví v celé Unii;

Pozměňovací návrh  22

 

Návrh směrnice

Čl. 15 – odst. 1 – písm. c a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ca) míru rozdílů v oblasti řízení kybernetických bezpečnostních rizik a povinností podávat zprávy mezi členskými státy, a do jaké míry tyto rozdíly ovlivňují společnou úroveň kybernetické bezpečnosti v rámci Unie.

Pozměňovací návrh  23

 

Návrh směrnice

Čl. 16 – odst. 1 – písm. iii a (nové)

Znění navržené Komisí	Pozměňovací návrh
	iiia) doporučení, jak zlepšit soudržnost a právní jistotu při výkladu a uplatňování této směrnice a použitelných odvětvových právních předpisů se zaměřením na identifikaci a odstranění zdvojení nebo nadbytečností v příslušných právních předpisech, regulačních požadavcích nebo postupech;

Pozměňovací návrh  24

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. b a (nové)

Znění navržené Komisí	Pozměňovací návrh
	ba) politiky, programy a postupy s cílem zajistit, že zaměstnanci budou mít přiměřené znalosti k tomu, aby rozpoznali kybernetická bezpečnostní rizika, a praktické zkušenosti, které splňují vysoké standardy kybernetické bezpečnosti;

Pozměňovací návrh  25

 

Návrh směrnice

Čl. 18 – odst. 2 – písm. e

Znění navržené Komisí	Pozměňovací návrh
e) zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;	e) zabezpečení sítě a informačních systémů včetně mobilních prvků, jako jsou vozidla a dálkové senzory, jejich pořizování, vývoje a údržby, včetně zveřejňování informací o zranitelnostech a jejich řešení;

Pozměňovací návrh  26

 

Návrh směrnice

Čl. 18 – odst. 5

Znění navržené Komisí	Pozměňovací návrh
5. Komise může přijmout prováděcí akty, aby stanovila technické a metodické specifikace prvků uvedených v odstavci 2. Při přípravě těchto aktů postupuje Komise v souladu s přezkumným postupem uvedeným v čl. 37 odst. 2 a v maximální možné míře dodržuje mezinárodní a evropské normy, jakož i příslušné technické specifikace.	5. Komise může přijmout akty v přenesené pravomoci, aby stanovila technické a metodické specifikace prvků uvedených v odstavci 2. Příslušný akt v přenesené pravomoci se přijímá v souladu s článkem 36 a v maximální možné míře dodržuje mezinárodní a evropské normy, jakož i příslušné technické specifikace.

Pozměňovací návrh  27

 

Návrh směrnice

Čl. 18 – odst. 6 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	6a. V zájmu zajištění účinné politiky a usnadnění jejího provádění Komise konzultuje základní a důležité subjekty, zejména před přijetím aktů v přenesené pravomoci uvedených v odstavcích 5 a 6.

Pozměňovací návrh  28

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. a

Znění navržené Komisí	Pozměňovací návrh
a) neprodleně, nejpozději však do 24 hodin po zjištění incidentu, první oznámení, v němž případně uvedou, zda byl incident pravděpodobně způsoben neoprávněným nebo svévolným zásahem;	a) neprodleně, nejpozději však do 36 hodin po zjištění incidentu, první oznámení, v němž případně uvedou, zda byl incident pravděpodobně způsoben neoprávněným nebo svévolným zásahem;

Pozměňovací návrh  29

 

Návrh směrnice

Čl. 20 – odst. 4 – pododstavec 1 – písm. c – písm. iii

Znění navržené Komisí	Pozměňovací návrh
iii) učiněná a probíhající opatření ke zmírnění následků.	iii) učiněná a probíhající opatření ke zmírnění následků a jejich výsledky.

Pozměňovací návrh  30

 

Návrh směrnice

Čl. 20 – odst. 11

Znění navržené Komisí	Pozměňovací návrh
11. Komise může přijmout prováděcí akty dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 a 2. Komise může rovněž přijmout prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.	11. Komise může  souladu s článkem 36 přijmout akty v přenesené pravomoci dále upřesňující druh informací, formát a postup oznámení předkládaných podle odstavce 1 a 2 tohoto článku. Komise může rovněž přijmout prováděcí akty dále upřesňující případy, kdy se incident považuje za významný, jak je uvedeno v odstavci 3. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 37 odst. 2.

Pozměňovací návrh  31

 

Návrh směrnice

Čl. 21 – odst. 1

Znění navržené Komisí	Pozměňovací návrh
1. K prokázání splnění některých požadavků článku 18 mohou členské státy požadovat, aby základní a důležité subjekty certifikovaly některé produkty IKT, služby IKT a procesy IKT podle zvláštních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881. Produkty, služby a procesy podléhající certifikaci mohou být vyvinuty základním nebo důležitým subjektem nebo pořízeny od třetích stran.	1. K prokázání splnění některých požadavků článku 18 vybízejí členské státy základní a důležité subjekty k tomu, aby certifikovaly některé produkty IKT, služby IKT a procesy IKT, ať už byly vypracovány základním nebo důležitým subjektem, nebo získány od třetích stran, podle zvláštních evropských systémů certifikace kybernetické bezpečnosti přijatých podle článku 49 nařízení (EU) 2019/881 nebo v rámci podobných mezinárodně uznávaných certifikačních systémů.

Pozměňovací návrh  32

 

Návrh směrnice

Čl. 21 – odst. 1 a (nový)

Znění navržené Komisí	Pozměňovací návrh
	1a. Požadavky této směrnice týkajícími se certifikace kybernetické bezpečnosti nejsou dotčeny čl. 56 odst. 2 a 3 nařízení (EU) 2019/881.

Pozměňovací návrh  33

 

Návrh směrnice

Čl. 21 – odst. 2

Znění navržené Komisí	Pozměňovací návrh
2. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci upřesňující, které kategorie základních subjektů budou povinny obstarat si certifikát a podle kterých konkrétních evropských systémů certifikace kybernetické bezpečnosti podle odstavce 1. Akty v přenesené pravomoci se přijímají v souladu s článkem 36.	vypouští se

Pozměňovací návrh  34

 

Návrh směrnice

Čl. 21 – odst. 3

Znění navržené Komisí	Pozměňovací návrh
3. Komise může požádat agenturu ENISA, aby v případech, kdy není k dispozici žádný vhodný evropský systém certifikace kybernetické bezpečnosti pro účely odstavce 2, připravila návrh systému podle čl. 48 odst. 2 nařízení (EU) 2019/881.	3. Aby zvýšila celkovou úroveň kybernetické odolnosti, může Komise požádat agenturu ENISA, aby v případech, kdy není k dispozici žádný vhodný evropský systém certifikace kybernetické bezpečnosti, připravila návrh systému podle článků 47 a 48 nařízení (EU) 2019/881. Tyto návrhy systémů splňují požadavky stanovené v čl. 56 odst. 2 a 3 nařízení (EU) 2019/881.

POSTUP VE VÝBORU POŽÁDANÉM O STANOVISKO

Název	Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a zrušení směrnice (EU) 2016/1148
Referenční údaje	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Příslušný výbor  Datum oznámení na zasedání	ITRE 21.1.2021
Výbor, který vypracoval stanovisko  Datum oznámení na zasedání	TRAN 21.1.2021
Zpravodaj(ka)  Datum jmenování	Jakop G. Dalunde 3.2.2021
Datum přijetí	12.7.2021
Výsledek konečného hlasování	+: –: 0:	48 0 1
Členové přítomní při konečném hlasování	Magdalena Adamowicz, Andris Ameriks, Izaskun Bilbao Barandica, Paolo Borchia, Marco Campomenosi, Massimo Casanova, Ciarán Cuffe, Jakop G. Dalunde, Johan Danielsson, Karima Delli, Anna Deparnay-Grunenberg, Gheorghe Falcă, Giuseppe Ferrandino, Mario Furore, Søren Gade, Isabel García Muñoz, Elsi Katainen, Kateřina Konečná, Julie Lechanteux, Peter Lundgren, Benoît Lutgen, Elżbieta Katarzyna Łukacijewska, Marian-Jean Marinescu, Tilly Metz, Cláudia Monteiro de Aguiar, Caroline Nagtegaal, Jan-Christoph Oetjen, Philippe Olivier, João Pimenta Lopes, Rovana Plumb, Dominique Riquet, Dorien Rookmaker, Massimiliano Salini, Sven Schulze, Vera Tax, Barbara Thaler, Henna Virkkunen, Petar Vitanov, Elissavet Vozemberg-Vrionidi, Roberts Zīle, Kosma Złotowski
Náhradníci přítomní při konečném hlasování	Clare Daly, Nicola Danti, Angel Dzhambazki, Tomasz Frankowski, Michael Gahler, Maria Grapini, Alessandra Moretti, Marianne Vind

 

 

JMENOVITÉ KONEČNÉ HLASOVÁNÍ
VE VÝBORU POŽÁDANÉM O STANOVISKO

48	+
ECR	Angel Dzhambazki, Peter Lundgren, Roberts Zīle, Kosma Złotowski
ID	Paolo Borchia, Marco Campomenosi, Massimo Casanova, Julie Lechanteux, Philippe Olivier
NI	Mario Furore, Dorien Rookmaker
PPE	Magdalena Adamowicz, Gheorghe Falcă, Tomasz Frankowski, Michael Gahler, Elżbieta Katarzyna Łukacijewska, Benoît Lutgen, Marian-Jean Marinescu, Cláudia Monteiro de Aguiar, Massimiliano Salini, Sven Schulze, Barbara Thaler, Henna Virkkunen, Elissavet Vozemberg-Vrionidi
Renew	Izaskun Bilbao Barandica, Nicola Danti, Søren Gade, Elsi Katainen, Caroline Nagtegaal, Jan-Christoph Oetjen, Dominique Riquet
S&D	Andris Ameriks, Johan Danielsson, Giuseppe Ferrandino, Isabel García Muñoz, Maria Grapini, Alessandra Moretti, Rovana Plumb, Vera Tax, Marianne Vind, Petar Vitanov
The Left	Clare Daly, Kateřina Konečná
Verts/ALE	Ciarán Cuffe, Jakop G. Dalunde, Karima Delli, Anna Deparnay-Grunenberg, Tilly Metz

 

0	-

 

1	0
The Left	João Pimenta Lopes

 

Význam zkratek:

+ : pro

- : proti

0 : zdrželi se

 

 

 

POSTUP V PŘÍSLUŠNÉM VÝBORU

Název	Opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a zrušení směrnice (EU) 2016/1148
Referenční údaje	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Datum předložení Parlamentu	16.12.2020
Příslušný výbor  Datum oznámení na zasedání	ITRE 21.1.2021
Výbory požádané o stanovisko  Datum oznámení na zasedání	AFET 21.1.2021	ECON 21.1.2021	IMCO 21.1.2021	TRAN 21.1.2021
	CULT 21.1.2021	LIBE 21.1.2021
Nezaujetí stanoviska  Datum rozhodnutí	ECON 26.1.2021	CULT 11.1.2021
Přidružené výbory  Datum oznámení na zasedání	LIBE 20.5.2021
Zpravodajové  Datum jmenování	Bart Groothuis 14.1.2021
Projednání ve výboru	13.4.2021	26.5.2021
Datum přijetí	28.10.2021
Výsledek konečného hlasování	+: –: 0:	70 3 1
Členové přítomní při konečném hlasování	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Manuel Bompard, Paolo Borchia, Marc Botenga, Markus Buchheit, Cristian-Silviu Buşoi, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Bart Groothuis, Christophe Grudler, András Gyürk, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Zdzisław Krasnodębski, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Georg Mayer, Joëlle Mélin, Dan Nica, Angelika Niebler, Ville Niinistö, Aldo Patriciello, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Náhradníci přítomní při konečném hlasování	Rasmus Andresen, Marek Paweł Balt, Klemen Grošelj, Adam Jarubas, Elena Lizzi, Adriana Maldonado López, Bronis Ropė, Jordi Solé, Nils Torvalds
Datum předložení	4.11.2021

JMENOVITÉ KONEČNÉ HLASOVÁNÍ V PŘÍSLUŠNÉM VÝBORU

70	+
ECR	Izabela-Helena Kloc, Zdzisław Krasnodębski, Robert Roos, Beata Szydło, Grzegorz Tobiszowski
ID	Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Georg Mayer, Joëlle Mélin, Isabella Tovaglieri
NI	András Gyürk, Clara Ponsatí Obiols, Viktor Uspaskich
PPE	François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Adam Jarubas, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Aldo Patriciello, Markus Pieper, Sara Skyttedal, Maria Spyraki, Riho Terras, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Nils Torvalds
S&D	Marek Paweł Balt, Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Adriana Maldonado López, Dan Nica, Tsvetelina Penkova, Carlos Zorrinho
Verts/ALE	Rasmus Andresen, Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Manuela Ripa, Bronis Ropė, Jordi Solé

 

3	-
The Left	Manuel Bompard, Marc Botenga, Marisa Matias

 

1	0
ECR	Jessica Stegrud

 

Význam zkratek:

+ : pro

- : proti

0 : zdrželi se

 

 

• [1]  Úř. věst. C 286, 16.7.2021, p. 170.
• [2] 2020/0359(COD).
• [3] Stanovisko 5/2021: https://edps.europa.eu/system/files/2021-03/21-03-11_edps_nis2-opinion_en.pdf.
• [4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (text s významem pro EHP), Úř. věst. L 119, 4.5.2016, s. 1–88.
• [5] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), Úř. věst. L 201, 31.7.2002, s. 37–47.
• [6] 2020/0365(COD).
• [7] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (text s významem pro EHP), Úř. věst. L 119, 4.5.2016, s. 1–88.
• [8] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), Úř. věst. L 201, 31.7.2002, s. 37–47.