JELENTÉS az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre irányuló javaslatról

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Ipari, Kutatási és Energiaügyi Bizottság
Előadó: Bart Groothuis
A vélemény előadója (*):
Lukas Mandl az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részéről
(*) Társbizottsági eljárás – az eljárási szabályzat 57. cikke


Eljárás : 2020/0359(COD)
A dokumentum állapota a plenáris ülésen
Válasszon egy dokumentumot :  
A9-0313/2021
Előterjesztett szövegek :
A9-0313/2021
Elfogadott szövegek :

AZ EURÓPAI PARLAMENT JOGALKOTÁSI ÁLLÁSFOGLALÁS-TERVEZETE

az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre irányuló javaslatról

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Rendes jogalkotási eljárás: első olvasat)

Az Európai Parlament,

 tekintettel a Bizottság Parlamenthez és Tanácshoz intézett javaslatára (COM(2020)0823),

 tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (2) bekezdésére és 114. cikkére, amelyek alapján a Bizottság javaslatát benyújtotta a Parlamenthez (C9-0422/2020),

 tekintettel az Európai Unió működéséről szóló szerződés 294. cikkének (3) bekezdésére,

 tekintettel az Európai Gazdasági és Szociális Bizottság 2021. április 27-i véleményére[1],

 a Régiók Bizottságával folytatott konzultációt követően,

 tekintettel eljárási szabályzatának 59. cikkére,

 tekintettel az Állampolgári Jogi, Bel- és Igazságügyi Bizottság, a Külügyi Bizottság, a Belső Piaci és Fogyasztóvédelmi Bizottság, valamint a Közlekedési és Idegenforgalmi Bizottság véleményére,

 tekintettel az Ipari, Kutatási és Energiaügyi Bizottság jelentésére (A9-0313/2021),

1. elfogadja első olvasatban az alábbi álláspontot;

2. felkéri a Bizottságot, hogy utalja az ügyet újból a Parlamenthez, ha javaslatát másik szöveggel váltja fel, lényegesen módosítja vagy lényegesen módosítani kívánja;

3. utasítja elnökét, hogy továbbítsa a Parlament álláspontját a Tanácsnak és a Bizottságnak, valamint a nemzeti parlamenteknek.


Módosítás  1

 

Irányelvre irányuló javaslat

Cím

 

A Bizottság által javasolt szöveg

Módosítás

Javaslat

Javaslat

AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE

AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE

az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről

az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről (második kiberbiztonsági irányelv), valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről

Módosítás  2

 

Irányelvre irányuló javaslat

1 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(1) Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve11 célja a kiberbiztonsági képességek egész Unióban történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetéseinek enyhítése és az említett szolgáltatások folyamatosságának biztosítása a kiberbiztonsági események során, hozzájárulva ezzel az Unió gazdaságának és társadalmának hatékony működéséhez.

(1) Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve11 – közismert nevén a második kiberbiztonsági irányelv – célja a kiberbiztonsági képességek egész Unióban történő kiépítése, a kulcsfontosságú ágazatokban az alapvető szolgáltatások nyújtására használt hálózati és információs rendszerek fenyegetéseinek enyhítése és az említett szolgáltatások folyamatosságának biztosítása a kiberbiztonsági események során, hozzájárulva ezzel az Unió biztonságához, valamint gazdaságának és társadalmának hatékony működéséhez.

__________________

__________________

11 Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194/1., 2016.7.19., 1. o.).

11 Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194/1., 2016.7.19., 1. o.).

Módosítás  3

 

Irányelvre irányuló javaslat

3 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(3) A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberbiztonsági fenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. A kiberbiztonsági események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére. Ennek következtében a kiberbiztonsági események akadályozhatják a belső piaci gazdasági tevékenységek folytatását, pénzügyi veszteségeket okozhatnak, alááshatják a felhasználók bizalmát, és jelentős károkat okozhatnak az Unió gazdaságában és a társadalmában. A kiberbiztonsági felkészültség és hatásosság ezért minden eddiginél elengedhetetlenebb a belső piac megfelelő működéséhez.

(3) A hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberbiztonsági fenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. A kiberbiztonsági események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére. Ennek következtében a kiberbiztonsági események akadályozhatják a belső piaci gazdasági tevékenységek folytatását, pénzügyi veszteségeket okozhatnak, alááshatják a felhasználók bizalmát, és jelentős károkat okozhatnak az Unió gazdaságában és a társadalmában. A kiberbiztonsági felkészültség és hatásosság ezért minden eddiginél elengedhetetlenebb a belső piac megfelelő működéséhez. Emellett a kiberbiztonság számos kritikus ágazat szempontjából kulcsfontosságú tényező a digitális átállás sikeres megvalósításában és a digitalizáció gazdasági, társadalmi és fenntartható előnyeinek teljes körű kiaknázásában.

Módosítás  4

 

Irányelvre irányuló javaslat

3 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(3a) A nagyszabású kiberbiztonsági események és válsághelyzetek uniós szinten összehangolt fellépést tesznek szükségessé a gyors és hatékony reagálás biztosítása érdekében, az ágazatok és az országok közötti nagyfokú kölcsönös függőség miatt. A kibertámadásoknak ellenálló hálózatok és információs rendszerek – az adatok rendelkezésre állásának, bizalmas jellegének és integritásának biztosítása mellett – létfontosságúak az Unió biztonsága szempontjából, az uniós határokon belül és kívül egyaránt, mivel a kiberfenyegetések az Unión kívülről is eredhetnek. Az Unió geopolitikai szerepének növelésére vonatkozó törekvés záloga ugyancsak a hiteles kibervédelem és a kibertámadásoktól való elrettentés, ennek pedig része a rossz szándékú tevékenységek időben történő és hatékony azonosítása és a megfelelő reagálás is.

Módosítás  5

 

Irányelvre irányuló javaslat

5 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(5) Mindezek az eltérések a belső piac széttöredezettségével járnak, és káros hatással lehetnek annak működésére, különösen az eltérő előírások alkalmazása miatt a határokon átnyúló szolgáltatások nyújtására és a kiberreziliencia szintjére. Ennek az irányelvnek az a célja, hogy kiküszöbölje a tagállamok közötti ilyen nagy eltéréseket, különösen egy összehangolt szabályozási keret működésével kapcsolatos minimumszabályok megállapításával, az egyes tagállamok felelős hatóságai közötti hatékony együttműködés mechanizmusainak meghatározásával, a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listájának frissítésével, valamint olyan hatékony jogorvoslatok és szankciók biztosításával, amelyek kulcsfontosságúak e kötelezettségek tényleges érvényesítéséhez. Ezért az (EU) 2016/1148 irányelvet hatályon kívül kell helyezni, és azt ez az irányelv váltja fel.

(5) Mindezek az eltérések a belső piac széttöredezettségével járnak, és káros hatással lehetnek annak működésére, különösen az eltérő előírások alkalmazása miatt a határokon átnyúló szolgáltatások nyújtására és a kiberreziliencia szintjére. Ezek az eltérések végső soron azt eredményezhetik, hogy egyes tagállamok jobban ki vannak téve a kiberbiztonsági fenyegetéseknek, aminek az egész Unióra kiterjedő, tovagyűrűző hatásai lehetnek. Ennek az irányelvnek az a célja, hogy kiküszöbölje a tagállamok közötti ilyen nagy eltéréseket, különösen egy összehangolt szabályozási keret működésével kapcsolatos minimumszabályok megállapításával, az egyes tagállamok felelős hatóságai közötti hatékony együttműködés mechanizmusainak meghatározásával, a kiberbiztonsági kötelezettségek hatálya alá tartozó ágazatok és tevékenységek listájának frissítésével, valamint olyan hatékony jogorvoslatok és szankciók biztosításával, amelyek kulcsfontosságúak e kötelezettségek tényleges érvényesítéséhez. Ezért az (EU) 2016/1148 irányelvet hatályon kívül kell helyezni, és azt ez az irányelv (a második kiberbiztonsági irányelv) váltja fel.

Módosítás  6

 

Irányelvre irányuló javaslat

6 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(6) Ez az irányelv nem érinti a tagállamok azon képességét, hogy meghozzák alapvető biztonsági érdekeik védelme, a közrend és a közbiztonság védelme, valamint a bűncselekmények kivizsgálásának, felderítésének és üldözésének lehetővé tétele érdekében a szükséges intézkedéseket, az uniós joggal összhangban. Az EUMSZ 346. cikkének megfelelően egyetlen tagállam sem köteles olyan információkat szolgáltatni, amelyek nyilvánosságra hozatala ellentétes lenne alapvető közbiztonsági érdekeivel. Ebben az összefüggésben jelentőséggel bírnak a minősített információk védelmére vonatkozó nemzeti és uniós szabályok, a titoktartási megállapodások és az informális titoktartási megállapodások, például a jelzőlámpás protokoll (TLP)14.

(6) Ez az irányelv nem érinti a tagállamok azon képességét, hogy meghozzák alapvető biztonsági érdekeik védelme, a közrend és a közbiztonság védelme, valamint a bűncselekmények megakadályozásának, kivizsgálásának, felderítésének és üldözésének lehetővé tétele érdekében a szükséges intézkedéseket, az uniós joggal összhangban. Az EUMSZ 346. cikkének megfelelően egyetlen tagállam sem köteles olyan információkat szolgáltatni, amelyek nyilvánosságra hozatala ellentétes lenne alapvető közbiztonsági érdekeivel. Ebben az összefüggésben jelentőséggel bírnak a minősített információk védelmére vonatkozó nemzeti és uniós szabályok, a titoktartási megállapodások és az informális titoktartási megállapodások, például a jelzőlámpás protokoll (TLP)14.

__________________

__________________

14 A jelzőlámpás protokoll (TLP) arra szolgál, hogy az információkat megosztó személyek tájékoztassák közönségüket az információk további terjesztésének korlátairól. Használják szinte az összes CSIRT-közösségben és néhány információelemző és -megosztó központban (ISAC).

14 A jelzőlámpás protokoll (TLP) arra szolgál, hogy az információkat megosztó személyek tájékoztassák közönségüket az információk további terjesztésének korlátairól. Használják szinte az összes CSIRT-közösségben és néhány információelemző és -megosztó központban (ISAC).

Módosítás  7

 

Irányelvre irányuló javaslat

7 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(7) Az (EU) 2016/1148 irányelv hatályon kívül helyezésével az ágazati alkalmazási kört ki kell terjeszteni a gazdaság nagyobb részére, a (4)–(6) preambulumbekezdésben foglalt megfontolásokra figyelemmel. Az (EU) 2016/1148 irányelv hatálya alá tartozó ágazatokat ezért ki kell terjeszteni, hogy átfogóan lefedjék azokat az ágazatokat és szolgáltatásokat, amelyek létfontosságúak a belső piacon kulcsfontosságú társadalmi és gazdasági tevékenységek szempontjából. A szabályoknak nem szabad különbözniük aszerint, hogy a szervezetek alapvető szolgáltatásokat nyújtó szereplők vagy digitális szolgáltatók. E megkülönböztetés elavultsága bebizonyosodott, mivel nem tükrözi az ágazatok vagy szolgáltatások tényleges jelentőségét a belső piaci társadalmi és gazdasági tevékenységek szempontjából.

(7) Az (EU) 2016/1148 irányelv hatályon kívül helyezésével az ágazati alkalmazási kört ki kell terjeszteni a gazdaság nagyobb részére, a (4)–(6) preambulumbekezdésben foglalt megfontolásokra figyelemmel. Az (EU) 2016/1148 irányelv hatálya alá tartozó ágazatokat ezért ki kell terjeszteni, hogy átfogóan lefedjék azokat az ágazatokat és szolgáltatásokat, amelyek létfontosságúak a belső piacon kulcsfontosságú társadalmi és gazdasági tevékenységek szempontjából. A kockázatkezelési előírásoknak és a jelentéstételi kötelezettségeknek nem szabad különbözniük aszerint, hogy a szervezetek alapvető szolgáltatásokat nyújtó szereplők vagy digitális szolgáltatók. E megkülönböztetés elavultsága bebizonyosodott, mivel nem tükrözi az ágazatok vagy szolgáltatások tényleges jelentőségét a belső piaci társadalmi és gazdasági tevékenységek szempontjából.

Módosítás  8

 

Irányelvre irányuló javaslat

8 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(8) Az (EU) 2016/1148 irányelvvel összhangban a tagállamok voltak felelősek annak megállapításáért, hogy mely szervezetek felelnek meg az alapvető szolgáltatásokat nyújtó szereplők minősítés kritériumainak („azonosítási folyamat”). A tagállamok között e tekintetben mutatkozó nagy eltérések kiküszöbölése, valamint az összes érintett szervezet vonatkozásában a kockázatkezelési követelmények és a jelentéstételi kötelezettségek tekintetében a jogbiztonság biztosítása érdekében egy olyan egységes kritériumot kell megállapítani, amely meghatározza az ezen irányelv alkalmazásának hatálya alá tartozó szervezeteket. Ennek a kritériumnak tartalmaznia kell a méretkorlát szabály alkalmazását, amelynek során – a 2003/361/EK bizottsági ajánlás15 meghatározása szerinti – minden olyan közép- és nagyvállalkozás, amely az ezen irányelv hatálya alá tartozó ágazatokban működik vagy az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt, az irányelv hatálya alá tartoznak. A tagállamoktól nem követelhető meg azon szervezetek listájának létrehozása, amelyek megfelelnek ennek az általánosan alkalmazható, mérethez kapcsolódó kritériumnak.

(8) Az (EU) 2016/1148 irányelvvel összhangban a tagállamok voltak felelősek annak megállapításáért, hogy mely szervezetek felelnek meg az alapvető szolgáltatásokat nyújtó szereplők minősítés kritériumainak („azonosítási folyamat”). A tagállamok között e tekintetben mutatkozó nagy eltérések kiküszöbölése, valamint az összes érintett szervezet vonatkozásában a kockázatkezelési követelmények és a jelentéstételi kötelezettségek tekintetében a jogbiztonság biztosítása érdekében egy olyan egységes kritériumot kell megállapítani, amely meghatározza az ezen irányelv alkalmazásának hatálya alá tartozó szervezeteket. Ennek a kritériumnak tartalmaznia kell a méretkorlát szabály alkalmazását, amelynek során – a 2003/361/EK bizottsági ajánlás15 meghatározása szerinti – minden olyan közép- és nagyvállalkozás, amely az ezen irányelv hatálya alá tartozó ágazatokban működik vagy az irányelv hatálya alá tartozó típusú szolgáltatásokat nyújt, az irányelv hatálya alá tartoznak.

__________________

__________________

15 A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

15 A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

Módosítás  9

 

Irányelvre irányuló javaslat

9 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(9) Azonban az irányelvnek hatálya alá kell tartozniuk azoknak a kis- vagy mikrovállalkozásoknak is, amelyek megfelelnek azt jelző bizonyos feltételeknek, hogy kulcsfontosságú szerepet töltenek be a tagállamok gazdasága vagy társadalma, illetve bizonyos ágazatok vagy szolgáltatástípusok szempontjából. A tagállamoknak kell felelniük az említett szervezetek listájának elkészítéséért, és azt be kell nyújtaniuk a Bizottsághoz.

(9) Azonban az irányelvnek hatálya alá kell tartozniuk azoknak a kis- vagy mikrovállalkozásoknak is, amelyek megfelelnek azt jelző bizonyos feltételeknek, hogy kulcsfontosságú szerepet töltenek be a tagállamok gazdasága vagy társadalma, illetve bizonyos ágazatok vagy szolgáltatástípusok szempontjából.

Módosítás  10

 

Irányelvre irányuló javaslat

9 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(9a) A tagállamoknak össze kell állítaniuk az összes lényeges és fontos szervezet listáját. E jegyzéknek tartalmaznia kell az általánosan alkalmazandó, mérethez kapcsolódó kritériumokat teljesítő szervezeteket, valamint azokat a kisvállalkozásokat és mikrovállalkozásokat, amelyek megfelelnek bizonyos olyan kritériumoknak, amelyek jelzik a tagállamok gazdaságában vagy társadalmában betöltött kulcsfontosságú szerepüket. Annak érdekében, hogy a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) és az illetékes hatóságok segítséget nyújtsanak és figyelmeztessék a szervezeteket az őket esetlegesen érintő kiberbiztonsági eseményekre, fontos, hogy e hatóságok rendelkezzenek a szervezetek pontos elérhetőségi adataival. Az alapvető és fontos szervezeteknek ezért legalább a következő információkat kell benyújtaniuk az illetékes hatóságokhoz: a szervezet neve, címe és naprakész kapcsolattartási adatai, e-mail-címeit, IP-tartományait és telefonszámait, továbbá az I. és II. mellékletben említett érintett ágazatot/ágazatokat és alágazatot/alágazatokat is ideértve. A szervezeteknek értesíteniük kell az illetékes hatóságokat ezen információk bármely változásáról. A tagállamoknak indokolatlan késedelem nélkül biztosítaniuk kell, hogy ezeket az információkat egy egyedüli kapcsolattartó ponton keresztül könnyen meg lehessen adni. E célból az ENISA-nak az együttműködési csoporttal együttműködve indokolatlan késedelem nélkül iránymutatásokat és sablonokat kell kiadnia az értesítési kötelezettségekre vonatkozóan. A tagállamoknak értesíteniük kell a Bizottságot és az együttműködési csoportot az alapvető és fontos szervezetek számáról. Annak érdekében, hogy a Bizottság értékelni tudja a tagállami megközelítések közötti összhangot, a tagállamoknak az ezen irányelvben említett felülvizsgálat céljából értesíteniük kell a Bizottságot azon kisvállalkozások és mikrovállalkozások nevéről is, amelyeket alapvetőnek és fontosnak minősítettek. Ezt az információt szigorúan bizalmasan kell kezelni.

Módosítás  11

 

Irányelvre irányuló javaslat

10 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(10) A Bizottság az együttműködési csoporttal együttműködve iránymutatásokat adhat ki a mikro- és kisvállalkozásokra alkalmazandó kritériumok végrehajtásáról.

(10) A Bizottságnak az együttműködési csoporttal és az érintett érdekelt felekkel együttműködve iránymutatásokat kell kiadnia a mikro- és kisvállalkozásokra alkalmazandó kritériumok végrehajtásáról. A Bizottságnak biztosítania kell továbbá, hogy az ezen irányelv hatálya alá tartozó valamennyi mikro- és kisvállalkozás megfelelő iránymutatást kapjon. A Bizottságnak a tagállamok támogatásával tájékoztatnia kell a mikro- és kisvállalkozásokat e tekintetben.

Módosítás  12

 

Irányelvre irányuló javaslat

10 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(10a) A Bizottságnak emellett iránymutatásokat kell kiadnia annak érdekében is, hogy támogassa a tagállamokat a hatályra vonatkozó rendelkezések helyes végrehajtásában, valamint hogy értékelje az ezen irányelvben meghatározott kötelezettségek arányosságát, különös tekintettel az olyan, összetett üzleti modellel vagy működési környezettel rendelkező szervezetekre, amelyek egyidejűleg teljesíthetik az alapvető és a fontos szervezetekre vonatkozó kritériumokat, vagy egyidejűleg folytathatnak olyan tevékenységeket, amelyek közül egyesek ezen irányelv hatálya alá tartoznak, mások azonban nem.

Módosítás  13

 

Irányelvre irányuló javaslat

12 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(12) Az ágazatspecifikus jogszabályok és eszközök hozzájárulhatnak a magas szintű kiberbiztonság biztosításához, miközben teljes mértékben figyelembe veszik ezen ágazatok sajátosságait és összetettségét. Amennyiben egy ágazatspecifikus uniós jogi aktus előírja az alapvető vagy fontos szervezetek számára, hogy fogadjanak el kiberbiztonsági kockázatkezelési intézkedéseket, vagy jelentsék az eseményeket vagy a jelentős kiberfenyegetéseket, amelyek legalább egyenértékűek az ebben az irányelvben megállapított kötelezettségekkel, akkor ezeket az ágazatspecifikus rendelkezéseket kell alkalmazni, ideértve a felügyeletet és végrehajtást is. A Bizottság iránymutatásokat adhat ki a lex specialis végrehajtásával kapcsolatban. Ez az irányelv nem zárja ki a kiberbiztonsági kockázatkezelési intézkedésekkel és az események bejelentésével foglalkozó további ágazatspecifikus uniós jogi aktusok elfogadását. Ez az irányelv nem érinti a Bizottságra számos ágazatban – ideértve a közlekedést és az energiaágazatot is – átruházott, meglévő végrehajtási hatásköröket.

(12) Az ágazatspecifikus jogszabályok és eszközök hozzájárulhatnak a magas szintű kiberbiztonság biztosításához, miközben teljes mértékben figyelembe veszik ezen ágazatok sajátosságait és összetettségét. Azoknak az ágazatspecifikus uniós jogi aktusoknak, amelyek előírják az alapvető vagy fontos szervezetek számára, hogy kiberbiztonsági kockázatkezelési intézkedéseket fogadjanak el vagy jelentsék a jelentős biztonsági eseményeket, lehetőség szerint összhangban kell lenniük a terminológiával, és hivatkozniuk kell az ezen irányelvben foglalt fogalommeghatározásokra. Amennyiben egy ágazatspecifikus uniós jogi aktus előírja az alapvető vagy fontos szervezetek számára, hogy fogadjanak el kiberbiztonsági kockázatkezelési intézkedéseket, vagy jelentsék az eseményeket és amennyiben ezek az előírások legalább egyenértékűek az ebben az irányelvben megállapított kötelezettségekkel, továbbá hogy az alapvető vagy fontos szervezetek által végzett műveletek és szolgáltatások biztonsági aspektusainak teljes egészét alkalmazzák, akkor ezeket az ágazatspecifikus rendelkezéseket kell alkalmazni, ideértve a felügyeletet és végrehajtást is. A Bizottságnak átfogó iránymutatásokat kell kiadnia a lex specialis végrehajtásával kapcsolatban, figyelembe véve az ENISA és az együttműködési csoport vonatkozó véleményeit, szakértelmét és bevált gyakorlatait. Ez az irányelv nem zárja ki a kiberbiztonsági kockázatkezelési intézkedésekkel és az események bejelentésével foglalkozó további olyan ágazatspecifikus uniós jogi aktusok elfogadását, amelyek kellően figyelembe veszik az átfogó és következetes kiberbiztonsági keret szükségességét. Ez az irányelv nem érinti a Bizottságra számos ágazatban – ideértve a közlekedést és az energiaágazatot is – átruházott, meglévő végrehajtási hatásköröket.

Módosítás  14

 

Irányelvre irányuló javaslat

14 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(14) A kiberbiztonság és a szervezetek fizikai biztonsága közötti összefüggésekre tekintettel koherens megközelítést kell biztosítani az (EU) XXX/XXX európai parlamenti és tanácsi irányelv17 és ezen irányelv között. Ennek elérése érdekében a tagállamoknak biztosítaniuk kell, hogy az (EU) XXX/XXX irányelv alapján a kritikus jelentőségű szervezeteket és azokkal egyenértékű szervezeteket ezen irányelv alapján alapvető szervezeteknek tekintsék. A tagállamoknak arról is gondoskodniuk kell, hogy kiberbiztonsági stratégiáik biztosítsanak egy politikai keretet az ezen irányelv és az (EU) XXX/XXX irányelv szerinti illetékes hatóság közötti fokozott koordinációra az eseményekkel és a kiberfenyegetésekkel kapcsolatos információk megosztása és felügyeleti feladatok összefüggésében. A két irányelv szerinti hatóságoknak együtt kell működniük és információt kell cserélniük, különös tekintettel a kritikus szervezetek azonosítására, a kiberfenyegetésekre, a kiberbiztonsági kockázatokra, a kritikus szervezeteket érintő eseményekre, valamint a kritikus szervezetek által végrehajtott kiberbiztonsági intézkedésekre. Az (EU) XXX/XXX irányelv szerinti illetékes hatóságok kérésére az ezen irányelv alapján illetékes hatóságok számára lehetővé kell tenni, hogy felügyeleti és végrehajtási hatáskörüket gyakorolhassák a kritikusnak minősített alapvető szervezeteknél. E célból a két hatóságnak együtt kell működnie és információt kell cserélnie.

(14) A kiberbiztonság és a szervezetek fizikai biztonsága közötti összefüggésekre tekintettel koherens megközelítést kell biztosítani az (EU) XXX/XXX európai parlamenti és tanácsi irányelv17 és ezen irányelv között. Ennek elérése érdekében a tagállamoknak biztosítaniuk kell, hogy az (EU) XXX/XXX irányelv alapján a kritikus jelentőségű szervezeteket és azokkal egyenértékű szervezeteket ezen irányelv alapján alapvető szervezeteknek tekintsék. A tagállamoknak arról is gondoskodniuk kell, hogy kiberbiztonsági stratégiáik biztosítsanak egy politikai keretet az ezen irányelv és az (EU) XXX/XXX irányelv szerinti illetékes hatóságok tagállamokon belüli és a tagállamok közötti fokozott koordinációjához az eseményekkel és a kiberfenyegetésekkel kapcsolatos információk megosztása és felügyeleti feladatok összefüggésében. A két irányelv szerinti hatóságoknak együtt kell működniük és indokolt késedelem nélkül információt kell cserélniük, különös tekintettel a kritikus szervezetek azonosítására, a kiberfenyegetésekre, a kiberbiztonsági kockázatokra, a kritikus szervezeteket érintő eseményekre, valamint a kritikus szervezetek által végrehajtott kiberbiztonsági intézkedésekre. Az (EU) XXX/XXX irányelv szerinti illetékes hatóságok kérésére az ezen irányelv alapján illetékes hatóságok számára lehetővé kell tenni, hogy felügyeleti és végrehajtási hatáskörüket gyakorolhassák a kritikusnak minősített alapvető szervezeteknél. E célból a két hatóságnak együtt kell működnie és lehetőség szerint valós időben információt kell cserélnie.

__________________

__________________

17 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

17 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

Módosítás  15

 

Irányelvre irányuló javaslat

15 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(15) A megbízható, rugalmas és biztonságos doménnévrendszer (DNS) fenntartása és megőrzése kulcsfontosságú tényező az internet integritásának fenntartásában, és elengedhetetlen annak folyamatos és stabil működéséhez, amelytől a digitális gazdaság és a társadalom függ. Ezért ezt az irányelvet a DNS-feloldási lánc mentén minden DNS-szolgáltatóra alkalmazni kell, ideértve a gyökérnévhez tartozó szerverek üzemeltetőit, a legfelső szintű domén (TLD) névszervereket, a doménnevek hiteles névszervereit és a rekurzív felbontókat.

(15) A megbízható, rugalmas és biztonságos doménnévrendszer (DNS) fenntartása és megőrzése kulcsfontosságú tényező az internet integritásának fenntartásában, és elengedhetetlen annak folyamatos és stabil működéséhez, amelytől a digitális gazdaság és a társadalom függ. Ezért ezt az irányelvet a legfelső szintű doménnévszerverekre (TLD), a nyilvánosan elérhető, rekurzív doménnév-feloldási szolgáltatásokra az internet végfelhasználói számára, valamint a hiteles doménnév-feloldási szolgáltatásokra kell alkalmazni. Ez az irányelv nem alkalmazandó a gyökérnévszerverekre.

Módosítás  16

 

Irányelvre irányuló javaslat

19 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(19) A 97/67/EK európai parlamenti és tanácsi irányelv értelmében18 vett postai szolgáltatóknak, valamint az expressz és futárszállítási szolgáltatóknak ezen irányelv hatálya alá kell tartozniuk, ha a postai kézbesítési lánc legalább egyik lépését biztosítják, különös tekintettel az elszámolásra, a válogatásra vagy a terjesztésre, ideértve az átvételi szolgáltatásokat is. Azoknak a szállítási szolgáltatásoknak, amelyeket nem e lépések egyikével kapcsolatban végeznek, a postai szolgáltatások körén kívül kell esniük.

(19) A 97/67/EK európai parlamenti és tanácsi irányelv értelmében18 vett postai szolgáltatóknak, valamint az expressz és futárszállítási szolgáltatóknak ezen irányelv hatálya alá kell tartozniuk, ha a postai kézbesítési lánc legalább egyik lépését biztosítják, különös tekintettel az elszámolásra, a válogatásra vagy a terjesztésre, ideértve az átvételi szolgáltatásokat is, egyúttal figyelembe kell venniük a hálózati és információs rendszerektől való függésük mértékét. Azoknak a szállítási szolgáltatásoknak, amelyeket nem e lépések egyikével kapcsolatban végeznek, a postai szolgáltatások körén kívül kell esniük.

__________________

__________________

18 Az Európai Parlament és a Tanács 97/67/EK irányelve (1997. december 15.) a közösségi postai szolgáltatások belső piacának fejlesztésére és a szolgáltatás minőségének javítására vonatkozó közös szabályokról (HL L 15., 1998.1.21., 14. o.).

18 Az Európai Parlament és a Tanács 97/67/EK irányelve (1997. december 15.) a közösségi postai szolgáltatások belső piacának fejlesztésére és a szolgáltatás minőségének javítására vonatkozó közös szabályokról (HL L 15., 1998.1.21., 14. o.).

Módosítás  17

 

Irányelvre irányuló javaslat

20 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(20) Az egyre növekvő kölcsönös függőségek az egyre inkább nemzetközivé váló és egymástól függő olyan szolgáltatási hálózat következményei, amelyek az Unió egész területén kulcsfontosságú infrastruktúrákat használnak az energia-, a közlekedési, a digitális infrastruktúra, az ivóvíz- és szennyvíz-, az egészségügyi ágazatban, a közigazgatás bizonyos vonatkozásaiban, valamint az űrágazatban, amennyiben bizonyos szolgáltatások nyújtása olyan földi infrastruktúráktól függ, amelyek tulajdonosai, kezelői és üzemeltetői tagállamok vagy magánszemélyek, tehát nem tartoznak ide az Unió vagy űrprogramja részeként annak megbízottja tulajdonában lévő, általa kezelt vagy üzemeltetett infrastruktúrák. Ezek az egymásrautaltságok azt jelentik, hogy bármilyen zavarnak – akkor is, ha eredetileg csak egy szervezetre vagy egy ágazatra korlátozódik – szélesebb körben lépcsőzetes hatásai lehetnek, ami messzemenő és hosszú távú negatív hatásokat eredményezhet a szolgáltatások belső piacon történő nyújtásában. A Covid19-járvány megmutatta az egyre inkább egymásra utalt társadalmaink sérülékenységét az alacsony valószínűségű kockázatokkal szemben.

(20) Az egyre növekvő kölcsönös függőségek az egyre inkább nemzetközivé váló és egymástól függő olyan szolgáltatási hálózat következményei, amelyek az Unió egész területén kulcsfontosságú infrastruktúrákat használnak az energia-, a közlekedési, a digitális infrastruktúra, az ivóvíz- és szennyvíz-, az egészségügyi ágazatban, a közigazgatás bizonyos vonatkozásaiban, valamint az űrágazatban, amennyiben bizonyos szolgáltatások nyújtása olyan földi infrastruktúráktól függ, amelyek tulajdonosai, kezelői és üzemeltetői tagállamok vagy magánszemélyek, tehát nem tartoznak ide az Unió vagy űrprogramja részeként annak megbízottja tulajdonában lévő, általa kezelt vagy üzemeltetett infrastruktúrák. Ezek az egymásrautaltságok azt jelentik, hogy bármilyen zavarnak – akkor is, ha eredetileg csak egy szervezetre vagy egy ágazatra korlátozódik – szélesebb körben lépcsőzetes hatásai lehetnek, ami messzemenő és hosszú távú negatív hatásokat eredményezhet a szolgáltatások belső piacon történő nyújtásában. A hálózati és információs rendszerek ellen a Covid19-világjárvány alatt intézett fokozott támadások megmutatták az egyre inkább egymásra utalt társadalmaink sérülékenységét az alacsony valószínűségű kockázatokkal szemben.

Módosítás  18

 

Irányelvre irányuló javaslat

24 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(24) A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük a hálózati és információs rendszerekkel kapcsolatos események és kockázatok megelőzésére, felderítésére, azok kezelésére és mérséklésére. A tagállamoknak ezért biztosítaniuk kell, hogy jól működő CSIRT-ekkel, más néven számítógépes vészhelyzeteket elhárító csoportokkal (CERT-ek) rendelkezzenek, amelyek megfelelnek az alapvető követelményeknek annak érdekében, hogy garantálják az események és kockázatok kezelésének hatékony és kompatibilis képességeit, valamint hogy uniós szinten biztosítsák a hatékony együttműködést. Figyelemmel a szervezetek és a CSIRT-ek közötti bizalmi kapcsolat fokozására, azokban az esetekben, amikor a CSIRT az illetékes hatóság része, a tagállamoknak fontolóra kell venniük a CSIRT-ek által biztosított operatív feladatok funkcionális elkülönítését, különösen az információmegosztással és a szervezetek és az illetékes hatóságok felügyeleti tevékenységei támogatásával kapcsolatban.

(24) A tagállamoknak mind technikai, mind szervezeti képességek tekintetében megfelelő felszereléssel kell rendelkezniük a hálózati és információs rendszerekkel kapcsolatos események és kockázatok megelőzésére, felderítésére, azok kezelésére és mérséklésére. A tagállamoknak ezért ezen irányelv értelmében ki kell jelölniük egy vagy több CSIRT-et, és biztosítaniuk kell megfelelő működésüket, és hogy megfeleljenek az alapvető követelményeknek annak érdekében, hogy garantálják az események és kockázatok kezelésének hatékony és kompatibilis képességeit, valamint hogy uniós szinten biztosítsák a hatékony együttműködést. A tagállamok meglévő számítógépes vészhelyzeteket elhárító csoportokat (CERT-eket) is kijelölhetnek CSIRT-eknek. Figyelemmel a szervezetek és a CSIRT-ek közötti bizalmi kapcsolat fokozására, azokban az esetekben, amikor a CSIRT az illetékes hatóság része, a tagállamoknak fontolóra kell venniük a CSIRT-ek által biztosított operatív feladatok funkcionális elkülönítését, különösen az információmegosztással és a szervezetek és az illetékes hatóságok felügyeleti tevékenységei támogatásával kapcsolatban.

Módosítás  19

 

Irányelvre irányuló javaslat

25 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(25) A személyes adatok tekintetében a CSIRT-ek az (EU) 2016/679 európai parlamenti és tanácsi rendelettel19 összhangban a személyes adatok tekintetében ezen irányelv alapján valamely szervezet nevében és kérésére a szolgáltatások nyújtásához használt hálózati és információs rendszereket proaktív átvizsgálhatják. A tagállamoknak arra kell törekedniük, hogy valamennyi ágazati CSIRT számára egyenlő szintű technikai képességeket biztosítsanak. A tagállamok kérhetik az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) segítségét a nemzeti CSIRT-ek fejlesztéséhez.

(25) A személyes adatok tekintetében a CSIRT-ek az (EU) 2016/679 európai parlamenti és tanácsi rendelettel19 összhangban a személyes adatok tekintetében ezen irányelv alapján valamely szervezet nevében és kérésére, illetve a nemzetbiztonságot fenyegető komoly veszély esetén a szolgáltatások nyújtásához használt hálózati és információs rendszereket proaktív átvizsgálhatják. A tagállamoknak arra kell törekedniük, hogy valamennyi ágazati CSIRT számára egyenlő szintű technikai képességeket biztosítsanak. A tagállamok kérhetik az Európai Unió Kiberbiztonsági Ügynökségének (ENISA) segítségét a nemzeti CSIRT-ek fejlesztéséhez.

__________________

__________________

19 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az említett adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

19 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az említett adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

Módosítás  20

 

Irányelvre irányuló javaslat

25 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(25a) A CSIRT-eknek képesnek kell lenniük arra, hogy a szervezet kérésére folyamatosan feltárják, kezeljék és nyomon kövessék az internetre mutató valamennyi eszközt, mind a helyszínen, mind pedig azon kívül, hogy megértsék az ellátási lánc újonnan felfedezett veszélyeztetésével vagy kritikus sebezhetőségével kapcsolatos általános szervezeti kockázatukat. Annak ismerete, hogy a gazdálkodó egység kiváltságos irányítási interfészt működtet-e, befolyásolja a kockázatcsökkentő intézkedések végrehajtásának sebességét.

Módosítás  21

 

Irányelvre irányuló javaslat

26 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(26) Tekintettel a kiberbiztonság terén folytatott nemzetközi együttműködés fontosságára, a CSIRT-ek részt vehetnek az ezen irányelv által létrehozott CSIRT-hálózatok mellett nemzetközi együttműködési hálózatokban is.

(26) Tekintettel a kiberbiztonság terén folytatott nemzetközi együttműködés fontosságára, a CSIRT-ek részt vehetnek nemzetközi együttműködési hálózatokban, többek között olyan harmadik országbeli CSIRT-ekkel, ahol az információcsere kölcsönös és előnyös a polgárok és a szervezetek biztonsága szempontjából, annak érdekében, hogy hozzájáruljanak olyan uniós szabványok kidolgozásához, amelyek nemzetközi szinten alakíthatják a kiberbiztonsági környezetet. A tagállamok fontolóra vehetnék az együttműködés fokozását a hasonló gondolkodású partnerországokkal és nemzetközi szervezetekkel, azzal a céllal, hogy többoldalú megállapodások szülessenek a kibernormákról, a kibertérbeli felelősségteljes állami és nem állami magatartásról és a hatékony globális digitális irányításról, és a nemzetközi jog alapján nyitott, szabad, stabil és biztonságos kibertér jöjjön létre.

Módosítás  22

 

Irányelvre irányuló javaslat

26 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(26a) A kiberhigiéniai politikák biztosítják a hálózati és információs rendszerek infrastruktúrája, hardver-, szoftver- és online alkalmazásbiztonsága, valamint a szervezetek által felhasznált üzleti vagy végfelhasználói adatok védelmének alapjait. A kiberhigiéniai politikák közös alapkövetelményeket foglalnak magukban, többek között – de nem kizárólag – a szoftver- és hardverfrissítéseket, a jelszó megváltoztatását, az új telepítések kezelését, a rendszergazda-szintű hozzáférési fiókok korlátozását és az adatmentést, lehetővé teszik a proaktív felkészültségi keretet, valamint az általános biztonságot és védelmet incidensek vagy fenyegetések esetén. Az ENISA-nak nyomon kell követnie és értékelnie kell a tagállamok kiberhigiéniai politikáit, és fel kell térképeznie azokat az uniós szintű rendszereket, amelyek lehetővé teszik a tagállami követelményektől független egyenértékűséget biztosító, határokon átnyúló ellenőrzéseket.

Módosítás  23

 

Irányelvre irányuló javaslat

26 b preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(26b) A mesterséges intelligencia (MI) kiberbiztonsági felhasználása javíthatja a hálózati és információs rendszerek elleni támadások felderítését és megállíthatja azokat, lehetővé téve, hogy az erőforrásokat a kifinomultabb támadásokra fordítsák. A tagállamoknak ezért nemzeti stratégiájukban ösztönözniük kell az automatizált kiberbiztonsági eszközök használatát és a kiberbiztonság terén a (félig) automatizált eszközök tanításához és fejlesztéséhez szükséges adatok megosztását. A mesterséges intelligencián alapuló rendszerek által az egyének jogaira és szabadságaira gyakorolt esetleges indokolatlan beavatkozás kockázatának csökkentése érdekében az (EU) 2016/679 rendelet 25. cikkében meghatározott beépített és alapértelmezett adatvédelmi követelményeket kell alkalmazni. A megfelelő biztosítékok – például az álnevesítés, a titkosítás, az adatok pontossága és az adatminimalizálás – beépítése továbbá csökkentheti az ilyen kockázatokat.

Módosítás  24

 

Irányelvre irányuló javaslat

26 c preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(26c) A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások nagyobb fokú átláthatóságot biztosíthatnak, és pozitív hatást gyakorolhatnak az ipari innováció hatékonyságára. A nyílt szabványok elősegítik a biztonsági eszközök közötti interoperabilitást, ami az ipari szereplők biztonságát is szolgálja. A nyílt forráskódú kiberbiztonsági eszközök és alkalmazások kihasználhatják a szélesebb fejlesztői közösséget, lehetővé téve a szervezetek számára a beszállítók diverzifikálását és a nyílt biztonsági stratégiákat. A nyílt biztonság a kiberbiztonsággal kapcsolatos eszközök átláthatóbb ellenőrzési folyamatához és a sebezhetőségek közösségi alapú felderítéséhez vezethet. A tagállamoknak ezért elő kell mozdítaniuk a nyílt forráskódú szoftverek és nyílt szabványok elfogadását a nyílt hozzáférésű adatok és a nyílt forráskódú adatok – az átláthatóságon alapuló biztonság részeként történő – felhasználásával kapcsolatos politikák követése révén. A nyílt forráskódú kiberbiztonsági eszközök elfogadását és fenntartható használatát előmozdító politikák különösen fontosak a végrehajtás szempontjából jelentős költségekkel szembesülő kis- és középvállalkozások (kkv-k) számára, amely költségek a lehető legkisebbre csökkenthetők a konkrét alkalmazások vagy eszközök iránti igény csökkentése révén.

Módosítás  25

 

Irányelvre irányuló javaslat

26 d preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(26d) A kiberbiztonság területén működő köz-magán társulások (PPP-k) megfelelő keretet biztosíthatnak az ismeretek cseréjéhez, a bevált gyakorlatok megosztásához és a valamennyi érdekelt fél közötti közös megértés kialakításához. A tagállamoknak nemzeti kiberbiztonsági stratégiáik részeként szakpolitikákat kell elfogadniuk, amelyek megalapozzák a kiberbiztonsággal foglalkozó PPP-k létrehozását. E politikáknak egyértelművé kell tenniük többek között a hatókört és a részt vevő érdekelt feleket, az irányítási modellt, a rendelkezésre álló finanszírozási lehetőségeket, valamint a részt vevő érdekelt felek közötti interakciót. A PPP-k kihasználhatják a magánszektorbeli szervezetek szakértelmét annak érdekében, hogy támogassák a tagállamok illetékes hatóságait a legkorszerűbb szolgáltatások és folyamatok kifejlesztésében, ideértve többek között az információcserét, a korai figyelmeztetéseket, a kiberfenyegetés- és kiberesemény-gyakorlatokat, a válságkezelést és a rezilienciatervezést.

Módosítás  26

 

Irányelvre irányuló javaslat

27 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(27) A nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról szóló (EU) 2017/1548 bizottsági ajánlás („Útmutató”) mellékletével összhangban20, nagyszabású eseménynek azt az eseményt kell jelentenie, amelynek legalább két tagállamra jelentős hatása van, vagy amelyből származó zavar meghaladja egy tagállam elhárítási képességét. Okuktól és hatásuktól függően a nagyszabású események eszkalálódhatnak, és olyan teljes körű válsággá válhatnak, amely nem teszi lehetővé a belső piac megfelelő működését. Tekintettel az említett események széles skálájára és a legtöbb esetben határokon átnyúló jellegére, a tagállamoknak és az érintett uniós intézményeknek, szerveknek és ügynökségeknek technikai, operatív és politikai szinten együtt kell működniük a reagálás Unión belüli megfelelő összehangolása érdekében.

(27) A nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról szóló (EU) 2017/1548 bizottsági ajánlás („Útmutató”) mellékletével összhangban20, nagyszabású eseménynek azt az eseményt kell jelentenie, amelynek legalább két tagállamra jelentős hatása van, vagy amelyből származó zavar meghaladja egy tagállam elhárítási képességét. Okuktól és hatásuktól függően a nagyszabású események eszkalálódhatnak, és olyan teljes körű válsággá válhatnak, amely nem teszi lehetővé a belső piac megfelelő működését, illetve súlyos közrendi és közbiztonsági kockázatot jelentenek a szervezetekre és a polgárokra nézve több tagállamban vagy az Unió egészében. Tekintettel az említett események széles skálájára és a legtöbb esetben határokon átnyúló jellegére, a tagállamoknak és az érintett uniós intézményeknek, szerveknek és ügynökségeknek technikai, operatív és politikai szinten együtt kell működniük a reagálás Unión belüli megfelelő összehangolása érdekében.

__________________

__________________

20 A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36. o.).

20 A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36. o.).

Módosítás  27

 

Irányelvre irányuló javaslat

27 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(27a) A tagállamoknak nemzeti kiberbiztonsági stratégiáikban foglalkozniuk kell a kkv-k konkrét kiberbiztonsági igényeivel. Az uniós kontextusban a kkv-k az ipari és üzleti piac jelentős hányadát képviselik, és gyakran nehezen tudnak alkalmazkodni az új üzleti gyakorlatokhoz az összekapcsoltabb világban, navigálnak a digitális környezetben, amelyben az alkalmazottak egyre inkább otthonról dolgoznak és az üzleti tevékenységet egyre inkább online folytatják. Egyes kkv-k olyan sajátos kiberbiztonsági kihívásokkal néznek szembe, mint például az alacsony kibertudatosság, a távoli informatikai biztonság hiánya, a kiberbiztonsági megoldások magas költsége és a fokozott fenyegetettség, például a zsarolóvírusok, amelyekkel kapcsolatban iránymutatást és támogatást kell kapniuk. A tagállamoknak rendelkezniük kell egy egyablakos kiberbiztonsági kapcsolattartó ponttal a kkv-k számára, amely vagy iránymutatást és támogatást nyújt a kkv-knak, vagy a megfelelő szervekhez irányítja őket a kiberbiztonsággal kapcsolatos kérdésekben való iránymutatás és támogatás céljából. A Bizottság arra ösztönzi a tagállamokat, hogy kínáljanak olyan szolgáltatásokat is, mint a honlapok konfigurációja és naplózása, ami minezt lehetővé teszi az ilyen képességekkel nem rendelkező kisvállalkozások és mikrovállalkozások számára.

Módosítás  28

 

Irányelvre irányuló javaslat

27 b preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(27b) A tagállamoknak nemzeti kiberbiztonsági stratégiáik részeként szakpolitikákat kell elfogadniuk az aktív kibervédelem előmozdítására vonatkozóan. Az aktív kibervédelem a hálózatbiztonságot fenyegető betörések proaktív megelőzését, észlelését, nyomon követését, elemzését és mérséklését jelenti, a támadás áldozatául esett hálózaton belül és kívül telepített képességek igénybe vételével. A hálózati és információs rendszerek elleni támadások sikeres felderítésére, megelőzésére és kezelésére irányuló erőfeszítéseknek egységeseknek kell lenniük, ezért alapvető fontosságú a fenyegetésekre vonatkozó információk és elemzések, a kibertevékenységre figyelmeztető riasztások és a válaszintézkedések gyors és automatikus megosztása és megértése. Az aktív kibervédelem olyan defenzív stratégián alapul, amely kizárja a kritikus polgári infrastruktúrák elleni támadó intézkedéseket.

Módosítás  29

 

Irányelvre irányuló javaslat

28 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(28) Mivel a hálózati és információs rendszerek biztonsági réseinek kiaknázása jelentős zavarokat és kárt okozhat, a biztonsági rések gyors azonosítása és elhárítása fontos tényező a kiberbiztonsági kockázat csökkentésében. Az említett rendszereket fejlesztő szervezeteknek ezért megfelelő eljárásokat kell kidolgozniuk a biztonsági rések felfedezéskor történő kezelésére. Mivel a biztonsági réseket gyakran harmadik felek (adatszolgáltatásra kötelezett szervezetek) fedezik fel és jelentik (közlik), az IKT-termékek vagy -szolgáltatások gyártójának vagy szolgáltatójának szintén be kell vezetnie a biztonsági résre vonatkozó információk harmadik felektől történő fogadásához szükséges eljárásokat. Ebben a tekintetben az ISO/IEC 30111 és az ISO/IEC 29417 nemzetközi szabvány útmutatást nyújt a biztonsági rések kezeléséhez, illetve rendre a biztonsági rés nyilvánosságra hozatalához. A biztonsági rés nyilvánosságra hozatalát illetően különösen fontos az adatszolgáltatásra kötelezett szervezetek és az IKT-termékek vagy -szolgáltatók gyártói vagy szolgáltatói közötti koordináció. A biztonsági rés összehangolt nyilvánosságra hozatala strukturált folyamatot határoz meg, amelyen keresztül a szervezetek a biztonsági réseket oly módon jelentik, hogy a szervezet diagnosztizálja és orvosolja a biztonsági rést, mielőtt a biztonsági résre vonatkozó részletes információkat harmadik felekkel vagy a nyilvánossággal közölné. A biztonsági rés összehangolt nyilvánosságra hozatalának magában kell foglalnia az adatszolgáltatásra kötelezett szervezet és a szervezet közötti koordinációt a hiányosságok orvoslásának és közzétételének időzítése tekintetében.

(28) Mivel a hálózati és információs rendszerek biztonsági réseinek kiaknázása jelentős zavarokat és kárt okozhat, a biztonsági rések gyors azonosítása és elhárítása fontos tényező a kiberbiztonsági kockázat csökkentésében. Az említett rendszereket fejlesztő szervezeteknek ezért megfelelő eljárásokat kell kidolgozniuk a biztonsági rések felfedezéskor történő kezelésére. Mivel a biztonsági réseket gyakran harmadik felek (adatszolgáltatásra kötelezett szervezetek) fedezik fel és jelentik (közlik), az IKT-termékek vagy -szolgáltatások gyártójának vagy szolgáltatójának szintén be kell vezetnie a biztonsági résre vonatkozó információk harmadik felektől történő fogadásához szükséges eljárásokat. Ebben a tekintetben az ISO/IEC 30111 és az ISO/IEC 29417 nemzetközi szabvány útmutatást nyújt a biztonsági rések kezeléséhez, illetve rendre a biztonsági rés nyilvánosságra hozatalához. Az adatszolgáltatásra kötelezett szervezetek és az IKT-termékek vagy -szolgáltatók gyártói vagy szolgáltatói közötti koordináció megerősítése különösen fontos a sebezhetőségi nyilvánosságra hozatal önkéntes keretének elősegítése érdekében. A biztonsági rés összehangolt nyilvánosságra hozatala strukturált folyamatot határoz meg, amelyen keresztül a szervezetek a biztonsági réseket oly módon jelentik, hogy a szervezet diagnosztizálja és orvosolja a biztonsági rést, mielőtt a biztonsági résre vonatkozó részletes információkat harmadik felekkel vagy a nyilvánossággal közölné. A biztonsági rés összehangolt nyilvánosságra hozatalának magában kell foglalnia az adatszolgáltatásra kötelezett szervezet és a szervezet közötti koordinációt a hiányosságok orvoslásának és közzétételének időzítése tekintetében.

Módosítás  30

 

Irányelvre irányuló javaslat

28 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(28a) A Bizottságnak, az ENISA-nak és a tagállamoknak továbbra is elő kell mozdítaniuk a nemzetközi szintű összehangolást a kockázatkezelés terén meglévő szabványokkal és bevált iparági gyakorlatokkal, például az ellátási lánc biztonságának értékelése, az információmegosztás és a biztonsági rések közzététele terén.

Módosítás  31

 

Irányelvre irányuló javaslat

29 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(29) A tagállamoknak ezért intézkedéseket kell hozniuk a biztonsági rés összehangolt nyilvánosságra hozatalának egy megfelelő nemzeti politika kialakításával történő megkönnyítésére. Ebben a tekintetben a tagállamoknak ki kell jelölniük egy CSIRT-et, amely betölti a „koordinátor” szerepét, és közvetítőként jár el az adatszolgáltatásra kötelezett szervezetek és az IKT-termékek vagy -szolgáltatások gyártói vagy szolgáltatói között, amennyiben ez szükséges. A CSIRT-koordinátor feladatai közé tartozik különösen az érintett szervezetek azonosítása és a velük való kapcsolatfelvétel, az adatszolgáltatásra kötelezett szervezetek támogatása, a nyilvánosságra hozatali ütemtervek letárgyalása és a több szervezetet érintő biztonsági rések kezelése (több felet érintő biztonsági rés közzététele). Ha a biztonsági rések IKT-termékek vagy -szolgáltatók több tagállamban letelepedett több gyártóját vagy szolgáltatóját érintik, az érintett tagállamok kijelölt CSIRT-jeinek együtt kell működniük a CSIRT-hálózaton belül.

(29) A tagállamoknak az ENISA-val együttműködve ezért intézkedéseket kell hozniuk a biztonsági rés összehangolt nyilvánosságra hozatalának egy megfelelő nemzeti politika kialakításával történő megkönnyítésére. E nemzeti politika keretében a tagállamoknak foglalkozniuk kell a kiszolgáltatott helyzetben lévő kutatók által tapasztalt problémákkal. A sebezhetőségeket kutató szervezetek és természetes személyek egyes tagállamokban büntetőjogi és polgári jogi felelősségnek lehetnek kitéve. A tagállamokat ezért arra ösztönzik, hogy adjanak ki iránymutatásokat az információbiztonsági kutatás büntetőeljárás alá vonásának tilalmára és az e tevékenységekre vonatkozó polgári jogi felelősség alóli mentességre vonatkozóan.

Módosítás  32

 

Irányelvre irányuló javaslat

29 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(29a) A tagállamoknak ki kell jelölniük egy CSIRT-et, amely betölti a „koordinátor” szerepét, és közvetítőként jár el az adatszolgáltatásra kötelezett szervezetek és az IKT-termékek vagy -szolgáltatások gyártói vagy szolgáltatói – amelyeket valószínűleg érint a sebezhetőség – között, amennyiben ez szükséges. A CSIRT-koordinátor feladatai közé tartozik különösen az érintett szervezetek azonosítása és a velük való kapcsolatfelvétel, az adatszolgáltatásra kötelezett szervezetek támogatása, a nyilvánosságra hozatali ütemtervek letárgyalása és a több szervezetet érintő biztonsági rések kezelése (több felet érintő biztonsági rés közzététele). Ha a biztonsági rések IKT-termékek vagy -szolgáltatók több tagállamban letelepedett több gyártóját vagy szolgáltatóját érintik, az érintett tagállamok kijelölt CSIRT-jeinek együtt kell működniük a CSIRT-hálózaton belül.

Módosítás  33

 

Irányelvre irányuló javaslat

30 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(30) Az IKT-termékeket és -szolgáltatásokat érintő biztonsági résekkel kapcsolatos helyes és időszerű információkhoz való hozzáférés hozzájárul a jobb kiberbiztonsági kockázatkezeléshez. E tekintetben a biztonsági résekről nyilvánosan elérhető információk forrásai fontos eszköznek minősülnek a szervezetek és azok felhasználói, de az illetékes nemzeti hatóságok és a CSIRT-ek számára is. Emiatt az ENISA-nak biztonságirés-nyilvántartást kell létrehoznia, amelyben az alapvető és fontos szervezetek és beszállítóik, valamint az ezen irányelv alkalmazásának hatálya alá nem tartozó szervezetek önkéntes alapon nyilvánosságra hozhatják a biztonsági réseket és megadhatják a biztonsági résre vonatkozó azon információkat, amelyek lehetővé teszi a felhasználók számára a megfelelő mérséklési intézkedések megtételét.

(30) Az IKT-termékeket és -szolgáltatásokat érintő biztonsági résekkel kapcsolatos helyes és időszerű információkhoz való hozzáférés hozzájárul a jobb kiberbiztonsági kockázatkezeléshez. A biztonsági résekről nyilvánosan elérhető információk forrásai fontos eszköznek minősülnek a szervezetek és azok felhasználói, de az illetékes nemzeti hatóságok és a CSIRT-ek számára is. Emiatt az ENISA-nak biztonságirés-adatbázist kell létrehoznia, amelyben az alapvető és fontos szervezetek és beszállítóik, valamint az ezen irányelv alkalmazásának hatálya alá nem tartozó szervezetek önkéntes alapon nyilvánosságra hozhatják a biztonsági réseket és megadhatják a biztonsági résre vonatkozó azon információkat, amelyek lehetővé teszi a felhasználók számára a megfelelő mérséklési intézkedések megtételét. Az adatbázis célja, hogy kezelje azokat az egyedi kihívásokat, amelyeket a kiberbiztonsági kockázatok jelentenek az európai szervezetek számára. Ezen túlmenően az ENISA-nak felelős eljárást kell létrehoznia a közzétételi folyamat tekintetében annak érdekében, hogy elegendő idő álljon a szervezetek rendelkezésére arra, hogy enyhítő intézkedéseket hozzanak sebezhetőségeik tekintetében, és a legkorszerűbb kiberbiztonsági intézkedéseket, valamint géppel olvasható adatkészleteket és megfelelő interfészeket (API) alkalmazzanak. A sebezhetőségek nyilvánosságra hozatala kultúrájának ösztönzése érdekében a közzétételnek nem szabad hátrányosan érintenie az adatszolgáltatásra kötelezett szervezetet.

Módosítás  34

 

Irányelvre irányuló javaslat

31 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(31) Noha léteznek hasonló biztonságirés-nyilvántartások vagy adatbázisok, ezeket nem az Unióban letelepedett szervezetek üzemeltetik és tartják fenn. Az ENISA által fenntartott európai biztonságirés-nyilvántartás javulást hoz a biztonsági rések hivatalos nyilvánosságra hozatala előtti közzétételi folyamat átláthatósága tekintetében, valamint rezilienciát a hasonló szolgáltatások nyújtásának megszakadása vagy zavara esetére. A kettős erőfeszítések megelőzése és a lehető legnagyobb mértékű kiegészítő jelleg elérése érdekében az ENISA-nak fel kell tárnia harmadik országok jogrendszerében hasonló nyilvántartásokkal strukturált együttműködési megállapodások megkötésének lehetőségét.

(31) Az ENISA által fenntartott európai sebezhetőségi adatbázisnak a sebezhetőségek azonosítására, nyomon követésére és pontozására szolgáló keretrendszere révén ki kell aknáznia a közös biztonságirés- és kitettségi nyilvántartást. Ezen túlmenően az ENISA-nak fel kell tárnia annak lehetőségét, hogy strukturált együttműködési megállapodásokat kössön a harmadik országok joghatósága alá tartozó hasonló nyilvántartásokkal vagy adatbázisokkal az erőfeszítések megkettőzésének elkerülése és a kiegészítő jelleg keresése érdekében.

Módosítás  35

 

Irányelvre irányuló javaslat

33 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(33) Az együttműködési csoportnak az útmutató dokumentumok kidolgozása során következetesen: fel kell térképeznie a nemzeti megoldásokat és tapasztalatokat, fel kell mérnie az együttműködési csoport eredményeinek nemzeti megközelítésekre gyakorolt hatását, meg kell vitatnia a végrehajtási kihívásokat és konkrét ajánlásokat kell megfogalmaznia, amelyeket a meglévő szabályok jobb végrehajtása révén kell megfogalmazni.

(33) Az együttműködési csoportnak az útmutató dokumentumok kidolgozása során következetesen: fel kell térképeznie a nemzeti megoldásokat és tapasztalatokat, fel kell mérnie az együttműködési csoport eredményeinek nemzeti megközelítésekre gyakorolt hatását, meg kell vitatnia a végrehajtási kihívásokat és konkrét ajánlásokat kell megfogalmaznia, különös tekintettel az ezen irányelv átültetése során a tagállamok közti összhang elősegítésére, amelyeket a meglévő szabályok jobb végrehajtása révén kell elérni. Az együttműködési csoportnak annak érdekében is fel kell térképeznie a nemzeti megoldásokat, hogy Unió-szerte előmozdítsa az egyes ágazatokra alkalmazott kiberbiztonsági megoldások összeegyeztethetőségét. Ez különösen lényeges azokban az ágazatokban, amelyek nemzetközi és határokon átnyúló jellegűek.

Módosítás  36

 

Irányelvre irányuló javaslat

34 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(34) Az együttműködési csoportnak továbbra is rugalmas fórumnak kell maradnia, és reagálnia kell a változó és új politikai prioritásokra és kihívásokra, az erőforrások rendelkezésre állásának figyelembevételével. Rendszeres közös megbeszéléseket kell szerveznie az Unió egész területéről érkező érdekeltekkel, hogy megvitassák a csoport tevékenységeit, és információkat gyűjtsenek a felmerülő szakpolitikai kihívásokról. Az uniós szintű együttműködés fokozása érdekében a csoportnak fontolóra kell vennie a kiberbiztonsági szakpolitikában részt vevő uniós testületek és ügynökségek – például a Kiberbűnözés Elleni Európai Központ (EC3), az Európai Unió Repülésbiztonsági Ügynöksége (EASA) és az Európai Unió Űrprogramja (EUSPA) meghívását a munkájában történő részvételre.

(34) Az együttműködési csoportnak továbbra is rugalmas fórumnak kell maradnia, és reagálnia kell a változó és új politikai prioritásokra és kihívásokra, az erőforrások rendelkezésre állásának figyelembevételével. Rendszeres közös megbeszéléseket kell szerveznie az Unió egész területéről érkező érdekeltekkel, hogy megvitassák a csoport tevékenységeit, és információkat gyűjtsenek a felmerülő szakpolitikai kihívásokról. Az uniós szintű együttműködés fokozása érdekében a csoportnak  fontolóra kell vennie a kiberbiztonsági szakpolitikában részt vevő érintett uniós testületek és ügynökségek – például az Europol, az Európai Unió Repülésbiztonsági Ügynöksége (EASA) és az Európai Unió Űrprogramja (EUSPA) meghívását a munkájában történő részvételre.

Módosítás  37

 

Irányelvre irányuló javaslat

35 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(35) Az együttműködés javítása érdekében az illetékes hatóságokat és a CSIRT-eket fel kell hatalmazni arra, hogy más tagállamok tisztviselőinek csereprogramjaiban részt vegyenek. Az illetékes hatóságoknak meg kell hozniuk a szükséges intézkedéseket annak érdekében, hogy más tagállamok tisztviselői tényleges szerepet tölthessenek be a fogadó illetékes hatóság tevékenységeiben.

(35) Az együttműködés javítása és a tagállamok közötti bizalom erősítése érdekében az illetékes hatóságokat és a CSIRT-eket fel kell hatalmazni arra, hogy más tagállamok tisztviselőinek csereprogramjaiban részt vegyenek, a hatályt és adott esetben az ilyen csereprogramokban részt vevő tisztviselők számára előírt biztonsági tanúsítványt alátámasztó strukturált szabályok és mechanizmusok keretében. Az illetékes hatóságoknak meg kell hozniuk a szükséges intézkedéseket annak érdekében, hogy más tagállamok tisztviselői tényleges szerepet tölthessenek be a fogadó illetékes hatóság vagy CSIRT tevékenységeiben.

Módosítás  38

 

Irányelvre irányuló javaslat

36 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(36) Az Uniónak adott esetben nemzetközi megállapodásokat kell kötnie az EUMSZ 218. cikkével összhangban harmadik országokkal vagy nemzetközi szervezetekkel, lehetővé téve és megszervezve részvételüket az együttműködési csoport és a CSIRT-hálózat egyes tevékenységeiben. Az említett megállapodásoknak biztosítaniuk kell az adatok megfelelő védelmét.

(36) Az Uniónak adott esetben nemzetközi megállapodásokat kell kötnie az EUMSZ 218. cikkével összhangban harmadik országokkal vagy nemzetközi szervezetekkel, lehetővé téve és megszervezve részvételüket az együttműködési csoport és a CSIRT-hálózat egyes tevékenységeiben. Az említett megállapodásoknak védeniük kell az uniós érdekeket és biztosítaniuk kell az adatok megfelelő védelmét. Ez nem zárja ki a tagállamok azon jogát, hogy együttműködjenek hasonló gondolkodású harmadik országokkal a biztonsági rések kezelése és a kiberbiztonsági kockázatok kezelése terén, megkönnyítve ezáltal a jelentéstételt és az általános információmegosztást az uniós joggal összhangban.

Módosítás  39

 

Irányelvre irányuló javaslat

38 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(38) Ezen irányelv alkalmazásában a „kockázat” kifejezésnek a kiberbiztonsági esemény által okozott veszteség vagy zavar lehetőségére kell utalnia, és ezt az említett veszteség vagy zavar nagyságrendje és az említett esemény bekövetkezési valószínűsége kombinációjaként kell kifejezni.

törölve

Módosítás  40

 

Irányelvre irányuló javaslat

39 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(39) Ezen irányelv alkalmazásában a „majdnem bekövetkezett (near miss) esemény” kifejezésnek olyan eseményre kell utalnia, amely potenciálisan kárt okozhatott volna, de a teljes bekövetkezését sikeresen megakadályozták.

törölve

Módosítás  41

 

Irányelvre irányuló javaslat

40 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(40) A kockázatkezelési intézkedéseknek az események kockázatainak azonosítására, az események megelőzésére, felderítésére és kezelésére, valamint azok hatásainak enyhítésére irányuló intézkedéseket kell tartalmazniuk. A hálózati és információs rendszerek biztonságának magában kell foglalnia a tárolt, továbbított és feldolgozott adatok biztonságát.

(40) A kockázatkezelési intézkedéseknek az események kockázatainak azonosítására, az események megelőzésére, felderítésére, azokra való reagálásra, és a működés helyreállítására, valamint azok hatásainak enyhítésére irányuló intézkedéseket kell tartalmazniuk. A hálózati és információs rendszerek biztonságának magában kell foglalnia a tárolt, továbbított és feldolgozott adatok biztonságát. Ezeknek a rendszereknek rendszerszintű elemzést kell biztosítaniuk, le kell bontaniuk a különböző folyamatokat és az alrendszerek közötti kölcsönhatásokat, és figyelembe kell venniük az emberi tényezőt annak érdekében, hogy teljes képet lehessen alkotni az információs rendszer biztonságáról.

Módosítás  42

 

Irányelvre irányuló javaslat

41 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(41) Az alapvető és fontos szervezetekre aránytalan pénzügyi és adminisztratív terhek előírásának elkerülése érdekében a kiberbiztonsági kockázatkezelési követelményeknek arányosnak kell lenniük az érintett hálózat és információs rendszer által jelentett kockázattal, figyelembe véve az említett intézkedések korszerűségét.

(41) Az alapvető és fontos szervezetekre aránytalan pénzügyi és adminisztratív terhek előírásának elkerülése érdekében a kiberbiztonsági kockázatkezelési követelményeknek arányosnak kell lenniük az érintett hálózat és információs rendszer által jelentett kockázattal, figyelembe véve az említett intézkedések korszerűségét és az európai vagy nemzetközi szabványokat, mint például az ISO31000 és az ISA/IEC 27005 szabványt.

Módosítás  43

 

Irányelvre irányuló javaslat

43 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(43) A szervezet ellátási láncából és a beszállítóival való kapcsolatából eredő kiberbiztonsági kockázatok kezelése különösen fontos, tekintettel azokra az esetekre, amikor a szervezetek kibertámadások áldozatává válnak, és amikor a rosszindulatú szereplők azzal tudják veszélyeztetni a szervezet hálózatának és információs rendszereinek biztonságát, hogy harmadik fél termékeit és szolgáltatásait érintő biztonsági réseket kihasználnak. A szervezeteknek ezért fel kell mérniük és figyelembe kell venniük a termékek általános minőségét és beszállítóik és szolgáltatóik kiberbiztonsági gyakorlatait, beleértve a biztonságos fejlesztési eljárásaikat is.

(43) A szervezet ellátási láncából és a beszállítóival – például az adattárolási és adatkezelési szolgáltatókkal vagy az irányított biztonsági szolgáltatókkal – való kapcsolatából eredő kiberbiztonsági kockázatok kezelése különösen fontos, tekintettel azokra az esetekre, amikor a szervezetek a hálózatok és informatikai rendszerek elleni támadások áldozatává válnak, és amikor a rosszindulatú szereplők azzal tudják veszélyeztetni a szervezet hálózatának és információs rendszereinek biztonságát, hogy harmadik fél termékeit és szolgáltatásait érintő biztonsági réseket kihasználnak. A szervezeteknek ezért fel kell mérniük és figyelembe kell venniük beszállítóik és szolgáltatóik termékeinek, szolgáltatásainak – az azokba beépített kiberbiztonsági intézkedéseknek – és kiberbiztonsági gyakorlatainak általános minőségét és rezilienciáját, beleértve a biztonságos fejlesztési eljárásaikat is. A szervezeteket különösen arra kell ösztönözni, hogy a kiberbiztonsági intézkedéseket építsék be az első szintű beszállítókkal és szolgáltatókkal kötött szerződéses megállapodásokba. A szervezetek figyelembe vehetik a más szintű beszállítóktól és szolgáltatóktól eredő kiberbiztonsági kockázatokat.

Módosítás  44

 

Irányelvre irányuló javaslat

44 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(44) A szolgáltatók közül az irányított biztonsági szolgáltatók olyan területeken, mint az események elhárítása, behatolási tesztek, biztonsági auditok és tanácsadás, különösen fontos szerepet töltenek be abban, hogy segítsék a szervezeteket az események felderítésében és azok elhárításában. Azonban maguk az irányított biztonsági szolgáltatók is kibertámadások célpontjai, és az üzemeltetők működésébe való szoros integrációjuk révén különös kiberbiztonsági kockázatot jelentenek. A szervezeteknek ezért fokozott gondossággal kell eljárniuk az irányított biztonsági szolgáltató kiválasztása során.

(44) A szolgáltatók közül az irányított biztonsági szolgáltatók olyan területeken, mint az események elhárítása, behatolási tesztek, biztonsági auditok és tanácsadás, különösen fontos szerepet töltenek be abban, hogy segítsék a szervezeteket az események megakadályozásában, felderítésében, azok elhárításában, és a helyreállásban. Azonban maguk az irányított biztonsági szolgáltatók is kibertámadások célpontjai, és az üzemeltetők működésébe való szoros integrációjuk révén különös kiberbiztonsági kockázatot jelentenek. A szervezeteknek ezért fokozott gondossággal kell eljárniuk az irányított biztonsági szolgáltató kiválasztása során.

Módosítás  45

 

Irányelvre irányuló javaslat

45 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(45) A szervezeteknek foglalkozniuk kell azon kiberbiztonsági kockázatokkal is, amelyek egy szélesebb ökoszisztémán belüli más érdekeltekkel folytatott interakcióikból és kapcsolataikból fakadnak. A szervezeteknek különösen meg kell tenniük a megfelelő intézkedéseket annak biztosítása érdekében, hogy az egyetemekkel és a kutatóintézetekkel folytatott együttműködésük kiberbiztonsági politikájukkal összhangban történjen, és a bevált gyakorlatokat kövessék az információkhoz való általános hozzáférés és terjesztés, valamint különösen a szellemi tulajdon védelme tekintetében. Hasonlóképpen – tekintettel az adatok szervezetek tevékenysége szempontjából fennálló fontosságára és értékére – amennyiben az adatok átalakítására és harmadik felektől származó adatelemzési szolgáltatásokra támaszkodnak, a szervezeteknek meg kell tenniük a megfelelő kiberbiztonsági intézkedéseket.

(45) A szervezeteknek foglalkozniuk kell azon kiberbiztonsági kockázatokkal is, amelyek egy szélesebb ökoszisztémán belüli más érdekeltekkel folytatott interakcióikból és kapcsolataikból fakadnak, többek között az ipari kémkedés elleni küzdelem és az üzleti titkok védelme érdekében. A szervezeteknek különösen meg kell tenniük a megfelelő intézkedéseket annak biztosítása érdekében, hogy az egyetemekkel és a kutatóintézetekkel folytatott együttműködésük kiberbiztonsági politikájukkal összhangban történjen, és a bevált gyakorlatokat kövessék az információkhoz való általános hozzáférés és terjesztés, valamint különösen a szellemi tulajdon védelme tekintetében. Hasonlóképpen – tekintettel az adatok szervezetek tevékenysége szempontjából fennálló fontosságára és értékére – amennyiben az adatok átalakítására és harmadik felektől származó adatelemzési szolgáltatásokra támaszkodnak, a szervezeteknek meg kell tenniük a megfelelő kiberbiztonsági intézkedéseket.

Módosítás  46

 

Irányelvre irányuló javaslat

45 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(45a) A szervezeteknek az alapvető kiberhigiéniai gyakorlatok széles skáláját kell alkalmazniuk, például a bizalommentes architektúrát, a szoftverfrissítést, az eszközkonfigurációt, a hálózatszegmentálást, a személyazonosság- és hozzáférés-kezelést vagy a felhasználói tudatosságot, és képzést kell szervezniük alkalmazottaik számára a vállalati e-mail-üzenetekhez kapcsolódó kiberfenyegetésekkel, illetve az adathalászati vagy pszichológiai manipulációs technikákkal kapcsolatban. A szervezeteknek továbbá értékelniük kell saját kiberbiztonsági képességeiket, és adott esetben törekedniük kell a mesterséges intelligencián vagy gépi tanulási rendszereken alapuló, kiberbiztonságot fokozó technológiák integrálására képességeik automatizálása és a hálózati architektúrák védelme érdekében.

Módosítás  47

 

Irányelvre irányuló javaslat

46 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(46) Az ellátási lánc kulcsfontosságú kockázatainak további kezelése és az ezen irányelv hatálya alá tartozó ágazatokban működő szervezetek számára az ellátási lánccal és a szállítóval kapcsolatos kiberbiztonsági kockázatok megfelelő kezelésének elősegítése érdekében az érintett nemzeti hatóságokat bevonó együttműködési csoportnak a Bizottsággal és az ENISA-val együttműködve koordinált ágazati ellátásilánc-kockázatértékelést kell végeznie, az 5G hálózatok kiberbiztonságáról szóló (EU) 2019/534 ajánlást követően az 5G hálózatok esetében már megtettek szerint21, annak meghatározása céljából, hogy melyek a kritikus IKT-szolgáltatások, -rendszerek vagy -termékek, a releváns fenyegetések és a biztonsági rések.

(46) Az ellátási lánc kulcsfontosságú kockázatainak további kezelése és az ezen irányelv hatálya alá tartozó ágazatokban működő szervezetek számára az ellátási lánccal és a szállítóval kapcsolatos kiberbiztonsági kockázatok megfelelő kezelésének elősegítése érdekében az érintett nemzeti hatóságokat bevonó együttműködési csoportnak a Bizottsággal és az ENISA-val együttműködve koordinált ágazati ellátásilánc-kockázatértékelést kell végeznie, az 5G hálózatok kiberbiztonságáról szóló (EU) 2019/534 ajánlást követően az 5G hálózatok esetében már megtettek szerint21, annak meghatározása céljából, hogy melyek a kritikus IKT-szolgáltatások és integrált alapszolgáltatások, -rendszerek vagy -termékek, a releváns fenyegetések és a biztonsági rések. Ezeknek a kockázatértékeléseknek azonosítaniuk kell a kritikus függőségekkel, az esetleges egyedi hibapontokkal, a fenyegetésekkel, a sebezhetőségekkel és az ellátási lánchoz kapcsolódó egyéb kockázatokkal szembeni intézkedéseket, kockázatcsökkentési terveket és bevált gyakorlatokat, és fel kell tárniuk, hogy miként lehetne még inkább ösztönözni a szervezetek általi szélesebb körű elfogadásukat. A potenciális nem technikai kockázati tényezők – például valamely harmadik ország által beszállítókra és szolgáltatásnyújtókra gyakorolt indokolatlan befolyás, különösen alternatív irányítási modellek esetében – közé tartoznak a rejtett sebezhetőségek vagy „hátsó ajtók”, valamint az ellátás esetleges rendszerszintű zavarai, különösen technológiai bezáródás („lock-in”) vagy a szolgáltatóktól való függés esetén.

__________________

__________________

21 A Bizottság (EU) 2019/534 ajánlása (2019. március 26.) az 5G hálózatok kiberbiztonságáról (HL L 88., 2019.3.29., 42. o.).

21 A Bizottság (EU) 2019/534 ajánlása (2019. március 26.) az 5G hálózatok kiberbiztonságáról (HL L 88., 2019.3.29., 42. o.).

Módosítás  48

 

Irányelvre irányuló javaslat

47 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(47) Az ellátásilánc-kockázatértékeléseknek az érintett ágazat sajátosságaira figyelemmel figyelembe kell venniük a műszaki és adott esetben a nem technikai tényezőket, ideértve az (EU) 2019/534 ajánlásban, az 5G hálózatok biztonságának uniós összehangolt kockázatértékelése során és az együttműködési csoport által elfogadott 5G kiberbiztonsági uniós eszköztárban meghatározottakat is. Az összehangolt kockázatértékelés alá eső ellátási láncok azonosításához a következő kritériumokat kell figyelembe venni: i. az alapvető és fontos szervezetek mennyiben használnak bizonyos kritikus IKT-szolgáltatásokat, rendszereket vagy termékeket, és mennyiben támaszkodnak azokra; ii. a konkrét kritikus IKT-szolgáltatások, rendszerek vagy termékek relevanciája a kritikus vagy érzékeny funkciók ellátása tekintetében, ideértve a személyes adatok kezelését is; iii. alternatív IKT-szolgáltatások, rendszerek vagy termékek elérhetősége; iv. az IKT-szolgáltatások, -rendszerek vagy -termékek teljes ellátási láncának rezilienciája a zavaró eseményekkel szemben és v. a megjelenő IKT-szolgáltatások, -rendszerek vagy -termékek esetében azok jövőbeli jelentősége a szervezetek tevékenysége szempontjából.

(47) Az ellátásilánc-kockázatértékeléseknek az érintett ágazat sajátosságaira figyelemmel figyelembe kell venniük a műszaki és adott esetben a nem technikai tényezőket, ideértve az (EU) 2019/534 ajánlásban, az 5G hálózatok biztonságának uniós összehangolt kockázatértékelése során és az együttműködési csoport által elfogadott 5G kiberbiztonsági uniós eszköztárban meghatározottakat is. Az összehangolt kockázatértékelés alá eső ellátási láncok azonosításához a következő kritériumokat kell figyelembe venni: i. az alapvető és fontos szervezetek mennyiben használnak bizonyos kritikus IKT-szolgáltatásokat, rendszereket vagy termékeket, és mennyiben támaszkodnak azokra; ii. a konkrét kritikus IKT-szolgáltatások, rendszerek vagy termékek relevanciája a kritikus vagy érzékeny funkciók ellátása tekintetében, ideértve a személyes adatok kezelését is; iii. alternatív IKT-szolgáltatások, rendszerek vagy termékek elérhetősége; iv. az IKT-szolgáltatások, -rendszerek vagy -termékek teljes ellátási láncának rezilienciája teljes életciklusuk során a zavaró eseményekkel szemben és v. a megjelenő IKT-szolgáltatások, -rendszerek vagy -termékek esetében azok jövőbeli jelentősége a szervezetek tevékenysége szempontjából. Ezenkívül különös hangsúlyt kell fektetni azokra az IKT-szolgáltatásokra, rendszerekre és termékekre, amelyekre harmadik országok egyedi követelményei vonatkoznak.

Módosítás  49

 

Irányelvre irányuló javaslat

47 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(47a) Az érdekelt felek (EU) 2019/881 európai parlamenti és tanácsi rendelet1a 22. cikke alapján létrehozott kiberbiztonsági tanúsítási csoportjának véleményt kell kiadnia az egyes kritikus IKT-szolgáltatásokra és integrált alapszolgáltatásokra, -rendszerekre vagy -ellátási láncokra vonatkozó biztonsági kockázatértékelésekről. Az együttműködési csoportnak és az ENISA-nak figyelembe kell vennie ezt a véleményt.

 

__________________

 

1a Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.).

Módosítás  50

 

Irányelvre irányuló javaslat

50 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(50) A számfüggetlen személyközi hírközlési szolgáltatások növekvő jelentőségére tekintettel biztosítani kell, hogy az említett szolgáltatások sajátos jellegére és gazdasági jelentőségére figyelemmel azok megfeleljenek célszerű biztonsági követelményeknek is. Az említett szolgáltatások nyújtóinak tehát biztosítaniuk kell azt is, hogy a hálózati és információs rendszerek biztonsága megfeleljen a lehetséges kockázatoknak. Tekintettel arra, hogy a számfüggetlen személyközi hírközlési szolgáltatások szolgáltatói általában nem gyakorolnak tényleges ellenőrzést a hálózatokon keresztüli jelátvitel felett, az említett szolgáltatások kockázatának mértéke bizonyos szempontból alacsonyabbnak tekinthető, mint a hagyományos elektronikus hírközlési szolgáltatások esetében. Ugyanez vonatkozik azon személyközi hírközlési szolgáltatásokra, amelyek számokat használnak, és amelyek nem gyakorolnak tényleges ellenőrzést a jelátvitel felett.

(50) A számfüggetlen személyközi hírközlési szolgáltatások növekvő jelentőségére tekintettel biztosítani kell, hogy az említett szolgáltatások sajátos jellegére és gazdasági jelentőségére figyelemmel azok megfeleljenek célszerű biztonsági követelményeknek is. Az említett szolgáltatások nyújtóinak tehát biztosítaniuk kell azt is, hogy a hálózati és információs rendszerek biztonsága megfeleljen a lehetséges kockázatoknak. Tekintettel arra, hogy a számfüggetlen személyközi hírközlési szolgáltatások szolgáltatói általában nem gyakorolnak tényleges ellenőrzést a hálózatokon keresztüli jelátvitel felett, az említett szolgáltatások esetében a hálózatbiztonsági kockázat mértéke bizonyos szempontból alacsonyabbnak tekinthető, mint a hagyományos elektronikus hírközlési szolgáltatások esetében. Ugyanez vonatkozik azon személyközi hírközlési szolgáltatásokra, amelyek számokat használnak, és amelyek nem gyakorolnak tényleges ellenőrzést a jelátvitel felett. Mivel azonban a támadási felület tovább bővül, a számfüggetlen személyközi kommunikációs szolgáltatások, köztük – de nem kizárólag – a közösségimédia-üzenetküldők is egyre népszerűbb támadási vektorokká válnak. A rosszindulatú szereplők platformokat használnak arra, hogy kommunikáljanak az áldozatokkal, és az áldozatokat a feltört honlapokra csábítsák, ezáltal növelve a személyes adatok felhasználását, valamint ahhoz kapcsolódóan az információs rendszerek biztonságát érintő események valószínűségét.

Módosítás  51

 

Irányelvre irányuló javaslat

51 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(51) A belső piac minden eddiginél jobban támaszkodik az internet működésére. Gyakorlatilag minden lényeges és fontos szervezet szolgáltatásai az interneten keresztül nyújtott szolgáltatásoktól függenek. Az alapvető és fontos szervezetek által nyújtott szolgáltatások zavartalanságának biztosítása érdekében fontos, hogy a nyilvános elektronikus hírközlő hálózatok – például az internetes gerinchálózat vagy a tenger alatti hírközlésre szolgáló kábelek – megfelelő kiberbiztonsági intézkedéseket vezessenek be, és jelentsék az ezekkel kapcsolatos eseményeket.

(51) A belső piac minden eddiginél jobban támaszkodik az internet működésére. Gyakorlatilag minden lényeges és fontos szervezet szolgáltatásai az interneten keresztül nyújtott szolgáltatásoktól függenek. Az alapvető és fontos szervezetek által nyújtott szolgáltatások zavartalanságának biztosítása érdekében fontos, hogy minden nyilvános elektronikus hírközlő hálózatra – például az internetes gerinchálózatra vagy a tenger alatti hírközlésre szolgáló kábelekre – megfelelő kiberbiztonsági intézkedések vonatkozzanak, és jelentsék az ezekkel kapcsolatos jelentős eseményeket. A tagállamoknak biztosítaniuk kell e nyilvános elektronikus hírközlő hálózatok integritásának és elérhetőségének fenntartását, és mérlegelniük kell védelmüket a létfontosságú biztonsági szempontból fontos szabotázssal és kémkedéssel szemben. A váratlan eseményekre, például a tenger alatti kommunikációs kábelekre vonatkozó információkat aktívan meg kell osztani a tagállamok között.

Módosítás  52

 

Irányelvre irányuló javaslat

52 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(52) Adott esetben a szervezeteknek tájékoztatniuk kell a szolgáltatásaikat igénybe vevőket a sajátos és jelentős fenyegetésekről, valamint azokról az intézkedésekről, amelyeket megtehetnek a rájuk nézve ebből eredő kockázat csökkentése érdekében. A szolgáltatás említett igénybe vevői ilyen fenyegetésekről történő tájékoztatásának követelménye nem mentesítheti a szervezeteket azon kötelezettség alól, hogy saját költségükre megfelelő és azonnali intézkedéseket hozzanak a kiberfenyegetések megelőzésére vagy elhárítására, valamint a szolgáltatás normál biztonsági szintjének helyreállítására. A biztonsági fenyegetésekkel kapcsolatos említett információkat a szolgáltatást igénybe vevőknek ingyenesen kell megkapniuk.

(52) Adott esetben a szervezeteknek tájékoztatniuk kell a szolgáltatásaikat igénybe vevőket a sajátos és jelentős fenyegetésekről, valamint azokról az intézkedésekről, amelyeket megtehetnek a rájuk nézve ebből eredő kockázat csökkentése érdekében. Ez azonban nem mentesítheti a szervezeteket azon kötelezettség alól, hogy saját költségükre megfelelő és azonnali intézkedéseket hozzanak a kiberfenyegetések megelőzésére vagy elhárítására, valamint a szolgáltatás normál biztonsági szintjének helyreállítására. A biztonsági fenyegetésekkel kapcsolatos említett információkat a szolgáltatást igénybe vevőknek ingyenesen kell megkapniuk, és azokat könnyen érthető módon kell megfogalmazni.

Módosítás  53

 

Irányelvre irányuló javaslat

53 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(53) A nyilvános elektronikus hírközlő hálózatok vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatóinak különösen tájékoztatniuk kell a szolgáltatást igénybe vevőket a különleges és jelentős kiberfenyegetésekről, valamint azokról az intézkedésekről, amelyeket megtehetnek a kommunikáció biztonságának védelme érdekében, például bizonyos típusú szoftverek vagy titkosítási technológiák használata révén.

(53) A nyilvános elektronikus hírközlő hálózatok vagy a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatóinak beépített és alapértelmezett biztonságot kell alkalmazniuk, és tájékoztatniuk kell a szolgáltatást igénybe vevőket a különleges és jelentős kiberfenyegetésekről, valamint azokról az intézkedésekről, amelyeket megtehetnek az eszközeik és a kommunikáció biztonságának védelme érdekében, például bizonyos típusú titkosító szoftverek vagy más adatközpontú biztonsági technológiák használata révén.

Módosítás  54

 

Irányelvre irányuló javaslat

54 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(54) Az elektronikus hírközlő hálózatok és szolgáltatások biztonságának megőrzése érdekében elő kell mozdítani a titkosítást és különösen a végponttól végpontig terjedő titkosítást, amelyet szükség esetén kötelezővé kell tenni az említett szolgáltatások és hálózatok szolgáltatói számára, a 18. cikk alkalmazásában alapértelmezett és beépített, a biztonsággal és a magánélet védelmével kapcsolatos elvekkel összhangban. A végponttól végpontig terjedő titkosítás használatát össze kell egyeztetni a tagállamok azon hatáskörével, hogy biztosítsák alapvető biztonsági érdekeik és közbiztonságuk védelmét, valamint lehetővé tegyék a bűncselekmények nyomozását, felderítését és a vádeljárás lefolytatását az uniós joggal összhangban. A végponttól végpontig terjedő titkosított kommunikációban az információkhoz való jogszerű hozzáférés megoldásainak meg kell őrizniük a titkosítás hatékonyságát a magánélet és a kommunikáció biztonságának védelme mellett, miközben ténylegesen el kell hárítaniuk a bűnözést.

(54) Az elektronikus hírközlő hálózatok és szolgáltatások biztonságának megőrzése érdekében elő kell mozdítani – és szükség esetén kötelezővé kell tenni – a titkosítás és egyéb adatközpontú biztonsági technológiák alkalmazását, például a tokenizálást, a szegmentálást, a szabályozott elérést, a jelölést, a címkézést, az erős személyazonosság- és hozzáférés-kezelést, valamint az automatizált hozzáférés-megadást az említett szolgáltatások és hálózatok szolgáltatói számára, a 18. cikk alkalmazásában alapértelmezett és beépített, a biztonsággal és a magánélet védelmével kapcsolatos elvekkel összhangban. A végponttól végpontig terjedő titkosítás használatát össze kell egyeztetni a tagállamok azon hatáskörével, hogy biztosítsák alapvető biztonsági érdekeik és közbiztonságuk védelmét, valamint lehetővé tegyék a bűncselekmények nyomozását, felderítését és a vádeljárás lefolytatását az uniós joggal összhangban. Ez azonban nem vezethet a végponttól végpontig terjedő titkosítás gyengítésére irányuló erőfeszítésekhez, ami a hatékony adatvédelem és a magánélet védelme szempontjából kritikus technológia.

Módosítás  55

 

Irányelvre irányuló javaslat

54 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(54a) Az elektronikus hírközlő hálózatok és az elektronikus hírközlési szolgáltatások biztonságának megőrzése, valamint az azokkal kapcsolatos visszaélések és manipulációk megelőzése érdekében elő kell mozdítani az interoperábilis, biztonságos útválasztási szabványok alkalmazását annak érdekében, hogy az internetszolgáltatók teljes ökoszisztémájában biztosítani lehessen az útválasztási funkciók integritását és megbízhatóságát.

Módosítás  56

 

Irányelvre irányuló javaslat

54 b preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(54b) Az internet funkcionalitásának és integritásának védelme, valamint a DNS-sel kapcsolatos biztonsági problémák csökkentése érdekében ösztönözni kell az érintett érdekelt feleket – köztük az uniós vállalkozásokat, az internetszolgáltatókat és böngészőszolgáltatókat –, hogy fogadjanak el stratégiát a DNS címfeloldás diverzifikálására. A tagállamoknak továbbá ösztönözniük kell egy nyilvános és biztonságos európai DNS-címfeloldási szolgáltatás kifejlesztését és használatát.

Módosítás  57

 

Irányelvre irányuló javaslat

55 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(55) Ez az irányelv kétlépcsős megközelítést állapít meg az események bejelentésével kapcsolatban annak érdekében, hogy megtalálja a megfelelő egyensúlyt egyrészt a gyors bejelentések között, amelyek segítenek enyhíteni az események potenciális terjedését, és lehetővé teszik a szervezetek számára, hogy támogatást kérjenek, másrészt pedig az olyan mélyreható jelentés érdekében, amely értékes tanulságokat von le az egyes eseményekből, és idővel javítja az egyes vállalatok és teljes ágazatok kiberfenyegetésekkel szembeni rezilienciáját. Ha a szervezetek tudomást szereznek egy eseményről, meg kell követelni, hogy 24 órán belül nyújtsanak be első bejelentést, amelyet legkésőbb egy hónappal később zárójelentésnek kell követnie. Az első bejelentésnek csak azokat az információkat kell tartalmaznia, amelyek feltétlenül szükségesek ahhoz, hogy az illetékes hatóságok tudomást szerezzenek az eseményről, és lehetővé tegyék a szervezet számára, hogy szükség esetén segítséget kérjen. Az említett bejelentésnek adott esetben fel kell tüntetnie, hogy az eseményt vélhetően jogellenes vagy rosszindulatú cselekmény okozta-e. A tagállamoknak biztosítaniuk kell, hogy az első bejelentés benyújtásának követelménye ne vonja el az adatszolgáltató szervezet erőforrásait az események kezelésével kapcsolatos tevékenységektől, amelyeket prioritásként kell kezelni. Annak elkerülése érdekében, hogy az események bejelentési kötelezettségei elvonják az erőforrásokat az események kezelésétől, vagy más módon veszélyeztessék a szervezetek e tekintetben tett erőfeszítéseit, a tagállamoknak azt is elő kell írniuk, hogy kellően indokolt esetekben, az illetékes hatóságokkal vagy a CSIRT-tel egyetértésben az érintett szervezet eltérhet az első bejelentés 24 órás és a zárójelentés egy hónapos határidejétől.

(55) Ez az irányelv kétlépcsős megközelítést állapít meg az események bejelentésével kapcsolatban annak érdekében, hogy megtalálja a megfelelő egyensúlyt egyrészt a gyors bejelentések között, amelyek segítenek enyhíteni az események potenciális terjedését, és lehetővé teszik a szervezetek számára, hogy támogatást kérjenek, másrészt pedig az olyan mélyreható jelentés érdekében, amely értékes tanulságokat von le az egyes eseményekből, és idővel javítja az egyes vállalatok és teljes ágazatok kiberfenyegetésekkel szembeni rezilienciáját. Ha a szervezetek tudomást szereznek egy eseményről, meg kell követelni, hogy nyújtsanak be első bejelentést, amelyet legkésőbb az első bejelentés benyújtását követő egy hónapon belül átfogó jelentésnek kell követnie. Az események bejelentésének kezdeti ütemterve nem akadályozhatja meg a szervezeteket abban, hogy korábban jelentsék be az eseményeket, így lehetővé téve számukra, hogy a CSIRT-ektől segítséget kérjenek, ami lehetővé teszi a bejelentett esemény enyhítését és potenciális terjedését. A CSIRT-ek időközi jelentést kérhetnek a releváns állapotfrissítésekről, figyelembe véve az eseményre való reagálásra és a kármentesítésre irányuló erőfeszítéseket az adatszolgáltató szervezet részéről.

Módosítás  58

 

Irányelvre irányuló javaslat

55 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(55a) Egy jelentős esemény hatással lehet a szolgáltatás bizalmas jellegére, integritására vagy rendelkezésre állására. Az alapvető és fontos szervezeteknek az eseményről való tudomásszerzést követő 24 órán belül értesíteniük kell a CSIRT-eket azokról a jelentős eseményekről, amelyek hatással vannak a szolgáltatásuk rendelkezésre állására. Az eseményről való tudomásszerzést követő 72 órán belül értesíteniük kell a CIRT-t azokról a jelentős eseményekről, amelyek sértik a szolgáltatásaik titkosságát és integritását. Az eseménytípusok közötti különbségtétel nem az esemény súlyosságán, hanem azon alapul, hogy a bejelentő szervezet nehezen tudja értékelni az eseményt, annak jelentőségét és a CSIRT számára hasznos információk bejelentésével kapcsolatos képességét. Az első bejelentésnek azokat az információkat kell tartalmaznia, amelyek szükségesek ahhoz, hogy a CSIRT-ek tudomást szerezzenek az eseményről, és lehetővé tegyék a szervezet számára, hogy szükség esetén segítséget kérjen. A tagállamoknak biztosítaniuk kell, hogy az első bejelentés benyújtásának követelménye ne vonja el az adatszolgáltató szervezet erőforrásait az események kezelésével kapcsolatos tevékenységektől, amelyeket prioritásként kell kezelni. Annak elkerülése érdekében, hogy az események bejelentési kötelezettségei elvonják az erőforrásokat az események kezelésétől, vagy más módon veszélyeztessék a szervezetek e tekintetben tett erőfeszítéseit, a tagállamoknak azt is elő kell írniuk, hogy kellően indokolt esetekben, a CSIRT-tel egyetértésben az érintett szervezet eltérhet az első bejelentésre és az átfogó jelentésre vonatkozó határidőtől.

Módosítás  59

 

Irányelvre irányuló javaslat

59 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(59) A doménnevek és a nyilvántartási adatok (ún. WHOIS-adatok) pontos és teljes adatbázisainak gondozása és az említett adatokhoz való jogszerű hozzáférés biztosítása elengedhetetlen a DNS biztonságának, stabilitásának és rezilienciájának biztosításához, ami viszont hozzájárul az Unión belüli egységesen magas szintű kiberbiztonsághoz. Amennyiben a feldolgozás személyes adatokat is tartalmaz, az említett feldolgozásnak meg kell felelnie az uniós adatvédelmi jogszabályoknak.

(59) A doménnevek nyilvántartási adatai (ún. WHOIS-adatok) pontos, ellenőrzött és teljes adatbázisainak gondozása elengedhetetlen a DNS biztonságának, stabilitásának és rezilienciájának biztosításához – ami viszont hozzájárul az Unión belüli egységesen magas szintű kiberbiztonsághoz –, és az illegális tevékenységek elleni küzdelemhez. A legfelső szintű doménnév-nyilvántartók és a doménnév-regisztrációs szolgáltatásokat nyújtó szervezetek számára ezért elő kell írni a doménnév-nyilvántartási adatok gyűjtését, amelyeknek tartalmazniuk kell legalább a bejegyzést igénylők nevét, fizikai és e-mail-címét, valamint telefonszámát. A gyakorlatban előfordulhat, hogy az összegyűjtött adatok nem mindig pontosak, azonban a legfelső szintű doménnév-nyilvántartóknak és a doménnév-regisztrációs szolgáltatásokat nyújtó szervezeteknek arányos eljárásokat kell elfogadniuk és végrehajtaniuk annak ellenőrzésére, hogy a doménnevet igénylő vagy annak birtokában lévő természetes vagy jogi személyek rendelkezésre bocsátották-e azokat az elérhetőségeket, amelyeken elérhetők és ahonnan várhatóan válaszolni fognak. A gondossági megközelítést alkalmazva ezeknek az ellenőrzési eljárásoknak tükrözniük kell az ágazatban jelenleg alkalmazott bevált gyakorlatokat. Az ellenőrzési folyamat e bevált gyakorlatainak tükrözniük kell az elektronikus azonosítási folyamatban elért eredményeket. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-regisztrációs szolgáltatásokat nyújtó szervezeteknek nyilvánosan elérhetővé kell tenniük politikáikat és eljárásaikat a doménnév-nyilvántartási adatok integritásának és hozzáférhetőségének biztosítása érdekében. Amennyiben a feldolgozás személyes adatokat is tartalmaz, az említett feldolgozásnak meg kell felelnie az uniós adatvédelmi jogszabályoknak.

Módosítás  60

 

Irányelvre irányuló javaslat

60 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(60) Ezen adatok rendelkezésre állása és időben történő hozzáférhetősége a hatóságokideértve a bűncselekmények megelőzése, kivizsgálása vagy büntetőeljárás alá vonása céljából az uniós vagy nemzeti jogszabályok alapján illetékes hatóságokat, a CERT-eket (CSIRT-eket) –, valamint ügyfeleik adatai tekintetében az elektronikus hírközlő hálózatok szolgáltatói, valamint az említett ügyfelek nevében eljáró, kiberbiztonsági technológiák és szolgáltatások szolgáltatói számára elengedhetetlen a doménnévrendszerrel való visszaélések megelőzéséhez és felszámolásához, különösen a kiberbiztonsági események megelőzéséhez, felderítéséhez és azok elhárításához. Az említett hozzáférésnek meg kell felelnie az uniós adatvédelmi jogszabályoknak, amennyiben az személyes adatokhoz kapcsolódik.

(60) A doménnév-nyilvántartási adatok rendelkezésre állása és időben történő hozzáférhetősége a jogszerű hozzáférést igénylők számára alapvető fontosságú a kiberbiztonság és az online ökoszisztémán belüli illegális tevékenységek elleni küzdelem szempontjából. A legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára ezért elő kell írni, hogy az uniós adatvédelmi jogszabályokkal összhangban tegyék lehetővé a jogosult hozzáférést igénylők számára a meghatározott doménnév-nyilvántartási adatokhoz – többek között személyes adatokhoz – való jogszerű hozzáférést. A jogszerű hozzáférést igénylőknek megfelelően indokolt kérelmet kell benyújtaniuk a doménnév-nyilvántartási adatokhoz való hozzáférés iránt az uniós vagy a nemzeti jog alapján, ideértve a bűncselekmények megelőzésére, kivizsgálására és a vádeljárás lefolytatására hatáskörrel rendelkező, uniós vagy nemzeti jog szerinti hatóságokat, valamint a nemzeti CERT-eket vagy CSIRT-eket. A tagállamoknak biztosítaniuk kell, hogy a legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek indokolatlan késedelem nélkül, de minden esetben 72 órán belül reagáljanak a jogosult hozzáférés-igénylők kérésére a doménnév-nyilvántartási adatok nyilvánosságra hozatalára. A legfelső szintű doménnév-nyilvántartóknak és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek szabályzatokat és eljárásokat kell kidolgozniuk a nyilvántartási adatok közzétételére és nyilvánosságra hozatalára vonatkozóan, beleértve a szolgáltatási szintre vonatkozó megállapodásokat is, a jogosult hozzáférés-igénylők kérelmeinek kezelése céljából. A hozzáférési eljárás magában foglalhatja egy interfész, portál vagy más technikai eszközök használatát is, hogy hatékony rendszert lehessen biztosítani a nyilvántartási adatok lekérésére és elérésére. A Bizottság a belső piacon a harmonizált gyakorlatok előmozdítása érdekében iránymutatásokat fogadhat el az említett eljárásokról, az Európai Adatvédelmi Testület hatáskörének sérelme nélkül.

Módosítás  61

Irányelvre irányuló javaslat

61 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(61) A pontos és teljes doménnév-nyilvántartási adatok rendelkezésre állásának biztosítása érdekében a legfelső szintű doménnév-nyilvántartóknak és a TLD-hez doménnév-nyilvántartási szolgáltatást nyújtó szervezeteknek (úgynevezett regisztrátoroknak) össze kell gyűjteniük a doménnevek nyilvántartási adatait és garantálniuk kell azok integritását és elérhetőségét. Különösen a legfelső szintű doménnév-nyilvántartóknak és a TLD-hez doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek szabályzatokat és eljárásokat kell kidolgozniuk a pontos és teljes nyilvántartási adatok összegyűjtése és vezetése, valamint az uniós adatvédelmi szabályokkal összhangban a pontatlan nyilvántartási adatok megelőzése és kijavítása céljából.

törölve

Módosítás  62

 

Irányelvre irányuló javaslat

62 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(62) A legfelső szintű doménnév-nyilvántartóknak és a számukra doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek nyilvánosan hozzáférhetővé kell tenniük az uniós adatvédelmi szabályok hatályán kívül eső doménnév-nyilvántartási adatokat, például a jogi személyeket érintő adatokat25. A legfelső szintű doménnév-nyilvántartóknak és a TLD-hez doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek az uniós adatvédelmi jogszabályokkal összhangban lehetővé kell tenniük a jogosult hozzáférés-igénylők számára a természetes személyekre vonatkozó meghatározott doménnév-nyilvántartási adatokhoz való jogszerű hozzáférést is. A tagállamoknak biztosítaniuk kell, hogy a legfelső szintű doménnév-nyilvántartók és a számukra doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek indokolatlan késedelem nélkül reagáljanak a jogosult hozzáférés-igénylők kérésére a doménnév-nyilvántartási adatok nyilvánosságra hozatalára. A legfelső szintű doménnév-nyilvántartóknak és a számukra doménnév-nyilvántartási szolgáltatásokat nyújtó szervezeteknek szabályzatokat és eljárásokat kell kidolgozniuk a nyilvántartási adatok közzétételére és nyilvánosságra hozatalára vonatkozóan, beleértve a szolgáltatási szintre vonatkozó megállapodásokat is, a jogosult hozzáférés-igénylők kérelmeinek kezelése céljából. A hozzáférési eljárás magában foglalhatja egy interfész, portál vagy más technikai eszköz használatát is, hogy hatékony rendszert lehessen biztosítani a nyilvántartási adatok lekérésére és elérésére. A Bizottság a belső piacon a harmonizált gyakorlatok előmozdítása érdekében iránymutatásokat fogadhat el az említett eljárásokról, az Európai Adatvédelmi Testület hatáskörének sérelme nélkül.

(62) A legfelső szintű doménnév-nyilvántartók és a doménnév-nyilvántartási szolgáltatásokat nyújtó szervezetek számára elő kell írni, hogy tegyék nyilvánosan hozzáférhetővé a személyes adatokat nem tartalmazó doménnév-nyilvántartási adatokat. Különbséget kell tenni a természetes és a jogi személyek között25. Jogi személyek esetében a legfelső szintű doménnév-nyilvántartóknak és a szervezeteknek nyilvánosan hozzáférhetővé kell tenniük legalább a bejegyzést igénylők nevét, fizikai és e-mail-címét, valamint telefonszámát. A jogi személynek vagy olyan általános e-mail-címet kell megadnia, amely nyilvánosan hozzáférhető, vagy hozzájárulását kell adnia a személyes e-mail cím közzétételéhez. A jogi személynek képesnek kell lennie arra, hogy a legfelső szintű doménnév-nyilvántartók és a doménnév-regisztrációs szolgáltatásokat nyújtó szervezetek kérésére igazolja a hozzájárulást .

__________________

__________________

25 AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE, a (14) preambulumbekezdés értelmében „(e) rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat”.

25 AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE, a (14) preambulumbekezdés értelmében „(e) rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat”.

Módosítás  63

 

Irányelvre irányuló javaslat

63 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(63) Az ezen irányelv alapján lényeges és fontos minden szervezetnek annak a tagállamnak a joghatósága alá kell tartoznia, ahol szolgáltatásait nyújtja. Ha a szervezet több tagállamban nyújt szolgáltatásokat, annak külön és egyidejűleg minden érintett tagállam joghatósága alá kell tartoznia. E tagállamok illetékes hatóságainak együtt kell működniük, kölcsönös segítséget kell nyújtaniuk egymásnak, és adott esetben közös felügyeleti intézkedéseket kell végrehajtaniuk.

(63) Az ezen irányelv alapján lényeges és fontos minden szervezetnek annak a tagállamnak a joghatósága alá kell tartoznia, ahol szolgáltatásait nyújtja vagy tevékenységeit végzi. Ha a szervezet több tagállamban nyújt szolgáltatásokat, annak külön és egyidejűleg minden érintett tagállam joghatósága alá kell tartoznia. E tagállamok illetékes hatóságainak együtt kell működniük, kölcsönös segítséget kell nyújtaniuk egymásnak, és adott esetben közös felügyeleti intézkedéseket kell végrehajtaniuk.

Módosítás  64

 

Irányelvre irányuló javaslat

64 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(64) A DNS-szolgáltatók szolgáltatásainak és műveleteinek határokon átnyúló jellegének figyelembevétele érdekében a legfelső szintű doménnév-nyilvántartók, tartalomszolgáltató hálózati szolgáltatók, felhőszolgáltatók, adatközpont-szolgáltatók és digitális szolgáltatók esetében csak egy tagállamnak lehet joghatósága e szervezetek felett. A joghatóságot annak a tagállamnak kell tulajdonítani, amelyben az adott szervezet üzleti tevékenységének fő helye az Unióban található. A letelepedési kritérium ezen irányelv alkalmazásában a tevékenység állandó megállapodások útján történő tényleges gyakorlását jelenti. Ebben a tekintetben nem meghatározó tényező az említett megállapodások jogi formája, függetlenül attól, hogy fióktelepen vagy jogi személyiséggel rendelkező leányvállalaton keresztül kötötték-e azokat. E kritérium teljesülése nem függhet attól, hogy a hálózat és az információs rendszerek fizikailag egy adott helyen találhatók-e; az említett rendszerek jelenléte és használata önmagukban nem képezi az üzleti tevékenység említett fő helyét, ezért nem meghatározó kritériumok az üzleti tevékenység fő helyének meghatározásához. Az üzleti tevékenység fő helyének annak a helynek kell lennie, ahol az Unióban meghozzák a kiberbiztonsági kockázatkezelési intézkedésekkel kapcsolatos döntéseket. Ez általában megfelel a vállalatok uniós központi ügyvezetése helyének. Ha ilyen döntéseket nem hoznak az Unióban, úgy kell tekinteni, hogy az üzleti tevékenység fő helye azokban a tagállamokban van, ahol a szervezetnek az Unióban a legmagasabb a munkavállalói létszáma. Ha a szolgáltatásokat vállalkozások csoportja végzi, az irányító vállalkozás üzleti tevékenysége fő helyét a vállalkozáscsoport üzleti tevékenysége fő helyének kell tekinteni.

(64) A DNS-szolgáltatók szolgáltatásainak és műveleteinek határokon átnyúló jellegének figyelembevétele érdekében a legfelső szintű doménnév-nyilvántartók, tartalomszolgáltató hálózati szolgáltatók, felhőszolgáltatók, adatközpont-szolgáltatók és digitális szolgáltatók esetében csak egy tagállamnak lehet joghatósága e szervezetek felett. A joghatóságot annak a tagállamnak kell tulajdonítani, amelyben az adott szervezet üzleti tevékenységének fő helye az Unióban található. A letelepedési kritérium ezen irányelv alkalmazásában a tevékenység állandó megállapodások útján történő tényleges gyakorlását jelenti. Ebben a tekintetben nem meghatározó tényező az említett megállapodások jogi formája, függetlenül attól, hogy fióktelepen vagy jogi személyiséggel rendelkező leányvállalaton keresztül kötötték-e azokat. E kritérium teljesülése nem függhet attól, hogy a hálózat és az információs rendszerek fizikailag egy adott helyen találhatók-e; az említett rendszerek jelenléte és használata önmagukban nem képezi az üzleti tevékenység említett fő helyét, ezért nem meghatározó kritériumok az üzleti tevékenység fő helyének meghatározásához. Az üzleti tevékenység fő helyének annak a helynek kell lennie, ahol az Unióban meghozzák a kiberbiztonsági kockázatkezelési intézkedésekkel kapcsolatos döntéseket. Ez általában megfelel a vállalatok uniós központi ügyvezetése helyének. Ha ilyen döntéseket nem hoznak az Unióban, úgy kell tekinteni, hogy az üzleti tevékenység fő helye azokban a tagállamokban van, ahol a szervezetnek az Unióban a legmagasabb a munkavállalói létszáma, vagy ahol a kiberbiztonsági műveleteket végzik. Ha a szolgáltatásokat vállalkozások csoportja végzi, az irányító vállalkozás üzleti tevékenysége fő helyét a vállalkozáscsoport üzleti tevékenysége fő helyének kell tekinteni.

Módosítás  65

 

Irányelvre irányuló javaslat

65 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(65a) Az ENISA-nak létre kell hoznia és fenn kell tartania az alapvető és fontos szervezetekre vonatkozó információt tartalmazó nyilvántartást, amely magában foglalja a DNS-szolgáltatókat, a legfelső szintű doménnév-nyilvántartókat, a felhőalapú számítástechnikai szolgáltatások nyújtóit, az adatközpont-szolgáltatásokat, a tartalomszolgáltató hálózatokat, az online piactereket, az online keresőprogramokat és a közösségi hálózati platformokat. Ezeknek az alapvető és fontos szervezeteknek meg kell küldeniük az ENISA-nak nevüket, címüket és naprakész elérhetőségüket. E szervezetek haladéktalanul, de minden esetben a változás hatálybalépésétől számított két héten belül értesítik az ENISA-t ezen adatok minden változásáról. Az ENISA-nak továbbítania kell az információkat az illetékes egyedüli kapcsolattartó pontnak. Az információkat az ENISA-nak benyújtó alapvető és fontos szervezetek ezért nem kötelesek külön tájékoztatni a tagállam illetékes hatóságát. Az ENISA-nak egyszerű, nyilvánosan hozzáférhető alkalmazási programot kell kidolgoznia, amelyet ezek a szervezetek használhatnak az adataik frissítéséhez. Az ENISA-nak továbbá megfelelő információ-minősítési és kezelési protokollokat kell létrehoznia a közzétett információk biztonságának és bizalmas jellegének biztosítása érdekében, és korlátozza az ilyen információk elérését, tárolását és továbbítását a szándékolt felhasználók számára.

Módosítás  66

 

Irányelvre irányuló javaslat

66 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(66) Amennyiben a nemzeti vagy az uniós jogszabályok szerint minősítettnek minősülő információkat ezen irányelv rendelkezései alapján kicserélik, jelentik vagy más módon megosztják, a minősített információk kezelésére vonatkozó különös szabályokat alkalmazni kell.

(66) Amennyiben a nemzeti vagy az uniós jogszabályokkal összhangban minősítettnek minősülő információkat ezen irányelv rendelkezései alapján kicserélik, jelentik vagy más módon megosztják, a minősített információk kezelésére vonatkozó különös szabályokat alkalmazni kell. Emellett az ENISA-nak rendelkeznie kell az érzékeny és minősített adatok kezeléséhez szükséges infrastruktúrával, eljárásokkal és szabályokkal, az EU-minősített adatok védelmére vonatkozó biztonsági szabályokkal összhangban.

Módosítás  67

 

Irányelvre irányuló javaslat

68 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(68) A szervezeteket ösztönözni kell arra, hogy stratégiai, taktikai és operatív szinten együttesen hasznosítsák egyéni tudásukat és gyakorlati tapasztalataikat annak érdekében, hogy javítsák képességeiket a kiberfenyegetések megfelelő felmérésére, nyomon követésére, az ellenük való védekezésre és azok elhárítására. Ezért lehetővé kell tenni az önkéntes információmegosztási megállapodások uniós szintű mechanizmusainak megjelenését. Ennek érdekében a tagállamoknak aktívan támogatniuk és ösztönözniük kell az ezen irányelv hatálya alá nem tartozó érintett szervezeteket is, hogy vegyenek részt az említett információmegosztási mechanizmusokban. Ezeket a mechanizmusokat az Unió versenyszabályaival, valamint az adatvédelmi uniós jogszabályokkal teljes összhangban kell végrehajtani.

(68) A szervezeteket a tagállamoknak ösztönözniük kell arra és támogatniuk kell abban, hogy stratégiai, taktikai és operatív szinten együttesen hasznosítsák egyéni tudásukat és gyakorlati tapasztalataikat annak érdekében, hogy javítsák képességeiket a kiberfenyegetések megfelelő felmérésére, nyomon követésére, az ellenük való védekezésre és azok elhárítására. Ezért lehetővé kell tenni az önkéntes információmegosztási megállapodások uniós szintű mechanizmusainak megjelenését. Ennek érdekében a tagállamoknak aktívan támogatniuk és ösztönözniük kell az ezen irányelv hatálya alá nem tartozó érintett szervezeteket is, például a kiberbiztonsági szolgáltatásokra és kutatásra összpontosító szervezeteket, hogy vegyenek részt az említett információmegosztási mechanizmusokban. Ezeket a mechanizmusokat az Unió versenyszabályaival, valamint az adatvédelmi uniós jogszabályokkal teljes összhangban kell végrehajtani.

Módosítás  68

 

Irányelvre irányuló javaslat

69 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(69) A személyes adatok feldolgozásának – a hálózati és információbiztonság szervezeti egységek, hatóságok, CERT-ek, CSIRT-ek, valamint a biztonsági technológiák és szolgáltatások szolgáltatói általi biztosítása érdekében a feltétlenül szükséges és arányos mértékben – az érintett adatkezelő jogos érdekét kell képeznie, az (EU) 2016/679 rendeletben említettek szerint. Ennek ki kell terjednie az események megelőzésével, felderítésével, elemzésével és az azok elhárításával kapcsolatos intézkedésekre, a konkrét kiberfenyegetésekkel kapcsolatos tudatosság növelésére, a biztonsági rés elhárításával és az összehangolt nyilvánosságra hozatallal kapcsolatos információmegosztásra, valamint az ezekre az eseményekre, valamint a kiberfenyegetésekre és biztonsági résekre, a kompromisszummutatókra, taktikákra, technikákra és eljárásokra, kiberbiztonsági figyelmeztetésekre és konfigurációs eszközökre vonatkozó önkéntes információmegosztásra. Az említett intézkedések megkövetelhetik a következő típusú személyes adatok feldolgozását: IP-címek, egységes forrásazonosítók (URL-ek), doménnevek és e-mail-címek.

(69) A személyes adatok feldolgozása – a hálózati és információbiztonság alapvető és fontos szervezetek, hatóságok, CSIRT-ek, valamint a biztonsági technológiák és szolgáltatások szolgáltatói általi biztosítása érdekében a feltétlenül szükséges és arányos mértékben – szükséges az ezen irányelvben előírt jogi kötelezettségeik teljesítéséhez. A személyes adatok ilyen kezelése az alapvető és fontos szervezetek jogos érdekeinek érvényesítéséhez is szükséges lehet. Amennyiben ez az irányelv a személyes adatoknak a kiberbiztonság, valamint a hálózat- és információbiztonság céljából történő kezelését írja elő az irányelv 18., 20. és 23. cikkében foglalt rendelkezésekkel összhangban, az adatkezelést úgy kell tekinteni, hogy az az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) pontjában említett jogi kötelezettségnek való megfeleléshez szükséges. Ezen irányelv 26. és 27. cikkének alkalmazásában az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének f) pontjában említett adatkezelés az alapvető és fontos szervezetek jogos érdekeinek érvényesítéséhez szükségesnek tekintendő. Az események megelőzésével, felderítésével, azonosításával, elszigetelésével, elemzésével és az azok elhárításával kapcsolatos intézkedések, a konkrét kiberfenyegetésekkel kapcsolatos tudatosság növelését célzó intézkedések, a biztonsági rés elhárításával és az összehangolt nyilvánosságra hozatallal kapcsolatos információmegosztás, valamint az ezekre az eseményekre, valamint a kiberfenyegetésekre és biztonsági résekre, a kompromisszummutatókra, taktikákra, technikákra és eljárásokra, kiberbiztonsági figyelmeztetésekre és konfigurációs eszközökre vonatkozó önkéntes információmegosztás a személyes adatok bizonyos kategóriáinak – pl. IP-címek, egységes forrásazonosítók (URL-ek), doménnevek és e-mail-címek, időbélyegzők, az operációs rendszerrel vagy a böngészővel kapcsolatos információ, sütik vagy az elkövetés módjára vonatkozó egyéb információ – kezelését teszik szükségessé.

Módosítás  69

 

Irányelvre irányuló javaslat

71 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(71) A végrehajtás hatásossága érdekében meg kell határozni az ezen irányelvben a kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek megszegése esetére előírt adminisztratív szankciók minimumlistáját, az említett szankciók vonatkozásában az egész Unióban egyértelmű és következetes keretet létrehozva. Megfelelő figyelmet kell fordítani a jogsértés jellegére, súlyosságára és időtartamára, a ténylegesen okozott, illetve a lehetséges kárra vagy az elszenvedett veszteségekre, a jogsértés szándékos vagy gondatlan jellegére, az elszenvedett károk és/vagy veszteségek megelőzésére vagy enyhítésére tett intézkedésekre, a felelősség mértékére vagy bármely releváns korábbi jogsértésre, az illetékes hatósággal való együttműködés mértékére és minden egyéb súlyosbító vagy enyhítő tényezőre. Az adminisztratív bírságokat is beleértve a szankciók kiszabására megfelelő eljárási biztosítékoknak kell vonatkozniuk, az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával összhangban, ideértve a hatékony bírói jogvédelmet és a megfelelő eljárást.

(71) A végrehajtás hatásossága érdekében meg kell határozni az ezen irányelvben a kiberbiztonsági kockázatkezelési és jelentéstételi kötelezettségek megszegése esetére előírt adminisztratív szankciók minimumlistáját, az említett szankciók vonatkozásában az egész Unióban egyértelmű és következetes keretet létrehozva. Megfelelő figyelmet kell fordítani a jogsértés jellegére, súlyosságára és időtartamára, az okozott kárra vagy elszenvedett veszteségekre, a jogsértés szándékos vagy gondatlan jellegére, az elszenvedett károk és/vagy veszteségek megelőzésére vagy enyhítésére tett intézkedésekre, a felelősség mértékére vagy bármely releváns korábbi jogsértésre, az illetékes hatósággal való együttműködés mértékére és minden egyéb súlyosbító vagy enyhítő tényezőre. A szankcióknak – beleértve az adminisztratív szankciókat is – arányosaknak kell lenniük, és kiszabásukra megfelelő eljárási biztosítékoknak kell vonatkozniuk az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával (a továbbiakban: a Charta) összhangban, ideértve a hatékony bírói védelmet, a jogszerű eljárást, az ártatlanság vélelmét és a védelemhez való jogot.

Módosítás  70

 

Irányelvre irányuló javaslat

72 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(72) Az ezen irányelvben megállapított kötelezettségek hatékony végrehajtásának biztosítása érdekében minden illetékes hatóságnak rendelkeznie kell hatáskörrel adminisztratív bírság kiszabására vagy kiszabására.

(72) Az ezen irányelvben megállapított kötelezettségek hatékony végrehajtásának biztosítása érdekében minden illetékes hatóságnak rendelkeznie kell hatáskörrel adminisztratív bírság kiszabására vagy ilyen bírság kiszabásának kérelmezésére, ha a jogsértést szándékosan, gondatlanságból követték el, vagy az érintett szervezet értesítést kapott arról, hogy a szervezet nem tett eleget a követelményeknek.

Módosítás  71

 

Irányelvre irányuló javaslat

76 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(76) Az ezen irányelv alapján megállapított kötelezettségek megsértése esetén alkalmazandó szankciók hatékonyságának és visszatartó erejének további erősítése érdekében az illetékes hatóságokat fel kell hatalmazni arra, hogy a tanúsítás vagy az engedély felfüggesztéséből álló, az alapvető szervezet által nyújtott összes szolgáltatásra vagy azok egy részére kiterjedő szankciókat alkalmazzanak, és ideiglenesen eltilthassanak természetes személyeket az irányítási feladatok ellátásától. Az említett szankciókat csak a jogsértés súlyosságával arányosan lehet alkalmazni – tekintettel azok súlyosságára és a szervezetek tevékenységére, és végső soron fogyasztóikra gyakorolt hatására –, figyelembe véve az egyes esetek sajátos körülményeit, beleértve a jogsértés szándékos vagy gondatlan jellegét, az elszenvedett károk és/vagy veszteségek megelőzése vagy enyhítése érdekében tett intézkedéseket. Ezeket a szankciókat csak végső megoldásként szabad alkalmazni, vagyis csak az ezen irányelvben megállapított egyéb vonatkozó végrehajtási intézkedések kimerítése után, és csak addig az időtartamig, amíg a szankcionált szervezetek megteszik a szükséges intézkedéseket a hiányosságok elhárítására vagy az illetékes hatóság szankcionált követelményeinek betartására. Az említett szankciók kiszabására megfelelő eljárási biztosítékok vonatkoznak, az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával összhangban, ideértve a hatékony bírói jogvédelmet, a tisztességes eljárást, az ártatlanság vélelmét és a védelemhez való jogot.

(76) Az ezen irányelv alapján megállapított kötelezettségek megsértése esetén alkalmazandó szankciók hatékonyságának és visszatartó erejének további erősítése érdekében az illetékes hatóságokat fel kell hatalmazni arra, hogy a tanúsítás vagy az engedély ideiglenes felfüggesztéséből álló, az alapvető szervezet által nyújtott összes releváns szolgáltatásra vagy azok egy részére kiterjedő szankciókat alkalmazzanak, valamint kérelmezhessék vezető tisztségviselői vagy jogi képviselői szinten eljáró természetes személyek vezetői funkciók gyakorlásától való ideiglenes eltiltását. A tagállamoknak konkrét eljárásokat és szabályokat kell kidolgozniuk a közigazgatási szervek vezető tisztségviselői vagy jogi képviselői szintjén eljáró természetes személyek vezetői funkciók gyakorlásától való ideiglenes eltiltására vonatkozóan. Az ilyen eljárások és szabályok kidolgozása során a tagállamoknak figyelembe kell venniük a közigazgatásukon belüli irányítási szintjük és rendszereik sajátosságait. Az említett ideiglenes felfüggesztéseket és eltiltásokat csak a jogsértés súlyosságával arányosan lehet alkalmazni – tekintettel azok súlyosságára és a szervezetek tevékenységére, és végső soron fogyasztóikra gyakorolt hatására –, figyelembe véve az egyes esetek sajátos körülményeit, beleértve a jogsértés szándékos vagy gondatlan jellegét, az elszenvedett károk és/vagy veszteségek megelőzése vagy enyhítése érdekében tett intézkedéseket. Ezeket az ideiglenes felfüggesztéseket és eltiltásokat csak végső megoldásként szabad alkalmazni, vagyis csak az ezen irányelvben megállapított egyéb vonatkozó végrehajtási intézkedések kimerítése után, és csak addig az időtartamig, amíg a szankcionált szervezetek megteszik a szükséges intézkedéseket a hiányosságok elhárítására vagy az illetékes hatóság követelményeinek – amelyekkel kapcsolatban az ideiglenes felfüggesztéseket és eltiltásokat alkalmazták – betartására. Az említett ideiglenes felfüggesztések vagy eltiltások kiszabására megfelelő eljárási biztosítékok vonatkoznak, az uniós jog általános elveivel és a Chartával összhangban, ideértve a hatékony bírói jogvédelmet, a tisztességes eljárást, az ártatlanság vélelmét és a védelemhez való jogot.

Módosítás  72

 

Irányelvre irányuló javaslat

79 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(79) Be kell vezetni egy szakértői értékelési mechanizmust, amely lehetővé teszi a tagállamok által kijelölt szakértők számára a kiberbiztonsági politikák végrehajtásának értékelését, beleértve a tagállami képességek és rendelkezésre álló erőforrások szintjét.

(79) Be kell vezetni egy szakértői értékelési mechanizmust, amely lehetővé teszi a tagállamok által kijelölt független szakértők számára a kiberbiztonsági politikák végrehajtásának értékelését, beleértve a tagállami képességek és rendelkezésre álló erőforrások szintjét. A szakértői értékelések értékes betekintést és ajánlásokat eredményezhetnek, amelyek megerősítik az általános kiberbiztonsági képességeket. Különösen hozzájárulhatnak a technológiák, eszközök, intézkedések és folyamatok szakértői értékelésben részt vevő tagállamok közötti átadásának megkönnyítéséhez, funkcionális útvonalat teremthetnek a bevált gyakorlatok különböző fejlettségi szintű tagállamok közötti megosztásához, és lehetővé tehetik a kiberbiztonság magas, közös szintjének létrehozását az egész Unióban. A szakértői értékelést a felülvizsgálat tárgyát képező tagállam önértékelésének kell megelőznie, amely kiterjed az értékelt szempontokra és a kijelölt szakértők által a folyamat megkezdése előtt szakértői értékelés keretében a tagállammal közölt további célzott kérdésekre. A Bizottságnak az ENISA-val és az együttműködési csoporttal együttműködésben mintákat kell kidolgoznia a felülvizsgált szempontok önértékeléséhez a folyamat egyszerűsítése, valamint az eljárási következetlenségek és késedelmek elkerülése érdekében, amelyeket a szakértői értékelés alatt álló tagállamoknak ki kell tölteniük, és a szakértői értékelési folyamat megkezdése előtt a szakértői értékelést végző kijelölt szakértők rendelkezésére kell bocsátaniuk.

Módosítás  73

 

Irányelvre irányuló javaslat

80 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(80) Az új kiberfenyegetések, a technológiai fejlődés vagy az ágazati sajátosságok figyelembevétele érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkével összhangban jogi aktusokat fogadjon el az ebben az irányelvben előírt kockázatkezelési intézkedésekkel kapcsolatos elemek tekintetében. A Bizottságot fel kell hatalmazni arra is, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el annak meghatározására, hogy az alapvető szervezetek mely kategóriái esetében van szükség tanúsítvány megszerzésére, és melyik konkrét európai kiberbiztonsági tanúsítási rendszerek alapján. Különösen fontos, hogy a Bizottság az előkészítő munka során – többek között szakértői szinten – megfelelő konzultációkat folytasson, és a konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban26 foglalt elvekkel összhangban kerüljön sor. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg megkap minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(80) Az új kiberfenyegetések, a technológiai fejlődés vagy az ágazati sajátosságok figyelembevétele érdekében a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkével összhangban jogi aktusokat fogadjon el az ebben az irányelvben előírt, a kiberbiztonsági kockázat kezelésére irányuló intézkedésekkel és jelentéstételi kötelezettségekkel kapcsolatos elemek tekintetében. A Bizottságot fel kell hatalmazni arra is, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el annak meghatározására, hogy az alapvető és fontos szervezetek mely kategóriái esetében van szükség tanúsítvány megszerzésére, és melyik konkrét európai kiberbiztonsági tanúsítási rendszerek alapján. Különösen fontos, hogy a Bizottság az előkészítő munka során – többek között szakértői szinten – megfelelő konzultációkat folytasson, és a konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban foglalt elvekkel összhangban kerüljön sor. A felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg megkap minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

__________________

 

26 HL L 123., 2016.5.12., 1. o.

 

Módosítás  74

 

Irányelvre irányuló javaslat

81 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(81) Az ezen irányelv vonatkozó rendelkezéseinek az együttműködési csoport működéséhez szükséges eljárási szabályokra, a kockázatkezelési intézkedésekhez kapcsolódó technikai elemekre vagy az információk típusára, az eseménybejelentés formátumára és eljárására vonatkozó rendelkezések egységes végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek27 megfelelően kell gyakorolni.

(81) Az ezen irányelv vonatkozó rendelkezéseinek az együttműködési csoport működéséhez szükséges eljárási szabályokra, az eseménybejelentés eljárására vonatkozó rendelkezések egységes végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni. Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek27 megfelelően kell gyakorolni.

__________________

__________________

27 Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

27 Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

Módosítás  75

 

Irányelvre irányuló javaslat

82 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(82) A Bizottságnak rendszeresen felül kell vizsgálnia ezt az irányelvet, az érdekelt felekkel konzultálva, különösen a társadalmi, politikai, technológiai vagy piaci körülmények változásainak figyelembevételével történő módosítás szükségességének megállapítása céljából.

(82) A Bizottságnak rendszeresen felül kell vizsgálnia ezt az irányelvet, az érdekelt felekkel konzultálva, különösen annak megállapítása céljából, hogy a társadalmi, politikai, technológiai vagy piaci feltételek változásai fényében helyénvaló-e módosításokat javasolni. E felülvizsgálatok részeként a Bizottságnak értékelnie kell, hogy a mellékletekben említett ágazatok, alágazatok, valamint a szervezetek típusa mennyire releváns a gazdaság és a társadalom működése szempontjából a kiberbiztonság tekintetében. A Bizottságnak többek között értékelnie kell, hogy a(z) XXXX/XXXX/EU rendelet [a digitális szolgáltatások egységes piacáról (digitális szolgáltatásokról szóló jogszabály) vagy a(z) XXXX/XXXX/EU rendelet [a digitális ágazat vitatott és tisztességes piacairól (digitális piaci intézkedéscsomag)] 2. cikkének 1. pontjában meghatározott kapuőrnek minősülő digitális szolgáltatókat ezen irányelv értelmében alapvetőnek kell-e tekinteni. A Bizottságnak továbbá értékelnie kell, hogy helyénvaló-e az (EU) 2020/1828 európai parlamenti és tanácsi irányelv1a I. mellékletének az ezen irányelvre való hivatkozással történő módosítása.

 

__________________

 

1a Az Európai Parlament és a Tanács (EU) 2020/1828 irányelve (2020. november 25.) a fogyasztók kollektív érdekeinek védelmére irányuló képviseleti keresetekről és a 2009/22/EK irányelv hatályon kívül helyezéséről (HL L 409., 2020.12.4., 1. o.).

Módosítás  76 

Irányelvre irányuló javaslat

82 a preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(82a) Ez az irányelv kiberbiztonsági követelményeket állapít meg a tagállamok, valamint az Unióban letelepedett alapvető és fontos szervezetek számára. Ezeket a kiberbiztonsági követelményeket uniós jogi aktus alapján az uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek is alkalmazniuk kell.

Módosítás  77

 

Irányelvre irányuló javaslat

82 b preambulumbekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(82b) Ez az irányelv új feladatokat hoz létre az ENISA számára, ezáltal növelve szerepét, ami azt is eredményezheti, hogy az ENISA-nak a korábbinál magasabb színvonalon kell ellátnia az (EU) 2019/881 rendelet szerinti meglévő feladatait. Annak biztosítása érdekében, hogy az ENISA rendelkezzen a feladatai körébe tartozó meglévő és új tevékenységek elvégzéséhez szükséges pénzügyi és emberi erőforrásokkal, valamint hogy megfeleljen a megerősített szerepéből eredő magasabb szintű követelményeknek, költségvetését ennek megfelelően növelni kell. Ezen túlmenően az erőforrások hatékony felhasználásának biztosítása érdekében az ENISA-nak nagyobb rugalmasságot kell biztosítani a források belső elosztásának módjában, hogy feladatait el tudja látni, és az elvárásoknak hatékonyan eleget tudjon tenni.

Módosítás  78

 

Irányelvre irányuló javaslat

84 preambulumbekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(84) Ez az irányelv tiszteletben tartja az alapvető jogokat, és betartja az Európai Unió Alapjogi Chartája által elismert elveket, különösen a magánélet és a kommunikáció tiszteletben tartásához való jogot, a személyes adatok védelmét, a vállalkozás szabadságát, a tulajdonhoz való jogot, a bíróság előtti hatékony jogorvoslathoz való jogot és a meghallgatáshoz való jogot. Ezt az irányelvet az említett jogokkal és elvekkel összhangban kell végrehajtani,

(84) Ez az irányelv tiszteletben tartja az alapvető jogokat, és betartja a Charta által elismert elveket, különösen a magánélet és a kommunikáció tiszteletben tartásához való jogot, a személyes adatok védelmét, a vállalkozás szabadságát, a tulajdonhoz való jogot, a bíróság előtti hatékony jogorvoslathoz való jogot és a meghallgatáshoz való jogot. Ez magában foglalja a bíróság előtti hatékony jogorvoslathoz való jogot az alapvető és fontos szervezetek által nyújtott szolgáltatások igénybevevői számára. Ezt az irányelvet az említett jogokkal és elvekkel összhangban kell végrehajtani,

Módosítás  79

 

Irányelvre irányuló javaslat

1 cikk – 2 bekezdés – c a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ca) megállapítja a tagállamok felügyeleti és végrehajtási kötelezettségeit.

Módosítás  80

 

Irányelvre irányuló javaslat

2 cikk – 1 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(1) Ezt az irányelvet az I. mellékletben alapvető szervezetként és a II. mellékletben fontos szervezetként említett állami és magánszervezetekre kell alkalmazni. Ez az irányelv nem vonatkozik azokra a szervezetekre, amelyek a 2003/361/EK bizottsági ajánlás28 értelmében mikro- és kisvállalkozásnak minősülnek.

(1) Ezt az irányelvet az I. mellékletben alapvető és fontos szervezetként és a II. mellékletben fontos szervezetként említett azon állami és magánszervezetekre kell alkalmazni, amelyek az Unión belül nyújtják szolgáltatásaikat vagy végzik tevékenységeiket. Ez az irányelv nem vonatkozik azokra a szervezetekre, amelyek a 2003/361/EK bizottsági ajánlás28 melléklete 2. cikkének (2) és (3) bekezdése értelmében mikro- vagy kisvállalkozásnak minősülnek. Ezen ajánlás melléklete 3. cikkének (4) bekezdése nem alkalmazandó.

__________________

__________________

28 A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

28 A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

Módosítás  81

 

Irányelvre irányuló javaslat

2 cikk – 2 bekezdés – 1 albekezdés – bevezető rész

 

A Bizottság által javasolt szöveg

Módosítás

Méretüktől függetlenül azonban ez az irányelv az I. és II. mellékletben említett szervezetekre is vonatkozik, amennyiben:

Méretüktől függetlenül ez az irányelv az alapvető és fontos szervezetekre is vonatkozik, amennyiben:

Módosítás  82

 

Irányelvre irányuló javaslat

2 cikk – 2 bekezdés – 1 albekezdés – d pont

 

A Bizottság által javasolt szöveg

Módosítás

d) a szervezet által nyújtott szolgáltatás esetleges zavara hatással lehet a közbiztonságra, a közbiztonságra vagy a közegészségre;

d) a szervezet által nyújtott szolgáltatás zavara hatással lehet a közrendre, a közbiztonságra vagy a közegészségre;

Módosítás  83

 

Irányelvre irányuló javaslat

2 cikk – 2 bekezdés – 1 albekezdés – e pont

 

A Bizottság által javasolt szöveg

Módosítás

e) a szervezet által nyújtott szolgáltatás esetleges zavara rendszerszintű kockázatokat idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet;

e) a szervezet által nyújtott szolgáltatás zavara rendszerszintű kockázatokat idézhet elő, különösen azokban az ágazatokban, ahol az említett zavarnak határokon átnyúló hatása lehet;

Módosítás  84

 

Irányelvre irányuló javaslat

2 cikk – 2 bekezdés – 2 albekezdés

 

A Bizottság által javasolt szöveg

Módosítás

A tagállamok összeállítják a b) –f) pont alapján kijelölt szervezetek listáját, és azt [az átültetési határidő lejárta után 6 hónappal] benyújtják a Bizottsághoz. A tagállamok a listát rendszeresen, de az említett időpontot követően legalább kétévente felülvizsgálják, és adott esetben frissítik.

törölve

Módosítás  85

 

Irányelvre irányuló javaslat

2 cikk – 2 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(2a) [Az átültetési határidő után 6 hónappal] a tagállamok összeállítják az alapvető és fontos szervezetek jegyzékét, beleértve az (1) bekezdésben említett szervezeteket és a (2) bekezdés b)–f) pontja, valamint a 24. cikk (1) bekezdése alapján azonosított szervezeteket. A tagállamok ezt a listát rendszeresen, de az említett időpontot követően legalább kétévente felülvizsgálják, és adott esetben frissítik.

Módosítás  86

 

Irányelvre irányuló javaslat

2 cikk – 2 b bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(2b) A tagállamok biztosítják, hogy az alapvető és fontos szervezetek legalább a következő információkat nyújtsák be az illetékes hatóságoknak:

 

a) a szervezet neve;

 

b) cím és naprakész elérhetőségek, beleértve az e-mail-címeket, az IP-tartományokat, a telefonszámokat; továbbá

 

c) az I. és II. mellékletben említett érintett ágazat(ok) és alágazat(ok).

 

Az alapvető és fontos szervezetek haladéktalanul, de legkésőbb a változás hatálybalépésétől számított két héten belül értesítést küldenek az első albekezdés alapján benyújtott adatokban bekövetkező változásokról. E célból a Bizottság az ENISA segítségével indokolatlan késedelem nélkül iránymutatásokat és sablonokat bocsát ki az e bekezdésben meghatározott kötelezettségekre vonatkozóan.

Módosítás  87

 

Irányelvre irányuló javaslat

2 cikk – 2 c bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(2c) A tagállamok...[6 hónappal az átültetési határidőt követően]-ig és azt követően kétévente értesítik:

 

a) a Bizottságot és az együttműködési csoportot az I. és II. mellékletben említett egyes ágazatok és alágazatok tekintetében azonosított valamennyi alapvető és fontos szervezet számáról, valamint

 

b) a Bizottságot a (2) bekezdés b)–f) pontja szerint azonosított szervezetek nevéről.

Módosítás  88

 

Irányelvre irányuló javaslat

2 cikk – 4 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(4) Ezt az irányelvet a 2008/114/EK tanácsi irányelv30 és a 2011/93/EU31 és 2013/40/EU32 európai parlamenti és tanácsi irányelv sérelme nélkül kell alkalmazni.

(4) Ezt az irányelvet a 2008/114/EK tanácsi irányelv30 és a 2011/93/EU31, a 2013/40/EU32 és a 2002/58/EK32a európai parlamenti és tanácsi irányelv sérelme nélkül kell alkalmazni.

__________________

__________________

30 A Tanács 2008/114/EK irányelve (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről (HL L 345., 2008.12.23., 75. o.).

30 A Tanács 2008/114/EK irányelve (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről (HL L 345., 2008.12.23., 75. o.).

31 Európai Parlament és a Tanács 2011/93/EU irányelve (2011. december 13.) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1. o.).

31 Európai Parlament és a Tanács 2011/93/EU irányelve (2011. december 13.) a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról (HL L 335., 2011.12.17., 1. o.).

32 Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról (HL L 218., 2013.8.14., 8. o.).

32 Az Európai Parlament és a Tanács 2013/40/EU irányelve (2013. augusztus 12.) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról (HL L 218., 2013.8.14., 8. o.).

 

32a Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről („Elektronikus hírközlési adatvédelmi irányelv”) (HL L 201., 2002.7.31., 37. o.).

Módosítás  89

 

Irányelvre irányuló javaslat

2 cikk – 6 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(6) Ha az uniós jogszabályok ágazatspecifikus jogi aktusainak rendelkezései megkövetelik, hogy az alapvető vagy fontos szervezetek kiberbiztonsági kockázatkezelési intézkedéseket fogadjanak el, vagy bejelentsék az eseményeket vagy jelentős kiberfenyegetéseket, és ha ezek a követelmények legalább egyenértékűek az ezen irányelvben meghatározott kötelezettségekkel, ezen irányelv vonatkozó rendelkezései – beleértve a VI. fejezetben a felügyeletre és a végrehajtásra vonatkozó rendelkezéseket – nem alkalmazhatók.

(6) Ha az uniós jogszabályok ágazatspecifikus jogi aktusainak rendelkezései megkövetelik, hogy az alapvető vagy fontos szervezetek kiberbiztonsági kockázatkezelési intézkedéseket fogadjanak el, vagy bejelentsék az eseményeket, és ha ezek a követelmények legalább egyenértékűek az ezen irányelvben meghatározott kötelezettségekkel, ezen irányelv vonatkozó rendelkezései – beleértve a VI. fejezetben a felügyeletre és a végrehajtásra vonatkozó rendelkezéseket – nem alkalmazhatók. A Bizottság haladéktalanul iránymutatásokat ad ki az ágazatspecifikus uniós jogi aktusok végrehajtásával kapcsolatban annak biztosítása érdekében, hogy az említett jogi aktusok megfeleljenek az ezen irányelv által megállapított kiberbiztonsági követelményeknek, és hogy ne legyen átfedés vagy jogbizonytalanság. Ezen iránymutatások kidolgozásakor a Bizottság figyelembe veszi az ENISA és az együttműködési csoport bevált gyakorlatait és szakértelmét.

Módosítás  90

 

Irányelvre irányuló javaslat

2 cikk – 6 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(6a) Az alapvető és fontos szervezetek, a CSIRT-ek, valamint a biztonsági technológiákat és szolgáltatásokat nyújtó szolgáltatók a kiberbiztonsághoz, illetve a hálózat- és információbiztonsághoz feltétlenül szükséges és arányos mértékben kezelik a személyes adatokat az ezen irányelvben meghatározott kötelezettségek teljesítése érdekében. A személyes adatoknak az ezen irányelv szerinti kezelését a 2016/679/EK irányelvvel, különösen annak 6. cikkével összhangban kell végezni.

Módosítás  91

 

Irányelvre irányuló javaslat

2 cikk – 6 b bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(6b) A személyes adatok ezen irányelv szerinti feldolgozását, az I. melléklet 8. pontjában említett nyilvános elektronikus hírközlő hálózatok szolgáltatói vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatók a 2002/58/EK irányelvvel összhangban végzik.

Módosítás  92

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 4 a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

4a. „majdnem bekövetkezett (near miss) esemény”: olyan esemény, amely veszélyeztethette volna az adatok rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmas jellegét, vagy kárt okozhatott volna, de sikeresen megakadályozták negatív hatása kifejtésében;

Módosítás  93

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 6 pont

 

A Bizottság által javasolt szöveg

Módosítás

6. „esemény kezelése”: minden olyan tevékenység és eljárás, amelynek célja az esemény felderítése, elemzése, elszigetelése és az arra adott válasz;

6. „esemény kezelése”: minden olyan tevékenység és eljárás, amelynek célja az esemény megakadályozása, felderítése, elemzése, elszigetelése és az arra adott válasz;

Módosítás  94

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 7 a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

7a. „kockázat”: egy esemény azon képessége, hogy veszteséget okozzon vagy zavart idézzen elő, amelyet az említett veszteség vagy zavar nagyságrendje és az adott esemény bekövetkezési valószínűsége kombinációjaként kell kifejezni.

Módosítás  95

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 11 pont

 

A Bizottság által javasolt szöveg

Módosítás

11. „műszaki előírás”: az 1025/2012/EU rendelet 2. cikkének 4. pontja szerinti műszaki előírás;

11. „műszaki előírás”: az 2019/881/EU rendelet 2. cikkének 20. pontjában meghatározott műszaki előírás;

Módosítás  96

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 13 pont

 

A Bizottság által javasolt szöveg

Módosítás

13. „doménnévrendszer (DNS)”: hierarchikusan felépülő elnevezési rendszer, amely lehetővé teszi a végfelhasználók számára, hogy az interneten szolgáltatásokat és erőforrásokat érjenek el;

13. „doménnévrendszer (DNS)”: hierarchikusan felépülő elnevezési rendszer, amely lehetővé teszi az internetes szolgáltatások és erőforrások azonosítását, lehetővé téve a végfelhasználók eszközei számára az internetes útvonal-meghatározási és összekapcsolási szolgáltatások igénybevételét e szolgáltatások és erőforrások elérése érdekében;

Módosítás  97

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 14 pont

 

A Bizottság által javasolt szöveg

Módosítás

14. „DNS-szolgáltató”: olyan szervezet, amely rekurzív vagy hiteles doménnév-feloldási szolgáltatásokat nyújt az internet végfelhasználóinak és más DNS-szolgáltatóknak;

14. „DNS-szolgáltató”: olyan szervezet, amely a következőket nyújtja:

Módosítás  98

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 14 pont – a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

a) nyílt és nyilvános rekurzív doménnév-feloldási szolgáltatások az internet végfelhasználói számára; vagy

Módosítás  99

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 14 pont – b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

b) hiteles doménnév-feloldási szolgáltatások mint harmadik szervezetek által igénybe vehető szolgáltatás;

Módosítás  100

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 15 pont

 

A Bizottság által javasolt szöveg

Módosítás

15. „legfelső szintű doménnév-nyilvántartó”: olyan szervezet, amely egy meghatározott TLD-t kapott, és felelős egyrészt a TLD kezeléséért – ideértve a TLD alatti doménnevek nyilvántartásba vételét –, másrészt a TLD technikai üzemeltetéséért, amely magában foglalja a névszervereinek üzemeltetését, adatbázisainak karbantartását és a TLD zónafájlok elosztását a névszerverek között;

15. „legfelső szintű doménnév-nyilvántartó”: olyan szervezet, amely egy meghatározott TLD-t kapott, és felelős egyrészt a TLD kezeléséért – ideértve a TLD alatti doménnevek nyilvántartásba vételét –, másrészt a TLD technikai üzemeltetéséért, amely magában foglalja a névszervereinek üzemeltetését, adatbázisainak karbantartását és a TLD zónafájlok elosztását a névszerverek között, függetlenül attól, hogy ezen üzemeltetési tevékenységek bármelyikét maga a szervezet végzi vagy azokat kiszervezi;

Módosítás  101

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 15 a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

15a. „doménnév-nyilvántartási szolgáltatások”: doménnév-nyilvántartók és doménnév-regisztrátorok, adatvédelmi vagy meghatalmazott nyilvántartási szolgáltatók, doménközvetítők vagy viszonteladók által nyújtott szolgáltatások, valamint a doménnevek bejegyzésével kapcsolatos egyéb szolgáltatások;

Módosítás  102

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 23 a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

23a. „nyilvános elektronikus hírközlési hálózat”: az (EU) 2018/1972 irányelv 2. cikkének 8. pontjában meghatározott nyilvános elektronikus hírközlési hálózat;

Módosítás  103

 

Irányelvre irányuló javaslat

4 cikk – 1 bekezdés – 23 b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

23b. „elektronikus hírközlési szolgáltatás”: az (EU) 2018/1972 irányelv 2. cikkének 4. pontjában meghatározott elektronikus hírközlési szolgáltatás;

Módosítás  104

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – bevezető rész

 

A Bizottság által javasolt szöveg

Módosítás

(1) Minden tagállam a magas szintű kiberbiztonság elérése és fenntartása céljából elfogad nemzeti kiberbiztonsági stratégiát, meghatározva a stratégiai célokat, valamint a megfelelő szakpolitikai és szabályozási intézkedéseket. A nemzeti kiberbiztonsági stratégia különösen a következőket tartalmazza:

(1) A magas szintű kiberbiztonság elérése és fenntartása céljából minden tagállam nemzeti kiberbiztonsági stratégiát fogad el, meghatározva a stratégiai célokat, az e célok eléréséhez szükséges technikai, szervezeti és pénzügyi erőforrásokat, valamint a megfelelő szakpolitikai és szabályozási intézkedéseket. A nemzeti kiberbiztonsági stratégia különösen a következőket tartalmazza:

Módosítás  105

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – a pont

 

A Bizottság által javasolt szöveg

Módosítás

a) a kiberbiztonságra vonatkozó tagállami stratégia céljainak és prioritásainak meghatározása;

(A magyar változatot nem érinti.) 

Módosítás  106

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – b pont

 

A Bizottság által javasolt szöveg

Módosítás

b) irányítási keretrendszer e célok és prioritások elérése érdekében, ideértve a (2) bekezdésben említett szakpolitikákat, valamint az állami szervek és szervezetek, valamint más érintett szereplők szerepét és felelősségét;

b) irányítási keretrendszer e célok és prioritások elérése érdekében, ideértve a (2) bekezdésben említett szakpolitikákat;

Módosítás  107

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – b a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ba) a közfeladatot ellátó szervek és szervezetek, valamint más érintett szereplők szerepének és felelősségi köreinek elosztására szolgáló keret, amely támogatja a 7. cikk (1) bekezdése és a 8. cikk (1) bekezdése szerint kijelölt illetékes hatóságok, a 8. cikk (3) bekezdése szerint kijelölt egyedüli kapcsolattartó pont és a 9. cikk alapján kijelölt CSIRT-ek közötti nemzeti szintű együttműködést és koordinációt;

Módosítás  108

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – e pont

 

A Bizottság által javasolt szöveg

Módosítás

e) a nemzeti kiberbiztonsági stratégia végrehajtásában részt vevő különféle hatóságok és szereplők listája;

e) a nemzeti kiberbiztonsági stratégia végrehajtásában részt vevő különféle hatóságok és szereplők listája, beleértve a kkv-k egyablakos kiberbiztonsági kapcsolattartó pontját, amely támogatást nyújt a konkrét kiberbiztonsági intézkedések végrehajtásához;

Módosítás  109

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – f pont

 

A Bizottság által javasolt szöveg

Módosítás

f) az illetékes hatóságok közötti, ezen irányelv és az (EU) XXXX/XXXX európai parlamenti és tanácsi irányelv38 [A kritikus szervezetek rezilienciájáról szóló irányelv] szerinti, az eseményekkel és a kiberfenyegetésekkel kapcsolatos információk megosztását és a felügyeleti feladatok ellátását célzó, fokozott koordináció politikai kerete.

f) az illetékes hatóságok közötti, ezen irányelv és az (EU) XXXX/XXXX európai parlamenti és tanácsi irányelv38 [A kritikus szervezetek rezilienciájáról szóló irányelv] szerinti, az eseményekkel és a kiberfenyegetésekkel kapcsolatos információk megosztását és a felügyeleti feladatok ellátását célzó, tagállamon belüli és tagállamok közötti fokozott koordináció politikai kerete.

__________________

__________________

38 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

38 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

Módosítás  110

 

Irányelvre irányuló javaslat

5 cikk – 1 bekezdés – f a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

fa) a kiberbiztonsági tudatosság általános szintjének értékelése a polgárok körében.

Módosítás  111

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – -a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

-a) az ezen irányelv hatálya alá tartozó valamennyi ágazat kiberbiztonságára vonatkozó szakpolitika;

Módosítás  112

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – b pont

 

A Bizottság által javasolt szöveg

Módosítás

b) iránymutatások az IKT-termékek és -szolgáltatások kiberbiztonsággal kapcsolatos követelményeinek a közbeszerzésekbe történő felvételére és meghatározására vonatkozóan;

b) iránymutatások az IKT-termékek és -szolgáltatások kiberbiztonsággal kapcsolatos követelményeinek a közbeszerzésekbe történő felvételére és meghatározására vonatkozóan, beleértve a titkosítási követelményeket és a nyílt forráskódú kiberbiztonsági termékek használatát;

Módosítás  113

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – d pont

 

A Bizottság által javasolt szöveg

Módosítás

d) a nyílt internet nyilvános magja általános elérhetőségének és integritásának fenntartásával kapcsolatos politika;

d) a nyílt internet nyilvános magja általános elérhetőségének és integritásának fenntartásával kapcsolatos politika, beleértve a tenger alatti kommunikációs kábelek kiberbiztonságát is;

Módosítás  114

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – d a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

da) a mesterséges intelligencia és a kiberbiztonságot fokozó eszközökben és alkalmazásokban kialakulóban lévő technológiák, például a mesterséges intelligencia fejlesztését és integrálását előmozdító és támogató politika;

Módosítás  115

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – d b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

db) a nyílt forráskódú eszközök és alkalmazások integrálását elősegítő politika;

Módosítás  116

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – f pont

 

A Bizottság által javasolt szöveg

Módosítás

f) a tudományos és kutatóintézetek kiberbiztonsági eszközök és biztonságos hálózati infrastruktúra fejlesztésében való támogatására vonatkozó politika;

f) a tudományos és kutatóintézetek kiberbiztonsági eszközök és biztonságos hálózati infrastruktúra fejlesztésében, javításában és bevezetésében való támogatására vonatkozó politika;

Módosítás  117

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h pont

 

A Bizottság által javasolt szöveg

Módosítás

h) a kkv-k – különösen az ezen irányelv hatálya alól kizárt kkv-k – sajátos szükségleteivel foglalkozó politika, a kiberbiztonsági fenyegetésekkel szembeni rezilienciájuk javításában nyújtott útmutatással és támogatással kapcsolatban.

h) a kkv-k – többek között az ezen irányelv hatálya alól kizárt kkv-k – kiberbiztonságát előmozdító szakpolitika, amely kezeli sajátos szükségleteiket, és könnyen hozzáférhető útmutatást és támogatást nyújt, beleértve az ellátási lánc előtt álló kihívások kezelésére vonatkozó iránymutatásokat is;

Módosítás  118

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ha) a kiberhigiénia előmozdítására irányuló politika, amely tartalmazza a gyakorlatok és ellenőrzések alapkészletét, valamint növeli a kiberbiztonsági fenyegetésekre és bevált gyakorlatokra vonatkozó általános kiberbiztonsági tudatosságot a polgárok körében;

Módosítás  119

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

hb) az aktív kibervédelmet előmozdító politika;

Módosítás  120

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h c pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

hc) olyan politika, amely segíti a hatóságokat abban, hogy jobban megértsék a csatlakoztatott helyek tervezéséhez, építéséhez és kezeléséhez szükséges biztonsági szempontokat, és megszerezzék az ezzel kapcsolatos képességeket;

Módosítás  121

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h d pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

hd) a zsarolóvírus jelentette fenyegetéssel és a zsarolóvírusra épülő üzleti modell megzavarásával foglalkozó politika;

Módosítás  122

 

Irányelvre irányuló javaslat

5 cikk – 2 bekezdés – h e pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

he) a kiberbiztonsági köz-magán társulások létrehozásának támogatását és előmozdítását célzó politika, beleértve a vonatkozó eljárásokat és irányítási kereteket;

Módosítás  123

 

Irányelvre irányuló javaslat

5 cikk – 3 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(3) A tagállamok az elfogadástól számított három hónapon belül értesítik a Bizottságot nemzeti kiberbiztonsági stratégiájukról. A tagállamok kizárhatnak bizonyos információkat a bejelentés alól, annyiban és amennyiben ez a nemzetbiztonság megőrzéséhez feltétlenül szükséges.

(3) A tagállamok az elfogadástól számított három hónapon belül értesítik a Bizottságot nemzeti kiberbiztonsági stratégiájukról. A tagállamok kizárhatnak bizonyos információkat a bejelentés alól, annyiban és amennyiben ez a nemzetbiztonság megőrzéséhez szükséges.

Módosítás  124

 

Irányelvre irányuló javaslat

5 cikk – 4 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(4) A tagállamok a legfontosabb teljesítménymutatók alapján legalább négyévente értékelik nemzeti kiberbiztonsági stratégiáikat, és szükség esetén módosítják azokat. Az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) kérésre segítséget nyújt a tagállamoknak egy nemzeti stratégia és a stratégia értékeléséhez szükséges fő teljesítménymutatók kidolgozásában.

(4) A tagállamok a legfontosabb teljesítménymutatók alapján legalább négyévente értékelik nemzeti kiberbiztonsági stratégiáikat, és szükség esetén módosítják azokat. Az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) kérésre segítséget nyújt a tagállamoknak egy nemzeti stratégia és a stratégia értékeléséhez szükséges fő teljesítménymutatók kidolgozásában. Az ENISA iránymutatást nyújt a tagállamoknak a már kidolgozott nemzeti kiberbiztonsági stratégiáiknak az ezen irányelvben meghatározott követelményekkel és kötelezettségekkel való összehangolása érdekében.

Módosítás  125

 

Irányelvre irányuló javaslat

6 cikk – cím

 

A Bizottság által javasolt szöveg

Módosítás

Biztonsági rés összehangolt közzététele és egy európai biztonságirés-nyilvántartás

Biztonsági rés összehangolt közzététele és egy európai biztonságirés-adatbázis

Módosítás  126

 

Irányelvre irányuló javaslat

6 cikk – 1 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(1) Minden tagállam kijelöli a 9. cikkben említett egyik CSIRT-jét koordinátorként a biztonsági rés összehangolt közzététele céljából. A kijelölt CSIRT megbízható közvetítőként jár el, szükség esetén megkönnyítve az adatszolgáltató szervezet és az IKT-termékek vagy IKT-szolgáltatások gyártója vagy szolgáltatója közötti kapcsolattartást. Ha a bejelentett biztonsági rés az IKT-termékek vagy IKT-szolgáltatások több gyártóját vagy szolgáltatóját érinti az egész Unióban, az érintett tagállamok kijelölt CSIRT-je együttműködik a CSIRT-hálózattal.

(1) Minden tagállam kijelöli a 9. cikkben említett egyik CSIRT-jét koordinátorként a biztonsági rés összehangolt közzététele céljából. A kijelölt CSIRT megbízható közvetítőként jár el, a bejelentő szervezet kérésére megkönnyítve az adatszolgáltató szervezet és az IKT-termékek vagy IKT-szolgáltatások gyártója vagy szolgáltatója közötti kapcsolattartást. Ha a bejelentett biztonsági rés az IKT-termékek vagy IKT-szolgáltatások több gyártóját vagy szolgáltatóját érinti az egész Unióban, az érintett tagállamok kijelölt CSIRT-je együttműködik a CSIRT-hálózattal.

Módosítás  127

 

Irányelvre irányuló javaslat

6 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) Az ENISA kidolgozza és fenntartja az európai biztonságirés-nyilvántartást. Ebből a célból az ENISA létrehozza és fenntartja a megfelelő információs rendszereket, szabályzatokat és eljárásokat, különösen annak érdekében, hogy a fontos és alapvető szervezetek és hálózati és információs rendszer szállítóik számára lehetővé tegye az IKT-termékekben vagy az IKT-szolgáltatásokban található biztonsági rések nyilvánosságra hozatalát és nyilvántartását, valamint az összes érdekelt fél számára hozzáférést biztosít a nyilvántartásba vett biztonsági résekre vonatkozó információkhoz. A nyilvántartásnak tartalmaznia kell különösen a biztonsági rést, az érintett IKT-terméket vagy IKT-szolgáltatásokat, valamint a biztonsági rés súlyosságát a kihasználható körülmények, a kapcsolódó javítások rendelkezésre állása és a javítás hiánya tekintetében, és elérhető javítás hiányában a biztonsági réssel érintett termékek és szolgáltatások felhasználóinak szóló útmutatás a nyilvánosságra hozott biztonsági résekből fakadó kockázatok csökkenthetőségének mikéntjéről.

(2) Az ENISA létrehoz és fenntart egy európai biztonságirés-adatbázist, amely kiaknázza a globális közös biztonságirés- és kitettségi (CVE) nyilvántartást. E célból az ENISA létrehozza és fenntartja a megfelelő információs rendszereket, politikákat és eljárásokat, valamint elfogadja az adatbázis biztonságának és integritásának biztosításához szükséges műszaki és szervezeti intézkedéseket, különös tekintettel annak lehetővé tételére, hogy a fontos és alapvető szervezetek és hálózati és információs rendszer szállítóik – valamint az ezen irányelv alkalmazásának hatálya alá nem tartozó szervezetek és beszállítóik – az IKT-termékekben vagy az IKT-szolgáltatásokban található biztonsági réseket nyilvánosságra hozzák és nyilvántartsák. Minden érdekelt fél számára hozzáférést kell biztosítani az adatbázisban található azokra a sebezhetőségekre vonatkozó információkhoz, amelyek javításokkal vagy kockázatcsökkentő intézkedésekkel rendelkeznek. Az adatbázisnak tartalmaznia kell különösen a biztonsági rést, az érintett IKT-terméket vagy IKT-szolgáltatásokat, valamint a biztonsági rés súlyosságát a kihasználható körülmények és a kapcsolódó javítások rendelkezésre állása tekintetében. Elérhető javítás hiányában az adatbázisba bele kell foglalni a biztonsági réssel érintett IKT-termékek és IKT-szolgáltatások felhasználóinak szóló útmutatást a nyilvánosságra hozott biztonsági résekből fakadó kockázatok csökkenthetőségének mikéntjéről.

Módosítás  128

 

Irányelvre irányuló javaslat

7 cikk – 1 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(1a) Amennyiben egy tagállam egynél több, az (1) bekezdésben említett illetékes hatóságot jelöl ki, egyértelműen meg kell jelölnie, hogy az említett illetékes hatóságok közül melyik látja el a koordinátor szerepét a nagyszabású biztonsági események és válságok kezelésében.

Módosítás  129

 

Irányelvre irányuló javaslat

7 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) Minden tagállam meghatározza azon képességeket, eszközöket és eljárásokat, amelyek válság esetén ezen irányelv alkalmazásában alkalmazhatók.

(A magyar változatot nem érinti.) 

Módosítás  130

 

Irányelvre irányuló javaslat

7 cikk – 4 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(4) A tagállamok közlik a Bizottsággal az (1) bekezdésben említett illetékes hatóságaik kijelölését, és a (3) bekezdésben említett nemzeti kiberbiztonsági eseményekre és válságelhárítási terveiket a kijelöléstől és a tervek elfogadásától számított három hónapon belül benyújtják. A tagállamok kizárhatnak bizonyos információkat a tervből, annyiban és amennyiben ez nemzetbiztonságukhoz feltétlenül szükséges.

(4) A tagállamok közlik a Bizottsággal az (1) bekezdésben említett illetékes hatóságaik kijelölését, és a (3) bekezdésben említett nemzeti kiberbiztonsági eseményekre és válságelhárítási terveiket a kijelöléstől és a tervek elfogadásától számított három hónapon belül benyújtják az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatának. A tagállamok kizárhatnak bizonyos információkat a tervből, annyiban és amennyiben ez nemzetbiztonságukhoz feltétlenül szükséges.

Módosítás  131

 

Irányelvre irányuló javaslat

8 cikk – 3 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(3) Minden tagállam kijelöl egy nemzeti kiberbiztonsági kapcsolattartó pontot („egyedüli kapcsolattartó pont”). Ha egy tagállam csak egy illetékes hatóságot jelöl ki, ez az illetékes hatóság az adott tagállam egyedüli kapcsolattartó pontja is.

(3) Minden tagállam kijelöli az (1) bekezdésben említett illetékes hatóságok egyikét nemzeti kiberbiztonsági kapcsolattartó pontként („egyedüli kapcsolattartó pont”). Ha egy tagállam csak egy illetékes hatóságot jelöl ki, ez az illetékes hatóság az adott tagállam egyedüli kapcsolattartó pontja is.

Módosítás  132

 

Irányelvre irányuló javaslat

8 cikk – 4 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(4) Minden egyes egyedüli kapcsolattartó pont összekötő feladatot lát el annak biztosítása érdekében, hogy tagállama hatóságai határokon átnyúlóan együttműködjenek a többi tagállam illetékes hatóságaival, valamint hogy biztosítsák az ágazatok közötti együttműködést a tagállam más illetékes nemzeti hatóságaival.

(4) Minden egyes egyedüli kapcsolattartó pont összekötő feladatot lát el annak biztosítása érdekében, hogy tagállama hatóságai határokon átnyúlóan együttműködjenek a többi tagállam illetékes hatóságaival, a Bizottsággal és az ENISA-val, valamint hogy biztosítsák az ágazatok közötti együttműködést a tagállam más illetékes nemzeti hatóságaival.

Módosítás  133

 

Irányelvre irányuló javaslat

9 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) A tagállamok biztosítják, hogy minden CSIRT megfelelő erőforrásokkal rendelkezzen a 10. cikk (2) bekezdésében meghatározott feladatai hatékony végrehajtásához.

(2) A tagállamok biztosítják, hogy minden CSIRT megfelelő erőforrásokkal és technikai képességekkel rendelkezzen a 10. cikk (2) bekezdésében meghatározott feladatai hatékony végrehajtásához.

Módosítás  134

 

Irányelvre irányuló javaslat

9 cikk – 6 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(6a) A tagállamok valamennyi minősítési szinten biztosítják a saját CSIRT-jeik és a harmadik országbeli CSIRT-ek közötti, azonos minősítési szintű hatékony, eredményes és biztonságos információcserét.

Módosítás  135

 

Irányelvre irányuló javaslat

9 cikk – 6 b bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(6b) A CSIRT-ek az uniós jog, különösen az (EU) 2016/679 rendelet sérelme nélkül együttműködnek a tagjelölt országokban, valamint a Nyugat-Balkán és a keleti partnerség más harmadik országaiban működő CSIRT-ekkel vagy azokkal egyenértékű szervekkel, és adott esetben kiberbiztonsági segítséget nyújtanak számukra.

Módosítás  136

 

Irányelvre irányuló javaslat

9 cikk – 7 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(7) A tagállamok indokolatlan késedelem nélkül közlik a Bizottsággal az (1) bekezdéssel összhangban kijelölt CSIRT-eket, a 6. cikk (1) bekezdésével összhangban kijelölt CSIRT-koordinátort, valamint az I. és II. Mellékletben említett szervezetekkel kapcsolatos feladataikat.

(7) A tagállamok indokolatlan késedelem nélkül közlik a Bizottsággal az (1) bekezdéssel összhangban kijelölt CSIRT-eket és a 6. cikk (1) bekezdésével összhangban kijelölt CSIRT-koordinátort, beleértve az alapvető és fontos szervezetekkel kapcsolatos feladataikat.

Módosítás  137

 

Irányelvre irányuló javaslat

10 cikk – cím

 

A Bizottság által javasolt szöveg

Módosítás

A CSIRT-ek követelményei és feladatai

A CSIRT-ek követelményei, technikai képességei és feladatai

Módosítás  138

 

Irányelvre irányuló javaslat

10 cikk – 1 bekezdés – c pont

 

A Bizottság által javasolt szöveg

Módosítás

c) A CSIRT-eket el kell ellátni a kérelmek kezeléséhez és továbbításához megfelelő rendszerrel, különösen a hatékony és eredményes átadás-átvétel megkönnyítése érdekében;

c) A CSIRT-eket el kell ellátni a kérelmek osztályozásához, továbbításához és nyomon követéséhez megfelelő rendszerrel, különösen a hatékony és eredményes átadás-átvétel megkönnyítése érdekében;

Módosítás  139

 

Irányelvre irányuló javaslat

10 cikk – 1 bekezdés – c a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ca) A CSIRT-eknek megfelelő magatartási kódexekkel kell rendelkezniük műveleteik bizalmas jellegének és megbízhatóságának biztosítása érdekében;

Módosítás  140

 

Irányelvre irányuló javaslat

10 cikk – 1 bekezdés – d pont

 

A Bizottság által javasolt szöveg

Módosítás

d) A CSIRT-eknek megfelelő személyzettel kell rendelkezniük a mindenkori elérhetőségük biztosítása érdekében;

d) A CSIRT-eknek megfelelő személyzettel kell rendelkezniük a mindenkori elérhetőségük és a személyzetük megfelelő képzési kereteinek biztosítása érdekében;

Módosítás  141

 

Irányelvre irányuló javaslat

10 cikk – 1 bekezdés – e pont

 

A Bizottság által javasolt szöveg

Módosítás

e) A CSIRT-eket redundáns rendszerekkel és tartalék munkaterülettel kell ellátni a szolgáltatásuk folyamatosságának biztosítása érdekében;

e) A CSIRT-eket redundáns rendszerekkel és tartalék munkaterülettel kell ellátni a szolgáltatásuk folyamatosságának biztosítása érdekében, ideértve a hálózatok, az információs rendszerek, a szolgáltatások és a készülékek közötti széles körű összekapcsoltságot is;

Módosítás  142

 

Irányelvre irányuló javaslat

10 cikk – 1 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(1a) A CSIRT-ek legalább a következő technikai képességeket fejlesztik:

 

a) A hálózatok és információs rendszerek valós idejű vagy közel valós idejű nyomon követésének és az anomáliák észlelésének képessége;

 

b) A behatolásmegelőzés és -észlelés támogatásának képessége;

 

c) Komplex forenzikus adatok gyűjtésének és elemzésének, valamint a kiberfenyegetések visszafejtésének képessége;

 

d) A rosszindulatú forgalom kiszűrésének képessége;

 

e) Erős hitelesítési és hozzáférési jogosultságok és ellenőrzések érvényesítésének képessége; továbbá

 

f) A kiberfenyegetések elemzésének képessége.

Módosítás  143

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – a pont

 

A Bizottság által javasolt szöveg

Módosítás

a) a kiberfenyegetések, biztonsági rések és események figyelemmel kísérése nemzeti szinten;

a) a kiberfenyegetések, biztonsági rések és események figyelemmel kísérése nemzeti szinten, valamint a fenyegetésekre vonatkozó valós idejű információk szerzése;

Módosítás  144

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – b pont

 

A Bizottság által javasolt szöveg

Módosítás

b) korai előrejelzés, riasztások, bejelentések és információk terjesztése az alapvető és fontos szervezeteknek, valamint más érdekelt feleknek a kiberfenyegetésekkel, biztonsági résekkel és eseményekkel kapcsolatban;

b) korai előrejelzés, riasztások, bejelentések és információk terjesztése az alapvető és fontos szervezeteknek, valamint más érdekelt feleknek a kiberfenyegetésekkel, biztonsági résekkel és eseményekkel kapcsolatban, lehetőség szerint közel valós időben;

Módosítás  145

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – c pont

 

A Bizottság által javasolt szöveg

Módosítás

c) események elhárítása;

c) események elhárítása és segítségnyújtás az érintett szervezeteknek;

Módosítás  146

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – e pont

 

A Bizottság által javasolt szöveg

Módosítás

e) valamely szervezet kérésére a szolgáltatások nyújtásához használt hálózati és információs rendszerek proaktív vizsgálatának biztosítása;

e) valamely szervezet kérésére vagy súlyos nemzetbiztonsági fenyegetés esetén a szolgáltatások nyújtásához használt hálózati és információs rendszerek proaktív vizsgálatának biztosítása;

Módosítás  147

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – f a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

fa) valamely szervezet kérésére hálózati naplózás lehetővé tétele és konfigurációja az adatok – köztük a személyes adatok – jogosulatlan kiszivárogtatással szembeni védelme érdekében;

Módosítás  148

 

Irányelvre irányuló javaslat

10 cikk – 2 bekezdés – f b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

fb) hozzájárulás a 9. cikk (3) bekezdése szerinti biztonságos információmegosztási eszközök bevezetéséhez.

Módosítás  149

 

Irányelvre irányuló javaslat

10 cikk – 4 bekezdés – bevezető rész

 

A Bizottság által javasolt szöveg

Módosítás

(4) Az együttműködés megkönnyítése érdekében a CSIRT-ek előmozdítják a közös vagy szabványosított gyakorlatok, osztályozási rendszerek és rendszertanok elfogadását és alkalmazását a következők tekintetében:

(4) Az együttműködés megkönnyítése érdekében a CSIRT-ek előmozdítják az információcsere automatizálását, valamint a közös vagy szabványosított gyakorlatok, osztályozási rendszerek és rendszertanok elfogadását és alkalmazását a következők tekintetében:

Módosítás  150

 

Irányelvre irányuló javaslat

11 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) A tagállamok biztosítják, hogy az illetékes hatóságaik vagy a CSIRT-ek értesítést kapjanak az ezen irányelv alapján bejelentett eseményekről, jelentős kiberfenyegetésekről és majdnem bekövetkezett (near miss) eseményekről. Ha egy tagállam úgy dönt, hogy CSIRT-jei nem kapják meg az említett bejelentéseket, a CSIRT-eknek a feladataik ellátásához szükséges mértékben hozzáférést kell biztosítani az alapvető vagy fontos szervezetek által a 20. cikknek megfelelően bejelentett eseményekre vonatkozó adatokhoz.

(2) A tagállamok biztosítják, hogy CSIRT-jeik a 20. cikk (4a) bekezdésében említett egyedüli kapcsolattartó ponton keresztül értesítést kapjanak a 20. cikk alapján a jelentős eseményekről, a 27. cikk alapján pedig a kiberfenyegetésekről és majdnem bekövetkezett (near miss) eseményekről.

Módosítás  151

 

Irányelvre irányuló javaslat

11 cikk – 4 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(4) Az ebben az irányelvben meghatározott feladatok és kötelezettségek eredményes végrehajtásához szükséges mértékben a tagállamok biztosítják a megfelelő együttműködést az illetékes hatóságok, az egyedüli kapcsolattartó pontok és a bűnüldöző hatóságok, az adatvédelmi hatóságok és a kritikus infrastruktúráért az (EU) XXXX/XXXX irányelv (A kritikus szervezetek rezilienciájáról szóló irányelv) szerint felelős hatóságok, és az XXXX/XXXX/EU európai parlamenti és tanácsi rendeletnek39 (a DORA rendelet) megfelelően kijelölt nemzeti pénzügyi hatóságok között az adott tagállamon belül.

(4) Az ebben az irányelvben meghatározott feladatok és kötelezettségek eredményes végrehajtásához szükséges mértékben a tagállamok biztosítják a megfelelő együttműködést az illetékes hatóságok, az egyedüli kapcsolattartó pontok, a CSIRT-ek, a bűnüldöző hatóságok, a nemzeti szabályozó hatóságok vagy egyéb, az (EU) 2018/1972 irányelv értelmében a nyilvános elektronikus hírközlő hálózatokért vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokért felelős illetékes hatóságok, az adatvédelmi hatóságok és a kritikus infrastruktúráért az (EU) XXXX/XXXX irányelv (A kritikus szervezetek rezilienciájáról szóló irányelv) szerint felelős hatóságok, és az XXXX/XXXX/EU európai parlamenti és tanácsi rendeletnek39 (a DORA rendelet) megfelelően kijelölt nemzeti pénzügyi hatóságok között az adott tagállamon belül, azok hatásköreivel összhangban.

__________________

__________________

39 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

39 [illessze be a teljes címet és a HL-kiadvány hivatkozását, amikor ismertté válik].

Módosítás  152

 

Irányelvre irányuló javaslat

11 cikk – 5 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(5) A tagállamok biztosítják, hogy illetékes hatóságaik rendszeresen tájékoztatást nyújtsanak a(z) (EU) XXXX/XXXX irányelv (a kritikus szervezetek rezilienciájáról szóló irányelv) alapján kijelölt illetékes hatóságok számára a kritikusként azonosított alapvető szervezeteket vagy az (EU) XXXX/XXXX irányelv [A kritikus szervezetek rezilienciájáról szóló irányelv] szerint azokkal egyenértékű szervezeteket érintő kiberbiztonsági kockázatokról, a kiberfenyegetésekről és eseményekről, valamint az illetékes hatóságok által e kockázatokra és események elhárítására hozott intézkedésekről.

(5) A tagállamok biztosítják, hogy illetékes hatóságaik rendszeresen, kellő időben tájékoztatást nyújtsanak a(z) (EU) XXXX/XXXX irányelv (a kritikus szervezetek rezilienciájáról szóló irányelv) alapján kijelölt illetékes hatóságok számára a kritikusként azonosított alapvető szervezeteket vagy az (EU) XXXX/XXXX irányelv [A kritikus szervezetek rezilienciájáról szóló irányelv] szerint azokkal egyenértékű szervezeteket érintő kiberbiztonsági kockázatokról, a kiberfenyegetésekről és eseményekről, valamint az illetékes hatóságok által e kockázatok és események elhárítására hozott intézkedésekről.

Módosítás  153

 

Irányelvre irányuló javaslat

12 cikk – 3 bekezdés – 1 albekezdés

 

A Bizottság által javasolt szöveg

Módosítás

Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Az Európai Külügyi Szolgálat megfigyelőként vesz részt az együttműködési csoport tevékenységeiben. Az európai felügyeleti hatóságok (ESA-k) az (EU) XXXX/XXXX rendelet (a DORA-rendelet) 17. cikke (5) bekezdésének c) pontjával összhangban részt vehetnek az együttműködési csoport tevékenységeiben.

Az együttműködési csoport a tagállamok, a Bizottság és az ENISA képviselőiből áll. Az Európai Parlament és az Európai Külügyi Szolgálat megfigyelőként vesz részt az együttműködési csoport tevékenységeiben. Az európai felügyeleti hatóságok az (EU) XXXX/XXXX rendelet (a DORA-rendelet) 17. cikke (5) bekezdésének c) pontjával összhangban részt vehetnek az együttműködési csoport tevékenységeiben.

Módosítás  154

 

Irányelvre irányuló javaslat

12 cikk – 3 bekezdés – 2 albekezdés

 

A Bizottság által javasolt szöveg

Módosítás

Adott esetben az együttműködési csoport meghívhatja az érdekelt felek képviselőit, hogy vegyenek részt munkájában.

Adott esetben az együttműködési csoport meghívhatja az érdekelt felek képviselőit, például az Európai Adatvédelmi Testületet és az ipari szereplők képviselőit, hogy vegyenek részt munkájában.

Módosítás  155

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – b pont

 

A Bizottság által javasolt szöveg

Módosítás

b) az ezen irányelv végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje, ideértve a kiberfenyegetéseket, az eseményeket, a biztonsági réseket, a majdnem bekövetkezett (near miss) eseményeket, a figyelemfelkeltő kezdeményezéseket, képzéseket, gyakorlatokat és készségeket, a kapacitásépítést, valamint a szabványokat és a műszaki előírásokat;

b) az ezen irányelv végrehajtásával kapcsolatos bevált gyakorlatok és információk cseréje, ideértve a kiberfenyegetéseket, az eseményeket, a biztonsági réseket, a majdnem bekövetkezett (near miss) eseményeket, a figyelemfelkeltő kezdeményezéseket, képzéseket, gyakorlatokat és készségeket, a kapacitásépítést, a szabványokat és a műszaki előírásokat, valamint az alapvető és fontos szervezetek azonosítását;

Módosítás  156

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – b a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ba) a nemzeti megoldások feltérképezése annak érdekében, hogy Unió-szerte előmozdítsa az egyes ágazatokra alkalmazott kiberbiztonsági megoldások összeegyeztethetőségét;

Módosítás  157

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – c pont

 

A Bizottság által javasolt szöveg

Módosítás

c) tanácsadás és együttműködés a Bizottsággal a kialakítás alatt álló kiberbiztonsági politikai kezdeményezésekkel kapcsolatban;

c) tanácsadás és együttműködés a Bizottsággal a kialakítás alatt álló kiberbiztonsági politikai kezdeményezésekkel és az ágazatspecifikus kiberbiztonsági követelmények általános következetességével kapcsolatban;

Módosítás  158

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – f pont

 

A Bizottság által javasolt szöveg

Módosítás

f) a 16. cikk (7) bekezdésében említett szakértői értékelésről szóló jelentések megvitatása;

f) a 16. cikk (7) bekezdésében említett szakértői értékelésről szóló jelentések megvitatása, továbbá következtetések és ajánlások megfogalmazása;

Módosítás  159

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – f a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

fa) a 19. cikk (1) bekezdése alapján kezdeményezhető összehangolt biztonsági kockázatértékelések elvégzése a Bizottsággal és az ENISA-val együttműködésben;

Módosítás  160

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – k a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ka) a 35. cikkben említett értékelés céljából jelentések benyújtása a Bizottságnak a stratégiai és operatív szinten szerzett tapasztalatokról;

Módosítás  161

 

Irányelvre irányuló javaslat

12 cikk – 4 bekezdés – k b pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

kb) éves értékelés készítése az ENISA-val, az Europollal és a nemzeti bűnüldöző hatóságokkal együttműködésben arról, hogy mely harmadik országok bújtatnak zsarolóvírus-bűnözőket.

Módosítás  162

 

Irányelvre irányuló javaslat

12 cikk – 8 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(8) Az együttműködési csoport rendszeresen és évente legalább egy alkalommal ülésezik az (EU) XXXX/XXXX irányelv (a kritikus szervezetek rezilienciájáról szóló irányelv) alapján létrehozott, a kritikus szervezetek rezilienciájával foglalkozó csoporttal stratégiai együttműködés és az információmegosztás előmozdítása érdekében.

(8) Az együttműködési csoport rendszeresen és évente legalább két alkalommal ülésezik az (EU) XXXX/XXXX irányelv (a kritikus szervezetek rezilienciájáról szóló irányelv) alapján létrehozott, a kritikus szervezetek rezilienciájával foglalkozó csoporttal a stratégiai együttműködés és az információmegosztás elősegítése érdekében.

Módosítás  163

 

Irányelvre irányuló javaslat

13 cikk – 3 bekezdés – a a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

aa) a technológiák és a releváns intézkedések, szakpolitikák, bevált gyakorlatok és keretek CSIRT-ek közötti megosztásának és átadásának megkönnyítése;

Módosítás  164

 

Irányelvre irányuló javaslat

13 cikk – 3 bekezdés – b a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

ba) az interoperabilitás biztosítása az információmegosztási szabványok tekintetében;

Módosítás  165

 

Irányelvre irányuló javaslat

14 cikk – 1 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(1) A nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelésének támogatása, valamint a tagállamok és az uniós intézmények, szervek és ügynökségek közötti rendszeres információmegosztás biztosítása érdekében ezennel létrejön az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe).

(1) A nagyszabású kiberbiztonsági események és válságok operatív szintű összehangolt kezelésének támogatása, valamint a releváns információk tagállamok és az uniós intézmények, szervek és ügynökségek közötti rendszeres megosztásának biztosítása érdekében ezennel létrejön az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (EU-CyCLONe).

Módosítás  166

 

Irányelvre irányuló javaslat

14 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) Az EU-CyCLONe a tagállamok válságkezeléssel foglalkozó hatóságainak a 7. cikkel összhangban kijelölt képviselőiből, a Bizottságból és az ENISA-ból áll. Az ENISA biztosítja a hálózat titkárságát és támogatja a biztonságos információmegosztást.

(2) Az EU-CyCLONe a tagállamok válságkezeléssel foglalkozó hatóságainak a 7. cikkel összhangban kijelölt képviselőiből, a Bizottságból és az ENISA-ból áll. Az ENISA biztosítja az EU-CyCLONe titkárságát és támogatja a biztonságos információmegosztást.

Módosítás  167

 

Irányelvre irányuló javaslat

14 cikk – 5 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(5) Az EU-CyCLONe rendszeresen jelentést tesz az együttműködési csoportnak a kiberfenyegetésekkel, eseményekkel és trendekkel kapcsolatban, különös tekintettel az alapvető és fontos szervezetekre gyakorolt hatásukra.

(5) Az EU-CyCLONe rendszeresen jelentést tesz az együttműködési csoportnak a nagyszabású eseményekről és válsághelyzetekről, valamint a tendenciákról, különös tekintettel az alapvető és fontos szervezetekre gyakorolt hatásukra.

Módosítás  168

 

Irányelvre irányuló javaslat

15 cikk – 1 bekezdés – bevezető rész

 

A Bizottság által javasolt szöveg

Módosítás

(1) Az ENISA a Bizottsággal együttműködve kétéves jelentést ad ki az Unió kiberbiztonságának helyzetéről. A jelentés különösen a következők értékelését tartalmazza:

(1) Az ENISA a Bizottsággal együttműködve kétéves jelentést ad ki az Unió kiberbiztonságának helyzetéről, és azt benyújtja, illetve bemutatja az Európai Parlamentnek. A jelentés géppel olvasható formátumban készül, és különösen a következők értékelését tartalmazza:

Módosítás  169

 

Irányelvre irányuló javaslat

15 cikk – 1 bekezdés – a a pont (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

aa) a kiberbiztonsági tudatosság és a kiberhigiénia általános szintje a polgárok és a szervezetek körében, beleértve a kkv-kat is, valamint a csatlakoztatott eszközök általános biztonsági szintje;

Módosítás  170

 

Irányelvre irányuló javaslat

15 cikk – 1 bekezdés – c pont

 

A Bizottság által javasolt szöveg

Módosítás

c) kiberbiztonsági index, amely a kiberbiztonsági képességek kiforrottságának összesített értékelését biztosítja.

c) kiberbiztonsági index, amely összesített értékelést biztosít az Unión belüli kiberbiztonsági képességek kiforrottságáról, többek között a tagállamok nemzeti kiberbiztonsági stratégiáinak összehangoltságáról.

Módosítás  171

 

Irányelvre irányuló javaslat

15 cikk – 2 bekezdés

 

A Bizottság által javasolt szöveg

Módosítás

(2) A jelentésnek tartalmaznia kell konkrét szakpolitikai ajánlásokat a kiberbiztonság szintjének növelésére az Unió egész területén, valamint az Ügynökség adott időszakra vonatkozó megállapításainak összefoglalását az ENISA által az (EU) 2019/881 rendelet 7. cikkének (6) bekezdésével összhangban kiadott uniós kiberbiztonsági technikai helyzetjelentésekből.

(2) A jelentésnek tartalmaznia kell a konkrét akadályok azonosítását, szakpolitikai ajánlásokat a kiberbiztonság szintjének növelésére az Unió egész területén, valamint az Ügynökség adott időszakra vonatkozó megállapításainak összefoglalását az ENISA által az (EU) 2019/881 rendelet 7. cikkének (6) bekezdésével összhangban kiadott uniós kiberbiztonsági technikai helyzetjelentésekből.

Módosítás  172

 

Irányelvre irányuló javaslat

15 cikk – 2 a bekezdés (új)

 

A Bizottság által javasolt szöveg

Módosítás

 

(2a) Az ENISA – a Bizottsággal együttműködésben, az együttműködési csoport és a CSIRT-hálózat útmutatásával – elkészíti a módszertant, ezen belül az (1) bekezdés c) pontjában említett kiberbiztonsági index releváns változóit.

Módosítás  173

 

Irányelvre irányuló javaslat

16 cikk – 1 bekezdés – bevezető rész

 

A Bizottság által javasolt szöveg

Módosítás

(1) A Bizottság az együttműködési csoporttal és az ENISA-val folytatott konzultációt követően, legkésőbb ezen irányelv hatálybalépésétől számított 18 hónapon belül meghatározza a tagállamok kiberbiztonsági politikája hatékonyságának értékelésére szolgáló szakértői értékelési rendszer módszertanát és tartalmát. Az értékelt tagállamtól eltérő tagállamokból érkező kiberbiztonsági technikai szakértők által végzett értékelések legalább a következőkre terjednek ki:

(1) A Bizottság az együttműködési csoporttal és az ENISA-val folytatott konzultációt követően, legkésőbb ...-ig [ezen irányelv hatálybalépésétől számított 18 hónap] meghatározza a tagállamok kiberbiztonsági politikája hatékonyságának értékelésére szolgáló szakértői értékelési rendszer módszertanát és tartalmát. A szakértői értékeléseket az értékelt tagállamtól eltérő legalább két tagállamból érkező kiberbiztonsági technikai szakértők végzik az ENISA-val konzultálva, és azok legalább a következőkre terjednek ki:

Módosítás  174

 

Irányelvre irányuló javaslat

16 cikk – 1 bekezdés – iii pont