SPRAWOZDANIE w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Komisja Przemysłu, Badań Naukowych i Energii
Sprawozdawca: Bart Groothuis
Sprawozdawca komisji opiniodawczej (*):
Lukas Mandl, Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
(*) Zaangażowane komisje – art. 57 Regulaminu

PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

– uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2020)0823),

– uwzględniając art. 294 ust. 2 i art. 114 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C9-0422/2020),

– uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

– uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 27 kwietnia 2021 r.[1],

– po konsultacji z Komitetem Regionów,

– uwzględniając art. 59 Regulaminu,

– uwzględniając opinie przedstawione przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, Komisję Spraw Zagranicznych, Komisję Rynku Wewnętrznego i Ochrony Konsumentów oraz Komisję Transportu i Turystyki,

– uwzględniając sprawozdanie Komisji Przemysłu, Badań Naukowych i Energii (A9-0313/2021),

1. przyjmuje poniższe stanowisko w pierwszym czytaniu;

2. zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli zastąpi ona pierwotny wniosek, wprowadzi w nim istotne zmiany lub planuje ich wprowadzenie;

3. zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji oraz parlamentom narodowym.

 

Poprawka 1

 

Wniosek dotyczący dyrektywy

Tytuł

Tekst proponowany przez Komisję	Poprawka
Wniosek	Wniosek
DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY	DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148	w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2), uchylająca dyrektywę (UE) 2016/1148

Poprawka  2

 

Wniosek dotyczący dyrektywy

Motyw 1

Tekst proponowany przez Komisję	Poprawka
(1) Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/114811 było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w sytuacji zaistnienia cyberincydentów, a tym samym przyczynienie się do sprawnego funkcjonowania gospodarki i społeczeństwa Unii.	(1) Celem dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/114811, znanej powszechnie jako „dyrektywa NIS”, było zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w sytuacji zaistnienia cyberincydentów, a tym samym przyczynienie się do bezpieczeństwa Unii i sprawnego funkcjonowania jej gospodarki i społeczeństwa.
__________________	__________________
11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194/1 z 19.7.2016, s. 1).	11 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194/1 z 19.7.2016, s. 1).

Poprawka  3

 

Wniosek dotyczący dyrektywy

Motyw 3

Tekst proponowany przez Komisję	Poprawka
(3) Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń, jakie charakteryzują społeczeństwo, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu zagrożeń dla cyberbezpieczeństwa, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ cyberincydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie cyberincydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty dla gospodarki Unii i jej społeczeństwa. W związku z powyższym gotowość i skuteczność w obszarze cyberbezpieczeństwa są teraz bardziej istotne dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej.	(3) Wraz z szybko postępującą transformacją cyfrową i siecią wzajemnych połączeń, jakie charakteryzują społeczeństwo, w tym w kontekście wymiany transgranicznej, sieci i systemy informatyczne stały się zasadniczym elementem codziennego życia. Zmiana ta doprowadziła do ewolucji krajobrazu zagrożeń dla cyberbezpieczeństwa, przynosząc nowe wyzwania, które wymagają dostosowanych, skoordynowanych i innowacyjnych reakcji we wszystkich państwach członkowskich. Liczba, skala, zaawansowanie, częstotliwość oraz wpływ cyberincydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie cyberincydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne straty dla gospodarki Unii i jej społeczeństwa. W związku z powyższym gotowość i skuteczność w obszarze cyberbezpieczeństwa są teraz bardziej istotne dla prawidłowego funkcjonowania rynku wewnętrznego niż kiedykolwiek wcześniej. Ponadto w wielu sektorach krytycznych cyberbezpieczeństwo stanowi kluczowy czynnik wspomagający udane wdrożenie transformacji cyfrowej i spożytkowanie w pełni wszystkich płynących z cyfryzacji korzyści ekonomicznych, społecznych i związanych ze zrównoważonością.

Poprawka  4

 

Wniosek dotyczący dyrektywy

Motyw 3 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(3a) Cyberincydenty i kryzysy cyberbezpieczeństwa na dużą skalę na szczeblu Unii wymagają skoordynowanych działań w celu zapewnienia szybkiej i skutecznej reakcji ze względu na wysoki stopień współzależności między sektorami i państwami. Dostępność sieci i systemów informatycznych odpornych na cyberzagrożenia oraz dostępność, poufność i integralność danych mają zasadnicze znaczenie dla bezpieczeństwa Unii zarówno w obrębie jej granic, jak i poza nimi, ponieważ cyberzagrożenia mogą pochodzić spoza Unii. Ambicja Unii, aby odgrywać ważniejszą rolę geopolityczną, opiera się również na wiarygodnej cyberobronie i działaniach odstraszających, w tym na zdolności do skutecznej identyfikacji na czas szkodliwych działań i do odpowiedniego reagowania.

Poprawka  5

 

Wniosek dotyczący dyrektywy

Motyw 5

Tekst proponowany przez Komisję	Poprawka
(5) Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą mieć szkodliwy wpływ na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom odporności pod względem cyberbezpieczeństwa ze względu na stosowanie różnych norm. Celem niniejszej dyrektywy jest zatem wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie minimalnych przepisów dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w każdym państwie członkowskim, dokonanie aktualizacji wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz ustanowienie skutecznych środków naprawczych i sankcji, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą.	(5) Wszystkie te rozbieżności pociągają za sobą fragmentację rynku wewnętrznego i mogą mieć szkodliwy wpływ na jego funkcjonowanie, oddziałując w szczególności na transgraniczne świadczenie usług i poziom odporności pod względem cyberbezpieczeństwa ze względu na stosowanie różnych norm. Ostatecznie rozbieżności te mogłyby prowadzić do większej podatności niektórych państw członkowskich na zagrożenia dla cyberbezpieczeństwa, co może wywołać reperkusje dla całej Unii. Celem niniejszej dyrektywy jest zatem wyeliminowanie takich rozbieżności między państwami członkowskimi, w szczególności przez określenie minimalnych przepisów dotyczących funkcjonowania skoordynowanych ram regulacyjnych, ustanowienie mechanizmów skutecznej współpracy między odpowiedzialnymi organami w każdym państwie członkowskim, dokonanie aktualizacji wykazu sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz ustanowienie skutecznych środków naprawczych i sankcji, które są kluczowe dla skutecznego egzekwowania tych obowiązków. Dyrektywę (UE) 2016/1148 należy zatem uchylić i zastąpić niniejszą dyrektywą (dyrektywą NIS 2).

Poprawka  6

 

Wniosek dotyczący dyrektywy

Motyw 6

Tekst proponowany przez Komisję	Poprawka
(6) Niniejsza dyrektywa nie wpływa na możliwość zastosowania przez państwa członkowskie środków niezbędnych do zapewnienia ochrony podstawowych interesów ich bezpieczeństwa, do ochrony porządku publicznego i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw zgodnie z prawem Unii. Zgodnie z art. 346 TFUE żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa publicznego. W tym kontekście zastosowanie mają krajowe i unijne przepisy dotyczące ochrony informacji niejawnych, umowy o zachowaniu poufności oraz nieformalne porozumienia o zachowaniu poufności, takie jak kod poufności TLP14.	(6) Niniejsza dyrektywa nie wpływa na możliwość zastosowania przez państwa członkowskie środków niezbędnych do zapewnienia ochrony podstawowych interesów ich bezpieczeństwa, do ochrony porządku publicznego i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw oraz zapobiegania im zgodnie z prawem Unii. Zgodnie z art. 346 TFUE żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie jest sprzeczne z podstawowymi interesami jego bezpieczeństwa publicznego. W tym kontekście zastosowanie mają krajowe i unijne przepisy dotyczące ochrony informacji niejawnych, umowy o zachowaniu poufności oraz nieformalne porozumienia o zachowaniu poufności, takie jak kod poufności TLP14.
__________________	__________________
14 Kod poufności TLP (Traffic Light Protocol) to oznaczenie, za pomocą którego osoba udostępniająca informacje może poinformować odbiorców tych informacji o wszelkich ograniczeniach w zakresie dalszego ich rozpowszechniania. Z kodu tego korzystają niemal wszystkie społeczności CSIRT oraz niektóre ośrodki wymiany i analizy informacji.	14 Kod poufności TLP (Traffic Light Protocol) to oznaczenie, za pomocą którego osoba udostępniająca informacje może poinformować odbiorców tych informacji o wszelkich ograniczeniach w zakresie dalszego ich rozpowszechniania. Z kodu tego korzystają niemal wszystkie społeczności CSIRT oraz niektóre ośrodki wymiany i analizy informacji.

Poprawka  7

 

Wniosek dotyczący dyrektywy

Motyw 7

Tekst proponowany przez Komisję	Poprawka
(7) Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki ze względów przedstawionych w motywach 4–6. Wykaz sektorów objętych dyrektywą (UE) 2016/1148 należy zatem rozszerzyć, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej w ramach rynku wewnętrznego. Przepisy nie powinny się różnić w zależności od tego, czy podmioty są operatorami usług kluczowych czy dostawcami usług cyfrowych. Rozróżnienie to okazało się nieaktualne, ponieważ nie odzwierciedla faktycznego znaczenia sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.	(7) Wraz z uchyleniem dyrektywy (UE) 2016/1148 należy rozszerzyć zakres stosowania przepisów przez poszczególne sektory na większą część gospodarki ze względów przedstawionych w motywach 4–6. Wykaz sektorów objętych dyrektywą (UE) 2016/1148 należy zatem rozszerzyć, aby zapewnić całościowe uwzględnienie sektorów i usług mających istotne znaczenie dla kluczowych rodzajów działalności społecznej i gospodarczej w ramach rynku wewnętrznego. Wymogi dotyczące zarządzania ryzykiem oraz obowiązki w zakresie zgłaszania incydentów nie powinny się różnić w zależności od tego, czy podmioty są operatorami usług kluczowych czy dostawcami usług cyfrowych. Rozróżnienie to okazało się nieaktualne, ponieważ nie odzwierciedla faktycznego znaczenia sektorów lub usług dla działalności społecznej i gospodarczej na rynku wewnętrznym.

Poprawka  8

 

Wniosek dotyczący dyrektywy

Motyw 8

Tekst proponowany przez Komisję	Poprawka
(8) Zgodnie z dyrektywą (UE) 2016/1148 państwa członkowskie były odpowiedzialne za określanie, które podmioty spełniają kryteria decydujące o uznaniu ich za operatorów usług kluczowych („proces identyfikacji”). Aby wyeliminować znaczne rozbieżności w tym zakresie między państwami członkowskimi oraz zapewnić wszystkim właściwym podmiotom pewność prawa w odniesieniu do wymogów dotyczących zarządzania ryzykiem i obowiązków w zakresie zgłaszania incydentów, należy ustanowić jednolite kryterium decydujące o tym, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady maksymalnej wielkości, zgodnie z którą w zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem niniejszej dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy. Państwa członkowskie nie powinny być zobowiązane do ustanowienia wykazu podmiotów, które spełniają to mające ogólne zastosowanie kryterium związane z wielkością.	(8) Zgodnie z dyrektywą (UE) 2016/1148 państwa członkowskie były odpowiedzialne za określanie, które podmioty spełniają kryteria decydujące o uznaniu ich za operatorów usług kluczowych („proces identyfikacji”). Aby wyeliminować znaczne rozbieżności w tym zakresie między państwami członkowskimi oraz zapewnić wszystkim właściwym podmiotom pewność prawa w odniesieniu do wymogów dotyczących zarządzania ryzykiem i obowiązków w zakresie zgłaszania incydentów, należy ustanowić jednolite kryterium decydujące o tym, które podmioty są objęte zakresem stosowania niniejszej dyrektywy. Kryterium to powinno przewidywać stosowanie zasady maksymalnej wielkości, zgodnie z którą w zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem niniejszej dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy.
__________________	__________________
15 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).	15 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

Poprawka  9

 

Wniosek dotyczący dyrektywy

Motyw 9

Tekst proponowany przez Komisję	Poprawka
(9) Zakres niniejszej dyrektywy powinien jednak obejmować także małe podmioty lub mikropodmioty spełniające określone kryteria, które wskazują na zasadnicze znaczenie tych podmiotów dla gospodarek lub społeczeństw państw członkowskich lub dla konkretnych sektorów lub rodzajów usług. Państwa członkowskie powinny być odpowiedzialne za ustanowienie wykazu takich podmiotów i powinny przedłożyć go Komisji.	(9) Zakres niniejszej dyrektywy powinien jednak obejmować także małe podmioty lub mikropodmioty spełniające określone kryteria, które wskazują na zasadnicze znaczenie tych podmiotów dla gospodarek lub społeczeństw państw członkowskich lub dla konkretnych sektorów lub rodzajów usług.

Poprawka  10

 

Wniosek dotyczący dyrektywy

Motyw 9 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(9a) Państwa członkowskie powinny sporządzić wykaz wszystkich niezbędnych i istotnych podmiotów. Wykaz ten powinien obejmować podmioty, które spełniają mające ogólne zastosowanie kryteria dotyczące wielkości, a także małe przedsiębiorstwa i mikroprzedsiębiorstwa spełniające określone kryteria, które wskazują na ich kluczową rolę w gospodarkach lub społeczeństwach państw członkowskich. Aby zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i właściwe organy mogły udzielać pomocy i ostrzegać podmioty przed cyberincydentami, które mogą mieć na nie wpływ, ważne jest, aby organy te dysponowały prawidłowymi danymi kontaktowymi tych podmiotów. Niezbędne i istotne podmioty powinny zatem przekazywać właściwym organom co najmniej następujące informacje: nazwę podmiotu, adres i aktualne dane kontaktowe, w tym adresy poczty elektronicznej, adresy zakresów IP, numery telefonów oraz odpowiedni(-e) sektor(-y) i podsektor(-y), o których mowa w załącznikach I i II. Podmioty powinny powiadamiać właściwe organy o wszelkich zmianach tych informacji. Państwa członkowskie powinny bez zbędnej zwłoki zapewnić łatwy dostęp do tych informacji za pośrednictwem pojedynczego punktu kontaktowego. W tym celu ENISA, we współpracy z Grupą Współpracy, powinna bez zbędnej zwłoki wydać wytyczne i szablony dotyczące obowiązków w zakresie powiadamiania. Państwa członkowskie powinny powiadomić Komisję i Grupę Współpracy o liczbie niezbędnych i istotnych podmiotów. Państwa członkowskie powinny również podawać Komisji nazwy małych przedsiębiorstw i mikroprzedsiębiorstw uznanych za niezbędne i istotne podmioty do celów przeglądu, o którym mowa w niniejszej dyrektywie, aby umożliwić Komisji ocenę spójności podejść państw członkowskich. Informacje te należy traktować jako ściśle poufne.

Poprawka  11

 

Wniosek dotyczący dyrektywy

Motyw 10

Tekst proponowany przez Komisję	Poprawka
(10) Komisja, we współpracy z Grupą Współpracy, może sformułować wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw.	(10) Komisja, we współpracy z Grupą Współpracy i odpowiednimi zainteresowanymi stronami, powinna sformułować wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw. Komisja powinna również zadbać o to, by wszystkie mikroprzedsiębiorstwa i małe przedsiębiorstwa objęte zakresem niniejszej dyrektywy otrzymały odpowiednie wytyczne. Komisja powinna – przy wsparciu państw członkowskich – przekazywać mikroprzedsiębiorstwom i małym przedsiębiorstwom informacje w tym zakresie.

Poprawka  12

 

Wniosek dotyczący dyrektywy

Motyw 10 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(10a) Komisja powinna również sformułować wytyczne, aby wesprzeć państwa członkowskie w prawidłowym wdrażaniu przepisów dotyczących zakresu stosowania oraz aby ocenić proporcjonalność obowiązków określonych w niniejszej dyrektywie, w szczególności jeśli chodzi o podmioty o złożonych modelach biznesowych lub środowiskach operacyjnych, przy czym podmiot może jednocześnie spełniać kryteria niezbędnego, jak i istotnego podmiotu, lub może jednocześnie prowadzić działalność, która jest tylko częściowo objęta zakresem dyrektywy.

Poprawka  13

 

Wniosek dotyczący dyrektywy

Motyw 12

Tekst proponowany przez Komisję	Poprawka
(12) Przepisy i instrumenty sektorowe mogą przyczynić się do zapewnienia wysokiego poziomu cyberbezpieczeństwa przy jednoczesnym uwzględnieniu w pełni specyfiki i złożoności tych sektorów. W przypadku gdy na mocy unijnego sektorowego aktu prawnego podmioty niezbędne lub istotne zobowiązano do przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów lub znaczących cyberzagrożeń, które to wymogi mają skutki co najmniej równoważne skutkowi, jaki wywierają obowiązki przewidziane w niniejszej dyrektywie, powinny mieć zastosowanie takie przepisy sektorowe, w tym przepisy dotyczące nadzoru i egzekwowania przepisów. Komisja może wydać wytyczne w związku z wdrożeniem lex specialis. Niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia dodatkowych sektorowych aktów Unii dotyczących środków zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów. Niniejsza dyrektywa pozostaje bez uszczerbku dla istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.	(12) Przepisy i instrumenty sektorowe mogą przyczynić się do zapewnienia wysokiego poziomu cyberbezpieczeństwa przy jednoczesnym uwzględnieniu w pełni specyfiki i złożoności tych sektorów. Sektorowe akty prawne Unii, które wymagają od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania znaczących incydentów, powinny być, w miarę możliwości, spójne z terminologią i odnosić się do definicji określonych w niniejszej dyrektywie. W przypadku gdy na mocy unijnego sektorowego aktu prawnego podmioty niezbędne lub istotne zobowiązano do przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów i jeśli te wymogi mają skutki co najmniej równoważne skutkowi, jaki wywierają obowiązki przewidziane w niniejszej dyrektywie, oraz mają zastosowanie do całości aspektów bezpieczeństwa operacji i usług świadczonych przez podmioty niezbędne i istotne, powinny mieć zastosowanie takie przepisy sektorowe, w tym przepisy dotyczące nadzoru i egzekwowania przepisów. Komisja powinna wydać kompleksowe wytyczne w związku z wdrożeniem lex specialis, z uwzględnieniem właściwych opinii, wiedzy fachowej i najlepszych praktyk ENISA i Grupy Współpracy. Niniejsza dyrektywa nie stanowi przeszkody dla przyjęcia dodatkowych sektorowych aktów Unii dotyczących środków zarządzania ryzykiem w cyberprzestrzeni i zgłaszania incydentów, należycie uwzględniających potrzebę stworzenia kompleksowych i spójnych ram cyberbezpieczeństwa. Niniejsza dyrektywa pozostaje bez uszczerbku dla istniejących uprawnień wykonawczych, które powierzono Komisji w wielu sektorach, w tym w sektorach transportu i energetyki.

Poprawka  14

 

Wniosek dotyczący dyrektywy

Motyw 14

Tekst proponowany przez Komisję	Poprawka
(14) Biorąc pod uwagę powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność pod względem podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) XXX/XXX17 a niniejszą dyrektywą. W tym celu państwa członkowskie powinny zapewnić, aby podmioty krytyczne, oraz równoważne podmioty, zgodnie z dyrektywą (UE) XXX/XXX uznawano za podmioty niezbędne w rozumieniu niniejszej dyrektywy. Państwa członkowskie powinny także zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa obejmowały ramy polityki na rzecz zwiększonej koordynacji między właściwym organem na mocy niniejszej dyrektywy a właściwym organem na mocy dyrektywy (UE) XXX/XXX w kontekście udostępniania informacji na temat incydentów i cyberzagrożeń oraz w kontekście wykonywania zadań nadzorczych. Organy na mocy obu dyrektyw powinny ze sobą współpracować i prowadzić wymianę informacji, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, cyberzagrożeń, ryzyka w cyberprzestrzeni, incydentów wpływających na podmioty krytyczne, a także w odniesieniu do środków w zakresie cyberbezpieczeństwa przyjmowanych przez podmioty krytyczne. Na wniosek właściwych organów na mocy dyrektywy (UE) XXX/XXX właściwym organom na mocy niniejszej dyrektywy należy zezwolić na wykonywanie swoich uprawnień w zakresie nadzoru i egzekwowania przepisów względem podmiotu niezbędnego zidentyfikowanego jako podmiot krytyczny. Właściwe organy na mocy obu dyrektyw powinny w tej kwestii współpracować i prowadzić wymianę informacji.	(14) Biorąc pod uwagę powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym podmiotów, należy zapewnić spójność pod względem podejścia między dyrektywą Parlamentu Europejskiego i Rady (UE) XXX/XXX17 a niniejszą dyrektywą. W tym celu państwa członkowskie powinny zapewnić, aby podmioty krytyczne, oraz równoważne podmioty, zgodnie z dyrektywą (UE) XXX/XXX uznawano za podmioty niezbędne w rozumieniu niniejszej dyrektywy. Państwa członkowskie powinny także zapewnić, aby ich strategie dotyczące cyberbezpieczeństwa obejmowały ramy polityki na rzecz zwiększonej koordynacji między właściwymi organami w obrębie państw członkowskich i pomiędzy nimi na mocy niniejszej dyrektywy a właściwym organem na mocy dyrektywy (UE) XXX/XXX w kontekście udostępniania informacji na temat incydentów i cyberzagrożeń oraz w kontekście wykonywania zadań nadzorczych. Organy na mocy obu dyrektyw powinny ze sobą współpracować i prowadzić bez zbędnej zwłoki wymianę informacji, w szczególności w odniesieniu do identyfikacji podmiotów krytycznych, cyberzagrożeń, ryzyka w cyberprzestrzeni, incydentów wpływających na podmioty krytyczne, a także w odniesieniu do środków w zakresie cyberbezpieczeństwa przyjmowanych przez podmioty krytyczne. Na wniosek właściwych organów na mocy dyrektywy (UE) XXX/XXX właściwym organom na mocy niniejszej dyrektywy należy zezwolić na wykonywanie swoich uprawnień w zakresie nadzoru i egzekwowania przepisów względem podmiotu niezbędnego zidentyfikowanego jako podmiot krytyczny. Właściwe organy na mocy obu dyrektyw powinny w tej kwestii współpracować i prowadzić wymianę informacji w miarę możliwości w czasie rzeczywistym.
__________________	__________________
17 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]	17 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

Poprawka  15

 

Wniosek dotyczący dyrektywy

Motyw 15

Tekst proponowany przez Komisję	Poprawka
(15) Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) odgrywa decydującą rolę w utrzymaniu integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. W związku z tym niniejsza dyrektywa powinna mieć zastosowanie do wszystkich dostawców usług DNS w całym łańcuchu rozwiązywania nazw DNS, z uwzględnieniem operatorów głównych serwerów nazw, serwerów nazw domen najwyższego poziomu (TLD), autorytatywnych serwerów nazw dla nazw domen i rekurencyjnych resolwerów.	(15) Utrzymywanie i zachowanie wiarygodnego, odpornego i bezpiecznego systemu nazw domen (DNS) odgrywa decydującą rolę w utrzymaniu integralności internetu oraz ma istotne znaczenie dla jego nieprzerwanego i stabilnego działania, od którego zależą gospodarka cyfrowa i społeczeństwo cyfrowe. W związku z tym niniejsza dyrektywa powinna mieć zastosowanie do serwerów nazw domen najwyższego poziomu (TLD), dostępnych publicznie rekurencyjnych usług rozwiązywania nazw domen dla użytkowników końcowych internetu oraz autorytatywnych usług rozwiązywania nazw domen. Niniejsza dyrektywa nie ma zastosowania do głównych serwerów nazw.

Poprawka  16

 

Wniosek dotyczący dyrektywy

Motyw 19

Tekst proponowany przez Komisję	Poprawka
(19) Przepisom niniejszej dyrektywy powinni podlegać operatorzy świadczący usługi pocztowe w rozumieniu dyrektywy 97/67/WE Parlamentu Europejskiego i Rady18, a także podmioty świadczące usługi doręczania przesyłek ekspresowych i kurierskich, jeżeli podmioty te świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowanie, sortowanie lub doręczanie, w tym odbiór przesyłek. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, nie powinny wchodzić w zakres usług pocztowych.	(19) Przepisom niniejszej dyrektywy powinni podlegać operatorzy świadczący usługi pocztowe w rozumieniu dyrektywy 97/67/WE Parlamentu Europejskiego i Rady18, a także podmioty świadczące usługi doręczania przesyłek ekspresowych i kurierskich, jeżeli podmioty te świadczą usługi na co najmniej jednym z etapów łańcucha doręczania przesyłek pocztowych, a w szczególności przyjmowanie, sortowanie lub doręczanie, w tym odbiór przesyłek, przy uwzględnieniu stopnia ich zależności od sieci i systemów informatycznych. Usługi transportowe, które nie są świadczone w związku z jednym z wymienionych etapów, nie powinny wchodzić w zakres usług pocztowych.
__________________	__________________
18 Dyrektywa 97/67/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie wspólnych zasad rozwoju rynku wewnętrznego usług pocztowych Wspólnoty oraz poprawy jakości usług (Dz.U. L 15 z 21.1.1998, s. 14).	18 Dyrektywa 97/67/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie wspólnych zasad rozwoju rynku wewnętrznego usług pocztowych Wspólnoty oraz poprawy jakości usług (Dz.U. L 15 z 21.1.1998, s. 14).

Poprawka  17

 

Wniosek dotyczący dyrektywy

Motyw 20

Tekst proponowany przez Komisję	Poprawka
(20) Te coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach energetyki, transportu, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury będącej własnością państw członkowskich albo podmiotów prywatnych oraz która jest zarządzana i obsługiwana przez państwa członkowskie albo podmioty prywatne, a zatem nieobejmującej infrastruktury będącej własnością Unii bądź zarządzanej lub obsługiwanej przez Unię lub w jej imieniu w ramach jej programów kosmicznych. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Pandemia COVID-19 uwydatniła podatność naszych coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.	(20) Te coraz większe współzależności wynikają z coraz bardziej transgranicznej i współzależnej sieci świadczenia usług, wykorzystującej kluczową infrastrukturę w całej Unii w sektorach energetyki, transportu, infrastruktury cyfrowej, wody pitnej i ścieków, zdrowia, niektórych aspektów administracji publicznej, a także przestrzeni kosmicznej, jeżeli chodzi o świadczenie niektórych usług zależnych od naziemnej infrastruktury będącej własnością państw członkowskich albo podmiotów prywatnych oraz która jest zarządzana i obsługiwana przez państwa członkowskie albo podmioty prywatne, a zatem nieobejmującej infrastruktury będącej własnością Unii bądź zarządzanej lub obsługiwanej przez Unię lub w jej imieniu w ramach jej programów kosmicznych. Wspomniane współzależności oznaczają, że każde zakłócenie, nawet początkowo ograniczające się do jednego podmiotu lub jednego sektora, może wywołać szerzej zakrojony efekt kaskadowy, którego potencjalne negatywne skutki dla świadczenia usług na całym rynku wewnętrznym mogą być dalekosiężne i długotrwałe. Nasilone ataki na sieci i systemy informatyczne podczas pandemii COVID-19 uwydatniły podatność naszych coraz bardziej współzależnych społeczeństw w obliczu ryzyka o niskim prawdopodobieństwie wystąpienia.

Poprawka  18

 

Wniosek dotyczący dyrektywy

Motyw 24

Tekst proponowany przez Komisję	Poprawka
(24) Państwa członkowskie powinny zostać odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, w celu zapobiegania incydentom i ryzykom dotyczącym sieci i systemów informatycznych, wykrywania ich, reagowania na nie i łagodzenia ich skutków. Państwa członkowskie powinny zatem zapewnić dobrze funkcjonujące CSIRT, zwane również zespołami reagowania na incydenty komputerowe (zwane dalej „CERT”), które spełniają zasadnicze wymogi w celu zagwarantowania efektywnych i kompatybilnych zdolności w zakresie postępowania z incydentami i ryzykami oraz zapewnienia skutecznej współpracy na poziomie Unii. Aby zwiększyć zaufanie między podmiotami a CSIRT, w przypadku gdy dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT, szczególnie w odniesieniu do przekazywania informacji i wspierania podmiotów, od działań nadzorczych właściwego organu.	(24) Państwa członkowskie powinny zostać odpowiednio wyposażone, zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych, w celu zapobiegania incydentom i ryzykom dotyczącym sieci i systemów informatycznych, wykrywania ich, reagowania na nie i łagodzenia ich skutków. Państwa członkowskie powinny zatem na mocy niniejszej dyrektywy wyznaczyć jedno lub kilka CSIRT oraz zapewnić, aby dobrze funkcjonowały i spełniały zasadnicze wymogi w celu zagwarantowania efektywnych i kompatybilnych zdolności w zakresie postępowania z incydentami i ryzykami oraz zapewnienia skutecznej współpracy na poziomie Unii. Państwa członkowskie mogą wyznaczyć jako CSIRT również istniejące zespoły reagowania na incydenty komputerowe (CERT). Aby zwiększyć zaufanie między podmiotami a CSIRT, w przypadku gdy dany CSIRT funkcjonuje w ramach właściwego organu, państwa członkowskie powinny rozważyć funkcjonalne rozdzielenie zadań operacyjnych wykonywanych przez CSIRT, szczególnie w odniesieniu do przekazywania informacji i wspierania podmiotów, od działań nadzorczych właściwego organu.

Poprawka  19

 

Wniosek dotyczący dyrektywy

Motyw 25

Tekst proponowany przez Komisję	Poprawka
(25) Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić – zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/67919 – w imieniu i na wniosek podmiotu w rozumieniu niniejszej dyrektywy – proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie mogą zwrócić się do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o pomoc przy tworzeniu krajowych CSIRT.	(25) Jeżeli chodzi o dane osobowe, CSIRT powinny być w stanie zapewnić – zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/67919 – w imieniu i na wniosek podmiotu w rozumieniu niniejszej dyrektywy lub w przypadku poważnego zagrożenia bezpieczeństwa narodowego – proaktywne skanowanie sieci i systemów informatycznych wykorzystywanych przez te podmioty do świadczenia usług. Państwa członkowskie powinny dążyć do zapewnienia równego poziomu zdolności technicznych wszystkich sektorowych CSIRT. Państwa członkowskie mogą zwrócić się do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o pomoc przy tworzeniu krajowych CSIRT.
__________________	__________________
19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).	19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

Poprawka  20

 

Wniosek dotyczący dyrektywy

Motyw 25 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(25a) CSIRT powinny posiadać – na wniosek podmiotu – zdolność do ciągłego wykrywania i monitorowania wszystkich aktywów skierowanych do internetu oraz zarządzania nimi, zarówno w obiektach, jak i poza nimi, aby zrozumieć ogólne ryzyko organizacyjne w odniesieniu do nowo wykrytych transakcji w łańcuchu dostaw lub podatności krytycznych. Wiedza o tym, czy dany podmiot korzysta z uprzywilejowanego interfejsu zarządzania, wpływa na szybkość podejmowania działań łagodzących.

Poprawka  21

 

Wniosek dotyczący dyrektywy

Motyw 26

Tekst proponowany przez Komisję	Poprawka
(26) Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, niezależnie od współpracy w ramach sieci CSIRT ustanowionej na mocy niniejszej dyrektywy.	(26) Z uwagi na znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa CSIRT powinny mieć możliwość uczestniczenia w międzynarodowych sieciach współpracy, w tym współpracy z CSIRT z państw trzecich, z którymi wymiana informacji jest wzajemna i korzystna dla bezpieczeństwa obywateli i podmiotów, niezależnie od współpracy w ramach sieci CSIRT ustanowionej na mocy niniejszej dyrektywy, aby przyczyniać się do rozwoju unijnych standardów, które mogą kształtować otoczenie cyberbezpieczeństwa na szczeblu międzynarodowym. Państwa członkowskie mogłyby również zbadać możliwość zacieśnienia współpracy z krajami partnerskimi o podobnych poglądach i organizacjami międzynarodowymi w celu wypracowania wielostronnych porozumień w sprawie cybernorm, odpowiedzialnego zachowania podmiotów państwowych i niepaństwowych w cyberprzestrzeni i skutecznego globalnego zarządzania cyfrowego, a także w celu stworzenia otwartej, wolnej, stabilnej i bezpiecznej cyberprzestrzeni opartej na prawie międzynarodowym.

Poprawka  22

 

Wniosek dotyczący dyrektywy

Motyw 26 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(26a) Zasady higieny cyberbezpieczeństwa stanowią podstawę ochrony infrastruktury sieci i systemów informatycznych, sprzętu, oprogramowania i bezpieczeństwa aplikacji internetowych oraz danych przedsiębiorstw lub użytkowników końcowych, na których polegają podmioty. Zasady higieny cyberbezpieczeństwa obejmujące wspólny podstawowy zestaw praktyk, w tym m.in. aktualizacje oprogramowania i sprzętu, zmiany haseł, zarządzanie nowymi instalacjami, ograniczanie kont dostępu na poziomie administratora oraz tworzenie kopii zapasowych danych, umożliwiają utworzenie proaktywnych ram gotowości oraz zapewnienie ogólnego bezpieczeństwa i ochrony w przypadku incydentów lub zagrożeń. ENISA powinna monitorować i oceniać zasady polityki państw członkowskich w zakresie higieny cyberbezpieczeństwa oraz zbadać ogólnounijne systemy umożliwiające kontrole transgraniczne zapewniające równoważność niezależnie od wymogów państw członkowskich.

Poprawka  23

 

Wniosek dotyczący dyrektywy

Motyw 26 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	(26b) Wykorzystanie sztucznej inteligencji (AI) w dziedzinie cyberbezpieczeństwa może przyczynić się do poprawy wykrywania i powstrzymywania ataków na sieci i systemy informacyjne i umożliwić przekierowanie zasobów na ataki bardziej wyrafinowane. Państwa członkowskie powinny zatem zachęcać w krajowych strategiach do stosowania (pół)automatycznych narzędzi w dziedzinie cyberbezpieczeństwa oraz do wymiany danych potrzebnych do szkolenia i udoskonalania zautomatyzowanych narzędzi w dziedzinie cyberbezpieczeństwa. Aby ograniczyć ryzyko nadmiernej ingerencji w prawa i wolności osób fizycznych, jakie mogą stwarzać systemy oparte na AI, zastosowanie mają wymogi ochrony danych już w fazie projektowania i domyślnej ochrony danych określone w art. 25 rozporządzenia (UE) 2016/679. Wprowadzenie odpowiednich zabezpieczeń, takich jak pseudonimizacja, szyfrowanie, dokładność danych i minimalizacja danych, mogłoby dodatkowo ograniczyć takie ryzyko.

Poprawka  24

 

Wniosek dotyczący dyrektywy

Motyw 26 c (nowy)

Tekst proponowany przez Komisję	Poprawka
	(26c) Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym przyczyniają się do zwiększenia przejrzystości i mogą mieć pozytywny wpływ na skuteczność innowacji przemysłowych. Standardy otwarte ułatwiają interoperacyjność między narzędziami bezpieczeństwa, z korzyścią dla bezpieczeństwa zainteresowanych podmiotów z branży. Narzędzia i aplikacje z zakresu cyberbezpieczeństwa oparte na oprogramowaniu otwartym mogą umożliwić pozyskanie szerszej społeczności deweloperów, pomagając podmiotom w dążeniu do dywersyfikacji dostawców i realizacji otwartych strategii bezpieczeństwa. Otwarte bezpieczeństwo może prowadzić do bardziej przejrzystego procesu weryfikacji narzędzi związanych z cyberbezpieczeństwem oraz do kierowanego przez społeczność procesu wykrywania podatności. Państwa członkowskie powinny zatem sprzyjać przyjęciu otwartego oprogramowania i otwartych standardów poprzez prowadzenie polityki związanej z wykorzystywaniem otwartych danych i otwartego oprogramowania jako elementu bezpieczeństwa dzięki przejrzystości. Polityka propagująca przyjęcie i zrównoważone wykorzystanie narzędzi z zakresu cyberbezpieczeństwa opartych na oprogramowaniu otwartym ma szczególne znaczenie dla małych i średnich przedsiębiorstw (MŚP) ponoszących znaczne koszty wdrożenia, które można by zminimalizować poprzez ograniczenie zapotrzebowania na konkretne aplikacje lub narzędzia.

Poprawka  25

 

Wniosek dotyczący dyrektywy

Motyw 26 d (nowy)

Tekst proponowany przez Komisję	Poprawka
	(26d) Partnerstwa publiczno-prywatne (PPP) w dziedzinie cyberbezpieczeństwa mogą stanowić właściwe ramy dla wymiany wiedzy, dzielenia się najlepszymi praktykami oraz ustanowienia wspólnego poziomu porozumienia wśród wszystkich zainteresowanych stron. Państwa członkowskie powinny przyjąć polityki wspierające tworzenie PPP ukierunkowanych na działania w zakresie cyberbezpieczeństwa w ramach swoich krajowych strategii cyberbezpieczeństwa. W takich politykach należy sprecyzować m.in. zakres i zainteresowane strony, model zarządzania, dostępne warianty finansowania oraz interakcje między uczestniczącymi zainteresowanymi stronami. PPP mogą wykorzystywać wiedzę specjalistyczną podmiotów z sektora prywatnego, aby wspierać właściwe organy państw członkowskich w opracowywaniu najnowocześniejszych usług i procesów, w tym między innymi w zakresie wymiany informacji, wczesnego ostrzegania, ćwiczeń dotyczących cyberzagrożeń i cyberincydentów, zarządzania kryzysowego i planowania odporności.

Poprawka  26

 

Wniosek dotyczący dyrektywy

Motyw 27

Tekst proponowany przez Komisję	Poprawka
(27) Zgodnie z załącznikiem do zalecenia Komisji (UE) 2017/1548 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę („plan”)20 incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwy kryzys uniemożliwiający prawidłowe funkcjonowanie rynku wewnętrznego. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.	(27) Zgodnie z załącznikiem do zalecenia Komisji (UE) 2017/1548 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę („plan”)20 incydent na dużą skalę powinien oznaczać incydent mający znaczący wpływ na co najmniej dwa państwa członkowskie lub taki, który powoduje na tyle duże zakłócenia, że dotknięte nimi państwo członkowskie nie jest samo w stanie na nie skutecznie zareagować. W zależności od przyczyny i wpływu incydenty na dużą skalę mogą przerodzić się w prawdziwy kryzys uniemożliwiający prawidłowe funkcjonowanie rynku wewnętrznego lub stanowiący poważne zagrożenie dla bezpieczeństwa publicznego i ryzyko dla bezpieczeństwa podmiotów lub obywateli w kilku państwach członkowskich lub w całej Unii. Biorąc pod uwagę szeroki zakres oraz, w większości przypadków, transgraniczny charakter takich incydentów, państwa członkowskie i odpowiednie instytucje, organy i agencje Unii powinny współpracować na poziomie technicznym, operacyjnym i politycznym w celu odpowiedniej koordynacji reakcji w całej Unii.
__________________	__________________
20 Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).	20 Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).

Poprawka  27

 

Wniosek dotyczący dyrektywy

Motyw 27 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(27a) Państwa członkowskie powinny w krajowych strategiach cyberbezpieczeństwa uwzględnić szczególne potrzeby MŚP w zakresie cyberbezpieczeństwa. MŚP, które w kontekście Unii stanowią znaczny odsetek rynku przemysłu i biznesu, często mają trudności z dostosowaniem się do nowych praktyk biznesowych w coraz bardziej połączonym świecie i poruszaniem się w środowisku cyfrowym, w którym pracownicy pracują w domu, a działalność gospodarcza coraz częściej jest prowadzona online. Niektóre MŚP borykają się ze szczególnymi wyzwaniami w zakresie cyberbezpieczeństwa, takimi jak niska świadomość cyberbezpieczeństwa, brak zdalnych zabezpieczeń informatycznych, wysokie koszty rozwiązań w zakresie cyberbezpieczeństwa oraz zwiększony poziom zagrożeń, np. oprogramowanie typu ransomware, w związku z czym powinny otrzymać wskazówki i wsparcie. Państwa członkowskie powinny mieć pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa dla MŚP, który zapewniałby doradztwo i wsparcie dla MŚP lub kierowałby je do właściwych organów w celu uzyskania doradztwa i wsparcia w kwestiach związanych z cyberbezpieczeństwem. Państwa członkowskie zachęca się również, aby oferowały usługi takie jak konfiguracja strony internetowej i funkcje logowania małym przedsiębiorstwom i mikroprzedsiębiorstwom, które nie posiadają tych zdolności.

Poprawka  28

 

Wniosek dotyczący dyrektywy

Motyw 27 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	(27b) Państwa członkowskie powinny przyjąć strategie dotyczące promowania aktywnej cyberobrony w ramach swoich krajowych strategii cyberbezpieczeństwa. Aktywna cyberobrona polega na proaktywnym zapobieganiu naruszeniom bezpieczeństwa sieci, ich wykrywaniu, monitorowaniu, analizowaniu i ograniczaniu, w połączeniu z wykorzystaniem zdolności rozmieszczonych w sieci ofiary i poza tą siecią. Zdolność do szybkiego i automatycznego dzielenia się informacjami o zagrożeniach i analizami zagrożeń oraz rozumienia ich, a także zdolność do ostrzegania o aktywności w cyberprzestrzeni i reagowania na nią ma kluczowe znaczenie dla spójności wysiłków na rzecz skutecznego wykrywania ataków na sieci i systemy informacyjne, zapobiegania im i reagowania na nie. Aktywna cyberobrona opiera się na strategii obronnej, która wyklucza środki ofensywne przeciwko krytycznej infrastrukturze cywilnej.

Poprawka  29

 

Wniosek dotyczący dyrektywy

Motyw 28

Tekst proponowany przez Komisję	Poprawka
(28) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka w cyberprzestrzeni jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie systemy, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i zgłaszane (ujawniane) przez osoby trzecie (podmioty zgłaszające), producent lub dostawca produktów lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29417 zawierają wytyczne dotyczące, odpowiednio, postępowania w przypadku wykrycia podatności i ujawniania podatności. Jeśli chodzi o ujawnianie podatności, szczególnie ważna jest koordynacja między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane organizacjom w sposób umożliwiający organizacji zdiagnozowanie i wyeliminowanie danej podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między podmiotem zgłaszającym a organizacją w odniesieniu do terminarza eliminowania podatności i podania ich do wiadomości publicznej.	(28) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka w cyberprzestrzeni jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie systemy, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności. Ponieważ podatności często są wykrywane i zgłaszane (ujawniane) przez osoby trzecie (podmioty zgłaszające), producent lub dostawca produktów lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29417 zawierają wytyczne dotyczące, odpowiednio, postępowania w przypadku wykrycia podatności i ujawniania podatności. Wzmocnienie koordynacji między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT ma szczególne znaczenie dla usprawnienia ram dobrowolnego ujawniania podatności. Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane organizacjom w sposób umożliwiający organizacji zdiagnozowanie i wyeliminowanie danej podatności, zanim szczegółowe informacje dotyczące podatności zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między podmiotem zgłaszającym a organizacją w odniesieniu do terminarza eliminowania podatności i podania ich do wiadomości publicznej.

Poprawka  30

 

Wniosek dotyczący dyrektywy

Motyw 28 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(28a) Komisja, ENISA i państwa członkowskie powinny nadal wspierać międzynarodowe dostosowanie do norm i istniejących najlepszych praktyk branżowych w dziedzinie zarządzania ryzykiem, na przykład w obszarach oceny bezpieczeństwa łańcucha dostaw, wymiany informacji i ujawniania podatności.

Poprawka  31

 

Wniosek dotyczący dyrektywy

Motyw 29

Tekst proponowany przez Komisję	Poprawka
(29) W związku z tym państwa członkowskie powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności poprzez ustanowienie odpowiedniej polityki krajowej. W tym zakresie państwa członkowskie powinny wyznaczyć CSIRT do pełnienia roli „koordynatora”, występującego w razie potrzeby w charakterze pośrednika między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT. Zadania CSIRT w charakterze koordynatora powinny w szczególności obejmować identyfikację zainteresowanych podmiotów i kontaktowanie się z nimi, wspieranie podmiotów zgłaszających, negocjowanie terminarza ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu organizacji (wielostronne ujawnianie podatności). W przypadku gdy podatności dotykają wielu producentów lub dostawców produktów lub usług ICT posiadających jednostkę organizacyjną w co najmniej dwóch państwach członkowskich, wyznaczone CSIRT z każdego państwa członkowskiego, w którym wykryto podatności, powinny współpracować ze sobą w ramach sieci CSIRT.	(29) W związku z tym państwa członkowskie we współpracy z ENISA powinny podjąć działania w celu ułatwienia skoordynowanego ujawniania podatności poprzez ustanowienie odpowiedniej polityki krajowej. W tej polityce krajowej państwa członkowskie powinny zająć się problemami napotykanymi przez badaczy podatności. W niektórych państwach członkowskich podmiotom i osobom fizycznym badającym podatności grozi poniesienie odpowiedzialności karnej lub cywilnej. Zachęca się zatem państwa członkowskie do wydania wytycznych zalecających, aby badanie bezpieczeństwa informacji nie podlegało ściganiu i aby za takie działania nie pociągano do odpowiedzialności cywilnej.

Poprawka  32

 

Wniosek dotyczący dyrektywy

Motyw 29 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(29a) Państwa członkowskie powinny wyznaczyć CSIRT do pełnienia roli „koordynatora”, występującego w razie potrzeby w charakterze pośrednika między podmiotami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT, na których podatność ta może mieć wpływ. Zadania CSIRT w charakterze koordynatora powinny w szczególności obejmować identyfikację zainteresowanych podmiotów i kontaktowanie się z nimi, wspieranie podmiotów zgłaszających, negocjowanie terminarza ujawniania oraz zarządzanie podatnościami, których skutki dotykają wielu organizacji (wielostronne ujawnianie podatności). W przypadku gdy podatności dotykają wielu producentów lub dostawców produktów lub usług ICT posiadających jednostkę organizacyjną w co najmniej dwóch państwach członkowskich, wyznaczone CSIRT z każdego państwa członkowskiego, w którym wykryto podatności, powinny współpracować ze sobą w ramach sieci CSIRT.

Poprawka  33

 

Wniosek dotyczący dyrektywy

Motyw 30

Tekst proponowany przez Komisję	Poprawka
(30) Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberprzestrzeni. W tym względzie ważnym narzędziem dla podmiotów i ich użytkowników, ale również dla właściwych organów krajowych i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić rejestr podatności, w którym podmioty niezbędne i istotne oraz ich dostawcy, a także podmioty, które nie są objęte zakresem stosowania niniejszej dyrektywy, mogą na zasadzie dobrowolności ujawniać podatności i przekazywać informacje na temat podatności, dzięki którym użytkownicy mogą wprowadzać odpowiednie środki ograniczające ryzyko.	(30) Dostęp do prawidłowych i terminowych informacji na temat podatności dotyczących produktów i usług ICT pozwala usprawnić zarządzanie ryzykiem w cyberprzestrzeni. Ważnym narzędziem dla podmiotów i ich użytkowników, ale również dla właściwych organów krajowych i CSIRT są źródła publicznie dostępnych informacji na temat podatności. Z tego powodu ENISA powinna ustanowić bazę danych dotyczących podatności, w której podmioty niezbędne i istotne oraz ich dostawcy, a także podmioty, które nie są objęte zakresem stosowania niniejszej dyrektywy, mogą na zasadzie dobrowolności ujawniać podatności i przekazywać informacje na temat podatności, dzięki którym użytkownicy mogą wprowadzać odpowiednie środki ograniczające ryzyko. Celem takiej bazy danych jest uwzględnienie wyjątkowych wyzwań, jakie ryzyko w cyberprzestrzeni stwarza dla podmiotów europejskich. Ponadto ENISA powinna ustanowić odpowiedzialną procedurę dotyczącą procesu publikacji, aby dać podmiotom czas na podjęcie środków łagodzących w odniesieniu do ich podatności, oraz stosować najnowocześniejsze środki w zakresie cyberbezpieczeństwa, a także zbiory danych nadających się do odczytu maszynowego i odpowiadające im interfejsy (API). Aby wspierać kulturę ujawniania podatności, ujawnianie powinno odbywać się bez szkody dla podmiotu zgłaszającego.

Poprawka  34

 

Wniosek dotyczący dyrektywy

Motyw 31

Tekst proponowany przez Komisję	Poprawka
(31) Choć istnieją podobne rejestry podatności lub bazy danych dotyczących podatności, są one prowadzone i utrzymywane przez podmioty, które nie mają siedziby w Unii. Europejski rejestr podatności utrzymywany przez ENISA zapewniłby lepszą przejrzystość w odniesieniu do procesu publikacji poprzedzającego oficjalne ujawnienie podatności, a także odporność w przypadku zakłóceń lub przerw w świadczeniu podobnych usług. Aby uniknąć powielania podejmowanych działań i dążyć do jak największej komplementarności, ENISA powinna zbadać możliwość zawarcia umów o współpracy strukturalnej z podobnymi rejestrami w jurysdykcjach państw trzecich.	(31) Europejska baza danych dotyczących podatności prowadzona przez ENISA powinna wykorzystywać rejestr Wspólnych Podatności i Ekspozycji na Ryzyko (CVE), stosując jego ramy identyfikacji, śledzenia i punktowania podatności. Ponadto ENISA powinna zbadać możliwość zawarcia umów o współpracy strukturalnej z innymi podobnymi rejestrami lub bazami danych w jurysdykcjach państw trzecich, aby uniknąć powielania działań i dążyć do komplementarności.

Poprawka  35

 

Wniosek dotyczący dyrektywy

Motyw 33

Tekst proponowany przez Komisję	Poprawka
(33) Opracowując wytyczne, Grupa Współpracy powinna stale: ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia, które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów.	(33) Opracowując wytyczne, Grupa Współpracy powinna stale: ewidencjonować rozwiązania i doświadczenia krajowe, oceniać wpływ wyników prac Grupy Współpracy na podejścia krajowe, omawiać wyzwania w zakresie wdrażania i formułować konkretne zalecenia – w szczególności dotyczące łatwiejszego dostosowania transpozycji niniejszej dyrektywy w państwach członkowskich – które należy uwzględnić w ramach lepszego wdrażania istniejących przepisów. Grupa Współpracy powinna też prowadzić ewidencję rozwiązań krajowych, by promować kompatybilność rozwiązań w dziedzinie cyberbezpieczeństwa mających zastosowanie do każdego z poszczególnych sektorów w całej Unii. Jest to szczególnie istotne w sektorach o charakterze międzynarodowym i transgranicznym.

Poprawka  36

 

Wniosek dotyczący dyrektywy

Motyw 34

Tekst proponowany przez Komisję	Poprawka
(34) Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania polityczne, przy jednoczesnym uwzględnieniu dostępności zasobów. Powinna ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii w celu omawiania działań realizowanych przez Grupę i gromadzenia informacji na temat pojawiających się wyzwań w zakresie polityki. Aby zacieśnić współpracę na szczeblu unijnym, Grupa powinna rozważyć zaproszenie organów i agencji unijnych zaangażowanych w kształtowanie polityki cyberbezpieczeństwa, takich jak Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA) oraz Agencja Unii Europejskiej ds. Programu Kosmicznego, do uczestnictwa w pracach Grupy.	(34) Grupa Współpracy powinna pozostać elastycznym forum i być w stanie reagować na zmieniające się i nowe priorytety i wyzwania polityczne, przy jednoczesnym uwzględnieniu dostępności zasobów. Powinna ona organizować regularne wspólne spotkania z odpowiednimi zainteresowanymi stronami z sektora prywatnego z całej Unii w celu omawiania działań realizowanych przez Grupę i gromadzenia informacji na temat pojawiających się wyzwań w zakresie polityki. Aby zacieśnić współpracę na szczeblu unijnym, Grupa powinna rozważyć zaproszenie właściwych organów i agencji unijnych zaangażowanych w kształtowanie polityki cyberbezpieczeństwa, takich jak Europol, Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA) oraz Agencja Unii Europejskiej ds. Programu Kosmicznego (EUSPA), do uczestnictwa w pracach Grupy.

Poprawka  37

 

Wniosek dotyczący dyrektywy

Motyw 35

Tekst proponowany przez Komisję	Poprawka
(35) Właściwe organy i CSIRT powinny być upoważnione do uczestniczenia w programach wymiany dla urzędników z innych państw członkowskich w celu usprawnienia współpracy. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości efektywnego angażowania się w działalność przyjmującego właściwego organu.	(35) Właściwe organy i CSIRT powinny być upoważnione do uczestniczenia w programach wymiany dla urzędników z innych państw członkowskich, w ramach ustrukturyzowanych zasad i mechanizmów określających zakres i, w stosownych przypadkach, wymagane poświadczenie bezpieczeństwa urzędników uczestniczących w takich programach wymiany, w celu usprawnienia współpracy i zwiększenia zaufania wśród państw członkowskich. Właściwe organy powinny podejmować działania niezbędne do zapewnienia urzędnikom z innych państw członkowskich możliwości efektywnego angażowania się w działalność przyjmującego właściwego organu lub CSIRT.

Poprawka  38

 

Wniosek dotyczący dyrektywy

Motyw 36

Tekst proponowany przez Komisję	Poprawka
(36) Unia powinna, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy i sieci CSIRT. Umowy takie powinny zapewniać odpowiednią ochronę danych.	(36) Unia powinna, w stosownych przypadkach, zawierać umowy międzynarodowe, zgodnie z art. 218 TFUE, z państwami trzecimi lub organizacjami międzynarodowymi, umożliwiając i organizując ich udział w niektórych działaniach Grupy Współpracy i sieci CSIRT. Umowy takie powinny zapewniać interesy Unii i odpowiednią ochronę danych. Nie wyklucza to prawa państw członkowskich do współpracy z podobnie myślącymi państwami trzecimi w zakresie zarządzania podatnościami i zarządzania ryzykiem w cyberprzestrzeni, ułatwiania sprawozdawczości i ogólnej wymiany informacji zgodnie z prawem Unii.

Poprawka  39

 

Wniosek dotyczący dyrektywy

Motyw 38

Tekst proponowany przez Komisję	Poprawka
(38) Na potrzeby niniejszej dyrektywy „ryzyko” powinno odnosić się do możliwych strat lub zakłóceń spowodowanych cyberincydentem i powinno być wyrażone jako wypadkowa skali takiej straty lub takich zakłóceń oraz prawdopodobieństwa wystąpienia takiego incydentu.	skreśla się

Poprawka  40

 

Wniosek dotyczący dyrektywy

Motyw 39

Tekst proponowany przez Komisję	Poprawka
(39) Na potrzeby niniejszej dyrektywy termin „zdarzenie potencjalnie wypadkowe” powinien odnosić się do zdarzenia, które może spowodować szkodę, ale którego pełnemu wystąpieniu udało się skutecznie zapobiec.	skreśla się

Poprawka  41

 

Wniosek dotyczący dyrektywy

Motyw 40

Tekst proponowany przez Komisję	Poprawka
(40) Środki w zakresie zarządzania ryzykiem powinny obejmować środki mające na celu identyfikację wszelkiego ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich i postępowanie z nimi, a także łagodzenie ich wpływu. Bezpieczeństwo sieci i systemów informatycznych powinno obejmować bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych.	(40) Środki w zakresie zarządzania ryzykiem powinny obejmować środki mające na celu identyfikację wszelkiego ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie gotowości po nich, a także łagodzenie ich wpływu. Bezpieczeństwo sieci i systemów informatycznych powinno obejmować bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych. W celu uzyskania pełnego obrazu bezpieczeństwa systemu informatycznego systemy te powinny zapewniać analizę systemową, z rozbiciem na poszczególne procesy i interakcje pomiędzy podsystemami i z uwzględnieniem czynnika ludzkiego.

Poprawka  42

 

Wniosek dotyczący dyrektywy

Motyw 41

Tekst proponowany przez Komisję	Poprawka
(41) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na podmioty niezbędne i istotne, wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni powinny być proporcjonalne do ryzyka, jakie stwarza dana sieć oraz dany system informatyczny, oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków.	(41) Aby uniknąć nakładania nieproporcjonalnie dużych obciążeń finansowych i administracyjnych na podmioty niezbędne i istotne, wymogi w zakresie zarządzania ryzykiem w cyberprzestrzeni powinny być proporcjonalne do ryzyka, jakie stwarza dana sieć oraz dany system informatyczny, oraz powinny uwzględniać najnowszy stan wiedzy na temat takich środków, a także normy europejskie lub międzynarodowe, takie jak ISO31000 i ISA/IEC 27005.

Poprawka  43

 

Wniosek dotyczący dyrektywy

Motyw 43

Tekst proponowany przez Komisję	Poprawka
(43) Biorąc pod uwagę, jak często dochodzi do incydentów, w których podmioty padają ofiarami cyberataków i w których agresorzy byli w stanie złamać zabezpieczenia sieci i systemów informatycznych podmiotu dzięki wykorzystaniu podatności występujących w produktach i usługach osób trzecich, szczególnie istotne jest zaradzenie ryzykom w cyberprzestrzeni wynikającym z łańcucha dostaw podmiotu oraz jego powiązań z dostawcami. W związku z tym podmioty powinny oceniać i uwzględniać ogólną jakość produktów i praktyk w zakresie cyberbezpieczeństwa swoich dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania.	(43) Biorąc pod uwagę, jak często dochodzi do incydentów, w których podmioty padają ofiarami ataków na sieci i systemy informatyczne i w których agresorzy byli w stanie złamać zabezpieczenia sieci i systemów informatycznych podmiotu dzięki wykorzystaniu podatności występujących w produktach i usługach osób trzecich, szczególnie istotne jest zaradzenie ryzykom w cyberprzestrzeni wynikającym z łańcucha dostaw podmiotu oraz jego powiązań z dostawcami, takimi jak dostawcy usług przechowywania i przetwarzania danych lub zarządzanych usług w zakresie bezpieczeństwa. W związku z tym podmioty powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług, wbudowanych w nie środków bezpieczeństwa i praktyk w zakresie cyberbezpieczeństwa swoich dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty należy w szczególności zachęcać do włączania środków w zakresie cyberbezpieczeństwa do ustaleń umownych z ich dostawcami i usługodawcami pierwszego poziomu. Podmioty mogłyby rozważyć ryzyka w cyberprzestrzeni wynikające z innych poziomów dostawców i usługodawców.

Poprawka  44

 

Wniosek dotyczący dyrektywy

Motyw 44

Tekst proponowany przez Komisję	Poprawka
(44) Wśród dostawców usług szczególnie ważną rolę we wspieraniu podmiotów w ich działaniach mających na celu wykrywanie incydentów i reagowanie na nie odgrywają dostawcy zarządzanych usług w zakresie bezpieczeństwa w obszarach takich jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Tacy dostawcy zarządzanych usług z zakresu bezpieczeństwa również sami padali jednak ofiarami cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami operatorów, stwarzają szczególne ryzyko w cyberprzestrzeni. W związku z tym przy wyborze dostawcy zarządzanych usług z zakresu bezpieczeństwa podmioty powinny dochować szczególnej staranności.	(44) Wśród dostawców usług szczególnie ważną rolę we wspieraniu podmiotów w ich działaniach mających na celu zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie gotowości po nich odgrywają dostawcy zarządzanych usług w zakresie bezpieczeństwa w obszarach takich jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Tacy dostawcy zarządzanych usług z zakresu bezpieczeństwa również sami padali jednak ofiarami cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami operatorów, stwarzają szczególne ryzyko w cyberprzestrzeni. W związku z tym przy wyborze dostawcy zarządzanych usług z zakresu bezpieczeństwa podmioty powinny dochować szczególnej staranności.

Poprawka  45

 

Wniosek dotyczący dyrektywy

Motyw 45

Tekst proponowany przez Komisję	Poprawka
(45) Podmioty powinny również ograniczać ryzyko w cyberprzestrzeni wynikające z ich interakcji i powiązań z innymi zainteresowanymi stronami w ramach szerszego ekosystemu. W szczególności podmioty powinny wprowadzać odpowiednie środki zapewniające, aby ich współpraca z instytucjami akademickimi i badawczymi przebiegała zgodnie z ich polityką cyberbezpieczeństwa i z uwzględnieniem dobrych praktyk dotyczących bezpiecznego dostępu do informacji i ich rozpowszechniania ogółem, a w szczególności ochrony własności intelektualnej. Podobnie biorąc pod uwagę znaczenie i wartość danych w kontekście działalności podmiotów, w przypadku korzystania z usług przekształcania danych i analizy danych oferowanych przez osoby trzecie podmioty powinny stosować wszelkie odpowiednie środki w zakresie cyberbezpieczeństwa.	(45) Podmioty powinny również ograniczać ryzyko w cyberprzestrzeni wynikające z ich interakcji i powiązań z innymi zainteresowanymi stronami w ramach szerszego ekosystemu, w tym w celu przeciwdziałania szpiegostwu przemysłowemu i ochrony tajemnic handlowych. W szczególności podmioty powinny wprowadzać odpowiednie środki zapewniające, aby ich współpraca z instytucjami akademickimi i badawczymi przebiegała zgodnie z ich polityką cyberbezpieczeństwa i z uwzględnieniem dobrych praktyk dotyczących bezpiecznego dostępu do informacji i ich rozpowszechniania ogółem, a w szczególności ochrony własności intelektualnej. Podobnie biorąc pod uwagę znaczenie i wartość danych w kontekście działalności podmiotów, w przypadku korzystania z usług przekształcania danych i analizy danych oferowanych przez osoby trzecie podmioty powinny stosować wszelkie odpowiednie środki w zakresie cyberbezpieczeństwa.

Poprawka  46

 

Wniosek dotyczący dyrektywy

Motyw 45 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(45a) Podmioty powinny przyjąć szeroki wachlarz podstawowych praktyk w zakresie higieny cyberbezpieczeństwa, takich jak architektura zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem lub świadomość użytkowników, oraz organizować szkolenia dla pracowników na temat cyberzagrożeń dla firmowych systemów poczty elektronicznej, wyłudzania informacji lub technik inżynierii społecznej. Ponadto podmioty powinny ocenić własne możliwości w zakresie cyberbezpieczeństwa i w stosownych przypadkach dążyć do integracji technologii zwiększających cyberbezpieczeństwo opartych na sztucznej inteligencji lub systemach uczenia się maszynowego w celu zautomatyzowania ich możliwości i ochrony architektury sieci.

Poprawka  47

 

Wniosek dotyczący dyrektywy

Motyw 46

Tekst proponowany przez Komisję	Poprawka
(46) Aby w większym stopniu ograniczyć kluczowe ryzyka w łańcuchu dostaw i wesprzeć podmioty działające w sektorach objętych niniejszą dyrektywą w odpowiednim zarządzaniu ryzykiem w cyberprzestrzeni związanym z łańcuchem dostaw i dostawcami, Grupa Współpracy przy udziale odpowiednich organów krajowych, we współpracy z Komisją i ENISA, powinna przeprowadzić skoordynowane sektorowe oceny ryzyka w łańcuchach dostaw, tak jak to miało już miejsce w przypadku sieci 5G w następstwie zalecenia (UE) 2019/534 w sprawie cyberbezpieczeństwa sieci 5G21, aby zidentyfikować w każdym sektorze krytyczne usługi, systemy lub produkty ICT, istotne zagrożenia i podatności.	(46) Aby w większym stopniu ograniczyć kluczowe ryzyka w łańcuchu dostaw i wesprzeć podmioty działające w sektorach objętych niniejszą dyrektywą w odpowiednim zarządzaniu ryzykiem w cyberprzestrzeni związanym z łańcuchem dostaw i dostawcami, Grupa Współpracy przy udziale odpowiednich organów krajowych, we współpracy z Komisją i ENISA, powinna przeprowadzić skoordynowane oceny ryzyka w łańcuchach dostaw, tak jak to miało już miejsce w przypadku sieci 5G w następstwie zalecenia (UE) 2019/534 w sprawie cyberbezpieczeństwa sieci 5G21, aby zidentyfikować w każdym sektorze krytyczne usługi, systemy lub produkty ICT i ICS, istotne zagrożenia i podatności. W takich ocenach ryzyka należy określić środki, plany ograniczania ryzyka i najlepsze praktyki w odniesieniu do krytycznych zależności, potencjalnych pojedynczych punktów awarii, zagrożeń, podatności i innych rodzajów ryzyka związanych z łańcuchem dostaw, a także zbadać sposoby dalszego zachęcania podmiotów do ich szerszego stosowania. Potencjalne pozatechniczne czynniki ryzyka, takie jak nadmierny wpływ państwa trzeciego na dostawców i usługodawców, w szczególności w przypadku alternatywnych modeli zarządzania, obejmują ukryte podatności lub backdoory oraz potencjalne systemowe zakłócenia dostaw, w szczególności w przypadku blokady technologicznej lub zależności od dostawcy.
__________________	__________________
21 Zalecenie Komisji (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z 29.3.2019, s. 42).	21 Zalecenie Komisji (UE) 2019/534 z dnia 26 marca 2019 r. Cyberbezpieczeństwo sieci 5G (Dz.U. L 88 z 29.3.2019, s. 42).

Poprawka  48

 

Wniosek dotyczący dyrektywy

Motyw 47

Tekst proponowany przez Komisję	Poprawka
(47) W świetle specyfiki danego sektora w ocenach ryzyka w łańcuchu dostaw należy uwzględnić zarówno czynniki techniczne, jak i – w stosownych przypadkach – pozatechniczne, w tym te określone w zaleceniu (UE) 2019/534, w unijnej skoordynowanej ocenie ryzyka w zakresie bezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy. Aby zidentyfikować łańcuchy dostaw, które należy poddać skoordynowanej ocenie ryzyka, należy wziąć pod uwagę następujące kryteria: (i) zakres, w jakim podmioty niezbędne i istotne wykorzystują konkretne krytyczne usługi, systemy lub produkty ICT i na nich polegają; (ii) znaczenie konkretnych krytycznych usług, systemów lub produktów ICT dla wykonywania krytycznych lub wrażliwych funkcji, w tym przetwarzania danych osobowych; (iii) dostępność alternatywnych usług, systemów lub produktów ICT; (iv) odporność całego łańcucha dostaw usług, systemów lub produktów ICT na zdarzenia powodujące zakłócenia oraz (v) w przypadku pojawiających się usług, systemów lub produktów ICT – ich potencjalne przyszłe znaczenie dla działalności podmiotów.	(47) W świetle specyfiki danego sektora w ocenach ryzyka w łańcuchu dostaw należy uwzględnić zarówno czynniki techniczne, jak i – w stosownych przypadkach – pozatechniczne, w tym te określone w zaleceniu (UE) 2019/534, w unijnej skoordynowanej ocenie ryzyka w zakresie bezpieczeństwa sieci 5G oraz w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G uzgodnionym przez Grupę Współpracy. Aby zidentyfikować łańcuchy dostaw, które należy poddać skoordynowanej ocenie ryzyka, należy wziąć pod uwagę następujące kryteria: (i) zakres, w jakim podmioty niezbędne i istotne wykorzystują konkretne krytyczne usługi, systemy lub produkty ICT i na nich polegają; (ii) znaczenie konkretnych krytycznych usług, systemów lub produktów ICT dla wykonywania krytycznych lub wrażliwych funkcji, w tym przetwarzania danych osobowych; (iii) dostępność alternatywnych usług, systemów lub produktów ICT; (iv) odporność w ciągu całego cyklu życia całego łańcucha dostaw usług, systemów lub produktów ICT na zdarzenia powodujące zakłócenia oraz (v) w przypadku pojawiających się usług, systemów lub produktów ICT – ich potencjalne przyszłe znaczenie dla działalności podmiotów. Ponadto szczególny nacisk należy położyć na usługi, systemy lub produkty ICT, podlegające szczególnym wymogom, pochodzące z państw trzecich.

Poprawka  49

 

Wniosek dotyczący dyrektywy

Motyw 47 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(47a) Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa ustanowiona na podstawie art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/8811a powinna wydawać opinię na temat ocen ryzyka dla bezpieczeństwa określonych krytycznych usług, systemów lub łańcuchów dostaw produktów ICT i ICS. Grupa Współpracy i ENISA powinny uwzględniać tę opinię.
	__________________
	1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).

Poprawka  50

 

Wniosek dotyczący dyrektywy

Motyw 50

Tekst proponowany przez Komisję	Poprawka
(50) Ze względu na rosnące znaczenie usług interpersonalnej łączności niewykorzystujących numerów należy zapewnić, aby usługi te podlegały również odpowiednim wymogom w zakresie bezpieczeństwa z uwagi na ich szczególny charakter i istotną rolę w gospodarce. Dostawcy takich usług powinni zatem również zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do stwarzanego ryzyka. Ze względu na to, że dostawcy usług interpersonalnej łączności niewykorzystujących numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. To samo ma zastosowanie do dostawców usług interpersonalnej łączności wykorzystujących numery, którzy nie sprawują rzeczywistej kontroli nad transmisją sygnałów.	(50) Ze względu na rosnące znaczenie usług interpersonalnej łączności niewykorzystujących numerów należy zapewnić, aby usługi te podlegały również odpowiednim wymogom w zakresie bezpieczeństwa z uwagi na ich szczególny charakter i istotną rolę w gospodarce. Dostawcy takich usług powinni zatem również zapewniać poziom bezpieczeństwa sieci i systemów informatycznych odpowiedni do stwarzanego ryzyka. Ze względu na to, że dostawcy usług interpersonalnej łączności niewykorzystujących numerów zazwyczaj nie sprawują rzeczywistej kontroli nad transmisją sygnałów w sieciach, stopień ryzyka dla bezpieczeństwa sieci w przypadku takich usług można uznać za niższy pod pewnymi względami niż w przypadku tradycyjnych usług łączności elektronicznej. To samo ma zastosowanie do dostawców usług interpersonalnej łączności wykorzystujących numery, którzy nie sprawują rzeczywistej kontroli nad transmisją sygnałów. Ponieważ jednak powierzchnia ataku stale się rozszerza, usługi interpersonalnej łączności niewykorzystujące numerów, w tym między innymi komunikatory mediów społecznościowych, stają się popularnymi wektorami ataku. Złośliwe podmioty wykorzystują platformy do komunikacji i nakłaniania ofiar do otwierania stron internetowych stanowiących zagrożenie, co zwiększa prawdopodobieństwo incydentów związanych z wykorzystaniem danych osobowych, a tym samym naruszających bezpieczeństwo systemów informatycznych.

Poprawka  51

 

Wniosek dotyczący dyrektywy

Motyw 51

Tekst proponowany przez Komisję	Poprawka
(51) Rynek wewnętrzny jest bardziej niż kiedykolwiek uzależniony od funkcjonowania internetu. Usługi niemal wszystkich podmiotów niezbędnych i istotnych zależą od usług świadczonych przez internet. Aby zapewnić sprawne świadczenie usług przez podmioty niezbędne i istotne, publiczne sieci łączności elektronicznej, jak na przykład internetowe sieci szkieletowe czy podmorskie kable telekomunikacyjne, powinny wprowadzić odpowiednie środki w zakresie cyberbezpieczeństwa i zgłaszać incydenty w tym zakresie.	(51) Rynek wewnętrzny jest bardziej niż kiedykolwiek uzależniony od funkcjonowania internetu. Usługi niemal wszystkich podmiotów niezbędnych i istotnych zależą od usług świadczonych przez internet. Aby zapewnić sprawne świadczenie usług przez podmioty niezbędne i istotne, publiczne sieci łączności elektronicznej, jak na przykład wszystkie internetowe sieci szkieletowe czy podmorskie kable telekomunikacyjne, powinny wprowadzić odpowiednie środki w zakresie cyberbezpieczeństwa i zgłaszać znaczące incydenty w tym zakresie. Państwa członkowskie powinny dbać o utrzymanie integralności i dostępności tych publicznych sieci łączności elektronicznej oraz powinny rozważyć ich ochronę przed sabotażem i szpiegostwem o istotnym znaczeniu dla bezpieczeństwa. Państwa członkowskie powinny aktywnie dzielić się między sobą informacjami na temat incydentów, na przykład dotyczących podmorskich kabli komunikacyjnych.

Poprawka  52

 

Wniosek dotyczący dyrektywy

Motyw 52

Tekst proponowany przez Komisję	Poprawka
(52) W stosownych przypadkach podmioty powinny informować odbiorców swoich usług o szczególnych i istotnych zagrożeniach oraz o środkach, które odbiorcy ci mogą zastosować w celu ograniczenia wynikłego ryzyka, na jakie są sami narażeni. Wymóg informowania tych odbiorców o takich zagrożeniach nie powinien zwalniać podmiotu z obowiązku zastosowania na własny koszt odpowiednich i natychmiastowych środków w celu zapobieżenia lub zaradzenia wszelkim cyberzagrożeniom oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Udzielanie odbiorcom takich informacji na temat zagrożeń bezpieczeństwa powinno odbywać się bezpłatnie.	(52) W stosownych przypadkach podmioty powinny informować odbiorców swoich usług o szczególnych i istotnych zagrożeniach oraz o środkach, które odbiorcy ci mogą zastosować w celu ograniczenia wynikłego ryzyka, na jakie są sami narażeni. Nie powinno to zwalniać podmiotu z obowiązku zastosowania na własny koszt odpowiednich i natychmiastowych środków w celu zapobieżenia lub zaradzenia wszelkim cyberzagrożeniom oraz przywrócenia normalnego poziomu bezpieczeństwa danej usługi. Udzielanie odbiorcom takich informacji na temat zagrożeń bezpieczeństwa powinno odbywać się bezpłatnie, a informacje powinny być sporządzone w przystępnym języku.

Poprawka  53

 

Wniosek dotyczący dyrektywy

Motyw 53

Tekst proponowany przez Komisję	Poprawka
(53) W szczególności dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej powinni informować odbiorców usługi o szczególnych i istotnych cyberzagrożeniach oraz o środkach, które mogą zastosować w celu ochrony bezpieczeństwa swoich środków łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania lub technologii szyfrowania.	(53) Dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej powinni wprowadzić ochronę w fazie projektowania i domyślną ochronę danych oraz informować odbiorców usługi o szczególnych i istotnych cyberzagrożeniach oraz o środkach, które mogą zastosować w celu ochrony bezpieczeństwa swoich urządzeń i środków łączności, na przykład przez zastosowanie szczególnych rodzajów oprogramowania do szyfrowania lub innych technologii bezpieczeństwa skoncentrowanych na danych.

Poprawka  54

 

Wniosek dotyczący dyrektywy

Motyw 54

Tekst proponowany przez Komisję	Poprawka
(54) Aby zagwarantować bezpieczeństwo sieci i usług łączności elektronicznej, należy promować korzystanie z szyfrowania, w szczególności szyfrowania end-to-end, a w razie konieczności uczynić je obowiązkowym dla dostawców takich usług i sieci zgodnie z zasadą uwzględniania bezpieczeństwa i prywatności w sposób domyślny i na etapie projektowania do celów art. 18. Korzystanie z szyfrowania end-to-end należy pogodzić z uprawnieniami państw członkowskich w zakresie zapewnienia ochrony ich podstawowych interesów bezpieczeństwa i bezpieczeństwa publicznego, a także w zakresie umożliwiania wykrywania i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie zgodnie z prawem Unii. Rozwiązania zapewniające zgodny z prawem dostęp do informacji przesyłanych z wykorzystaniem transmisji szyfrowanej end-to-end powinny gwarantować zachowanie skuteczności szyfrowania pod względem ochrony prywatności i bezpieczeństwa łączności, zapewniając jednocześnie możliwość skutecznego reagowania na przestępstwa.	(54) Aby zagwarantować bezpieczeństwo sieci i usług łączności elektronicznej, należy promować korzystanie z szyfrowania i innych technologii bezpieczeństwa skoncentrowanych na danych, takich jak tokenizacja, segmentacja, ograniczanie przepustowości, znakowanie, tagowanie, silne zarządzanie tożsamością i dostępem oraz automatyczne decyzje o dostępie, a w razie konieczności uczynić je obowiązkowymi dla dostawców takich usług i sieci zgodnie z zasadą uwzględniania bezpieczeństwa i prywatności w sposób domyślny i na etapie projektowania do celów art. 18. Korzystanie z szyfrowania end-to-end należy pogodzić z uprawnieniami państw członkowskich w zakresie zapewnienia ochrony ich podstawowych interesów bezpieczeństwa i bezpieczeństwa publicznego, a także w zakresie umożliwiania wykrywania i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie zgodnie z prawem Unii. Nie powinno to jednak prowadzić do jakichkolwiek działań zmierzających do osłabienia szyfrowania end-to-end, które jest kluczową technologią dla skutecznej ochrony danych i prywatności.

Poprawka  55

 

Wniosek dotyczący dyrektywy

Motyw 54 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(54a) W celu zagwarantowania bezpieczeństwa oraz przeciwdziałania nadużyciom i manipulacjom w sieciach i usługach łączności elektronicznej należy promować stosowanie interoperacyjnych bezpiecznych standardów routingu, aby zapewnić integralność i odporność funkcji routingu w całym ekosystemie dostawców internetu.

Poprawka  56

 

Wniosek dotyczący dyrektywy

Motyw 54 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	(54b) W celu zapewnienia funkcjonalności i integralności internetu oraz ograniczenia problemów związanych z bezpieczeństwem, jeśli chodzi o DNS, należy zachęcać odpowiednie zainteresowane strony, w tym przedsiębiorstwa unijne, dostawców usług internetowych i przeglądarek, do przyjęcia strategii dywersyfikacji rozwiązywania nazw DNS. Państwa członkowskie powinny również sprzyjać rozwijaniu i korzystaniu z publicznej i bezpiecznej europejskiej usługi resolwera DNS.

Poprawka  57

 

Wniosek dotyczący dyrektywy

Motyw 55

Tekst proponowany przez Komisję	Poprawka
(55) W niniejszej dyrektywie określono dwuetapowe podejście do zgłaszania incydentów w celu zapewnienia odpowiedniej równowagi między szybkim zgłaszaniem, co pomoże zahamować potencjalne rozprzestrzenianie się incydentów i pozwoli podmiotom zwrócić się o wsparcie, a szczegółowym zgłaszaniem, co umożliwi wyciągnięcie cennych wniosków z poszczególnych incydentów i z czasem przyczyni się do zwiększenia odporności poszczególnych przedsiębiorstw i całych sektorów na cyberzagrożenia. W przypadku gdy podmioty powezmą wiedzę o incydencie, powinny mieć obowiązek dokonania wstępnego zgłoszenia w ciągu 24 godzin, a następnie przedłożenia – w terminie nie dłuższym niż miesiąc – sprawozdania końcowego. Wstępne zgłoszenie powinno zawierać jedynie informacje absolutnie niezbędne do tego, by poinformować właściwe organy o wystąpieniu incydentu i umożliwić podmiotowi zwrócenie się o wsparcie, jeśli zachodzi taka potrzeba. W stosownych przypadkach w takim zgłoszeniu należy wskazać, czy, jak przypuszcza się, incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze. Państwa członkowskie powinny zapewnić, aby wymóg dokonania wstępnego zgłoszenia nie powodował przekierowania zasobów podmiotu zgłaszającego z działań podejmowanych w reakcji na incydent, które to działania powinny mieć charakter priorytetowy. Aby dodatkowo zapobiec sytuacji, w której obowiązki w zakresie zgłaszania incydentów ograniczą zdolność podmiotu do podjęcia reakcji na incydent albo w inny sposób osłabią działania podmiotu w tym zakresie, państwa członkowskie powinny również przewidzieć – w należycie uzasadnionych przypadkach i w porozumieniu z właściwymi organami lub CSIRT – możliwość odstąpienia w przypadku danego podmiotu od terminu 24 godzin na dokonanie wstępnego zgłoszenia i terminu jednego miesiąca na przedłożenie sprawozdania końcowego.	(55) W niniejszej dyrektywie określono dwuetapowe podejście do zgłaszania incydentów w celu zapewnienia odpowiedniej równowagi między szybkim zgłaszaniem, co pomoże zahamować potencjalne rozprzestrzenianie się incydentów i pozwoli podmiotom zwrócić się o wsparcie, a szczegółowym zgłaszaniem, co umożliwi wyciągnięcie cennych wniosków z poszczególnych incydentów i z czasem przyczyni się do zwiększenia odporności poszczególnych przedsiębiorstw i całych sektorów na cyberzagrożenia. W przypadku gdy podmioty powezmą wiedzę o incydencie, powinny mieć obowiązek dokonania wstępnego zgłoszenia, a następnie przedłożenia – w terminie nie dłuższym niż miesiąc od złożenia wstępnego zgłoszenia – wyczerpującego sprawozdania. Termin wstępnego zgłoszenia incydentu nie powinien uniemożliwiać podmiotom wcześniejszego zgłaszania incydentów, umożliwiając im w ten sposób szybkie zwrócenie się o wsparcie do CSIRT oraz umożliwiając ograniczenie potencjalnego rozprzestrzeniania się zgłoszonego incydentu. CSIRT mogą zwrócić się o sprawozdanie okresowe dotyczące istotnych aktualizacji statusu, uwzględniając przy tym wysiłki podmiotu zgłaszającego w zakresie reagowania na incydenty i usuwania skutków.

Poprawka  58

 

Wniosek dotyczący dyrektywy

Motyw 55 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(55a) Znaczący incydent może mieć wpływ na poufność, integralność lub dostępność usługi. Podmioty niezbędne i istotne powinny powiadamiać CSIRT o znaczących incydentach, które mają wpływ na dostępność ich usługi w ciągu 24 godzin od powzięcia wiedzy o incydencie. Powinny one powiadamiać CIRT o znaczących incydentach, które naruszają poufność i integralność ich usług, w ciągu 72 godzin od powzięcia wiedzy o incydencie. Rozróżnienie między rodzajami incydentów nie opiera się na powadze incydentu, ale na trudności podmiotu zgłaszającego w ocenie incydentu, jego znaczenia i możliwości zgłoszenia informacji, które mogą być przydatne dla CSIRT. Wstępne zgłoszenie powinno zawierać informacje niezbędne do tego, by poinformować CSIRT o wystąpieniu incydentu i umożliwić podmiotowi zwrócenie się o wsparcie, jeśli zachodzi taka potrzeba. Państwa członkowskie powinny zapewnić, aby wymóg dokonania wstępnego zgłoszenia nie powodował przekierowania zasobów podmiotu zgłaszającego z działań podejmowanych w reakcji na incydent, które to działania powinny mieć charakter priorytetowy. Aby dodatkowo zapobiec sytuacji, w której obowiązki w zakresie zgłaszania incydentów ograniczą zdolność podmiotu do podjęcia reakcji na incydent albo w inny sposób osłabią działania podmiotu w tym zakresie, państwa członkowskie powinny również przewidzieć – w należycie uzasadnionych przypadkach i w porozumieniu z CSIRT – możliwość odstąpienia w przypadku danego podmiotu od terminów na dokonanie wstępnego zgłoszenia i na przedłożenie kompleksowego sprawozdania.

Poprawka  59

 

Wniosek dotyczący dyrektywy

Motyw 59

Tekst proponowany przez Komisję	Poprawka
(59) Prowadzenie prawidłowych i kompletnych baz danych zawierających nazwy domen i dane rejestracyjne („dane WHOIS”) oraz zapewnienie zgodnego z prawem dostępu do takich danych jest niezbędne do zapewnienia bezpieczeństwa, stabilności i odporności systemu nazw domen (DNS), co z kolei przyczynia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Gdy przetwarzanie dotyczy danych osobowych, powinno być ono zgodne z unijnymi przepisami o ochronie danych.	(59) Prowadzenie prawidłowych, zweryfikowanych i kompletnych baz danych zawierających dane rejestracyjne nazw domen („dane WHOIS”) jest niezbędne do zapewnienia bezpieczeństwa, stabilności i odporności systemu nazw domen (DNS), co z kolei przyczynia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii i do zwalczania nielegalnej działalności. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny zatem być zobowiązane do gromadzenia danych dotyczących rejestracji nazw domen, które powinny obejmować co najmniej nazwę rejestrujących, ich adres fizyczny i elektroniczny oraz ich numer telefonu. W praktyce zgromadzone dane mogą nie zawsze być w pełni dokładne, jednakże rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny przyjąć i wdrożyć proporcjonalne procesy w celu sprawdzenia, czy osoby fizyczne lub prawne wnoszące o nazwę domeny lub będące jej właścicielami podały szczegóły kontaktowe, pod którymi można się z nimi skontaktować i oczekuje się od nich odpowiedzi. Przy zastosowaniu podejścia opartego na „najlepszych staraniach” te procesy weryfikacji powinny odzwierciedlać obecne najlepsze praktyki stosowane w branży. Te najlepsze praktyki w procesie weryfikacji powinny odzwierciedlać postęp, jaki dokonuje się w procesie identyfikacji elektronicznej. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny udostępnić publicznie swoją politykę i procedury w celu zapewnienia integralności i dostępności danych dotyczących rejestracji nazw domen. Gdy przetwarzanie dotyczy danych osobowych, powinno być ono zgodne z unijnymi przepisami o ochronie danych.

Poprawka  60

 

Wniosek dotyczący dyrektywy

Motyw 60

Tekst proponowany przez Komisję	Poprawka
(60) Dostępność tych danych dla organów publicznych, w tym dla organów właściwych na mocy prawa Unii i prawa krajowego do spraw prewencji i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie, zespołów CERT, sieci CSIRT oraz – w zakresie, w jakim dotyczy to danych ich klientów – dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług z zakresu cyberbezpieczeństwa działających w imieniu tych klientów, a także możliwość uzyskania szybkiego dostępu do tych danych przez wymienione podmioty jest niezbędna do przeciwdziałania nadużyciom systemu nazw domen oraz zwalczania takich nadużyć, w szczególności do przeciwdziałania cyberincydentom, wykrywania ich oraz reagowania na nie. Taki dostęp powinien być zgodny z unijnymi przepisami o ochronie danych w zakresie, w jakim dotyczy on danych osobowych.	(60) Dostępność danych rejestracyjnych nazw domen i możliwość uzyskania szybkiego dostępu do tych danych przez prawowite podmioty ubiegające się o dostęp ma zasadnicze znaczenie dla celów cyberbezpieczeństwa i zwalczania nielegalnej działalności w ekosystemie internetowym. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zatem zobowiązane do umożliwienia wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie takiego dostępu do konkretnych danych dotyczących rejestracji nazw domen, włącznie z danymi osobowymi, zgodnie z unijnymi przepisami o ochronie danych. Uprawnione podmioty ubiegające się o dostęp powinny złożyć należycie uzasadniony wniosek o dostęp do danych rejestracyjnych nazw domen na podstawie prawa unijnego lub krajowego i mogłyby obejmować organy właściwe na mocy prawa Unii i prawa krajowego do spraw prewencji i ścigania przestępstw oraz prowadzenia dochodzeń w ich sprawie, a także krajowych zespołów CERT lub sieci CSIRT. Państwa członkowskie powinny zapewniać, aby rejestry TLD i podmioty świadczące usługi rejestracji nazw domen odpowiadały bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin, na wnioski wnioskodawców ubiegających się o prawnie uzasadniony dostęp o ujawnienie danych dotyczących rejestracji nazw domen. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby publikacji i ujawniania danych rejestracyjnych, w tym umowy o gwarantowanym poziomie usług regulujące rozpatrywanie wniosków o dostęp składanych przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. Procedura uzyskiwania dostępu może również obejmować wykorzystanie interfejsu, portalu lub innych narzędzi technicznych w celu zapewnienia skutecznego systemu umożliwiającego składanie wniosków o dostęp do danych rejestracyjnych i uzyskiwanie do nich dostępu. W celu promowania zharmonizowanych praktyk na całym rynku wewnętrznym Komisja może przyjąć wytyczne dotyczące takich procedur bez uszczerbku dla kompetencji Europejskiej Rady Ochrony Danych.

Poprawka  61

Wniosek dotyczący dyrektywy

Motyw 61

Tekst proponowany przez Komisję	Poprawka
(61) W celu zapewnienia dostępności prawidłowych i kompletnych danych dotyczących rejestracji nazw domen rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD (tzw. rejestratorzy) powinny gromadzić dane dotyczące rejestracji nazw domen oraz zapewniać ich integralność i dostępność. W szczególności rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD powinny ustanowić polityki i procedury na potrzeby gromadzenia i utrzymywania prawidłowych i kompletnych danych rejestracyjnych, a także przeciwdziałać powstawaniu nieprawidłowych danych rejestracyjnych i poprawiać je zgodnie z unijnymi przepisami o ochronie danych.	skreśla się

Poprawka  62

 

Wniosek dotyczący dyrektywy

Motyw 62

Tekst proponowany przez Komisję	Poprawka
(62) Rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen powinny podawać do wiadomości publicznej dane dotyczące rejestracji nazw domen nieobjęte zakresem stosowania unijnych przepisów o ochronie danych, takie jak dane dotyczące osób prawnych25. Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen dla TLD powinny ponadto umożliwiać wnioskodawcom ubiegającym się o prawnie uzasadniony dostęp uzyskanie takiego dostępu do konkretnych danych dotyczących rejestracji nazw domen, odnoszących się do osób fizycznych, zgodnie z unijnymi przepisami o ochronie danych. Państwa członkowskie powinny zapewniać, aby rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen odpowiadały bez zbędnej zwłoki na wnioski wnioskodawców ubiegających się o prawnie uzasadniony dostęp o ujawnienie danych dotyczących rejestracji nazw domen. Rejestry TLD i podmioty świadczące dla nich usługi rejestracji nazw domen powinny ustanowić polityki i procedury na potrzeby publikacji i ujawniania danych rejestracyjnych, w tym umowy o gwarantowanym poziomie usług regulujące rozpatrywanie wniosków o dostęp składanych przez wnioskodawców ubiegających się o prawnie uzasadniony dostęp. Procedura uzyskiwania dostępu może również obejmować wykorzystanie interfejsu, portalu lub innego narzędzia technicznego w celu zapewnienia skutecznego systemu umożliwiającego składanie wniosków o dostęp do danych rejestracyjnych i uzyskiwanie do nich dostępu. W celu promowania zharmonizowanych praktyk na całym rynku wewnętrznym Komisja może przyjąć wytyczne dotyczące takich procedur bez uszczerbku dla kompetencji Europejskiej Rady Ochrony Danych.	(62) Rejestry TLD i podmioty świadczące usługi rejestracji nazw domen powinny być zobowiązane do podawania do wiadomości publicznej danych dotyczących rejestracji nazw domen, które nie zawierają danych osobowych. Należy dokonywać rozróżnienia między osobami fizycznymi i prawnymi25. W przypadku osób prawnych rejestry TLD i podmioty powinny podawać do wiadomości publicznej co najmniej imię i nazwisko rejestrujących, ich adres fizyczny i elektroniczny, a także ich numer telefonu. Osoba prawna powinna być zobowiązana do podania ogólnego adresu elektronicznego, który można podać do wiadomości publicznej, albo do wyrażenia zgody na publikację osobistego adresu elektronicznego. Osoba prawna powinna być w stanie wykazać taką zgodę na wniosek rejestrów TLD i podmiotów świadczących usługi rejestracji nazw domen.
__________________	__________________
25 Motyw 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, zgodnie z którym „[n]iniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.	25 Motyw 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, zgodnie z którym „[n]iniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”.

Poprawka  63

 

Wniosek dotyczący dyrektywy

Motyw 63

Tekst proponowany przez Komisję	Poprawka
(63) Wszystkie podmioty niezbędne i istotne, o których mowa w niniejszej dyrektywie, powinny podlegać jurysdykcji państwa członkowskiego, w którym świadczą usługi. Jeżeli podmiot świadczy usługi w więcej niż jednym państwie członkowskim, powinien podlegać odrębnej i równoczesnej jurysdykcji każdego z tych państw członkowskich. Właściwe organy tych państw członkowskich powinny ze sobą współpracować, zapewniać sobie wzajemną pomoc oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze.	(63) Wszystkie podmioty niezbędne i istotne, o których mowa w niniejszej dyrektywie, powinny podlegać jurysdykcji państwa członkowskiego, w którym świadczą usługi lub prowadzą działalność. Jeżeli podmiot świadczy usługi w więcej niż jednym państwie członkowskim, powinien podlegać odrębnej i równoczesnej jurysdykcji każdego z tych państw członkowskich. Właściwe organy tych państw członkowskich powinny ze sobą współpracować, zapewniać sobie wzajemną pomoc oraz, w stosownych przypadkach, prowadzić wspólne działania nadzorcze.

Poprawka  64

 

Wniosek dotyczący dyrektywy

Motyw 64

Tekst proponowany przez Komisję	Poprawka
(64) Aby uwzględnić transgraniczny charakter usług i działalności dostawców usług DNS, rejestrów nazw TLD, dostawców sieci dostarczania treści, dostawców usług w chmurze, dostawców usług ośrodka przetwarzania danych oraz dostawców usług cyfrowych, takie podmioty powinny podlegać jurysdykcji wyłącznie jednego państwa członkowskiego. Jurysdykcja powinna przynależeć państwu członkowskiemu, w którym dany podmiot ma główną jednostkę organizacyjną w Unii. Kryterium jednostki organizacyjnej do celów niniejszej dyrektywy oznacza faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Spełnienie tego kryterium nie powinno zależeć od tego, czy sieci i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiej głównej jednostki organizacyjnej i nie są zatem przesądzającymi kryteriami pozwalającymi ustalić główną jednostkę organizacyjną. Za główną jednostkę organizacyjną należy uznać miejsce, w którym podejmuje się w Unii decyzje związane ze środkami zarządzania ryzykiem w cyberprzestrzeni. Będzie ono zazwyczaj odpowiadać miejscu centralnej administracji przedsiębiorstw w Unii. Jeżeli takich decyzji nie podejmuje się w Unii, należy uznać, że główna jednostka organizacyjna znajduje się w państwach członkowskich, w których dany podmiot ma jednostkę organizacyjną o największej liczbie pracowników w Unii. Jeżeli usługi świadczy grupa przedsiębiorstw, za główną jednostkę organizacyjną grupy przedsiębiorstw należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę.	(64) Aby uwzględnić transgraniczny charakter usług i działalności dostawców usług DNS, rejestrów nazw TLD, dostawców sieci dostarczania treści, dostawców usług w chmurze, dostawców usług ośrodka przetwarzania danych oraz dostawców usług cyfrowych, takie podmioty powinny podlegać jurysdykcji wyłącznie jednego państwa członkowskiego. Jurysdykcja powinna przynależeć państwu członkowskiemu, w którym dany podmiot ma główną jednostkę organizacyjną w Unii. Kryterium jednostki organizacyjnej do celów niniejszej dyrektywy oznacza faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy podmiot zależny posiadający osobowość prawną, nie jest w tym względzie czynnikiem decydującym. Spełnienie tego kryterium nie powinno zależeć od tego, czy sieci i systemy informatyczne są fizycznie zlokalizowane w danym miejscu; fizyczne położenie i wykorzystanie takich systemów nie stanowią same w sobie takiej głównej jednostki organizacyjnej i nie są zatem przesądzającymi kryteriami pozwalającymi ustalić główną jednostkę organizacyjną. Za główną jednostkę organizacyjną należy uznać miejsce, w którym podejmuje się w Unii decyzje związane ze środkami zarządzania ryzykiem w cyberprzestrzeni. Będzie ono zazwyczaj odpowiadać miejscu centralnej administracji przedsiębiorstw w Unii. Jeżeli takich decyzji nie podejmuje się w Unii, należy uznać, że główna jednostka organizacyjna znajduje się w państwach członkowskich, w których dany podmiot ma jednostkę organizacyjną o największej liczbie pracowników w Unii albo jednostkę organizacyjną, w której prowadzone są operacje dotyczące cyberbezpieczeństwa. Jeżeli usługi świadczy grupa przedsiębiorstw, za główną jednostkę organizacyjną grupy przedsiębiorstw należy uznać główną jednostkę organizacyjną przedsiębiorstwa sprawującego kontrolę.

Poprawka  65

 

Wniosek dotyczący dyrektywy

Motyw 65 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(65a) ENISA powinna utworzyć i prowadzić rejestr zawierający informacje na temat niezbędnych i istotnych podmiotów, do których należą dostawcy usług DNS, rejestry nazw TLD oraz dostawcy usług przetwarzania w chmurze, usług centrów danych, sieci dostarczania treści, rynków internetowych, wyszukiwarek internetowych i platform sieci społecznościowych. Te niezbędne i istotne podmioty powinny przekazać ENISA swoje nazwy, adresy i aktualne dane kontaktowe. Powinny one niezwłocznie powiadamiać ENISA o wszelkich zmianach tych danych, a w każdym razie w terminie dwóch miesięcy od dnia wprowadzenia zmiany. ENISA powinna przekazywać informacje odpowiedniemu pojedynczemu punktowi kontaktowemu. Niezbędne i istotne podmioty przekazujące informacje ENISA nie są zatem zobowiązane do odrębnego informowania właściwego organu w państwie członkowskim. ENISA powinna opracować prosty, powszechnie dostępny program do zastosowań użytkowych, z którego podmioty te mogłyby korzystać w celu aktualizacji informacji na swój temat. Ponadto ENISA powinna ustanowić odpowiednie protokoły klasyfikacji informacji i zarządzania informacjami, aby zapewnić bezpieczeństwo i poufność ujawnianych informacji oraz ograniczyć dostęp do takich informacji, ich przechowywanie i przekazywanie do docelowych użytkowników.

Poprawka  66

 

Wniosek dotyczący dyrektywy

Motyw 66

Tekst proponowany przez Komisję	Poprawka
(66) Gdy dochodzi do wymiany, zgłoszenia lub innego rodzaju udostępnienia na podstawie niniejszej dyrektywy informacji uznawanych za niejawne zgodnie z prawem krajowym lub prawem Unii, należy stosować odpowiednie przepisy szczegółowe dotyczące postępowania z informacjami niejawnymi.	(66) Gdy dochodzi do wymiany, zgłoszenia lub innego rodzaju udostępnienia zgodnie z niniejszą dyrektywą informacji uznawanych za niejawne zgodnie z prawem krajowym lub prawem Unii, należy stosować odpowiednie przepisy szczegółowe dotyczące postępowania z informacjami niejawnymi. ENISA powinna również dysponować infrastrukturą, procedurami i zasadami umożliwiającymi przetwarzanie informacji szczególnie chronionych i niejawnych zgodnie z obowiązującymi przepisami bezpieczeństwa w zakresie ochrony informacji niejawnych UE.

Poprawka  67

 

Wniosek dotyczący dyrektywy

Motyw 68

Tekst proponowany przez Komisję	Poprawka
(68) Należy zachęcać podmioty do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed nimi i reagowania na nie. Należy zatem umożliwić powstawanie na poziomie Unii mechanizmów dobrowolnej wymiany informacji. W tym celu państwa członkowskie powinny aktywnie wspierać również odpowiednie podmioty nieobjęte zakresem niniejszej dyrektywy i zachęcać je do uczestnictwa w takich mechanizmach wymiany informacji. Mechanizmy te powinny funkcjonować w pełnej zgodności z unijnymi regułami konkurencji oraz z unijnymi przepisami dotyczącymi ochrony danych osobowych.	(68) Należy zachęcać podmioty do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym i operacyjnym w celu wzmocnienia ich zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed nimi i reagowania na nie, a państwa członkowskie powinny je w tym wspierać. Należy zatem umożliwić powstawanie na poziomie Unii mechanizmów dobrowolnej wymiany informacji. W tym celu państwa członkowskie powinny aktywnie wspierać również odpowiednie podmioty nieobjęte zakresem niniejszej dyrektywy, takie jak podmioty skupiające się na usługach i badaniach w zakresie cyberbezpieczeństwa, i zachęcać je do uczestnictwa w takich mechanizmach wymiany informacji. Mechanizmy te powinny funkcjonować w pełnej zgodności z unijnymi regułami konkurencji oraz z unijnymi przepisami dotyczącymi ochrony danych osobowych.

Poprawka  68

 

Wniosek dotyczący dyrektywy

Motyw 69

Tekst proponowany przez Komisję	Poprawka
(69) Należy uznać, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji przez podmioty, organy publiczne, CERT, CSIRT oraz dostawców technologii i usług z zakresu bezpieczeństwa stanowi prawnie uzasadniony interes zainteresowanego administratora danych w rozumieniu rozporządzenia (UE) 2016/679. Powinno to obejmować środki związane z zapobieganiem incydentom, wykrywaniem i analizowaniem ich oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, a także dobrowolną wymianę informacji na temat tych incydentów, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji. Takie środki mogą wiązać się z koniecznością przetwarzania następujących rodzajów danych osobowych: adresów IP, ujednoliconych formatów adresowania zasobów (URL), nazw domen i adresów e-mail.	(69) Należy uznać, że przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji przez niezbędne i istotne podmioty, CSIRT oraz dostawców technologii i usług z zakresu bezpieczeństwa, jest niezbędne do wypełnienia ich zobowiązań prawnych przewidzianych w niniejszej dyrektywie. Takie przetwarzanie danych osobowych może być również konieczne do celów związanych z uzasadnionymi interesami niezbędnych i istotnych podmiotów. Jeżeli niniejsza dyrektywa wymaga przetwarzania danych osobowych do celów cyberbezpieczeństwa oraz bezpieczeństwa sieci i informacji zgodnie z przepisami określonymi w art. 18, 20 i 23 dyrektywy, przetwarzanie to uznaje się za niezbędne do wypełnienia obowiązku prawnego, o którym mowa w art. 6 ust. 1 lit. c) rozporządzenia (UE) 2016/679. Do celów art. 26 i 27 niniejszej dyrektywy przetwarzanie, o którym mowa w art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679, uznaje się za niezbędne ze względu na uzasadnione interesy realizowane przez niezbędne i istotne podmioty. Środki związane z zapobieganiem incydentom, wykrywaniem, identyfikacją, ograniczaniem ich skutków i analizowaniem ich oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, a także dobrowolną wymianę informacji na temat tych incydentów, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji mogą wiązać się z koniecznością przetwarzania pewnych kategorii danych osobowych, takich jak adresy IP, ujednolicone formaty adresowania zasobów (URL), nazwy domen, adresy e-mail, znaczniki czasu, informacje dotyczące systemu operacyjnego, pliki cookie lub przeglądarki lub inne informacje wskazujące na modus operandi.

Poprawka  69

 

Wniosek dotyczący dyrektywy

Motyw 71

Tekst proponowany przez Komisję	Poprawka
(71) W celu zapewnienia skutecznego egzekwowania przepisów należy ustanowić minimalny wykaz sankcji administracyjnych za naruszenie przewidzianych w niniejszej dyrektywie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni oraz zgłaszania incydentów, określając jasne i spójne ramy dotyczące takich sankcji w całej Unii. Należy odpowiednio uwzględniać charakter, wagę oraz czas trwania naruszenia, faktycznie wyrządzone szkody lub poniesione straty lub potencjalne szkody lub straty, które mogły powstać, to, czy naruszenie było umyślne lub wynikało z niedbalstwa, działania podjęte, aby zapobiec szkodom lub stratom lub je ograniczyć, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, stopień współpracy z właściwym organem oraz wszelkie inne okoliczności obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej, w tym skutecznej ochrony prawnej i prawa do rzetelnego procesu sądowego.	(71) W celu zapewnienia skutecznego egzekwowania przepisów należy ustanowić minimalny wykaz sankcji administracyjnych za naruszenie przewidzianych w niniejszej dyrektywie obowiązków w zakresie zarządzania ryzykiem w cyberprzestrzeni oraz zgłaszania incydentów, określając jasne i spójne ramy dotyczące takich sankcji w całej Unii. Należy odpowiednio uwzględniać charakter, wagę oraz czas trwania naruszenia, wyrządzone szkody lub poniesione straty, to, czy naruszenie było umyślne lub wynikało z niedbalstwa, działania podjęte, aby zapobiec szkodom lub stratom lub je ograniczyć, stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, stopień współpracy z właściwym organem oraz wszelkie inne okoliczności obciążające lub łagodzące. Sankcje, w tym administracyjne kary pieniężne, powinno być proporcjonalne, a ich nakładanie przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej („Karta”), w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

Poprawka  70

 

Wniosek dotyczący dyrektywy

Motyw 72

Tekst proponowany przez Komisję	Poprawka
(72) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszej dyrektywie, każdy właściwy organ powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych.	(72) Aby zapewnić skuteczne egzekwowanie obowiązków przewidzianych w niniejszej dyrektywie, każdy właściwy organ powinien być uprawniony do nakładania lub żądania nałożenia administracyjnych kar pieniężnych, jeżeli naruszenie było zamierzone, wynikało z zaniedbania lub jeżeli dany podmiot został powiadomiony o niewykonywaniu swoich obowiązków.

Poprawka  71

 

Wniosek dotyczący dyrektywy

Motyw 76

Tekst proponowany przez Komisję	Poprawka
(76) Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter sankcji mających zastosowanie do naruszeń obowiązków przewidzianych w niniejszej dyrektywie, właściwe organy powinny być uprawnione do stosowania sankcji polegających na zawieszeniu certyfikacji lub zezwolenia dotyczących części lub całości usług świadczonych przez podmiot niezbędny oraz na nałożeniu tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną. Zważywszy na dotkliwość takich sankcji i ich wpływ na działalność podmiotów, a ostatecznie na ich konsumentów, należy je stosować proporcjonalnie do powagi naruszenia i z uwzględnieniem konkretnych okoliczności danej sprawy, w tym faktu, czy naruszenie ma charakter umyślny czy też wynika z niedbalstwa, oraz działań podjętych, aby zapobiec szkodom lub stratom lub je ograniczyć. Takie sankcje należy stosować wyłącznie w ostateczności, po wyczerpaniu przewidzianych w niniejszej dyrektywie pozostałych stosownych działań z zakresu egzekwowania przepisów i wyłącznie dopóki podmioty, na które nałożono sankcje, nie podejmą niezbędnych działań w celu usunięcia nieprawidłowości lub nie spełnią wymogów właściwego organu, z których tytułu zastosowano takie sankcje. Nakładanie takich sankcji powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej, w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.	(76) Aby jeszcze bardziej wzmocnić skuteczność i odstraszający charakter sankcji mających zastosowanie do naruszeń obowiązków przewidzianych w niniejszej dyrektywie, właściwe organy powinny być uprawnione do tymczasowego zawieszenia certyfikacji lub zezwolenia dotyczących części lub całości odnośnych usług świadczonych przez podmiot niezbędny oraz do wnoszenia o nałożenie tymczasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną na poziomie dyrektora generalnego lub przedstawiciela prawnego. Państwa członkowskie powinny opracować szczegółowe procedury i zasady dotyczące czasowego zakazu sprawowania funkcji zarządczych przez osobę fizyczną na poziomie dyrektora generalnego lub przedstawiciela prawnego w podmiotach administracji publicznej. W procesie opracowywania takich procedur i zasad państwa członkowskie powinny uwzględniać specyfikę swoich poziomów i systemów zarządzania w ramach administracji publicznej. Zważywszy na dotkliwość takich sankcji i ich wpływ na działalność podmiotów, a ostatecznie na ich konsumentów, takie tymczasowe zawieszenia lub zakazy należy wyłącznie stosować proporcjonalnie do powagi naruszenia i z uwzględnieniem konkretnych okoliczności danej sprawy, w tym faktu, czy naruszenie ma charakter umyślny czy też wynika z niedbalstwa, oraz działań podjętych, aby zapobiec szkodom lub stratom lub je ograniczyć. Takie tymczasowe zawieszenia lub zakazy należy stosować wyłącznie w ostateczności, po wyczerpaniu przewidzianych w niniejszej dyrektywie pozostałych stosownych działań z zakresu egzekwowania przepisów i wyłącznie dopóki podmioty, na które nałożono sankcje, nie podejmą niezbędnych działań w celu usunięcia nieprawidłowości lub nie spełnią wymogów właściwego organu, z których tytułu zastosowano takie tymczasowe zawieszenia lub zakazy. Nakładanie takich tymczasowych zawieszeń lub zakazów powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą, w tym skutecznej ochrony prawnej, prawa do rzetelnego procesu sądowego, domniemania niewinności oraz prawa do obrony.

Poprawka  72

 

Wniosek dotyczący dyrektywy

Motyw 79

Tekst proponowany przez Komisję	Poprawka
(79) Należy wprowadzić mechanizm wzajemnej oceny umożliwiający przeprowadzanie przez ekspertów wyznaczonych przez państwa członkowskie oceny wdrożenia polityk cyberbezpieczeństwa, w tym poziomu zdolności państw członkowskich oraz dostępnych w nich zasobów.	(79) Należy wprowadzić mechanizm wzajemnej oceny umożliwiający przeprowadzanie przez niezależnych ekspertów wyznaczonych przez państwa członkowskie, oceny wdrożenia polityk cyberbezpieczeństwa, w tym poziomu zdolności państw członkowskich oraz dostępnych w nich zasobów. Wzajemne oceny mogą prowadzić do uzyskania cennych spostrzeżeń i zaleceń wzmacniających ogólne zdolności w zakresie cyberbezpieczeństwa. W szczególności mogą one przyczynić się do ułatwienia transferu technologii, narzędzi, środków i procesów między państwami członkowskimi biorącymi udział we wzajemnej ocenie, stworzenia funkcjonalnej ścieżki wymiany najlepszych praktyk między państwami członkowskimi o różnych poziomach dojrzałości w zakresie cyberbezpieczeństwa oraz umożliwienia ustanowienia wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii. Wzajemną ocenę powinna poprzedzać ocena własna ocenianego państwa członkowskiego, obejmująca aspekty będące przedmiotem oceny oraz wszelkie dodatkowe kwestie, o których wyznaczeni eksperci poinformowali państwo członkowskie poddane wzajemnej ocenie przed rozpoczęciem procesu. Komisja, we współpracy z ENISA i Grupą Współpracy, powinna opracować wzory oceny własnej aspektów będących przedmiotem oceny w celu usprawnienia procesu oraz uniknięcia niespójności i opóźnień proceduralnych, które państwa członkowskie poddawane wzajemnej ocenie powinny wypełnić i przekazać wyznaczonym ekspertom przeprowadzającym wzajemną ocenę przed rozpoczęciem procesu wzajemnej oceny.

Poprawka  73

 

Wniosek dotyczący dyrektywy

Motyw 80

Tekst proponowany przez Komisję	Poprawka
(80) W celu uwzględnienia nowych cyberzagrożeń, postępu technologicznego lub specyfiki sektora należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 TFUE w odniesieniu do elementów związanych ze środkami zarządzania ryzykiem przewidzianymi w niniejszej dyrektywie. Komisja powinna być również uprawniona do przyjęcia aktów delegowanych określających, które kategorie podmiotów niezbędnych mają obowiązek uzyskać certyfikację i na podstawie których konkretnych europejskich programów certyfikacji cyberbezpieczeństwa mają ją uzyskać. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa26. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.	(80) W celu uwzględnienia nowych cyberzagrożeń, postępu technologicznego lub specyfiki sektora należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 TFUE w odniesieniu do elementów związanych ze środkami zarządzania ryzykiem w zakresie cyberbezpieczeństwa i obowiązkami sprawozdawczymi przewidzianymi w niniejszej dyrektywie. Komisja powinna być również uprawniona do przyjęcia aktów delegowanych określających, które kategorie podmiotów niezbędnych i istotnych mają obowiązek uzyskać certyfikację i na podstawie których konkretnych europejskich programów certyfikacji cyberbezpieczeństwa mają ją uzyskać. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa. W szczególności, aby zapewnić udział na równych zasadach Parlamentu Europejskiego i Rady w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.
__________________
26 Dz.U. L 123 z 12.5.2016, s. 1.

Poprawka  74

 

Wniosek dotyczący dyrektywy

Motyw 81

Tekst proponowany przez Komisję	Poprawka
(81) Aby zapewnić jednolite warunki wdrażania odpowiednich przepisów niniejszej dyrektywy dotyczących procedur niezbędnych do funkcjonowania Grupy Współpracy, elementów technicznych związanych ze środkami zarządzania ryzykiem lub rodzaju zgłaszanych informacji, formatu i procedury dokonywania zgłoszeń incydentów, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/201127.	(81) Aby zapewnić jednolite warunki wdrażania odpowiednich przepisów niniejszej dyrektywy dotyczących procedur niezbędnych do funkcjonowania Grupy Współpracy i procedury dokonywania zgłoszeń incydentów, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/201127.
__________________	__________________
27 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).	27 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

Poprawka  75

 

Wniosek dotyczący dyrektywy

Motyw 82

Tekst proponowany przez Komisję	Poprawka
(82) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy konieczne jest wprowadzenie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych.	(82) Komisja powinna okresowo dokonywać przeglądu niniejszej dyrektywy, w drodze konsultacji z zainteresowanymi stronami, w szczególności w celu sprawdzenia, czy właściwe jest zaproponowanie zmian w świetle zmieniających się warunków społecznych, politycznych, technologicznych lub rynkowych. W ramach tych przeglądów Komisja powinna ocenić znaczenie sektorów, podsektorów i rodzajów podmiotów, o których mowa w załącznikach, dla funkcjonowania gospodarki i społeczeństwa w kontekście cyberbezpieczeństwa. Komisja powinna ocenić między innymi, czy dostawcy usług cyfrowych, którzy są sklasyfikowani jako bardzo duże platformy internetowe w rozumieniu art. 25 rozporządzenia (UE) XXXX/XXXX [w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych)] lub jako strażnicy dostępu zgodnie z definicją zawartą w art. 2 pkt 1 rozporządzenia (UE) XXXX/XXXX [w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych)], powinni być wyznaczani jako podmioty niezbędne na mocy niniejszej dyrektywy. Ponadto Komisja powinna ocenić, czy właściwa jest zmiana załącznika I do dyrektywy 2020/1828 Parlamentu Europejskiego i Rady1a poprzez dodanie odniesienia do niniejszej dyrektywy.
	__________________
	1a Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE (Dz.U. L 409 z 4.12.2020, s. 1).

Poprawka  76 

Wniosek dotyczący dyrektywy

Motyw 82 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	(82a) W niniejszej dyrektywie ustanawia się wymogi w zakresie cyberbezpieczeństwa dla państw członkowskich oraz niezbędnych i istotnych podmiotów mających siedzibę w Unii. Wymogi te powinny być również stosowane przez unijne instytucje, organy, urzędy i agencje na podstawie aktu ustawodawczego Unii.

Poprawka  77

 

Wniosek dotyczący dyrektywy

Motyw 82 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	(82b) Niniejsza dyrektywa tworzy nowe zadania dla ENISA, zwiększając tym samym jej rolę, i może również spowodować, że ENISA będzie zobowiązana do wykonywania swoich obecnych zadań na mocy rozporządzenia (UE) 2019/881 z zachowaniem wyższych niż dotychczas standardów. Aby zapewnić ENISA niezbędne zasoby finansowe i ludzkie do realizacji istniejących i nowych działań w ramach jej zadań, jak również do spełnienia wszelkich wyższych standardów wynikających z jej zwiększonej roli, należy odpowiednio zwiększyć jej budżet. Ponadto, aby zapewnić efektywne wykorzystanie zasobów, ENISA powinna mieć większą elastyczność w sposobie wewnętrznego przydziału zasobów, tak aby mogła skutecznie realizować swoje zadania i spełniać oczekiwania.

Poprawka  78

 

Wniosek dotyczący dyrektywy

Motyw 84

Tekst proponowany przez Komisję	Poprawka
(84) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie praw podstawowych Unii Europejskiej, w szczególności z zasadami dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, prawa do ochrony danych osobowych i wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i prawa do bycia wysłuchanym. Niniejszą dyrektywę należy wprowadzać w życie zgodnie z tymi prawami i zasadami,	(84) Niniejsza dyrektywa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w Karcie, w szczególności z zasadami dotyczącymi prawa do poszanowania życia prywatnego i komunikowania się, prawa do ochrony danych osobowych i wolności prowadzenia działalności gospodarczej, prawa własności, prawa do skutecznego środka prawnego i prawa do bycia wysłuchanym. Obejmuje to prawo do skutecznego środka odwoławczego przed sądem dla odbiorców usług świadczonych przez niezbędne i istotne podmioty. Niniejszą dyrektywę należy wykonywać zgodnie z tymi prawami i zasadami.

Poprawka  79

 

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 2 – litera c a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ca) nakłada na państwa członkowskie obowiązki w zakresie nadzoru i egzekwowania przepisów.

Poprawka  80

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 1

Tekst proponowany przez Komisję	Poprawka
1. Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych i prywatnych w rodzaju tych, które określono jako podmioty niezbędne w załączniku I oraz jako podmioty istotne w załączniku II. Niniejsza dyrektywa nie ma zastosowania do podmiotów kwalifikujących się jako mikroprzedsiębiorstwa i małe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE28.	1. Niniejsza dyrektywa ma zastosowanie do publicznych i prywatnych podmiotów niezbędnych i istotnych w rodzaju tych, które określono jako podmioty niezbędne w załączniku I oraz jako podmioty istotne w załączniku II, które świadczą swoje usługi lub prowadzą działalność na terytorium Unii. Niniejsza dyrektywa nie ma zastosowania do małych przedsiębiorstw i mikroprzedsiębiorstw w rozumieniu art. 2 ust. 2 i 3 załącznika do zalecenia Komisji 2003/361/WE28. Artykuł 3 ust. 4 załącznika do tego zalecenia nie ma zastosowania.
__________________	__________________
28 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).	28 Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

Poprawka  81

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 – akapit 1 – wprowadzenie

Tekst proponowany przez Komisję	Poprawka
Niniejsza dyrektywa ma jednak zastosowanie do podmiotów, o których mowa w załącznikach I i II, niezależnie od ich wielkości, w przypadku gdy:	Niniejsza dyrektywa ma również zastosowanie do podmiotów niezbędnych i istotnych, niezależnie od ich wielkości, w przypadku gdy:

Poprawka  82

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 – akapit 1 – litera d

Tekst proponowany przez Komisję	Poprawka
d) ewentualne zakłócenie usługi świadczonej przez podmiot mogłoby mieć wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;	d) zakłócenie usługi świadczonej przez podmiot mogłoby mieć wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;

Poprawka  83

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 - akapit 1 – litera e

Tekst proponowany przez Komisję	Poprawka
e) ewentualne zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;	e) zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;

Poprawka  84

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 – akapit 2

Tekst proponowany przez Komisję	Poprawka
Państwa członkowskie sporządzają wykaz podmiotów wskazywanych zgodnie z lit. b)–f) oraz przedkładają go Komisji do dnia [6 miesięcy po terminie transpozycji] r. Państwa członkowskie regularnie, nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonują przeglądu tego wykazu oraz, w stosownych przypadkach, aktualizują go.	skreśla się

Poprawka  85

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	2a. Do dnia ... [6 miesięcy po terminie transpozycji] państwa członkowskie ustanawiają wykaz podmiotów niezbędnych i istotnych, obejmujący podmioty, o których mowa w ust. 1, oraz podmioty określone zgodnie z ust. 2 lit. b)–f) i art. 24 ust. 1. Państwa członkowskie regularnie, nie rzadziej niż co dwa lata po wyżej wymienionej dacie, dokonują przeglądu i – w stosownych przypadkach – aktualizacji tego wykazu.

Poprawka  86

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	2b. Państwa członkowskie zapewniają, aby podmioty niezbędne i istotne przedkładały właściwym organom co najmniej następujące informacje:
	a) nazwę podmiotu;
	b) adres i aktualne dane kontaktowe, w tym adresy elektroniczne, zakresy adresów IP, numery telefonów; oraz
	c) odpowiedni(e) sektor(y) i podsektor(y), o których mowa w załącznikach I i II.
	Podmioty niezbędne i istotne powiadamiają o wszelkich zmianach w danych przedłożonych zgodnie z akapitem pierwszym bezzwłocznie, a w każdym razie w terminie dwóch tygodni od dnia, w którym zmiana wchodzi w życie. W tym celu Komisja, z pomocą ENISA, bez zbędnej zwłoki wydaje wytyczne i wzory dotyczące obowiązków określonych w niniejszym ustępie.

Poprawka  87

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 2 c (nowy)

Tekst proponowany przez Komisję	Poprawka
	2c. Do dnia ... [6 miesięcy po terminie transpozycji], a następnie co dwa lata, państwa członkowskie powiadamiają:
	a) Komisję i Grupę Współpracy o liczbie wszystkich podmiotów niezbędnych i istotnych zidentyfikowanych dla każdego sektora i podsektora, o których mowa w załącznikach I i II, oraz
	b) Komisję o nazwach podmiotów zidentyfikowanych zgodnie z ust. 2 lit. b)–f).

Poprawka  88

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 4

Tekst proponowany przez Komisję	Poprawka
4. Niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE30 oraz dyrektyw Parlamentu Europejskiego i Rady 2011/93/UE31 i 2013/40/UE32.	4. Niniejszą dyrektywę stosuje się bez uszczerbku dla dyrektywy Rady 2008/114/WE30 oraz dyrektyw Parlamentu Europejskiego i Rady 2011/93/UE31, 2013/40/UE32 i 2002/58/WE32a.
__________________	__________________
30 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).	30 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).
31 Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).	31 Dyrektywa Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1).
32 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8).	32 Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastępująca decyzję ramową Rady 2005/222/WSiSW (Dz.U. L 218 z 14.8.2013, s. 8).
	32a Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

Poprawka  89

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 6

Tekst proponowany przez Komisję	Poprawka
6. W przypadku gdy na podstawie przepisów unijnych sektorowych aktów prawnych wymaga się od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni albo zgłaszania incydentów lub znaczących cyberzagrożeń oraz w przypadku gdy skutki tych wymogów są co najmniej równoważne skutkowi obowiązków przewidzianych w niniejszej dyrektywie, nie stosuje się odpowiednich przepisów niniejszej dyrektywy, w tym przepisów dotyczących nadzoru i egzekwowania określonych w rozdziale VI.	6. W przypadku gdy na podstawie przepisów unijnych sektorowych aktów prawnych wymaga się od podmiotów niezbędnych lub istotnych przyjęcia środków zarządzania ryzykiem w cyberprzestrzeni lub zgłaszania incydentów oraz w przypadku gdy skutki tych wymogów są co najmniej równoważne skutkowi obowiązków przewidzianych w niniejszej dyrektywie, nie stosuje się odpowiednich przepisów niniejszej dyrektywy, w tym przepisów dotyczących nadzoru i egzekwowania określonych w rozdziale VI. Komisja wydaje bez zbędnej zwłoki wytyczne dotyczące wdrażania sektorowych aktów prawa unijnego, aby zapewnić spełnienie przez te akty wymogów cyberbezpieczeństwa ustanowionych w niniejszej dyrektywie oraz aby nie dochodziło do nakładania się przepisów lub braku pewności prawa. Przygotowując te wytyczne, Komisja uwzględnia najlepsze praktyki i wiedzę specjalistyczną ENISA i Grupy Współpracy.

Poprawka  90

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 6 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	6a. Niezbędne i istotne podmioty, CSIRT oraz dostawcy technologii i usług związanych z bezpieczeństwem przetwarzają dane osobowe w zakresie, w jakim jest to bezwzględnie konieczne i adekwatne do celów cyberbezpieczeństwa oraz bezpieczeństwa sieci i informacji, aby wypełnić obowiązki określone w niniejszej dyrektywie. To przetwarzanie danych osobowych na podstawie niniejszej dyrektywy odbywa się zgodnie z rozporządzeniem (UE) 2016/679, w szczególności z jego art. 6.

Poprawka  91

 

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 6 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	6b. Przetwarzanie danych osobowych na mocy niniejszej dyrektywy przez dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej, o których mowa w załączniku I pkt 8, odbywa się zgodnie z dyrektywą 2002/58/WE.

Poprawka  92

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 4 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	4a) „zdarzenie potencjalnie wypadkowe” oznacza zdarzenie, które mogło naruszyć dostępność, autentyczność, integralność lub poufność danych, lub mogło spowodować szkodę, ale udało się zapobiec jego negatywnym skutkom;

Poprawka  93

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 6

Tekst proponowany przez Komisję	Poprawka
6) „postępowanie w przypadku incydentu” oznacza wszystkie działania i procedury mające na celu wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reagowanie na niego;	6) „postępowanie w przypadku incydentu” oznacza wszystkie działania i procedury mające na celu zapobieganie incydentowi, wykrywanie i analizowanie go, ograniczenie jego skutków oraz reagowanie na niego;

Poprawka  94

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 7a (nowy)

Tekst proponowany przez Komisję	Poprawka
	7a) „ryzyko” oznacza możliwe straty lub zakłócenia spowodowane incydentem i należy je wyrazić jako wypadkowa skali takiej straty lub takich zakłóceń oraz prawdopodobieństwa wystąpienia takiego incydentu;

Poprawka  95

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 11

Tekst proponowany przez Komisję	Poprawka
11) „specyfikacja techniczna” oznacza specyfikację techniczną w rozumieniu art. 2 pkt 4 rozporządzenia (UE) nr 1025/2012;	11) „specyfikacja techniczna” oznacza specyfikację techniczną zdefiniowaną w art. 2 pkt 20 rozporządzenia (UE) nr 2019/881;

Poprawka  96

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 13

Tekst proponowany przez Komisję	Poprawka
13) „system nazw domen (DNS)” oznacza hierarchiczny rozproszony system nazw umożliwiający użytkownikom końcowym uzyskanie dostępu do usług i zasobów w internecie;	13) „system nazw domen (DNS)” oznacza hierarchiczny rozproszony system nazw umożliwiający identyfikację usług i zasobów internetowych, pozwalając urządzeniom użytkowników końcowych na korzystanie z usług routingu internetowego i usług łączności w celu dotarcia do tych usług i zasobów;

Poprawka  97

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 14

Tekst proponowany przez Komisję	Poprawka
14) „dostawca usług DNS” oznacza podmiot świadczący rekurencyjne lub autorytatywne usługi rozwiązywania nazw domen na rzecz użytkowników końcowych internetu oraz innych dostawców usług DNS;	14) „dostawca usług DNS” oznacza podmiot świadczący:

Poprawka  98

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 14 – litera a (nowa)

Tekst proponowany przez Komisję	Poprawka
	a) otwarte i publiczne rekurencyjne usługi rozwiązywania nazw domen na rzecz użytkowników końcowych internetu; lub

Poprawka  99

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 14 – litera b (nowa)

Tekst proponowany przez Komisję	Poprawka
	b) autorytatywne usługi rozwiązywania nazw domen jako usługę, którą mogą nabyć podmioty zewnętrzne;

Poprawka  100

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 15

Tekst proponowany przez Komisję	Poprawka
15) „rejestr nazw domen najwyższego poziomu” oznacza podmiot, któremu powierzono konkretną domenę najwyższego poziomu (TLD) i który odpowiada za zarządzanie nią, w tym za rejestrację nazw domen w ramach TLD oraz za jej techniczne funkcjonowanie, w tym za obsługę jej serwerów nazw, utrzymanie jej baz danych oraz dystrybucję plików strefowych TLD we wszystkich serwerach nazw;	15) „rejestr nazw domen najwyższego poziomu” oznacza podmiot, któremu powierzono konkretną domenę najwyższego poziomu (TLD) i który odpowiada za zarządzanie nią, w tym za rejestrację nazw domen w ramach TLD oraz za jej techniczne funkcjonowanie, w tym za obsługę jej serwerów nazw, utrzymanie jej baz danych oraz dystrybucję plików strefowych TLD we wszystkich serwerach nazw, bez względu na to, czy którekolwiek z tych działań jest wykonywane przez podmiot czy zlecane na zewnątrz;

Poprawka  101

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 15 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	15a) „usługi rejestracji nazw domen” oznaczają usługi świadczone przez rejestry nazw domen i rejestratorów, dostawców usług w zakresie rejestracji prywatności lub serwerów proxy, brokerów lub odsprzedawców domen oraz wszelkie inne usługi związane z rejestracją nazw domen;

Poprawka  102

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 23 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	23a) „publiczna sieć łączności elektronicznej” oznacza publiczną sieć łączności elektronicznej zdefiniowaną w art. 2 pkt 8 dyrektywy (UE) 2018/1972;

Poprawka  103

 

Wniosek dotyczący dyrektywy

Artykuł 4 – akapit 1 – punkt 23 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	23b) „usługa łączności elektronicznej” oznacza usługę łączności elektronicznej zdefiniowaną w art. 2 pkt 4 dyrektywy (UE) 2018/1972;

Poprawka  104

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję	Poprawka
1. Każde państwo członkowskie przyjmuje krajową strategię cyberbezpieczeństwa określającą cele strategiczne i odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa. Krajowa strategia cyberbezpieczeństwa obejmuje w szczególności:	1. Każde państwo członkowskie przyjmuje krajową strategię cyberbezpieczeństwa określającą cele strategiczne, wymagane zasoby techniczne, organizacyjne i finansowe służące osiągnięciu tych celów, a także odpowiednie środki polityczne i regulacyjne mające na celu osiągnięcie i utrzymanie wysokiego poziomu cyberbezpieczeństwa. Krajowa strategia cyberbezpieczeństwa obejmuje w szczególności:

Poprawka  105

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera a

Tekst proponowany przez Komisję	Poprawka
a) określenie celów i priorytetów strategii cyberbezpieczeństwa państw członkowskich;	a) określenie celów i priorytetów strategii cyberbezpieczeństwa państwa członkowskiego;

Poprawka  106

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera b

Tekst proponowany przez Komisję	Poprawka
b) ramy zarządzania służące realizacji tych celów i priorytetów, w tym polityki, o których mowa w ust. 2, a także role i obowiązki instytucji i podmiotów publicznych, jak również innych odpowiednich podmiotów;	b) ramy zarządzania służące realizacji tych celów i priorytetów, w tym polityki, o których mowa w ust. 2;

Poprawka  107

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera b a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ba) ramy określające role i obowiązki instytucji i podmiotów publicznych, jak również innych odpowiednich podmiotów, stanowiące podstawę współpracy i koordynacji na szczeblu krajowym między właściwymi organami wyznaczonymi zgodnie z art. 7 ust. 1 i art. 8 ust. 1, pojedynczym punktem kontaktowym wyznaczonym zgodnie z art. 8 ust. 3 oraz CSIRT wyznaczonymi zgodnie z art. 9;

Poprawka  108

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera e

Tekst proponowany przez Komisję	Poprawka
e) wykaz poszczególnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii cyberbezpieczeństwa;	e) wykaz poszczególnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii cyberbezpieczeństwa, w tym pojedynczego punktu kontaktowego ds. cyberbezpieczeństwa dla MŚP, który zapewnia wsparcie w zakresie wdrażania konkretnych środków cyberbezpieczeństwa;

Poprawka  109

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera f

Tekst proponowany przez Komisję	Poprawka
f) ramy polityki na rzecz ściślejszej koordynacji między właściwymi organami na mocy niniejszej dyrektywy i dyrektywy Parlamentu Europejskiego i Rady (UE) XXXX/XXXX38 [dyrektywa w sprawie odporności podmiotów krytycznych] do celów wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.	f) ramy polityki na rzecz ściślejszej koordynacji między właściwymi organami na mocy niniejszej dyrektywy i dyrektywy Parlamentu Europejskiego i Rady (UE) XXXX/XXXX38 [dyrektywa w sprawie odporności podmiotów krytycznych] zarówno w obrębie państw członkowskich, jaki i między nimi, do celów wymiany informacji na temat incydentów i cyberzagrożeń oraz wykonywania zadań nadzorczych.
__________________	__________________
38 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]	38 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

Poprawka  110

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 – litera f a (nowa)

Tekst proponowany przez Komisję	Poprawka
	fa) ocenę ogólnego poziomu świadomości obywateli w zakresie cyberbezpieczeństwa.

Poprawka  111

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera -a (nowa)

Tekst proponowany przez Komisję	Poprawka
	-a) politykę dotyczącą cyberbezpieczeństwa dla każdego sektora objętego niniejszą dyrektywą;

Poprawka  112

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera b

Tekst proponowany przez Komisję	Poprawka
b) wytyczne dotyczące uwzględniania w zamówieniach publicznych wymogów związanych z cyberbezpieczeństwem w odniesieniu do produktów i usług ICT oraz specyfikacji tych wymogów na potrzeby takich zamówień;	b) wytyczne dotyczące uwzględniania w zamówieniach publicznych wymogów związanych z cyberbezpieczeństwem w odniesieniu do produktów i usług ICT oraz specyfikacji tych wymogów na potrzeby takich zamówień, w tym wymogów dotyczących szyfrowania i wykorzystywania produktów z zakresu cyberbezpieczeństwa opartych na otwartym oprogramowaniu;

Poprawka  113

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera d

Tekst proponowany przez Komisję	Poprawka
d) politykę związaną z utrzymywaniem ogólnej dostępności i integralności publicznego rdzenia otwartego internetu;	d) politykę związaną z utrzymywaniem ogólnej dostępności i integralności publicznego rdzenia otwartego internetu, w tym z cyberbezpieczeństwem podmorskich kabli telekomunikacyjnych;

Poprawka  114

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera d a (nowa)

Tekst proponowany przez Komisję	Poprawka
	da) politykę promowania i wspierania rozwoju i włączania nowych technologii, na przykład sztucznej inteligencji, do narzędzi i aplikacji zwiększających cyberbezpieczeństwo;

Poprawka  115

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera d b (nowa)

Tekst proponowany przez Komisję	Poprawka
	db) politykę promowania włączania narzędzi i aplikacji bazujących na otwartym oprogramowaniu;

Poprawka  116

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera f

Tekst proponowany przez Komisję	Poprawka
f) politykę dotyczącą wspierania instytucji akademickich i naukowych w celu opracowania narzędzi z zakresu cyberbezpieczeństwa oraz zabezpieczenia infrastruktury sieciowej;	f) politykę dotyczącą wspierania instytucji akademickich i naukowych w celu opracowania, usprawniania i wprowadzania narzędzi z zakresu cyberbezpieczeństwa oraz zabezpieczenia infrastruktury sieciowej;

Poprawka  117

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h

Tekst proponowany przez Komisję	Poprawka
h) politykę uwzględniającą konkretne potrzeby małych i średnich przedsiębiorstw, w szczególności tych wyłączonych z zakresu stosowania niniejszej dyrektywy, związane z wytycznymi i wsparciem na rzecz poprawy ich odporności na zagrożenia dla cyberbezpieczeństwa.	h) politykę promującą cyberbezpieczeństwo małych i średnich przedsiębiorstw, również tych wyłączonych z zakresu stosowania niniejszej dyrektywy, uwzględniającą ich szczególne potrzeby i oferującą łatwo dostępne wytyczne i wsparcie, w tym wytyczne dotyczące wyzwań w łańcuchu dostaw;

Poprawka  118

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ha) politykę promowania higieny cyberbezpieczeństwa obejmującą podstawowy zestaw praktyk i kontroli oraz podnoszącą ogólną wiedzę obywateli o zagrożeniach dla cyberbezpieczeństwa i o najlepszych praktykach;

Poprawka  119

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h b (nowa)

Tekst proponowany przez Komisję	Poprawka
	hb) politykę promowania aktywnej cyberobrony;

Poprawka  120

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h c (nowa)

Tekst proponowany przez Komisję	Poprawka
	hc) politykę mającą pomóc władzom rozwijać kompetencje i zrozumienie zagadnień bezpieczeństwa niezbędnych do projektowania i budowania miejsc połączonych oraz zarządzania nimi;

Poprawka  121

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h d (nowa)

Tekst proponowany przez Komisję	Poprawka
	hd) politykę ukierunkowaną w szczególności na zagrożenie oprogramowaniem szantażującym i uniemożliwiającą funkcjonowanie modelu biznesowego bazującego na takim oprogramowaniu;

Poprawka  122

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 2 – litera h e (nowa)

Tekst proponowany przez Komisję	Poprawka
	he) politykę, obejmującą odpowiednie procedury i ramy zarządzania, mającą wspierać i promować tworzenie partnerstw publiczno-prywatnych w dziedzinie cyberbezpieczeństwa.

Poprawka  123

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 3

Tekst proponowany przez Komisję	Poprawka
3. Państwa członkowskie przekazują Komisji swoje krajowe strategie cyberbezpieczeństwa w terminie trzech miesięcy od ich przyjęcia. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje ze zgłoszenia, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne do zachowania bezpieczeństwa narodowego.	3. Państwa członkowskie przekazują Komisji swoje krajowe strategie cyberbezpieczeństwa w terminie trzech miesięcy od ich przyjęcia. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje ze zgłoszenia, jeżeli – i w zakresie w jakim – jest to niezbędne do zachowania bezpieczeństwa narodowego.

Poprawka  124

 

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 4

Tekst proponowany przez Komisję	Poprawka
4. Państwa członkowskie przeprowadzają ocenę swoich krajowych strategii cyberbezpieczeństwa co najmniej co cztery lata na podstawie kluczowych wskaźników skuteczności i w razie potrzeby wprowadzają do nich zmiany. Na wniosek państw członkowskich Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) udziela im wsparcia w opracowaniu strategii krajowej oraz kluczowych wskaźników skuteczności wykorzystywanych na potrzeby oceny strategii.	4. Państwa członkowskie przeprowadzają ocenę swoich krajowych strategii cyberbezpieczeństwa co najmniej co cztery lata na podstawie kluczowych wskaźników skuteczności i w razie potrzeby wprowadzają do nich zmiany. Na wniosek państw członkowskich Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) udziela im wsparcia w opracowaniu strategii krajowej oraz kluczowych wskaźników skuteczności wykorzystywanych na potrzeby oceny strategii. ENISA opracowuje dla państw członkowskich wytyczne dotyczące dostosowania ich już sformułowanych krajowych strategii cyberbezpieczeństwa do wymogów i obowiązków określonych w niniejszej dyrektywie.

Poprawka  125

 

Wniosek dotyczący dyrektywy

Artykuł 6 – nagłówek

Tekst proponowany przez Komisję	Poprawka
Skoordynowane ujawnianie podatności i europejski rejestr podatności	Skoordynowane ujawnianie podatności i europejska baza danych dotyczących podatności

Poprawka  126

 

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1

Tekst proponowany przez Komisję	Poprawka
1. Każde państwo członkowskie wyznacza jeden spośród swoich CSIRT, o których mowa w art. 9, na koordynatora na potrzeby skoordynowanego ujawniania podatności. Wyznaczony CSIRT działa w charakterze zaufanego pośrednika, w stosownych przypadkach ułatwiając interakcję między podmiotem zgłaszającym a producentem lub dostawcą produktów lub usług ICT. Jeżeli zgłoszona podatność dotyczy wielu producentów lub dostawców produktów lub usług ICT w Unii, wyznaczony CSIRT z każdego państwa członkowskiego, w którym ujawniono podatność, współpracuje z siecią CSIRT.	1. Każde państwo członkowskie wyznacza jeden spośród swoich CSIRT, o których mowa w art. 9, na koordynatora na potrzeby skoordynowanego ujawniania podatności. Wyznaczony CSIRT działa w charakterze zaufanego pośrednika, ułatwiając na wniosek podmiotu zgłaszającego interakcję między podmiotem zgłaszającym a producentem lub dostawcą produktów lub usług ICT. Jeżeli zgłoszona podatność dotyczy wielu producentów lub dostawców produktów lub usług ICT w Unii, wyznaczony CSIRT z każdego państwa członkowskiego, w którym ujawniono podatność, współpracuje z siecią CSIRT.

Poprawka  127

 

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. ENISA opracowuje i prowadzi europejski rejestr podatności. W tym celu ENISA ustanawia i utrzymuje odpowiednie systemy informatyczne, polityki i procedury, w szczególności aby umożliwić podmiotom istotnym i niezbędnym oraz ich dostawcom sieci i systemów informatycznych ujawnianie i rejestrowanie podatności występujących w produktach lub usługach ICT, a także aby zapewnić wszystkim zainteresowanym stronom dostęp do informacji na temat podatności wykazanych w rejestrze. Rejestr zawiera w szczególności informacje na temat podatności, produktu lub usług ICT, których ta podatność dotyczy, oraz dotkliwości podatności pod względem okoliczności, w jakich może ona zostać wykorzystana, dostępności powiązanych łat oraz, w przypadku braku dostępnych łat, wytyczne skierowane do użytkowników produktów i usług, których dotyczy podatność, na temat sposobów ograniczania ryzyka wynikającego z ujawnionych podatności.	2. ENISA opracowuje i prowadzi europejską bazę danych o podatnościach, wykorzystującą globalny rejestr Wspólnych Podatności i Ekspozycji na Ryzyko (CVE). W tym celu ENISA ustanawia i utrzymuje odpowiednie systemy informatyczne, polityki i procedury, a także przyjmuje środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa i integralności bazy danych, w szczególności aby umożliwić podmiotom istotnym i niezbędnym oraz ich dostawcom sieci i systemów informatycznych, a także podmiotom nieobjętym zakresem niniejszej dyrektywy oraz ich dostawcom ujawnianie i rejestrowanie podatności występujących w produktach lub usługach ICT. Wszystkie zainteresowane strony otrzymują dostęp do informacji na temat podatności wykazanych w bazie danych, do których istnieją łaty lub środki łagodzące. Baza danych zawiera w szczególności informacje na temat podatności, produktu lub usług ICT, których ta podatność dotyczy, oraz dotkliwości podatności pod względem okoliczności, w jakich może ona zostać wykorzystana, oraz dostępności powiązanych łat. W przypadku braku dostępnych łat w bazie danych podaje się wytyczne skierowane do użytkowników produktów i usług, których dotyczy podatność, na temat sposobów ograniczania ryzyka wynikającego z ujawnionych podatności.

Poprawka  128

 

Wniosek dotyczący dyrektywy

Artykuł 7 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	1a. Jeżeli państwo członkowskie wyznaczy więcej niż jeden właściwy organ, o którym mowa w ust. 1, jasno wskazuje, który z nich ma być koordynatorem zarządzania incydentami i kryzysami na dużą skalę.

Poprawka  129

 

Wniosek dotyczący dyrektywy

Artykuł 7 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. Każde państwo członkowskie określa zdolności, zasoby i procedury, które można wykorzystać w razie kryzysu do celów niniejszej dyrektywy.	(Nie dotyczy polskiej wersji językowej)

Poprawka  130

 

Wniosek dotyczący dyrektywy

Artykuł 7 – ustęp 4

Tekst proponowany przez Komisję	Poprawka
4. Państwa członkowskie informują Komisję o wyznaczeniu właściwych organów, o których mowa w ust. 1, i przedkładają krajowe plany reagowania na cyberincydenty i kryzysy cyberbezpieczeństwa, o których mowa w ust. 3, w terminie trzech miesięcy od daty wyznaczenia tych organów oraz od daty przyjęcia tych planów. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje z planu, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne dla zachowania bezpieczeństwa narodowego.	4. Państwa członkowskie informują Komisję o wyznaczeniu właściwych organów, o których mowa w ust. 1, i przedkładają w EU-CyCLONe krajowe plany reagowania na cyberincydenty i kryzysy cyberbezpieczeństwa, o których mowa w ust. 3, w terminie trzech miesięcy od daty wyznaczenia tych organów oraz od daty przyjęcia tych planów. Państwa członkowskie mogą wyłączyć niektóre konkretne informacje z planu, jeżeli – i w zakresie w jakim – jest to absolutnie niezbędne dla zachowania bezpieczeństwa narodowego.

Poprawka  131

 

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 3

Tekst proponowany przez Komisję	Poprawka
3. Każde państwo członkowskie wyznacza jeden krajowy pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa („pojedynczy punkt kontaktowy”). W przypadku gdy państwo członkowskie wyznacza tylko jeden właściwy organ, ten właściwy organ jest również pojedynczym punktem kontaktowym dla tego państwa członkowskiego.	3. Każde państwo członkowskie wyznacza jeden z właściwych organów, o których mowa w ust. 1, jako krajowy pojedynczy punkt kontaktowy ds. cyberbezpieczeństwa („pojedynczy punkt kontaktowy”). W przypadku gdy państwo członkowskie wyznacza tylko jeden właściwy organ, ten właściwy organ jest również pojedynczym punktem kontaktowym dla tego państwa członkowskiego.

Poprawka  132

 

Wniosek dotyczący dyrektywy

Artykuł 8 – ustęp 4

Tekst proponowany przez Komisję	Poprawka
4. Każdy pojedynczy punkt kontaktowy pełni funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów swojego państwa członkowskiego z odpowiednimi organami w innych państwach członkowskich, a także w celu zapewnienia międzysektorowej współpracy z innymi właściwymi organami krajowymi w swoim państwie członkowskim.	4. Każdy pojedynczy punkt kontaktowy pełni funkcję łącznikową w celu zapewnienia transgranicznej współpracy organów swojego państwa członkowskiego z odpowiednimi organami w innych państwach członkowskich, Komisją i ENISA, a także w celu zapewnienia międzysektorowej współpracy z innymi właściwymi organami krajowymi w swoim państwie członkowskim.

Poprawka  133

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. Państwa członkowskie zapewniają, aby każdy CSIRT dysponował odpowiednimi zasobami, tak aby mógł skutecznie realizować swoje zadania określone w art. 10 ust. 2.	2. Państwa członkowskie zapewniają, aby każdy CSIRT dysponował odpowiednimi zasobami i niezbędnymi umiejętnościami technicznymi, tak aby mógł skutecznie realizować swoje zadania określone w art. 10 ust. 2.

Poprawka  134

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 6 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	6a. Państwa członkowskie zapewniają możliwość skutecznej, wydajnej i bezpiecznej wymiany informacji na wszystkich poziomach klasyfikacji między własnymi CSIRT a CSIRT tego samego poziomu klasyfikacji z państw trzecich.

Poprawka  135

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 6 b (nowy)

Tekst proponowany przez Komisję	Poprawka
	6b. CSIRT, bez uszczerbku dla prawa Unii, w szczególności rozporządzenia (UE) 2016/679, współpracują z CSIRT lub równoważnymi organami w państwach kandydujących do Unii oraz innych państwach trzecich na Bałkanach Zachodnich i w Partnerstwie Wschodnim, a w razie potrzeby udzielają im pomocy w dziedzinie cyberbezpieczeństwa.

Poprawka  136

 

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 7

Tekst proponowany przez Komisję	Poprawka
7. Państwa członkowskie bez zbędnej zwłoki przekazują Komisji informacje na temat CSIRT wyznaczonych zgodnie z ust. 1, koordynatora CSIRT wyznaczonego zgodnie z art. 6 ust. 1 oraz ich odpowiednich zadań realizowanych w odniesieniu do podmiotów, o których mowa w załącznikach I i II.	7. Państwa członkowskie bez zbędnej zwłoki przekazują Komisji informacje na temat CSIRT wyznaczonych zgodnie z ust. 1 i koordynatora CSIRT wyznaczonego zgodnie z art. 6 ust. 1, w tym na temat ich odpowiednich zadań realizowanych w odniesieniu do podmiotów niezbędnych i istotnych.

Poprawka  137

 

Wniosek dotyczący dyrektywy

Artykuł 10 – nagłówek

Tekst proponowany przez Komisję	Poprawka
Wymogi dotyczące CSIRT i ich zadania	Wymogi dotyczące CSIRT, ich zadania i zdolności techniczne

Poprawka  138

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1 – litera c

Tekst proponowany przez Komisję	Poprawka
c) CSIRT dysponują systemem zarządzania kierowanymi do nich wnioskami i ich przekierowywania, w szczególności w celu ułatwienia skutecznego i efektywnego późniejszego przekazywania danej sprawy;	c) CSIRT dysponują systemem klasyfikowania kierowanych do nich wniosków, ich przekierowywania i śledzenia, w szczególności w celu ułatwienia skutecznego i efektywnego późniejszego przekazywania danej sprawy;

Poprawka  139

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1 – litera c a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ca) CSIRT mają odpowiednie kodeksy postępowania, by zapewnić poufność i wiarygodność swoich działań;

Poprawka  140

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1 – litera d

Tekst proponowany przez Komisję	Poprawka
d) CSIRT dysponują odpowiednio licznym personelem, aby zapewnić nieprzerwaną dostępność;	d) CSIRT dysponują odpowiednio licznym personelem, aby zapewnić nieprzerwaną dostępność oraz zapewniają odpowiednie ramy przeszkolenia tego personelu;

Poprawka  141

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1 – litera e

Tekst proponowany przez Komisję	Poprawka
e) CSIRT dysponują systemami redundantnymi i rezerwowym miejscem pracy w celu zapewnienia ciągłości usług;	e) CSIRT dysponują systemami redundantnymi i rezerwowym miejscem pracy w celu zapewnienia ciągłości usług, w tym szerokopasmową łączność we wszystkich sieciach, systemach informacyjnych, usługach i urządzeniach;

Poprawka  142

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	1a. CSIRT rozwijają przynajmniej następujące zdolności techniczne:
	a) zdolność monitorowania sieci i systemów informacyjnych w czasie rzeczywistym lub niemal rzeczywistym oraz wykrywania anomalii;
	b) zdolność wspierania zapobiegania wtargnięciom oraz ich wykrywania;
	c) zdolność gromadzenia złożonych danych kryminalistycznych i ich analizy oraz inżynierii wstecznej cyberzagrożeń;
	d) zdolność filtrowania złośliwego ruchu;
	e) zdolność egzekwowania silnego uwierzytelniania, a także przywilejów i kontroli dostępu oraz
	f) zdolność analizowania cyberzagrożeń.

Poprawka  143

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera a

Tekst proponowany przez Komisję	Poprawka
a) monitorowanie cyberzagrożeń, podatności i incydentów na poziomie krajowym;	a) monitorowanie cyberzagrożeń, podatności i incydentów na poziomie krajowym oraz pozyskiwanie informacji o zagrożeniach w czasie rzeczywistym;

Poprawka  144

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera b

Tekst proponowany przez Komisję	Poprawka
b) wczesne ostrzeganie i alarmowanie podmiotów niezbędnych i istotnych oraz innych zainteresowanych stron o cyberzagrożeniach, podatnościach i incydentach, a także kierowanie do nich ogłoszeń oraz przekazywanie im informacji dotyczących cyberzagrożeń, podatności i incydentów;	b) wczesne ostrzeganie i alarmowanie podmiotów niezbędnych i istotnych oraz innych zainteresowanych stron o cyberzagrożeniach, podatnościach i incydentach, a także kierowanie do nich ogłoszeń oraz przekazywanie im informacji dotyczących cyberzagrożeń, podatności i incydentów, w miarę możliwości w czasie niemal rzeczywistym;

Poprawka  145

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera c

Tekst proponowany przez Komisję	Poprawka
c) reagowanie na incydenty;	c) reagowanie na incydenty i udzielanie pomocy objętym nimi podmiotom;

Poprawka  146

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera e

Tekst proponowany przez Komisję	Poprawka
e) przeprowadzanie, na wniosek podmiotu, aktywnego skanowania sieci i systemów informatycznych wykorzystywanych przez dany podmiot do świadczenia usług;	e) przeprowadzanie, na wniosek podmiotu lub w przypadku poważnego zagrożenia dla bezpieczeństwa narodowego, aktywnego skanowania sieci i systemów informatycznych wykorzystywanych przez dany podmiot do świadczenia usług;

Poprawka  147

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera f a (nowa)

Tekst proponowany przez Komisję	Poprawka
	fa) oferowanie, na wniosek danego podmiotu, umożliwienia i konfiguracji logowania sieciowego w celu ochrony danych, w tym danych osobowych, przed nieuprawnionym wyprowadzeniem;

Poprawka  148

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2 – litera f b (nowa)

Tekst proponowany przez Komisję	Poprawka
	fb) udział we wdrażaniu bezpiecznych narzędzi wymiany informacji zgodnie z art. 9 ust. 3.

Poprawka  149

 

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 4 – wprowadzenie

Tekst proponowany przez Komisję	Poprawka
4. Aby ułatwić współpracę, CSIRT promują przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów klasyfikacji oraz taksonomii związanych z:	4. Aby ułatwić współpracę, CSIRT promują automatyzację wymiany informacji, przyjmowanie i stosowanie wspólnych lub znormalizowanych praktyk, systemów klasyfikacji oraz taksonomii związanych z:

Poprawka  150

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. Państwa członkowskie zapewniają, aby ich właściwe organy albo ich CSIRT odbierały zgłoszenia incydentów, istotnych cyberzagrożeń i zdarzeń potencjalnie wypadkowych dokonywane na podstawie niniejszej dyrektywy. W przypadku gdy państwo członkowskie postanowi, że jego CSIRT nie będą odbierać takich zgłoszeń, CSIRT otrzymają, w stopniu koniecznym do wykonywania swoich zadań, dostęp do danych dotyczących incydentów zgłaszanych przez podmioty niezbędne lub istotne na podstawie art. 20.	2. Państwa członkowskie zapewniają, aby ich CSIRT odbierały zgłoszenia istotnych incydentów zgodnie z art. 20 oraz cyberzagrożeń i zdarzeń potencjalnie wypadkowych na podstawie art. 27 za pośrednictwem pojedynczego punktu kontaktowego, o którym mowa w art. 20 ust. 4a.

Poprawka  151

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 4

Tekst proponowany przez Komisję	Poprawka
4. W zakresie niezbędnym do skutecznej realizacji zadań i obowiązków przewidzianych w niniejszej dyrektywie państwa członkowskie zapewniają odpowiednią współpracę między właściwymi organami i pojedynczymi punktami kontaktowymi a organami ścigania, organami ochrony danych i organami odpowiedzialnymi za infrastrukturę krytyczną na mocy dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] oraz krajowymi organami finansowymi wyznaczonymi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego]39 w danym państwie członkowskim.	4. W zakresie niezbędnym do skutecznej realizacji zadań i obowiązków przewidzianych w niniejszej dyrektywie państwa członkowskie zapewniają odpowiednią współpracę między właściwymi organami, pojedynczymi punktami kontaktowymi, CSIRT, organami ścigania, krajowymi organami regulacyjnymi lub innymi właściwymi organami odpowiedzialnymi za publiczne sieci łączności elektronicznej lub za publicznie dostępne usługi łączności elektronicznej zgodnie z dyrektywą (UE) 2018/1972, organami ochrony danych, organami odpowiedzialnymi za infrastrukturę krytyczną na mocy dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] oraz krajowymi organami finansowymi wyznaczonymi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego]39 w danym państwie członkowskim, stosownie do ich odpowiednich kompetencji.
__________________	__________________
39 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]	39 [wstawić pełny tytuł i odniesienie do publikacji w Dzienniku Urzędowym, kiedy już będą znane]

Poprawka  152

 

Wniosek dotyczący dyrektywy

Artykuł 11 – ustęp 5

Tekst proponowany przez Komisję	Poprawka
5. Państwa członkowskie zapewniają, aby ich właściwe organy regularnie przekazywały właściwym organom wyznaczonym na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] informacje na temat ryzyka w cyberprzestrzeni, cyberzagrożeń i incydentów mających wpływ na podmioty niezbędne uznane za podmioty krytyczne lub za podmioty równoważne z podmiotami krytycznymi na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych], a także na temat środków wprowadzonych przez właściwe organy w odpowiedzi na takie ryzyko i incydenty.	5. Państwa członkowskie zapewniają, aby ich właściwe organy regularnie przekazywały właściwym organom wyznaczonym na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] aktualne informacje na temat ryzyka w cyberprzestrzeni, cyberzagrożeń i incydentów mających wpływ na podmioty niezbędne uznane za podmioty krytyczne lub za podmioty równoważne z podmiotami krytycznymi na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych], a także na temat środków wprowadzonych przez właściwe organy w odpowiedzi na takie ryzyko i incydenty.

Poprawka  153

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 3 – akapit 1

Tekst proponowany przez Komisję	Poprawka
Grupa Współpracy składa się z przedstawicieli państw członkowskich, Komisji i ENISA. Europejska Służba Działań Zewnętrznych uczestniczy w działaniach Grupy Współpracy w charakterze obserwatora. Zgodnie z art. 17 ust. 5 lit. c) rozporządzenia (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego] Europejskie Urzędy Nadzoru mogą uczestniczyć w działaniach Grupy Współpracy.	Grupa Współpracy składa się z przedstawicieli państw członkowskich, Komisji i ENISA. Parlament Europejski i Europejska Służba Działań Zewnętrznych uczestniczą w działaniach Grupy Współpracy w charakterze obserwatorów. Zgodnie z art. 17 ust. 5 lit. c) rozporządzenia (UE) XXXX/XXXX [rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego] Europejskie Urzędy Nadzoru mogą uczestniczyć w działaniach Grupy Współpracy.

Poprawka  154

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 3 – akapit 2

Tekst proponowany przez Komisję	Poprawka
W stosownych przypadkach Grupa Współpracy może zapraszać przedstawicieli odpowiednich zainteresowanych stron do udziału w swoich pracach.	W stosownych przypadkach Grupa Współpracy może zapraszać przedstawicieli odpowiednich zainteresowanych stron, na przykład Europejską Radę Ochrony Danych i przedstawicieli branży, do udziału w swoich pracach.

Poprawka  155

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera b

Tekst proponowany przez Komisję	Poprawka
b) wymiana najlepszych praktyk i informacji w związku z wdrażaniem niniejszej dyrektywy, w tym w odniesieniu do cyberzagrożeń, incydentów, podatności, zdarzeń potencjalnie wypadkowych, inicjatyw na rzecz podnoszenia świadomości, szkoleń, ćwiczeń i umiejętności, budowania zdolności, a także norm i specyfikacji technicznych;	b) wymiana najlepszych praktyk i informacji w związku z wdrażaniem niniejszej dyrektywy, w tym w odniesieniu do cyberzagrożeń, incydentów, podatności, zdarzeń potencjalnie wypadkowych, inicjatyw na rzecz podnoszenia świadomości, szkoleń, ćwiczeń i umiejętności, budowania zdolności, norm i specyfikacji technicznych, a także identyfikowania podmiotów niezbędnych i istotnych;

Poprawka  156

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera b a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ba) prowadzenie ewidencji rozwiązań krajowych w celu promowania kompatybilności rozwiązań w zakresie cyberbezpieczeństwa stosowanych w poszczególnych sektorach w całej Unii;

Poprawka  157

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera c

Tekst proponowany przez Komisję	Poprawka
c) wymiana porad i współpraca z Komisją w zakresie nowych inicjatyw dotyczących polityki cyberbezpieczeństwa;	c) wymiana porad i współpraca z Komisją w zakresie nowych inicjatyw dotyczących polityki cyberbezpieczeństwa oraz całościowej spójności sektorowych wymogów dotyczących cyberbezpieczeństwa;

Poprawka  158

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera f

Tekst proponowany przez Komisję	Poprawka
f) omawianie sprawozdań z wzajemnej oceny, o których mowa w art. 16 ust. 7;	f) omawianie sprawozdań z wzajemnej oceny, o których mowa w art. 16 ust. 7, oraz formułowanie wniosków i zaleceń;

Poprawka  159

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera f a (nowa)

Tekst proponowany przez Komisję	Poprawka
	fa) prowadzenie skoordynowanych ocen ryzyka dotyczących bezpieczeństwa zainicjowanych zgodnie z art. 19 ust. 1, we współpracy z Komisją i ENISA;

Poprawka  160

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera k a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ka) przedkładanie Komisji na potrzeby przeglądu, o którym mowa w art. 35, sprawozdań dotyczących doświadczeń zdobytych na poziomie strategicznym i operacyjnym;

Poprawka  161

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 4 – litera k b (nowa)

Tekst proponowany przez Komisję	Poprawka
	kb) dostarczanie we współpracy z ENISA, Europolem i krajowymi organami ścigania corocznej oceny tego, które państwa trzecie dają schronienie przestępcom wykorzystującym oprogramowanie szantażujące.

Poprawka  162

 

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 8

Tekst proponowany przez Komisję	Poprawka
8. Grupa Współpracy spotyka się regularnie, przy czym co najmniej raz w roku, z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] w celu propagowania współpracy strategicznej i wymiany informacji.	8. Grupa Współpracy spotyka się regularnie, przy czym co najmniej dwa razy w roku, z Grupą ds. Odporności Podmiotów Krytycznych ustanowioną na podstawie dyrektywy (UE) XXXX/XXXX [dyrektywa w sprawie odporności podmiotów krytycznych] w celu ułatwiania współpracy strategicznej i wymiany informacji.

Poprawka  163

 

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 3 – litera a a (nowa)

Tekst proponowany przez Komisję	Poprawka
	aa) ułatwianie wzajemnego udostępniania i przekazywania technologii i odpowiednich środków, polityki, najlepszych praktyk i ram między CSIRT;

Poprawka  164

 

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 3 – litera b a (nowa)

Tekst proponowany przez Komisję	Poprawka
	ba) zapewnianie interoperacyjności w zakresie standardów wymiany informacji;

Poprawka  165

 

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 1

Tekst proponowany przez Komisję	Poprawka
1. Niniejszym ustanawia się europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), aby wspierać skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę oraz zapewniać regularną wymianę informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.	1. Niniejszym ustanawia się europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (EU-CyCLONe), aby wspierać skoordynowane zarządzanie cyberincydentami i kryzysami cyberbezpieczeństwa na dużą skalę oraz zapewniać regularną wymianę odpowiednich informacji między państwami członkowskimi a instytucjami, organami i jednostkami organizacyjnymi Unii.

Poprawka  166

 

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. EU-CyCLONe składa się z przedstawicieli organów zarządzania kryzysowego państw członkowskich, wyznaczonych zgodnie z art. 7, Komisji i ENISA. ENISA zapewnia obsługę sekretariatu sieci i wspiera bezpieczną wymianę informacji.	2. EU-CyCLONe składa się z przedstawicieli organów zarządzania kryzysowego państw członkowskich, wyznaczonych zgodnie z art. 7, Komisji i ENISA. ENISA zapewnia obsługę sekretariatu EU-CyCLONe i wspiera bezpieczną wymianę informacji.

Poprawka  167

 

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 5

Tekst proponowany przez Komisję	Poprawka
5. EU-CyCLONe regularnie składa Grupie Współpracy sprawozdania na temat cyberzagrożeń, incydentów i tendencji w dziedzinie cyberbezpieczeństwa, koncentrując się w szczególności na ich wpływie na podmioty niezbędne i istotne.	5. EU-CyCLONe regularnie składa Grupie Współpracy sprawozdania na temat incydentów i kryzysów na dużą skalę, a także na temat tendencji, koncentrując się w szczególności na ich wpływie na podmioty niezbędne i istotne.

Poprawka  168

 

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję	Poprawka
1. ENISA wydaje co dwa lata, we współpracy z Komisją, sprawozdanie o stanie cyberbezpieczeństwa w Unii. Sprawozdanie zawiera w szczególności ocenę następujących elementów:	1. ENISA wydaje co dwa lata, we współpracy z Komisją, sprawozdanie o stanie cyberbezpieczeństwa w Unii oraz przedkłada je i prezentuje Parlamentowi Europejskiemu. Sprawozdanie jest dostarczane w formacie nadającym się do odczytu maszynowego i zawiera w szczególności ocenę następujących elementów:

Poprawka  169

 

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 1 – litera a a (nowa)

Tekst proponowany przez Komisję	Poprawka
	aa) ogólnego poziomu świadomości i higieny w zakresie cyberbezpieczeństwa wśród obywateli i podmiotów, w tym MŚP, a także ogólnego poziomu bezpieczeństwa urządzeń podłączonych do internetu;

Poprawka  170

 

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 1 – litera c

Tekst proponowany przez Komisję	Poprawka
c) wskaźnika cyberbezpieczeństwa zapewniającego zbiorczą ocenę poziomu dojrzałości zdolności w zakresie cyberbezpieczeństwa.	c) wskaźnika cyberbezpieczeństwa zapewniającego zbiorczą ocenę poziomu dojrzałości zdolności w zakresie cyberbezpieczeństwa w Unii, w tym dostosowania krajowych strategii cyberbezpieczeństwa państw członkowskich;

Poprawka  171

 

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 2

Tekst proponowany przez Komisję	Poprawka
2. Sprawozdanie zawiera konkretne zalecenia polityczne dotyczące zwiększenia poziomu cyberbezpieczeństwa w całej Unii oraz streszczenie ustaleń za dany okres zawartych w raportach technicznych Agencji o stanie cyberbezpieczeństwa w UE wydanych przez ENISA zgodnie z art. 7 ust. 6 rozporządzenia (UE) 2019/881.	2. Sprawozdanie wskazuje na konkretne przeszkody i zawiera konkretne zalecenia polityczne dotyczące zwiększenia poziomu cyberbezpieczeństwa w całej Unii oraz streszczenie ustaleń za dany okres zawartych w raportach technicznych Agencji o stanie cyberbezpieczeństwa w UE wydanych przez ENISA zgodnie z art. 7 ust. 6 rozporządzenia (UE) 2019/881.

Poprawka  172

 

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję	Poprawka
	2a. ENISA, we współpracy z Komisją oraz zgodnie z wytycznymi Grupy Współpracy i sieci CSIRT, opracowuje metodykę, w tym odpowiednie zmienne wskaźnika cyberbezpieczeństwa, o którym mowa w ust. 1 lit. c).

Poprawka  173

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję	Poprawka
1. Komisja ustanawia, po konsultacji z Grupą Współpracy i ENISA i najpóźniej 18 miesięcy po wejściu w życie niniejszej dyrektywy, metodykę i zawartość systemu wzajemnej oceny służącego do oceny skuteczności polityki cyberbezpieczeństwa państw członkowskich. Oceny są przeprowadzane przez ekspertów technicznych ds. cyberbezpieczeństwa pochodzących z innych państw członkowskich niż państwo poddawane ocenie i obejmują co najmniej następujące kwestie:	1. Komisja ustanawia, po konsultacji z Grupą Współpracy i ENISA i najpóźniej do ... [18 miesięcy po wejściu w życie niniejszej dyrektywy], metodykę i zawartość systemu wzajemnej oceny służącego do oceny skuteczności polityki cyberbezpieczeństwa państw członkowskich. Wzajemne oceny są przeprowadzane w konsultacji z ENISA przez ekspertów technicznych ds. cyberbezpieczeństwa pochodzących z co najmniej dwóch innych państw członkowskich niż państwo poddawane ocenie i obejmują co najmniej następujące kwestie:

Poprawka  174

 

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 1 – podpunkt iii